Депутаты обеспокоились недостаточной защитой персональных данных школьников. Так, на днях депутаты ГД заявили, что данные как минимум 5,6 млн российских школьников получила офшорная компания, зарегистрированная в Никосии, на Кипре. Речь идет о системе «Дневник.ру», к которой, по словам первого замглавы комитета Госдумы по образованию Владимира Бурматова, подключены более 30 тыс. школ.
Как сообщил депутат, учредителем ООО «Дневник.ру» является кипрский офшор I.AR.EICH. EDU REVOLYUSHN KHOLDINGZ LTD. Его руководитель - выпускник Колумбийского университета в Нью-Йорке Леви Гавриил Давидович 1982 года рождения. Однако стратегическим партнером официально указывается Министерство образования и науки РФ. Каким образом персональные данные нескольких миллионов российских школьников оказались в распоряжении компании с учредителем в виде кипрского офшора?
Депутатский запрос
Бурматов направил обращение на имя вице-премьера правительства РФ Ольги Голодец, в котором обозначил, что Министерством образования предприняты явно недостаточные меры по обеспечению безопасности персональных данных школьников.
Депутат пишет, что на протяжении длительного времени частная компания собирала и обрабатывала не только персональные данные учителей и школьников, но и родителей последних. При этом он отмечает, что изучение порядка базового (бесплатного) подключения школ и школьников к системе «Дневник.ру» показало, что данные несовершеннолетних имеют примитивную систему защиты и не предусматривают использования программно-аппаратных средств шифрования при передаче данных через открытые каналы при коммуникациях с пользователями, и имеют минимальную защиту только на стороне ООО «Дневник.ру».
Действия Министерства образования парламентарий называет «непоследовательными, поспешными и непрофессиональными». Ведь, по его словам, это ставит под угрозу безопасность персональных данных миллионов школьников.
В своем запросе член комитета предлагает правительству инициировать проверку уровня безопасности персональных данных школьников, обрабатываемых компанией ООО «Дневник.ру». По его мнению, также необходимо проверить достаточность защиты персональных данных школьников с учетом отсутствия у компании программно-аппаратных средств шифрования при передаче данных через открытые каналы (интернет) при коммуникациях с пользователями.
Но и это еще не все. Депутат требует взять на контроль ситуацию с созданием единой федеральной межведомственной системы учета контингента обучающихся, а также обеспечить контроль за устранением перечисленных выше недоработок. Кроме того, необходимо рассмотреть возможность независимого экспертного сопровождения, оценки и тестирования системы до внесения в нее персональных данных обучающихся, считает он.
Между тем, сама компания уже подготовила официальное опровержение предъявленных депутатом претензий и опубликовала документы, согласно которым «Дневник.ру» зарегистрирован в качестве оператора по обработке персональных данных в реестре Роскомнадзора под номером 09-0062296. По словам представителей компании, система отвечает всем требованиям безопасности и подтверждением тому «Аттестат соответствия требованиям по безопасности информации» под №878 от 01.06.2012, выданный организацией «ЗащитаИнфоТранс», сертифицированной ФСТЭК России, который был успешно продлен до 28 марта 2017 г.
Более того, как сообщается, «Дневник.ру» успешно прошел плановую проверку Роскомнадзора не далее как в апреле 2015 года. По заявлению пресс-службы фирмы, в соответствии с законодательством о защите персональных данных РФ, обработка и хранение персональных данных системы «Дневник.ру» осуществляется на территории Российской Федерации, дата-центр компании расположен в Санкт-Петербург.
«Следует отметить, что оффшорные учредители присутствуют у многих крупных ИТ и телекоммуникационных компаний России, которые ежедневно обрабатывают огромные массивы персональных данных. Такая практика обусловлена тем, что российское законодательство пока не позволяет быстро структурировать сложные инвестиционные сделки. Однако этот юридический аспект не означает, что компания - оператор персональных данных занимается трансграничной передачей данных – это запрещено законодательством Российской Федерации», - говорится в официальном заявлении компании.
2027 небезопасных сайтов
Тем не менее, проблема обеспечения безопасности персональных данных школьников - системна, и не в первые оказывается в центре пристального внимания общественности.
Ранее Роскомнадзор обнаружил в сети 2027 сайтов, на которых были выложены персональные данные обучающихся. Депутат опасается, что ситуация может повториться только уже в более серьезных масштабах, поскольку в общем доступе могут оказаться персональные данные более 20 млн школьников. Кроме того, эти данные могут быть вовлечены в теневой коммерческий оборот и представлять реальную угрозу для обучающихся, говорится в тексте обращения.
«Мы должны обеспечить максимально жесткий контроль в сфере безопасности личных данных наших детей, иначе ситуация, с которой мы столкнемся, может оказаться катастрофической. В настоящий момент обеспечение безопасности персональных данных школьников организовано из рук вон плохо», - резюмировал Бурматов.
К сожалению, в российских школах законодательство о защите персональных данных школьников нарушается довольно часто. Зачастую нарушители даже не догадываются об этом. Например, по итогам прошлого года, Управление Роскомнадзора по СЗФО сообщило об обнаружении около 2 тыс. подобных нарушений на сайтах – в том числе и принадлежащих различным образовательным организациям. На страницах школьных сайтов попадались детские персональные данные совершенно в открытом доступе. Например, информация о школьнике содержалась в документах, связанных с участием школьников в различных конкурсах или олимпиадах. Существует еще одна проблема – это содержание сайтов школ, которые давно не обновлялись, но при этом там могут оставаться данные, загруженные лет пять назад.
И это только данные одного округа. А сколько нарушений по сохранности персональных данных мы получим, если посчитаем нарушения в школах по остальным округам? Пора бы уже научиться осознавать свою ответственность за сохранность персональных данных, а тем более информации, касающейся детей. Мириться с таким положением дел ни в коем случае нельзя.
Алиса Ермакова
