Кого накажут за утечку данных пациентов с COVID?

Кто ответит за утечку?

По мнению Александра Хинштейна, первым делом нужно установить конкретных людей, причастных к публикации данных пациентов.

«Но также ответственность должны нести и руководители Департамента информационных технологий Москвы, которые, повторяю, не сумели обеспечить безопасность и сохранность данных».

Законодательство определяет персональные данные как любую информацию, которая прямо или косвенно относится к конкретному человеку. Согласно закону «О персональных данных», защищать такую информацию от различных угроз, в том числе от неправомерного и случайного доступа или утечки, обязаны операторы персональных данных. Больница внесла в электронную карту диагноз и план лечения пациента — она стала оператором персональных данных. Департамент собрал со всех больниц статистику о поступивших пациентах — он стал оператором.

Если оператор поручит другой компании обрабатывать данные, то ответственность перед самим гражданином всё равно будет нести первый.

Сейчас следствию предстоит разобраться, откуда именно произошла утечка и кто конкретно должен нести ответственность.

«Вообще, утечки данных происходят регулярно, и не всегда они приводят к негативным последствиям. В любом случае пострадавшие могут обратиться в суд, когда станет понятен масштаб ущерба», .

Закон закрепляет право субъектов персональных данных (в нашем случае это пациенты) обжаловать в судебном порядке действия или бездействие оператора, если есть подозрение в том, что он не выполняет требования законодательства, в том числе не защитил данные от несанкционированного доступа. Такие граждане ещё вправе обратиться в суд с иском о возмещении морального вреда.

Что грозит виновным?

За нарушение законодательства в части сохранения персональных данных предусмотрена как административная, так и уголовная ответственность.

КоАП РФ правонарушениях позволяет привлечь, например, за использование несертифицированных средств защиты информации. Гражданам за это могут выписать штраф до 2,5 тыс руб, должностным лицам — до трёх тыс руб, юридическим лицам — до 25 тыс руб. Ещё меньше заплатит тот, кому вменят нарушение требований о защите информации: гражданин — тысячу рублей, чиновник — две тысячи, компания — 15 тысяч руб. За разглашение сведений с ограниченным доступом (к коим относятся и персональные сведения) с гражданина также взыщут тысячу руб, а с должностных лиц — до 5 тыс рублей.

Чуть серьёзнее санкции для операторов, не позаботившихся о сохранности обрабатываемой информации, что открыло к ним неправомерный доступ или позволило скопировать и распространить. В этом случае граждане поплатятся штрафом в две тысячи рублей, должностные лица — до десяти тысяч рублей, ИП — до 20 тыс руб, юрлица — до 50 тысяч руб.

Профильный комитет с заинтересованными ведомствами готовит законодательные инициативы, усиливающие ответственность за незаконный оборот персональных данных

Так как попавшие в Сеть данные содержали диагнозы и адреса пациентов, то это говорит о разглашении не просто личных данных, но и врачебной тайны и тайны частной жизни, которая охраняется Конституцией. Незаконное распространение таких данных влечёт уже уголовную ответственность, которая предполагает несколько вариантов наказания: от штрафа в 300 тысяч руб до лишения свободы на четыре года.

Действия тех, кто причастен к инциденту, также могут квалифицировать по статье УК РФ о неправомерном доступе к охраняемой законом компьютерной информации, что повлекло её копирование. За это можно попасть в тюрьму на два года или отделаться штрафом до 200 тысяч руб.

https://www.pnp.ru/politics/kogo-nakazhut-za-utechku-dannykh-pacientov-s-covid.html