Государство гарантирует своим гражданам защиту персональных данных, но, несмотря на это, они нередко попадают в свободный доступ. Виной тому могут стать как госструктуры, так и частные компании, в том числе зарубежные. Один из масштабных кейсов этого года - утечка персональных данных клиентов сети магазинов «Спортмастер». Тогда в интернет попали имена, даты рождения, номера телефонов и адреса электронных почт более 260 тысяч казахстанцев.

С разглашением персональных данных столкнулась и наш редактор Маргарита Кунцевич. Ее ИИН, адрес проживания и вся переписка с районным акиматом через сервис электронных заявлений eOtinish были «слиты» главным специалистом аппарата акима Ауэзовского района г. Алматы.

По законодательству РК персональные данные подразделяются на:

• общедоступные - находятся в свободном доступе, соблюдать их конфиденциальность не требуется

• ограниченного доступа. К ним могут относиться данные удостоверения личности, ИИН, личные телефоны, адрес проживания, место работы, условия трудового договора и т.д.

На основе личного опыта Маргарита Кунцевич разбиралась, что делать, если ваши персональные данные из категории ограниченного доступа «слили», и как привлечь к ответственности виновных в разглашении.

Личный опыт

Весной этого года наш редактор Маргарита Кунцевич подала в eOtinish заявление о благоустройстве дворовой территории возле своего дома. После этого вся переписка с акиматом района, а также ее персональные данные оказалась в распоряжении неизвестного ей лица. Как оказалось позднее, они были переданы ему специалистом аппарата акима Ауэзовского района. Решением прокуратуры на чиновника был наложен штраф в размере 100 МРП (345 тыс. тенге) по статье 79 Кодекса об административных правонарушениях. Виновный признал факт правонарушения, представленные доказательства не обжаловал и получил возможность оплатить штраф «со скидкой» 50%.

Только за последние пять лет в публичный доступ попали данные нескольких миллионов казахстанцев.

В 2019 году произошла утечка данных 11 миллионов граждан во время президентских выборов. Тогда в открытом доступе оказались фамилии, имена и отчества, ИИНы, адреса проживания, номера удостоверений, даты выдачи документов. Было заведено уголовное дело, но затем его прекратили за отсутствием состава уголовного правонарушения. Сотрудники ЦИКа тоже провели расследование, но своей вины не признали. «По результатам расследования попыток несанкционированного доступа к серверам Центризбиркома, которые могли бы повлечь утечку конфиденциальной информации, не выявлено», - сообщили тогда в комиссии.

Ранее мы посмотрели статистику, касающуюся нарушений закона о персональных данных с 2015 года. Выяснилось, что за неполный 2023 год полиция зарегистрировала больше дел о нарушении закона о персональных данных, чем за весь 2022-й. В прошлом году речь шла о 39 уголовных дел, в нынешнем – уже о 41 деле. Однако только шестая часть из них, как правило, доходит до суда.

Алгоритм защиты

Персональные данные из ограниченной категории попадают в публичный доступ разными способами. Это может быть результат технической ошибки, кибер-атаки или злоупотребления должностными полномочиями. Например, заявитель обратился в полицию, а сотрудник передал его данные родственникам подозреваемого для мирного урегулирования вопроса.

Что делать, если ваши персональные данные «слили»? Юрист Артем Карпов рекомендует в первую очередь обратиться в органы собственной безопасности госучреждения или частной компанией с просьбой провести проверку по факту разглашения персональных данных. Высший надзор за соблюдением законности в сфере персональных данных и их защиты осуществляют органы прокуратуры.

За нарушение законодательства в области персональных данных предусмотрены административная (статьи 79, 451 и 641 КоАП РК с ответственностью в зависимости от применяемой статьи) и уголовная ответственность (статьи 147 и 211 УК РК, до 7 лет лишения свободы).

На основе личного опыта нашего редактора мы совместно с юристом разработали пошаговый алгоритм, который может помочь в борьбе за персональные данные:

1 шаг - фото- и видеофиксация. Если вы обнаружили свои персональные данные из категории ограниченного доступа в интернете, сделайте видеоскриншот страницы, зафиксируйте дату и время обнаружения. Если ваши персональные данные оказались на руках у третьего лица (в виде распечаток, документов и т.д.), запишите на камеру ваш разговор с этим лицом, зафиксируйте на видео документы с вашими личными данными.

2 шаг - юридическая помощь. Обратитесь за помощью к юристу, предоставьте все имеющиеся данные по делу (видеозаписи, скриншоты, копии заявлений в госорганы, которые могли повлечь за собой «слив» и разглашение персональных данных). Юрист поможет составить заявление для проведения расследования. Если нет возможности оплачивать услуги юриста, можно обратиться за бесплатной правовой консультацией по номеру 1414. Звонок с мобильного также бесплатный.

3 шаг - отправка заявления. После того, как соответствующее заявление составлено, его необходимо отправить через eOtinish в адрес инстанций, которые имеют отношение к делу. В случае нашего редактора это были прокуратура Ауэзовского района г. Алматы (по месту правонарушения) и Министерство цифрового развития, инноваций и аэрокосмической промышленности РК (орган, курирующий цифровые площадки и соблюдение законодательства о персональных данных).

4 шаг - запрос разъяснений. Возможна ситуация, когда прокуратура посчитает, что нарушений допущено не было. В этом случае необходимо составить письмо в прокуратуру с просьбой разъяснить, на чем основано данное решение, и сделать запрос на изучение дополнительной информации по делу. Есть шанс, что этот шаг поможет в пересмотре дела и решении его в вашу пользу. Весь процесс рассмотрения жалобы проходит через сервис eOtinish.

5 шаг - запрос административного акта. Данный шаг необходим, если вы хотите знать сумму наложенного штрафа и удостовериться, что виновный в «сливе» персональных данных его оплатил. В ином случае этот шаг можно пропустить.

Спецпроект «Достоверно о важном»

Эта публикация профинансирована Европейским Союзом в рамках проекта «Устойчивость и взаимодействие с разнообразной информацией для динамичной среды» (REVIVE), реализуемого Internews. Ее содержание является исключительной ответственностью «Shishkin like» и не обязательно отражает точку зрения Европейского Союза и Internews.

Подписаться на @Shishkin_like