В информационных системах государственных и частных молдавских учреждений часто нарушается закон о защите персональных данных. На сайтах судебных учреждений, к примеру, выложены в открытый доступ решения, которые содержат персональные данные (имя, фамилия, отчество, дата рождения, место рождения, место жительства, национальность, гражданство, образование, персональный код, информация о физическом, психологическом, ментальном, финансовом состоянии и т.д.).

Единственным органом, уполномоченным осуществлять контроль над обработкой персональных данных, является Национальный центр по защите персональных данных Республики Молдова (НЦЗПД). В последнем докладе о своей деятельности (за 2015 год), НЦЗПД представил несколько случаев серьезных нарушений закона о защите персональных данных государственными органами и частными компаниями.

Утечка персональных данных в интернет из ЦИК, ГРП и Registru

ÎS_CRIS_Registru.jpgСегодня порталы государственных учреждений являются источниками достоверной информации для журналистов и обычных граждан. Бесплатно или за дополнительную плату можно получить информацию об акционерах / учредителях компаний, партийных спонсорах, судебных решениях и т.д. Но такого рода информация в некоторых случаях должна защищаться законом о персональных данных, что приводит к конфликту между законом и общественными интересами.

В конце мая НЦЗПД вынудил Центральную избирательную комиссию и Государственную регистрационную палату, которые выкладывали в общих доступ на своих сайтах персональные данные, прекратить подобную практику.

По ходатайству одного из граждан, НЦЗПД выяснил, что в списке учреждений, предоставляющих доступ к охраняемым персональным данным, числится и ЦИК, опубликовавшая информацию с ограниченным доступом. ЦИК объявила, что это было сделано для обеспечения институциональной прозрачности. Тем не менее, спустя некоторое время, ЦИК заявила о прекращении работы некоторых веб-сайтов по требованию «представителей Центра», однако эта информация опровергается НЦЗПД. Также НЦЗПД утверждает, что сайты под управлением ЦИК закрыты, однако возможность доступа через них к информации с ограниченным доступом до сих пор имеется. Возможность доступа к большому количеству  персональной информации в корреспонденции ЦИК посредством электронного адреса была закрыта лишь после того, как НЦЗПД проинформировал об этом ЦИК.

Также Центр уведомил компетентные правоохранительные органы для возбуждения уголовного дела, сообщается в докладе.

В случае с Государственной регистрационной палатой Центр отметил, что ГРП продает личные данные. ГРП предоставляет (по инициативе правительства) информацию об учредителях и акционерах компаний. Часть этой информации предоставляется бесплатно, часть – за дополнительную плату.

Таким образом, после проверки, Центр обнаружил, что ГРП распространяет / продает информацию с ограниченным доступом любому лицу, которое заплатит определенную сумму. К информации, предоставляемой ГРП, относится: данные о сотрудниках / посетителях, полученные с помощью системы видеонаблюдения, установленной в коридорах учреждения и бюро обслуживания без соответствующего уведомления Центра об этой системе видеонаблюдения. В учреждении нигде нет знаков о наличии видеокамер, с помощью которых сотрудники / посетители должны быть проинформированы об обработке персональных данных через видеокамеры, что является нарушением ряда законодательных положений. Как следствие, Центр приказал ГРП прекратить обработку персональных данных, что же касается связанных с ГРП предприятий и физических лиц, им было приказано приостановить обработку персональных данных при помощи системы видеонаблюдения. Так же НЦЗПД инициировал проверку нарушений, допущенных Государственной регистрационной палатой и ответственным лицом в данном учреждении.

Информационные услуги, предоставляемые ГП Registru  посредством сервиса Access-web, используются большим количеством учреждений. По данным НЦЗПД, обработка персональных данных, хранящихся в государственных информационных ресурсах, происходит вопреки положениям закона: данные учреждения не были зарегистрированы в Реестре операторов персональных данных, как это предусмотрено договором на предоставление информационных услуг  между ГП Registru и обрабатывающими информацию учреждениями. НЦЗПД обязал Министерство информационных технологий и связи Республики Молдова совместно с ГП Registru прекратить обработку такой информации. Впоследствии ГП Registru расторгло договоры о предоставлении информационных услуг с учреждениями, которые не были зарегистрированы Реестре операторов персональных данных, закрыв возможность доступа / обработки подобной информации, хранящейся в Государственном реестре населения, представителями этих структур.

Эти случаи вызвали резонанс и широко освещались в средствах массовой информации.

По мнению эксперта в области медиа права Оливии Пырцак, которую цитирует media-azi.md, специалисты НЦЗПД настаивают на идее защиты персональных данных и раскрытии такой информации только с согласия заинтересованного лица. По мнению экспертов, Центр не принимает во внимание общественные интересы или приоритетность доступа к информации.

Незаконная обработка персональных данных, касающихся здоровья

carte medicala.pngВ 2015 году пристальное внимание уделили обеспечению законности обработки персональных данных, касающихся здоровья: государственные медицинские учреждения должны учитывать, что информация о состоянии здоровья является частью персональных данных, составляющих медицинскую тайну.

Один из случаев, выявленных НЦЗПД:  гражданин Г. М. обратился с жалобой, утверждая, что адвокат виновника дорожно-транспортного происшествия, в результате которого погибла родственница Г.М., запросил и получил от медицинского центра историю болезни погибшей, а также гражданина Г.М. и его несовершеннолетних детей, чтобы приобщить эти записи к уголовному делу. Г.М. отметил, что не давал разрешения на обработку собственных и детских персональных данных, и что предоставление доступа к медицинской документации было незаконным. НЦЗПД выяснил, что медицинские записи были выданы адвокату медсестрой медицинского учреждения после консультации с семейным врачом и главным врачом. Центр обнаружил, что медицинский персонал и адвокат нарушили Закон о защите персональных данных, в отношении 4 лиц (адвокат, медсестра, семейный врач и главный врач) было начато расследование.

Идентификационные данные несовершеннолетних, подвергшихся сексуальному насилию, выложили в интернет

Согласно отчету НЦЗПД, в период с 2014 по 2015 годы, большинство судов были зарегистрированы в Реестре операторов персональных данных. Отметим, что Верховный суд до сих пор выступает против обязательного уведомления Центра об использовании персональных данных.

Вызвал широкий резонанс случай, связанный с раскрытием идентификационных данных детей, подвергшихся сексуальному насилию. В мае 2015 года, Центр по защите прав женщин уведомил НЦЗПД о незаконной обработке персональных данных столичным судом сектора Рышкань, который опубликовал в интернете в открытом доступе личные данные детей / несовершеннолетних (имя, домашний адрес, дата рождения). Более того, опубликованная информация содержала данные о сексуальном насилии над ними – информацию, которая является особой категорией персональных данных. Согласно НЦЗПД, помощник судьи опубликовал эти данные по невнимательности на веб-сайте учреждения, без обезличивания персональных данных.

Несмотря на такое нарушение закона, никто не был наказан. В НЦЗПД утверждают, что срок исковой давности уже истек. Представители Центра отметили, что те, чьи данные были опубликованы незаконно, могут обратиться в суд лично.

По данным портала bizlaw.md, который ссылается на тот же отчет, большинство учреждений, нарушающих Закон о защите персональных данных, не несут ответственности, потому что суды затягивают рассмотрение таких дел до 2 лет, в то время как срок исковой давности по таким нарушениям составляет всего 3 месяца с момента совершения нарушения. В результате нарушение лишь констатируется. Более того, ответственное учреждение даже не обязано устранять допущенные нарушения.

Справки о наличии/отсутствии судимости с неактуальными данными

Использование старых данных, уже не соответствующих действительности, хранящихся в большом объеме в системах хранения персональных данных, также наказуемо.

В докладе говорится о случае, выявленном НЦЗПД: гражданин направил жалобу за обработку недостоверных персональных данных, хранящихся в Реестре судебно-медицинской экспертизы и криминалистики МВД. Гражданину выдали справку о наличии судимости, согласно которой в его отношении было открыто 5 уголовных дел, 4 из которых закрыты, а одно -–направлено в суд. На момент выдачи документа, подразделение МВД не располагало информацией о решении по 5 делу. Все закончилось тем, что районный Суд Единец, виновный в неотправке решения по делу в соответствующие органы, был оштрафован на 5000 леев в качестве компенсации материального и морально вреда в пользу подавшего жалобу гражданина, а информация о нем была обновлена.

Сотрудники МВД обрабатывают персональные данные незаконно

mai.gifПолиция обрабатывает большой объем персональных данных. Естественно, НЦЗПД чаще всего  проверяет законность обработки персональных данных, осуществляемой сотрудниками правоохранительных органов. В 2015 году Центр обнаружил ряд связанных с этим нарушений.

В докладе упоминается инициация пересмотра процедуры обработки персональных данных, хранящихся в Государственном регистре населения, проводимая уполномоченными сотрудниками МВД. Основанием к этому послужила жалоба гражданина Г. Д.. НЦЗПД обнаружил, что среди учреждений / подразделений, которые имеют доступ к персональным данным, было подразделение МВД, требующее раскрытия цели и правовой основы для обоснования необходимости доступа / обработки данных гражданина. Г. Д. и рассматриваемой информации. Так как НЦЗПД не получил требуемые данные под предлогом недопущения разглашения информации, полученной в ходе уголовного преследования, собранные во время проверки материалы были отправлены в Генеральную прокуратуру.

Частный сектор:  ООО StarNet Solutii и ООО Elite Casting Agency

В 2015 году в частных компаниях было обнаружено несколько нарушений, связанных с обработкой персональных данных.

Один из самых громких случаев связан с компанией Starnet, которая разместила личные данные клиентов компании в Интернете в свободном доступе. В результате, НЦЗПД приступил к проверке правомерности обработки этой информации с ограниченным доступом. Была подтверждена несанкционированность и наличие открытого доступа к данным информационной системы, обработка персональных данных, хранящихся в Starnet для / от имени оператора или другой компании; отсутствие системы защиты информации, доступ к помещениям, где размещались системы хранения персональных данных, а также месту их обработки. Также НЦЗПД обнаружил, что система видеонаблюдения в коридорах и по периметру компании была размещена без соответствующих предупреждающих надписей. Центр инициировал расследование правонарушений, допущенных Starnet.

starnet.pngВ другом случае Starnet вступил в спор с Советом по конкуренции (CК), отказавшись предоставить личные данные клиентов и сотрудников компании по требованию СК для исследования конкурентоспособности по делу о недобросовестной конкуренции, в которое Starnet был вовлечен в 2011 году.

В связи с этим, согласно bizlaw.md, 25 мая Верховный суд вынес решение: регистрация в качестве оператора персональных данных не является достаточным основанием для того, чтобы Совет по конкуренции получил доступ к персональной информации, находившейся у Starnet.

Этот случай продемонстрировал риск возникновения конфликтов между частным интересом / неприкосновенностью личной жизни и общественными интересами (защита конкуренции на рынке в данном случае). Исходя из решения Верховного суда, частный интерес приоритетнее.

В случае с ООО Elite Casting Agency НЦЗПД обнаружил несколько нарушений: обработка персональных данных работников, потенциальных работников, посетителей, клиентов, потенциальных клиентов и управление несколькими системами, содержащими личную информацию, без уведомления Центра; отсутствие документации по безопасности при обработке персональных данных и отсутствие лица, ответственного за безопасность при обработке персональных данных; передача персональных данных, касающихся клиентов (в том числе несовершеннолетних), без разрешения властей и т.д. После проверки Центр запретил организации осуществление операций по обработке персональных данных и начал расследование в отношении ООО Elite Casting Agen и ответственного лица.

Незаконная обработка персональных данных банками

personaldataprotection_50741700.jpgФинансовые учреждения также обрабатывают большое количество персональных данных. Один из случаев, представленных в докладе Центра, был выявлен в связи с обращением гражданина о якобы незаконной обработке персональных данных банком за счет открытого доступа к вычислительным устройствам учреждения. Проведенная без предупреждения проверка отделения выявила, что стеклянные стены помещения, где хранятся личные данные, дают неограниченный доступ общественности для просмотра / сбора персональных данных, обрабатываемых в банке. Смоделировав ситуацию, НЦЗПД определил, что невооруженным глазом и / или с помощью видеоаппаратуры можно было получить к персональной информации ограниченного доступа из помещений, доступных широкой публике. НЦЗПД приказал приостановить обработку персональных данных в данном отделении банка до исправления выявленных нарушений. Впоследствии банк проинформировал Центр, что нарушения исправлены путем наклейки «защитных» пленок на стекла. Банк, однако, отметил, что такие же принципы прозрачности используются группой финансовых учреждений в Европе, членом которой является данный банк. В связи с этим, Центр запросил юридическую международную помощь у Органа по защите персональных данных одной из стран-членов Европейского Союза, где осуществляла свою основную деятельность данная группа финансовых учреждений.

Политические партии смогут обрабатывать данные только членов партии

Согласно НЦЗПД, несколько политических партий до сих пор не согласовали принципы защиты персональных данных. В течение 2015 года НЦЗПД выявил ряд нарушений, связанных с незаконной обработкой персональных данных несколькими политическими партиями посредством сбора, хранения, использования, раскрытия и передачи таких данных (имя, фамилия, отчество, домашний адрес) из писем и / или конвертов, отправленных или полученных партиями, включая данные людей, которые не являются членами партий. НЦЗПД постановил, что подобная обработка данных является необоснованной и чрезмерной. Обработка персональных данных лиц, не являющихся членами партии, без их согласия запрещена законом. После выявления таких случаев, Центр не выпустил общего решения, обязательного для всех политических партий, о прекращении обработки персональных данных лиц, не являющихся членами партий без их согласия.

Центр выступил с законодательной инициативой по увеличению штрафов за использование персональных данных в нарушение положений закона. Таким образом, штрафы могут вырасти с отметки от 10 000 леев до 100 000 леев, до уровня от 500 000 леев до 1 млн леев.

Поделиться:
Комментировать статью Добавить в закладки

Оставить комментарий


Комментариев нет