Лехис об утечке: для предпринимателей защита данных приоритетом зачастую не является
Соблюдение общего регламента по защите данных Европейского союза не является приоритетом для эстонских компаний, считают эксперты, поэтому риск утечки данных очень высок.
Инспекция по защите данных каждую неделю высылает частным лицам и компаниям предупреждения о нарушении общего регламента по защите данных Европейского союза, известного как GDPR, сообщила "Актуальная камера". Накануне стало известно об утечке из базы данных компании Asper Biogene, которая занимается генетическим тестированием, 10 000 файлов с информацией о состоянии здоровья. В числе украденных документов были также тесты на отцовство и фертильность.
"Если говорить об этом конкретном примере, то данные хранились в персонализированной форме, вместе с документами, а также хранились очень длительное время. Если мы говорим про предпринимателей, то мы очень часто видим, что защита данных не является их основным приоритетом. Если стоит выбор между инвестициями в развитие бизнеса и или улучшением системы защиты данных, то выбор происходит в пользу развития бизнеса", – констатировала глава Инспекции по защите данных Пилле Лехис.
Несмотря на то, что регламент по защите данных Европейского союза обязывает компании удалять старые данные, а также не хранить данные в персонализированной форме, по словам члена правления союза по защите данных Майли Торма , многие компании интерпретируют эти правила по-своему и в итоге подвергают риску свой бизнес и данные своих клиентов.
"Никто не защищен от кибератаки, тем не менее нужно устанавливать необходимые меры защиты, в зависимости от количества данных. Это же не первый раз, когда вследствие кибератаки было украдено большое количество личных данных. В 2020-2021 годах из Департамента полиции и погранохраны произошла утечка 300 000 фотографий документов. Также в 2020-ом году была утечка данных из Министерства юстиции. Никаких санкций со стороны Инспекции по защите данных не последовало", – отметила член правления Союза по защите данных Майли Торма.
В Эстонии редко выписываются штрафы за нарушение правил GDPR, в то время как в других странах Евросоюза эта мера применяется достаточно часто и штрафы могут измеряться сотнями тысяч евро. Также в Эстонии по закону государство не может штрафовать государственные структуры.
"Да, мы действительно редко штрафуем, и это происходит по причине сложностей законодательства. Например, сейчас мы ведем производство по делу о правонарушении в отношении Ида-Таллиннской центральной больницы. И, согласно решению суда, мы в данном случае не можем выписать штраф, поскольку эстонское законодательство этого не позволяет. Все еще существует брешь между внутригосударственными процедурами и GDPR", – признала Лехис.
По мнению канцлера права Юлле Мадизе, необходимо выяснить, каким образом личные медицинские данные пациентов смогли оказаться в руках частной лаборатории, поскольку право хранить подобную информацию есть только у больниц и врачей.
"Наша задача убедиться в том, что законы соответствуют Конституции. И в свете последнего случая утечки данных мы обязательно пересмотрим еще раз законы, возможно, необходимо что-то добавить. Социальная комиссия Рийгикогу часто идет нам навстречу в таких просьбах", – прокомментировала случай с утечкой данных Мадизе.
Для выяснения обстоятельств полиция возбудила уголовное дело, а Инспекция по защите данных возбудила надзорное производство в отношении обработчика данных.
Полиция предупреждает, что мошенники уже начали использовать информацию об утечке медицинских данных в своих целях. Схема выглядит так: людям сообщают, что их данные раскрыты, а затем задают дополнительные вопросы. Настоящая цель мошенников – завладеть информацией о банковских счетах жителей страны. Они также могут начать вымогать деньги, используя шантаж.
"Поставщики медицинских услуг не будут звонить тем людям, в отношении которых произошла утечка данных, а отправят сообщения по электронной почте. Если вам поступит телефонный звонок, в котором вам будут задавать дополнительные уточняющие вопросы, то это звонят мошенники и необходимо сразу повесить трубку. И если вам пришло письмо, якобы от медицинского учреждения, и в нем есть какие-то ссылки или вас просят ввести личную информацию, ни в коем случае не надо этого делать, поскольку ваши данные скорее всего получат мошенники", – предупредил Рейн Восман из Лыунаской префектуры.
Редактор: Евгения Зыбина