В Эстонии до сих пор не выписано ни одного штрафа за утечки личных данных ({{contentCtrl.commentsTotal}})

Автор: torbakhopper/Creative Commons

В Эстонии ежегодно фиксируются десятки нарушений, связанных с обработкой личных данных, однако до сих пор не было выписано ни одного крупного штрафа за утечку или иное несанкционированное использование таких данных.

В прошлом году в Инспекцию по защите данных поступило около 4500 обращений, в основном связанных с обеспокоенностью по поводу нарушения неприкосновенности частной жизни, недостаточной подготовкой лиц, обрабатывающих личные данные или игнорированием установленных для этого правил. Кроме того, инспекция зарегистрировала 115 инцидентов в сфере защищенности личных данных, о которых обработчики с 25 мая 2018 года обязаны сообщать инспекции в течение 72 часов после инцидента.

Ведомство отмечает в своем ежегоднике, что хотя в Эстонии были большие ожидания, что в 2019 году наконец будет выписан крупный штраф за такие нарушения, этого не произошло и все ограничилось предупреждениями.

Доступ к данным пользователей велопроката в Тарту

8 июня 2019 года Тартуская горуправа сообщила о выявленной возможности несанкционированного доступа к личным данным 20 000 людей, зарегистрировавшихся для использования городской сети велопроката. Такой доступ оказался возможным из-за уязвимости в программном интерфейсе приложения (API) для проката велосипедов.

Через публично доступные интернет-ссылки была возможность менять места велосипедных парковок, удалять и добавлять парковки, и манипулировать данными. Из личных данных можно было посмотреть имя пользователя, адрес его электронной почты, номер телефона, уникальный идентификатор, время и статус регистрации, а также номер проездного билета в тартуском общественном транспорте.

Зарегистрированные пользователи системы также видели данных о поездках других пользователей.

Инспекция по итогам надзорного производства пришла к выводу, что уязвимость не была умышленной. Поскольку ее быстро устранили, ведомство ограничилось рекомендацией более тщательно тестировать новые приложения перед их запуском.

Нет управы на спаммеров

В Инспекцию по защите данных последние восемь лет идет нарастающий поток жалоб на спам, т.е. на массовую рассылку корреспонденции рекламного характера лицам, не желающим ее получать. Спам рассылается как по электронной почте, так и SMS-сообщениями и физическим, и юридическим лицам.

При этом привлечь нарушителя к ответственности очень сложно: инспекция должна сначала предписать ему прекратить нарушение, а при невыполнении предписания - назначить штраф. Однако такая процедура не работает, потому что в Эстонии очень просто бросить одно юридическое лицо и сделать новое, пока получившая штраф фирма, оформленная на подставное лицо и не имеющая средств, будет ожидать принудительной ликвидации. Выписывать штраф такому "мертвому" юридическому лицу не только не позволяет получить штраф, но и влечет за собой для государства дополнительные расходы, потому что для взыскания штрафа сначала нужно заплатить судебному исполнителю.

Ситуацию помог бы решить административный штраф, процедура взыскания которого значительно проще и дешевле, но эстонское право пока такие штрафы не предусматривает, и нарушающее законы юридическое лицо может себя обанкротить еще до того, как его удастся реально привлечь к ответственности.

Директору школы нельзя следить за уборщицей через камеру видеонаблюдения

Несколько жалоб также поступило в инспекцию из образовательных учреждений, где камеры видеонаблюдения можно по закону использовать только для предотвращения ситуаций, создающих опасность для учащихся и персонала, а также для охраны имущества учреждения. Использовать камеры для любой другой цели, в том числе для проверки выполнения персоналом своих обязанностей, нельзя.

Инспекция отмечает, что в случае нарушения этих требований может быть привлечен к ответственности за проступок директор школы, который должен разработать порядок использования камер и обеспечивать его соблюдение.

Вуз обязан обеспечить неприкосновенность частной жизни в общежитии

Одна из поступивших в инспекцию жалоб была подана бывшим студентом, по словам которого директор общежития без уведомления заходил в комнаты студентов и осматривал их личные вещи, в том числе документы с личными данными.

Инспекция разъяснила, что высшее учебное заведение обязано обеспечить неприкосновенность частной жизни студентов и других людей, пользующихся общежитием. Никому не разрешено заходить в комнаты общежития и осматривать в них личные вещи без уведомления их владельца. Договор об использовании общежития заключается между университетом и студентом или третьим лицом, поэтому именно университет отвечает за то, чтобы в общежитии не обрабатывались личные данные без законного основания и не нарушалась неприкосновенность частной жизни при использовании комнаты в общежитии.

В свете поступившей жалобы инспекция рекомендовала руководству университета пересмотреть условия договора об использовании общежития, его правила внутреннего распорядка и договор с директором общежития.

Редактор: Андрей Крашевский

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: