Произошла масштабная утечка персональных данных: руководство предприятия привлекли к ответственности, сообщили БЕЛТА в Национальном центре защиты персональных данных.
В конце марта на одном из белорусских предприятий произошел инцидент: из-за несанкционированного доступа к его информационным системам незаконно были распространены персональные данные 55 тыс. граждан.
Однако соответствующего уведомления в адрес Национального центра защиты персональных данных предприятие в установленный срок не направило.
В результате принятых центром мер персональные данные граждан были удалены. Органами внутренних дел рассмотрены направленные центром материалы о привлечении должностных лиц предприятия к административной ответственности по статье 24.11 КоАП.
В отношении руководителя предприятия судом применена соответствующая мера воздействия.
В центре напомнили, что законом о защите персональных данных на операторов возложена обязанность уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о таких нарушениях.
Примером таких нарушений может быть пренебрежение внутренними регламентами при работе с конфиденциальной информацией. В частности, речь идет о нарушении порядка доступа к персональным данным, в том числе когда с такими данными ознакомились люди, которые не имеют на это прав.
Сообщить в Национальный центр нужно и в том случае, когда произошел технический сбой в информационной системе, в том числе в результате внешнего воздействия, повлекший за собой потерю персональных данных, их целостность или достоверность. Утрата внешних носителей, содержащих персональные данные (USB-флешки, внешние HDD, SSD, другие носители), также требует уведомления.
Такие нарушения могут привести к значительным последствиям для прав и свобод граждан, могут понадобиться оперативные меры для их устранения. Поэтому сообщить о них необходимо незамедлительно, но не позднее трех рабочих дней после того, как оператору стало известно о нарушениях.
Вместе с тем есть ряд исключений, когда уведомлять Национальный центр защиты персональных данных о нарушениях систем защиты персональных данных не нужно. Это касается тех случаев, когда произошедшее не привело к незаконному распространению, предоставлению персональных данных, изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Своевременное реагирование и принятие необходимых мер по устранению имеющихся нарушений систем защиты персональных данных помогут предотвратить иные неблагоприятные последствия, резюмировали в центре.