Феотудэй

Кого накажут за утечку данных пациентов с COVID

Что попало в Сеть

Архивы данных с персональными данными пациентов опубликовали в телеграмм-чатах в ночь на 9 декабря. В тот же день глава Департамента информационных технологий (ДИТ) Москвы Эдуард Лысенко подтвердил факт утечки. По его словам, системы правительства Москвы никто не взламывал, а сама утечка произошла "вследствие человеческого фактора«.По данным «Коммерсанта», в Сеть утекло более 300 текстовых и графических файлов общим весом около одного гигабайта. Из них можно узнать имена, адреса, номера телефонов и полисов ОМС, а также диагнозы пациентов, проходивших лечение от коронавирусной инфекции в период с апреля по июнь 2020 года. Ещё есть фотографии смартфонов с установленным мобильным приложением по мониторингу самоизоляции, скриншоты из программы «Мониторинг заболеваемости 1С», где видны паспортные данные москвичей. В свободном доступе оказались ключи доступа к системе учёта пациентов, отмечают пользователи Сети, изучившие «слитый» архив.

Иллюзия безопасности

Из утекших данных видно, что для учёта пациентов использовались Google-таблицы. Факт применения иностранных программ говорит уже не просто о некачественной защите данных, а о низкой профессиональной компетенции и халатности чиновников, считает глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн.«Мы считаем, что уровень защищённости данных, которые собирает Департамент информационных технологий Москвы, не соответствует сегодняшним требованиям и не является безопасным», — сказал он «Парламентской газете». Он добавил, что его комитет получает много обращений от москвичей по этим вопросам, и в ближайшее время планирует углублённо разобрать инцидент.Уровень защищённости данных, которые собирает Департамент информационных технологий Москвы, не соответствует сегодняшним требованиям и не является безопаснымПо словам Хинштейна, столичный бюджет не жалеет средств на внедрение новых технологий, но то, как это исполняется, «наводит на грустные мысли: что эти деньги не доходят до конечного результата, а растворяются где-то на полпути». «Уверен, что мэр города в данном случае является таким же пострадавшим, как и москвичи, поскольку его обманывают подчинённые», — добавил парламентарий.

Кто ответит за утечку

По мнению Александра Хинштейна, первым делом нужно установить конкретных людей, причастных к публикации данных пациентов. «Но также ответственность должны нести и руководители Департамента информационных технологий Москвы, которые, повторяю, не сумели обеспечить безопасность и сохранность данных», — подчеркнул депутат.Законодательство определяет персональные данные как любую информацию, которая прямо или косвенно относится к конкретному человеку. Согласно закону «О персональных данных», защищать такую информацию от различных угроз, в том числе от неправомерного и случайного доступа или утечки, обязаны операторы персональных данных. Этим термином определяют любые компании и органы власти, которые для своих нужд собирают те или иные данные о гражданах. Служба доставки взяла у человека номер телефона и его адрес — она считается оператором персональных данных. Больница внесла в электронную карту диагноз и план лечения пациента — она стала оператором персональных данных. Департамент собрал со всех больниц статистику о поступивших пациентах — он стал оператором.

Если оператор поручит другой компании обрабатывать данные, то ответственность перед самим гражданином всё равно будет нести первый.Сейчас следствию предстоит разобраться, откуда именно произошла утечка и кто конкретно должен нести ответственность, сказал «Парламентской газете» зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.«Вообще, утечки данных происходят регулярно, и не всегда они приводят к негативным последствиям. В любом случае пострадавшие могут обратиться в суд, когда станет понятен масштаб ущерба», — посоветовал депутат.Он напомнил, что закон закрепляет право субъектов персональных данных (в нашем случае это пациенты) обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не выполняет требования законодательства, в том числе не защитил данные от несанкционированного доступа. Такие граждане ещё вправе обратиться в суд с иском о возмещении морального вреда.

Что грозит виновным

За нарушение законодательства в части сохранения персональных данных предусмотрена как административная, так и уголовная ответственность.Кодекс об административных правонарушениях позволяет привлечь, например, за использование несертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тысячи рублей, должностным лицам — до трёх тысяч рублей, юридическим лицам — до 25 тысяч рублей. Ещё меньше заплатит тот, кому вменят нарушение требований о защите информации: гражданин — тысячу рублей, чиновник — две тысячи, компания — 15 тысяч рублей. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведения) с гражданина также взыщут тысячу рублей, а с должностных лиц — до пяти тысяч рублей.Чуть серьёзнее санкции для операторов, не позаботившихся о сохранности обрабатываемой информации, что открыло к ним неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом в две тысячи рублей, должностные лица — до десяти тысяч рублей, ИП — до 20 тысяч рублей, юрлица — до 50 тысяч рублей.Существующие санкции, конечно, не отвечают тяжести содеянного, констатирует Александр Хинштейн. «С развитием цифровизации вопросы безопасности данных всё более актуальны. Сейчас профильный комитет с заинтересованными ведомствами готовит законодательные инициативы, усиливающие ответственность за незаконный оборот персональных данных, за их утечку», — сообщил он "Парламентской газете".Профильный комитет с заинтересованными ведомствами готовит законодательные инициативы, усиливающие ответственность за незаконный оборот персональных данныхТак как попавшие в Сеть данные содержали диагнозы и адреса пациентов, то это говорит о разглашении не просто личных данных, но и врачебной тайны и тайны частной жизни, которая охраняется Конституцией. Незаконное распространение таких данных влечёт уже уголовную ответственность, которая предполагает несколько вариантов наказания: от штрафа в 300 тысяч рублей до лишения свободы на четыре года.Действия тех, кто причастен к инциденту, также могут квалифицировать по статье УК РФ о неправомерном доступе к охраняемой законом компьютерной информации, что повлекло её копирование. За это можно попасть в тюрьму на два года или отделаться штрафом до 200 тысяч рублей.