Всего три сухих сообщения последнего месяца.
Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.
Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.
Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.
Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.
Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.
Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.
Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?
Вопросы риторические. Ответы все знают.
Но разницу все-таки надо почувствовать.
