ДИТ Москвы уличили в возможности передачи персональных данных третьим лицам

25.05.2020 |

Александр Абрамов.

На сайте сервиса проверки цифрового пропуска https://i.moscow/covid в тексте согласия на обработку персональных данных пользователи обнаружили возможность передачи их третьим лицам сроком на 10 лет. Об этом 24 мая сообщили в блоге компании AnalogBytes Conference на habr.ru.

Как отмечается в сообщении, пользователи, чьи пропуска заблокированы, должны заполнить специальную форму, вписав в нее сведения о личных документах – серию и номер. Однако эти данные не смогут быть переданы в ДИТ, если пользователь не согласиться на обработку персональных данных, поставив галочку в соответствующий чекбокс. При этом на странице формы для заполнения присутствует ссылка на само согласие, в котором указывается, что все собранные с помощью сервиса https://i.moscow/covid персональные данные не только будут обработаны, но и могут быть переданы третьим лицам, что фактически означает, что персональная информация может оказаться в руках банков, страховых компаний и т. д. Кроме того, данное согласие дается пользователем на 10 лет.

В настоящее время авторы блога ждут комментариев со стороны юристов, но уже сейчас есть правовая оценка от ряда экспертов. В частности, участники блога отметили, что требования о предоставлении такого количества персональных данных нарушают положения пп. 4 и 5 статьи 5 152-ФЗ, гласящих: «4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».

ДИТ требует доступ ко всем персональным данным пользователя только для проверки действительности пропуска, что является избыточной информацией, а десятилетий срок их хранения можно считать чрезмерным.

В блоге также напомнили, что аналогичный пункт согласия на обработку персональных данных был включен в приложение «Социальный мониторинг», которое также имело права на обработку всей личной информации, которую могло извлечь.

Пока реакции столичных властей на данную ситуацию не последовала. Авторы блога рекомендуют после снятия мер ограничения и отмены цифровых пропусков отправить заказанным письмом с уведомлением о вручении отзыв согласия на обработку персональных данных в департамент предпринимательства и инновационного развития города Москвы, департамент информационных технологий города Москвы, ГКУ г. Москвы «Информационный город», фонд «Московский инновационный кластер» на имя руководства всех этих организаций. Кроме того, рекомендуется отправить скан-копию или фотографию письма в электронную приемную столичной мэрии.