Кого накажут за утечку данных пациентов с COVID
В Госдуме планируют увеличить штрафы за разглашение персональных данных
Личные данные трёхсот тысяч жителей Москвы, переболевших коронавирусом, попали в открытый доступ. В распоряжении публики оказались их имена, паспортные данные, номера СНИЛС и мобильных телефонов, диагнозы и даже адреса пунктов сдачи анализа.
В ближайшее время проблему защиты данных в столичных структурах обсудит Комитет Госдумы по информационным технологиям. Там же уже готовят законопроект об усилении ответственности за незаконный оборот персональных данных, выяснила «Парламентская газета». Но кто понесёт ответственность за данный инцидент и что делать жертвам утечки?
Что попало в Сеть
Архивы данных с персональными данными пациентов опубликовали в телеграмм-чатах в ночь на 9 декабря. В тот же день глава Департамента информационных технологий (ДИТ) Москвы Эдуард Лысенко подтвердил факт утечки. По его словам, системы правительства Москвы никто не взламывал, а сама утечка произошла «вследствие человеческого фактора».
По данным «Коммерсанта», в Сеть утекло более 300 текстовых и графических файлов общим весом около одного гигабайта. Из них можно узнать имена, адреса, номера телефонов и полисов ОМС, а также диагнозы пациентов, проходивших лечение от коронавирусной инфекции в период с апреля по июнь 2020 года. Ещё есть фотографии смартфонов с установленным мобильным приложением по мониторингу самоизоляции, скриншоты из программы «Мониторинг заболеваемости 1С», где видны паспортные данные москвичей. В свободном доступе оказались ключи доступа к системе учёта пациентов, отмечают пользователи Сети, изучившие «слитый» архив.
Иллюзия безопасности
Из утекших данных видно, что для учёта пациентов использовались Google-таблицы. Факт применения иностранных программ говорит уже не просто о некачественной защите данных, а о низкой профессиональной компетенции и халатности чиновников, считает глава Комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн.
«Мы считаем, что уровень защищённости данных, которые собирает Департамент информационных технологий Москвы, не соответствует сегодняшним требованиям и не является безопасным», — сказал он «Парламентской газете». Он добавил, что его комитет получает много обращений от москвичей по этим вопросам, и в ближайшее время планирует углублённо разобрать инцидент.
Уровень защищённости данных, которые собирает Департамент информационных технологий Москвы, не соответствует сегодняшним требованиям и не является безопасным
По словам Хинштейна, столичный бюджет не жалеет средств на внедрение новых технологий, но то, как это исполняется, «наводит на грустные мысли: что эти деньги не доходят до конечного результата, а растворяются где-то на полпути». «Уверен, что мэр города в данном случае является таким же пострадавшим, как и москвичи, поскольку его обманывают подчинённые», — добавил парламентарий.Кто ответит за утечку
По мнению Александра Хинштейна, первым делом нужно установить конкретных людей, причастных к публикации данных пациентов. «Но также ответственность должны нести и руководители Департамента информационных технологий Москвы, которые, повторяю, не сумели обеспечить безопасность и сохранность данных», — подчеркнул депутат.
Законодательство определяет персональные данные как любую информацию, которая прямо или косвенно относится к конкретному человеку. Согласно закону «О персональных данных», защищать такую информацию от различных угроз, в том числе от неправомерного и случайного доступа или утечки, обязаны операторы персональных данных. Этим термином определяют любые компании и органы власти, которые для своих нужд собирают те или иные данные о гражданах. Служба доставки взяла у человека номер телефона и его адрес — она считается оператором персональных данных. Больница внесла в электронную карту диагноз и план лечения пациента — она стала оператором персональных данных. Департамент собрал со всех больниц статистику о поступивших пациентах — он стал оператором.
Если оператор поручит другой компании обрабатывать данные, то ответственность перед самим гражданином всё равно будет нести первый.
Сейчас следствию предстоит разобраться, откуда именно произошла утечка и кто конкретно должен нести ответственность, сказал «Парламентской газете» зампредседателя Комитета Госдумы по информационной политике, информационным технологиям и связи Андрей Свинцов.
«Вообще, утечки данных происходят регулярно, и не всегда они приводят к негативным последствиям. В любом случае пострадавшие могут обратиться в суд, когда станет понятен масштаб ущерба», — посоветовал депутат.
Он напомнил, что закон закрепляет право субъектов персональных данных (в нашем случае это пациенты) обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не выполняет требования законодательства, в том числе не защитил данные от несанкционированного доступа. Такие граждане ещё вправе обратиться в суд с иском о возмещении морального вреда.
Что грозит виновным
За нарушение законодательства в части сохранения персональных данных предусмотрена как административная, так и уголовная ответственность.
Кодекс об административных правонарушениях позволяет привлечь, например, за использование несертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тысячи рублей, должностным лицам — до трёх тысяч рублей, юридическим лицам — до 25 тысяч рублей. Ещё меньше заплатит тот, кому вменят нарушение требований о защите информации: гражданин — тысячу рублей, чиновник — две тысячи, компания — 15 тысяч рублей. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведения) с гражданина также взыщут тысячу рублей, а с должностных лиц — до пяти тысяч рублей.
Чуть серьёзнее санкции для операторов, не позаботившихся о сохранности обрабатываемой информации, что открыло к ним неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом в две тысячи рублей, должностные лица — до десяти тысяч рублей, ИП — до 20 тысяч рублей, юрлица — до 50 тысяч рублей.
Существующие санкции, конечно, не отвечают тяжести содеянного, констатирует Александр Хинштейн. «С развитием цифровизации вопросы безопасности данных всё более актуальны. Сейчас профильный комитет с заинтересованными ведомствами готовит законодательные инициативы, усиливающие ответственность за незаконный оборот персональных данных, за их утечку», — сообщил он «Парламентской газете».
Профильный комитет с заинтересованными ведомствами готовит законодательные инициативы, усиливающие ответственность за незаконный оборот персональных данных
Так как попавшие в Сеть данные содержали диагнозы и адреса пациентов, то это говорит о разглашении не просто личных данных, но и врачебной тайны и тайны частной жизни, которая охраняется Конституцией. Незаконное распространение таких данных влечёт уже уголовную ответственность, которая предполагает несколько вариантов наказания: от штрафа в 300 тысяч рублей до лишения свободы на четыре года.Действия тех, кто причастен к инциденту, также могут квалифицировать по статье УК РФ о неправомерном доступе к охраняемой законом компьютерной информации, что повлекло её копирование. За это можно попасть в тюрьму на два года или отделаться штрафом до 200 тысяч рублей.