Что случилось в Минфине: утечка данных или телефонная верификация?
На прошлой неделе Министерство финансов оказалось в центре скандала, разгоревшегося из-за верификации социальных выплат.
Стало известно о возможной утечки информации с персональными данными десятков тысяч переселенцев.
Началось все с поста в Фейсбуке активиста компании ОПОРА Александра Клюжева, написанного 25 ноября.
"Персональные данные внутренне перемещенных лиц (переселенцы из зоны АТО. — ЭП) или их части, включая год рождения, адрес регистрации и проживания на оккупированных и мирных территориях, телефон, состояние получения социальной помощи находятся в руках коллекторской компании.
Лица, которые называют себя представителями группы компаний "Дельта М", звонят внутренне перемещенным лицам с целью уточнения места нахождения этих граждан для (внимание!) "поздравления их с новогодними праздниками от имени Министерства финансов Украины".
После объявления цели звонка операторы колл-центра просят переселенца уточнить фамилию, имя, отчество, год рождения, места регистрации в зоне оккупации и фактического проживания на мирной территории, а также уточняют, где именно находится на момент звонка переселенец.
Если он отказывается назвать улицу фактического проживания, то ему говорят о внесении оператором сведений о расхождениях в данных. Если лицо начинает отказываться предоставить эту информацию, то озвучивается, что этот отказ повлияет на выплаты для внутренне перемещенных лиц", — написал Клюжев.
Тему о возможной утечке данных подхватили общественные организации, работающие с переселенцами. Новость дошла и до Минсоцполитики. По данным источников ЭП, в эти дни она обсуждалась также на уровне премьера.
На информацию о возможном распространении Минфином персональных данных резко отреагировала Уполномоченный по правам человека Валерия Лутковская. ЭП разбиралась, что же произошло, и была ли утечка данных.
Как все начиналось
Верификация социальных выплат началась по инициативе Натальи Яресько, возглавлявшей Минфин. При ней и после ее ухода с поста верификацией занимался глава управления верификации и мониторинга Андрей Рязанцев.
В Министерстве финансов были уверены, что часть социальных выплат выдается с нарушениями и оформляется на подставных лиц. Поэтому цель верификации заключалась в том, чтобы очистить систему социальных выплат от мошенников и сэкономить в бюджете 2016 года 5 млрд грн.
Верификация предусматривала выдачу рекомендаций о проверках, трансформацию института социального инспектората, привлечение мошенников к ответственности и прекращение им выплат, запуск телефонной верификации: подтверждения места пребывания реципиента помощи по телефону.
Процесс верификации проходил турбулентно. ЭП уже писала о том, что Минфин генерировал тысячи рекомендаций о проверках.
В Минсоцполитики верификацию в формате Минфина не поддерживали и считали, что изыскать заявленные 5 млрд грн невозможно. На этой почве ведомства долго спорили о целесообразности происходящего.
По информации источников издания, при министре финансов Александре Данылюке ведомство заняло такую позицию: процесс проблемный и в части реализации, и в части отношений с Минсоцполитики, но отказаться от него нельзя, продолжать надо по-другому, а как конкретно — еще предстоит решить.
Попытка приступить к этапу телефонной верификации спровоцировала новости о якобы утечке данных и вызвала общественный резонанс.
В чем задача "Дельта М Юкрейн"
11 октября Минфин через ГП "Головфинтех" провел тендер на закупку услуг для проведения телефонной верификации. Информация о конкурсе есть на сайте электронной системы закупок ProZorro. Выиграла его компания "Дельта М Юкрейн". Стоимость закупки составила 999 999 грн.
Согласно обнародованному договору с исполнителем услуг, речь идет о работе именно с персональными данными украинцев.
В пункте 2.1 договора говорится: "Заказчик передает базу данных исполнителю с соблюдением защиты персональных данных согласно пункту 6 этого договора. Объем базы по исходящим звонкам — 150 тыс записей". Другие пункты договора также касаются работы с персональными данными.
Согласно публичной информации, Delta M — это международная группа компаний, которая работает с проблемной задолженностью, а также разрабатывает программное обеспечение и информационно-аналитические продукты. "Дельта М Юкрейн" — одна из компаний группы.
"Я руководитель группы компаний, которая в том числе предоставляет услуги контакт-центра. Мы выиграли тендер. Мы предложили цену в два раза меньше заявленной изначально (начальная цена — 2 млн грн. — ЭП). Нам передали информацию, и мы выполняем услуги согласно договору", — сообщил ЭП директор "Дельта М Юкрейн" Вячеслав Голубь.
На вопрос о том, какие данные получила компания, он ответил: "Судя по этим данным, есть несколько групп лиц, которые получают социальные выплаты. Во-первых, это не выборка только по переселенцам. Во-вторых, при разговоре мы даже не знаем, это переселенец или не переселенец. У нас есть утвержденный концепт разговора, есть номера телефонов, ФИО".
По его словам, опасения по поводу того, что "Дельта М Юкрейн" допускает распространение информации, беспочвенны. "Хочу вас заверить: у нас инструменты защиты данных на порядок лучше, чем в госструктурах", — сказал Голубь. После выполнения условий договора компания намерена подготовить для Минфина отчет о выполненной работе, подытожил собеседник.
Тем временем в госструктурах
Новости о возможной утечке не остались незамеченными в Кабмине. "Я проинформировал Минфин о том, что в СМИ распространена информация о возможной утечке данных. В правоохранительные органы я пока не обращался", — сказал в комментарии ЭП министр социальной политики Андрей Рева.
В Минфине же на этой почве началось служебное расследование.
"Провести служебное расследование относительно госслужащих управления верификации и мониторинга выплат на предмет соблюдения требований обработки, сохранения и использования информации с персональными данными", — говорится в поручении замминистра финансов Евгения Капинуса.
ПОРУЧЕНИЕ
Само управление верификации и мониторинга находится в ведении замминистра финансов Сергея Марченко.
"Расследование проводится из-за того, что компания "Дельта М Юкрейн", которая выиграла тендер на проведение телефонной верификации, якобы получила персональные данные о переселенцах. Думаю, достаточно недели для того, чтобы разобраться в этом вопросе", — сказал ЭП Марченко.
В свою очередь, Рева заверил ЭП: если будет найден "криминал", то они с Данылюком будут реагировать так, "как того требует закон".
Минфин отрицает утечку
В Министерстве финансов отрицают наличие нарушений.
"Утечки персональных данных не было", — заявил Марченко.
Директор профильного управления Рязанцев сказал то же самое: "Утечки информации быть не могло. Также мне неизвестен ни один факт о фиксациях обращений в Минфин или жалобах от граждан из-за телефонной верификации".
По словам Марченко, с верификацией так или иначе связаны около 30 человек, это люди из управления министерства и ГП "Головфинтех". Телефонная верификация длится около месяца, с момента проведения тендера.
"Есть очень много людей, которым верификация не очень нужна, у которых она вызывает много вопросов. Верификация создает трудности для системного оказания социальной помощи — приходится все перепроверять", — объясняет Марченко распространение информации об утечке.
По словам замминистра, если по итогам расследования подтвердится, что утечки не было, то нет смысла разрывать договор с компанией. "Они должны выполнить поставленную перед ними задачу", — заявил он.
В ожидании результатов расследования
По закону, персональные данные — это сведения о физлице, которое идентифицировано или может быть идентифицировано.
В законодательстве не установлен четкий перечень данных, которые считаются персональными. На этой почве возможны "маневры", насколько переданная Минфином информация позволяет точно идентифицировать человека.
Например, телефонные справочники с адресами, ФИО и номерами телефонов украинцев общедоступны в интернете, и это ни у кого не вызывает возмущения.
Ясность в этой истории ожидается по итогам расследования. За несоблюдение правил защиты персональных данных должностными лицами полагается штраф от 300 до 1 тыс необлагаемых налогом минимумов доходов граждан (5,1 тыс грн — 17 тыс грн). Также такие разбирательства вредят репутации ведомства.
Есть ли будущее у верификации
Марченко утверждает, что верификация будет продолжена, но уже в другом формате, и руководить ею будут другие люди.
Неделю назад Рязанцев написал в социальной сети: "Во вторник, 22 ноября, руководство Минфина сообщило мне, что больше не считает целесообразным мое участие в процессе верификации". Он не связывает свое увольнение со скандалом на почве телефонной верификации.
В разговоре с ЭП Марченко это подтвердил. По его словам, решение об увольнении было принято еще до начала данного скандала.
Он отозвался о коллеге так: "Андрей — лидер процесса верификации. Он в хорошем смысле "терминатор", боролся с системой, продвигал верификацию. Он видел ее одним из ведущих направлений работы Минфина".
По словам Марченко, им нужен человек, который превратит верификацию в проект, позволяющий Минфину и Минсоцполитики расчистить систему соцвыплат, а не в процесс обвинений кого-то в хищениях и правонарушениях.
"Верификация будет продолжена. Она получит "свежую кровь", мы будем искать нового человека", — говорит замминистра финансов. По его словам, Минфин настроен на то, чтобы определить концепцию развития верификации на 2017 год и определиться с тем, что именно нужно создавать.
"Одной лишь чистки данных мало. Мы хотим создать систему, которая будет работать на упреждение неправомерных выплат", — говорит Марченко.
По его мнению, процесс верификации должен получить качественное документальное обличье в виде стратегии или концепции с последующим созданием профильной законодательной базы.