АНАЛИТИЧЕСКАЯ СПРАВКА ПО ПРОЕКТУ ГИС «ПРОФИЛАКТИКА»
Представленное Приложение N 1 к Извещению Технического Задания (ТЗ) на создание ГИС «Профилактика» описывает создание масштабной централизованной базы данных, содержащей огромный объем высокочувствительной информации о несовершеннолетних и их семьях. Несмотря на декларируемые цели, в документе заложены системные риски нарушения ключевых принципов защиты ПДн и конфиденциальности частной жизни, что создает почву для массовых и потенциально разрушительных утечек.
Детальный анализ рисков по правовым нормам:
1. Нарушение принципа минимальной достаточности (ст. 5 152-ФЗ)
Принцип: Объем и характер обрабатываемых ПДн должны быть строго необходимы и достаточны для заявленных целей обработки.
Выявленные угрозы в документе:
✔️Чрезмерный объем данных: Система планирует собирать и хранить не только базовые биографические данные, но и глубоко личную информацию:
✔️Медицинские сведения (употребление наркотиков, алкоголя, сведения из медучреждений).
✔️Подробные психологические характеристики.
✔️Сведения о «самовольных уходах», «конфликтах с законом», «жестоком обращении».
✔️Оценки условий проживания и «рейтинги» семей.
✔️Данные о «немедицинском потреблении наркотических средств».
✔️Отсутствие четкого обоснования: В документе не продемонстрировано, как каждая из этих категорий данных абсолютно необходима именно для «профилактики безнадзорности». Например, детализированные медицинские диагнозы или психологические портреты могут быть избыточны для организации общей профилактической работы.
✔️Создание «досье»: Совокупность данных позволяет составить исчерпывающее и стигматизирующее досье на ребенка и его семью, которое может быть использовано не по назначению.
✔️Риск утечки: В случае компрометации системы утечет не просто список имен, а полные, компрометирующие досье на сотни тысяч детей, что может нанести непоправимый репутационный и психологический ущерб.
2. Нарушение права на доступ к ПДн и неприкосновенность частной жизни (ст. 23 Конституции РФ, ст. 14 152-ФЗ)
Принцип: Субъект ПДн (или его законный представитель) имеет право знать, какие его данные обрабатываются, кем и с какой целью. Обработка не должна быть бесконтрольной.
✔️Отсутствие механизмов для субъектов ПДн: В ТЗ детально расписаны интерфейсы для сотрудников органов системы профилактики, но полностью отсутствует упоминание о каком-либо функционале «Личного кабинета» для родителей или несовершеннолетних, через который они могли бы:
✔️Просматривать внесенные о себе данные.
✔️Оспаривать недостоверную или избыточную информацию.
✔️Давать согласие на обработку (где это требуется).
✔️Отслеживать историю доступа к их данным.
✔️Скрытность обработки: Факт наличия обширного досье на семью может оставаться неизвестным для самой семьи, что является грубым нарушением права на информацию о обработке своих ПДн.
Риск доступа посторонних: Отсутствие прозрачности и контроля со стороны субъекта данных создает среду, в которой возможны злоупотребления со стороны имеющих доступ лиц, так как их действия не видны тем, кого они касаются напрямую.
3. Нарушение обязанности обеспечить конфиденциальность (ст. 7 152-ФЗ)
Принцип: Оператор обязан обеспечить безопасность ПДн от несанкционированного доступа и распространения.
✔️Сверхширокий круг пользователей: Система рассчитана на 75 000 ежедневных пользователей. Этот круг включает сотрудников органов опеки, КДН, полиции, образовательных учреждений, волонтёров и т.д. Столь широкий доступ по своей сути противоречит принципу конфиденциальности.
✔️Слабая спецификация разграничения прав: Хотя в документе упоминается «ролевая модель» и «матрицы доступа», их конкретная реализация и строгость остаются размытыми. На практике это часто приводит к ситуации, когда сотрудники имеют доступ к большему объему данных, чем это необходимо для их прямых обязанностей («принцип наименьших привилегий» не соблюдается).
✔️Интеграция с внешними системами: Интеграция с ЕСИА, СМЭВ, «Добро.рф» и другими ГИС создает дополнительные точки потенциальной опасности. Каждый канал передачи данных — это дополнительная угроза утечки.
✔️Декларативность требований по безопасности: Требования к безопасности сформулированы в общих словах и отложены до этапа разработки «Частного технического задания» (ЧТЗ) и «Технического проекта». Нет четких, функциональных требований, например, к обязательному сквозному шифрованию, строгому аудиту всех действий с записями, немедленному уведомлению субъектов при несанкционированном доступе.
Высокая вероятность внутренних нарушителей и утечек из-за сложности управления правами доступа для такого огромного числа пользователей. Внешние атаки также более вероятны из-за сложной и разветвленной архитектуры системы.
4. Игнорирование права законных представителей на защиту данных детей (ст. 64 СК РФ)
Принцип: Родители являются законными представителями детей и обязаны защищать их права и интересы, включая право на приватность.
Как уже отмечалось, родители не являются участниками системы. Они не могут контролировать, какая информация о их ребенке вносится, кем и на каком основании.
✔️Создание параллельной, неподконтрольной родителям реальности: В системе может формироваться негативный образ ребенка и семьи, основанный на односторонних оценках различных служб. Родители лишены возможности своевременно исправить ошибку или дать свои пояснения до того, как эта информация будет использована для принятия решений (например, решений КДН).
✔️Перекос баланса власти: Система наделяет государственные органы мощным инструментом давления на семью, лишая ее одного из ключевых инструментов защиты — контроля над информацией.
✔️Угроза доступа лиц, не имеющих статус оператора: В данном контексте, сам факт внесения данных о ребенке без ведома и контроля его законных представителей (родителей) можно рассматривать как доступ к ПДн лиц, не имеющих на то законных оснований с точки зрения семейного права. Родитель, как главный защитник прав ребенка, по умолчанию должен быть центральным контролирующим звеном в процессе обработки данных о нем.
Интеграция с ИC «Добро.рф» указана в разделе 1.1.1.2 «Требования к характеристикам взаимосвязей ГИС «Профилактика» с внешними и смежными системами».
Цитата из документа:
«Добро.рф: Единая информационная система в сфере развития добровольчества (волонтерства) в целях формирования реестров наставников (реализация пункта 2 статьи 82 Федерального закона № 120-ФЗ)».
Напомним юридически неграмотным сочинителям писулек. В 120-ФЗ статьи 82 не существует. В нём только 33 статьи. Есть статья 8.2 в которой написано о наставничестве в сфере профилактики и безнадзорности/
В разделе 1.2.1 «Требования, предъявляемые к работам по разработке обеспечивающей подсистемы «Организация информационного взаимодействия с иными ИС», это требование дублируется:
Организация информационного взаимодействия должна быть также обеспечена со следующими ИС:
«б) единая информационная система в сфере развития добровольчества (волонтерства) в целях формирования реестров наставников (реализация пункта 2 статьи 82 Федерального закона № 120-ФЗ)». Мы снова видим ту же самую безграмотность в части упоминания статьи.
2. Анализ правового обоснования, а точнее его отсутствия.
05.02.2025 г. в п.2 ст. 4 были внесены изменения. Помимо указанных в п. 1, в систему профилактики безнадзорности и правонарушений несовершеннолетних стали входить «учреждения, осуществляющие отдельные функции по профилактике безнадзорности и правонарушений несовершеннолетних». Так, согласно п.1 ст.8.2 «в отношении несовершеннолетних указанных в пункте 1 статьи 5 настоящего Федерального закона, может проводиться индивидуальная профилактическая работа наставниками из числа граждан, включенных в реестр наставников, привлекаемых для осуществления индивидуальной профилактической работы с несовершеннолетними, и (или) организациями из числа организаций, включенных в реестр организаций, участвующих в деятельности по профилактике безнадзорности и правонарушений несовершеннолетних».
Создаётся следующая схема. Минпрос создаёт некий «Справочник проверенных организаций» (Реестр). Данные поступают через систему «Добро.рф». Это официальная платформа, где волонтеры и организации регистрируются и заявляют о своей готовности помогать. То есть, человек или организация, желающие стать наставниками, не обращаются напрямую в Минпросвещения. Они подают заявление через ИС «Добро.рф». «Добро.рф» передает список этих заявлений в Минпросвещения через систему межведомственного электронного взаимодействия (СМЭВ). Это защищенный канал для обмена данными между государственными органами и организациями. Министерство не просто принимает список. Оно проверяет и формирует окончательные реестры (справочники). Порядок этой проверки и формирования установлен отдельным постановлением Правительства РФ от 26.03.2025 № 371 "Об утверждении Правил формирования реестра наставников, привлекаемых для осуществления индивидуальной профилактической работы с несовершеннолетними, и реестра организаций, участвующих в деятельности по профилактике безнадзорности и правонарушений несовершеннолетних".
Данное Постановление регулирует обработку персональных данных самих наставников и организаций, которые хотят участвовать в профилактической работе. Вопросы доступа этих лиц к персональным данным несовершеннолетних, с которыми они будут проводить работу, в данном нормативном акте не затрагиваются.
В самой статье 8.2 не прописаны прямые указания о передаче персональных данных несовершеннолетних наставникам. Однако статья создает правовые основания для их обработки наставниками в рамках их деятельности. Ключевым основанием является предусмотренное статьей согласие родителей (законных представителей) и/или самого несовершеннолетнего, достигшего возраста 14 лет, на назначение наставника и на осуществление им конкретных действий.
Это согласие, в соответствии с Федеральным законом "О персональных данных", делает обработку необходимых для наставничества персональных данных законной. Конкретный порядок, объем и защита таких данных должны регламентироваться другими нормативными актами и внутренними документами. Если Вы не даёте такого согласия, то никто насильно не имеет права вам его навязывать. Но, кк только вы даёте такое согласие, то наставник автоматически приобретает правовые основания к вашим ПДн и данным ребёнка.
б) Нарушение 152-ФЗ при такой интеграции.
Передача ПДн несовершеннолетних из ГИС «Профилактика» (оператор — Минпросвещения) в ИС «Добро.рф» (оператор — Ассоциация волонтерских центров) является межоператорским переводом персональных данных.
Для такого перевода в соответствии со ст. 6, 9 и 20.1 152-ФЗ требуется как минимум одно из следующих оснований:
1. Отдельное информированное согласие законного представителя несовершеннолетнего на передачу данных его ребенка в конкретную организацию «Добро.рф».
2. Заключение договора между операторами (Минпросвещения и АВЦ), в котором четко прописаны цели, перечень передаваемых данных, обязанности по их защите и ответственность. При этом сам по себе договор не отменяет необходимости получения согласия субъекта ПДн, если обработка не основана на ином прямом указании федерального закона.
Но в Приложении № 1 к Извещению:
- Нет ни слова о получении согласия родителей на передачу данных в «Добро.рф».
- Не указано, какой именно объем данных о несовершеннолетнем (ФИО, адрес, история проблем и т.д.) будет передаваться в «Добро.рф» для «формирования реестра наставников».
- Не описаны меры защиты, которые должна будет применять «Добро.рф» при работе с этими данными.
Вывод:
Основание, указанное в документе, является надуманным и несостоятельным с точки зрения законодательства о персональных данных.
1. Формальная отсылка к закону: Ссылка на ФЗ-120 служит лишь для объяснения цели (формирование реестра наставников), но не является правовым основанием для межоператорской передачи конфиденциальных данных несовершеннолетних.
2. Игнорирование 152-ФЗ: Документ полностью игнорирует требования 152-ФЗ к порядку передачи данных между операторами, включая необходимость согласия и обеспечения безопасности.
3. Создание неконтролируемого канала утечки: Фактически, создается легальный канал для передачи высокочувствительных данных о детях, находящихся в трудной жизненной ситуации, в систему, чей уровень защищенности и статус оператора не сопоставим с государственной информационной системой. Доступ к данным получают сотрудники и волонтеры Ассоциации волонтерских центров, которые не являются государственными служащими и не несут соответствующей ответственности.
Таким образом, интеграция с ИС «Добро.рф», как она описана в ТЗ, прямо нарушает принцип конфиденциальности (ст. 7 152-ФЗ) и требования к правовым основаниям обработки (ст. 6 152-ФЗ), создавая огромную опасность несанкционированного доступа и утечки персональных данных несовершеннолетних.
Таким образом, ГИС «Профилактика», в том виде, как она описана в ТЗ, системно игнорирует фундаментальные нормы защиты персональных данных и прав семьи.
Вместо точечного инструмента для межведомственного взаимодействия в сложных случаях, создается система тотального учета и контроля, которая:
1. Нарушает 152-ФЗ по принципам минимальной достаточности, конфиденциальности и прав субъектов.
2. Подрывает конституционное право на неприкосновенность частной жизни.
3. Игнорирует права родителей как законных представителей детей, гарантированные Семейным кодексом.
4. Нарушает ст. 8.2. ФЗ 120-ФЗ.
Ключевые риски — это не просто технические уязвимости, а архитектурные и правовые дефекты, заложенные в саму концепцию системы. Они создают предпосылки для массовых злоупотреблений, ошибок и утечек высокочувствительной информации, последствия которых для детей и их семей могут быть катастрофическими.
Еще больше аналитической информации и расследований на нашем ТГ канале.