Кошмары оператора персональных данных: мониторинг сайтов и утечка сведений
Национальный центр защиты персональных данных сообщает, что на постоянной основе проводит мониторинг интернет-ресурсов операторов для того, чтобы выявить случаи незаконного распространения персональных данных (ПД), и в последующем требует такие данные удалить.
По информации НЦЗПД, на сайтах организаций нередко без правового основания размещаются персональные данные отдельных граждан.
К примеру, на интернет-ресурсах публикуют:
– списки должников по услугам;
– базы данных с личными номерами телефонов;
– домашние и личные электронные адреса работников, клиентов и т.д.
Такие списки или базы порой содержат информацию о десятках, а в некоторых случаях – и о тысячах граждан. Размещая данные сведения, организации или частные лица преследуют различные цели – повлиять на неплательщиков, больше заработать, комментируют в национальном центре.
НЦЗПД напоминает, что такое распространение ПД возможно лишь с согласия граждан или на основании законодательных актов. В ином случае размещение подобной информации на сайте является нарушением и может повлечь за собой административную или уголовную ответственность. Так что самое время пересмотреть, что у вас опубликовано на сайте, и лишнее удалить.
Еще один важный момент, о котором надо напомнить операторам: обязанность уведомлять НЦЗПД о нарушениях систем защиты персональных данных, что прямо предусмотрено ст. 16 Закона от 07.05.2021 № 99-З «О защите персональных данных». Правда, в этом документе не раскрыто понятие «утечка ПД». Но, как поясняют в центре, утечка подразумевает под собой незаконное попадание какой-либо личной информации в открытый доступ или в руки других людей.
Примеры нарушений систем защиты ПД:
– пренебрежение внутренними регламентами при работе с конфиденциальной информацией. К примеру, нарушение порядка доступа к ПД, в т.ч. влекущее ознакомление с персональными данными лиц, которые не имеют на это прав;
– технический сбой в информационной системе, в т.ч. в результате внешнего воздействия, повлекший за собой потерю данных, их целостности или достоверности;
– утрата внешних носителей, содержащих ПД (USB-флешки, внешние HDD, SSD и др.).
Важно: уведомление необходимо отправить незамедлительно, но не позднее 3 рабочих дней после того, как оператору стало известно о нарушениях.
Не нужно уведомлять НЦЗПД о нарушениях систем защиты ПД, если нарушение систем защиты не привело к:
– незаконному распространению, предоставлению ПД;
– изменению, блокированию либо удалению данных без возможности восстановления доступа к ним.
Регламентирует порядок уведомления приказ директора Национального центра защиты персональных данных от 15.11.2021 № 13 «Об уведомлении о нарушениях систем защиты персональных данных».
Уведомление направляется в письменной форме или в виде электронного документа.