Кошмары оператора персональных данных: мониторинг сайтов и утечка сведений

Национальный центр защиты персональных данных сообщает, что на постоянной основе проводит мониторинг интернет-ресурсов операторов для того, чтобы выявить случаи незаконного распространения персональных данных (ПД), и в последующем требует такие данные удалить.

По информации НЦЗПД, на сайтах организаций нередко без правового основания размещаются персональные данные отдельных граждан.

К примеру, на интернет-ресурсах публикуют:

– списки должников по услугам;

– базы данных с личными номерами телефонов;

– домашние и личные электронные адреса работников, клиентов и т.д.

Такие списки или базы порой содержат информацию о десятках, а в некоторых случаях – и о тысячах граждан. Размещая данные сведения, организации или частные лица преследуют различные цели – повлиять на неплательщиков, больше заработать, комментируют в национальном центре.

НЦЗПД напоминает, что такое распространение ПД возможно лишь с согласия граждан или на основании законодательных актов. В ином случае размещение подобной информации на сайте является нарушением и может повлечь за собой административную или уголовную ответственность. Так что самое время пересмотреть, что у вас опубликовано на сайте, и лишнее удалить.

Еще один важный момент, о котором надо напомнить операторам: обязанность уведомлять НЦЗПД о нарушениях систем защиты персональных данных, что прямо преду­смотрено ст. 16 Закона от 07.05.2021 № 99-З «О защите персональных данных». Правда, в этом документе не раскрыто понятие «утечка ПД». Но, как поясняют в центре, утечка подразумевает под собой незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей.

Примеры нарушений систем защиты ПД:

– пренебрежение внутренними регламентами при работе с конфиденциальной информацией. К примеру, нарушение порядка доступа к ПД, в т.ч. влекущее ознакомление с персональными данными лиц, которые не имеют на это прав;

– технический сбой в информационной системе, в т.ч. в результате внешнего воздействия, повлекший за собой потерю данных, их целостности или достоверности;

– утрата внешних носителей, содержащих ПД (USB-флешки, внешние HDD, SSD и др.).

Не нужно уведомлять НЦЗПД о нарушениях систем защиты ПД, если нарушение систем защиты не привело к:

– незаконному распространению, предоставлению ПД;

– изменению, блокированию либо удалению данных без возможности восстановления доступа к ним.

Регламентирует порядок уведомления приказ директора Национального центра защиты персональных данных от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных».

Уведомление направляется в письменной форме или в виде электронного документа.