15 августа 2013 г.

Инциденты с персональными данными: почувствуйте разницу

Всего три сухих сообщения последнего месяца.
Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.
Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.
Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.
Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.
Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.
Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.
Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?   
Вопросы риторические. Ответы все знают.
Но разницу все-таки надо почувствовать.

5 комментариев:

  1. Михаил Юрьевич, не будем путать правосопсобность и правоприменимость
    Правоспосо́бность — установленная законом способность субъекта быть носителем субъективных прав и юридических обязанностей. И это закон установил И здесь он на стороне субъекта, дав ему определенные права и обязав операторов что-то делать в интересах субъекта.
    А вто правоприменимость у нас ....

    ОтветитьУдалить
  2. Полностью согласен со всем, что написано. Но для полноты следовало бы напомнить что "уполномоченный" подготовил поправки в КоАП, где есть и большие штрафы и зависимость от значимости утечек. Кроме того в ближайшее время появится и практика по искам в защиту интересов субъектов. По крайней мере, внутри РКН к этому подготовились.

    ОтветитьУдалить
  3. Сергей Викторович, я и не путаю. Наличие прав, обеспечение которых не подкрепляется законом и правоприменением - пустая декларация. Какой смысл городить огород, если утечка за 8 лет карается, как обнаруженная ксерокопия паспорта с фото или свидетельства о рождении с национальностью? Какие у меня права в данном случае? Если это мой паспорт мое свидетельство, и я не возражаю против их использования, передав их в банк или кадровикам? И если закон не обязывает даже информировать меня об утечке? И не создает механизма компенсации?

    ОтветитьУдалить
  4. Нужны ли многотысячные затраты на сторонних консультантов при наступлении такой маленькой ответственности?

    ОтветитьУдалить
  5. Это зависит от... Обычно консультантов нанимают те, кто хочет выполнить закон и не имеет для этого достаточных собственных ресурсов. Если же выполнение требований закона не имеет значения, можно вообще ничего не делать - и проверка может не прийти, и штрафы маленькие пока, и работники держатся за место, и до своих прав им дела нет.

    ОтветитьУдалить