Какие бывают случаи нарушения законодательства со стороны юридических лиц в сфере защиты персональных данных, а также меры воздействия Агентством можно посмотреть на следующих примерах.
Отображение на сайте медицинской клиники “С.” результатов медицинских анализов пациентов в открытом виде. При введении случайных пятизначных чисел на сайте отображаются результаты, проведенных диагностических исследований (компьютерная томография, маммография, цифровой рентген, УЗИ, костная денситометрия и ЭКГ) пациентов. В результатах указываются ФИО пациента, дата обращения, протокол исследования, дата рождения, пол, описание исследования, состояние здоровья, заключение и ФИО врача.
Со стороны Агентства в адрес медицинской клиники были направлены письма с указанием нарушений прав граждан в области защиты персональных данных и о необходимости их устранения. Указанные нарушения со стороны медицинской клиники “С.” были устранены.
Принудительная передача третьим лицам персональных данных из мобильного приложения “Э.М.”. Гражданин пожаловался на невозможность зарегистрироваться в мобильном приложении без указания согласия (проставление галочки) о согласии на сбор, обработку и передачу третьим лицам персональных данных, на обработку и на трансграничную передачу персональных данных.
В адрес владельца приложения были направлены письма с указанием нарушений прав граждан в области защиты персональных данных и об их устранении. В настоящее время компанией проводятся соответствующие мероприятия по устранению указанных нарушений. В случае отсутствия действий, материалы по данному факту будут направлены в адрес правоохранительных органов для дачи юридической оценки действиям “Э.М.” и принятия соответствующих мер.
Выдача кредита через мобильное приложение не персонифицированному лицу. Мошенник, имеющий доступ к копии паспорта другого лица оформил на него кредит через мобильное приложение “С.”. Суммы кредитов превышают 10 тысяч сомов. Со стороны Министерства внутренних дел Кыргызской Республики по данному факту было возбуждено уголовное дело.
В адрес владельца мобильного приложения были направлены соответствующие письма о предоставлении детальной информации относительно механизмов идентификации пользователей, применяемых в веб-приложении, о внутренних процедурах по обеспечению защиты персональных данных граждан при сборе, обработке и хранении такой информации, а также имеется ли трансграничная передача собираемых персональных данных и принятых мерах в части усиления и обеспечения безопасности персональных данных пользователей веб-приложения.
Со стороны организации была проведена работа по изменению процедур идентификации: добавлен еще один фактор идентификации при подаче заявки на кредит, а также создан отдел кибербезопасности, который занимается внедрением системы менеджмента рисками и обеспечивает режим конфиденциальности персональных данных.
Запрос чужих персональных данных. В банке “Ф.” без согласия субъекта были запрошены чужие персональные данные посредством Госпортала электронных услуг в нарушение требований заключенного Соглашения между сторонами.
В адрес банка “Ф.” со стороны Агентства был направлен запрос о предоставлении детальной информации относительно принятия мер по устранению возникшего инцидента, а также о проведении организационно-правовых мероприятий в области информационной безопасности в контексте работы с информацией персонального характера.
Согласно предоставленной информации со стороны организации, в отношении сотрудников были применены меры дисциплинарного воздействия, а в отношении начальника отдела прекращены трудовые отношения на основе поданного им заявления.
Банком “Ф.” в целях недопущения возможных рисков были разработаны процедуры и инструкции по работе с системой, проведены тренинги для всех вовлеченных сотрудников, подписаны соглашения о неразглашении информации, а также ведется постоянный контроль за сотрудниками в целях недопущения возникновения рисков.