Медицинскую компанию оштрафовали за нелегальный перенос данных

Национальная комиссия информатики и свобод Франции (Commission Nationale de l'Informatique et des Libertes, CNIL) выписала штраф размером €30000 французской «дочке» американской корпорации Tyco Healthcare. Медицинская компания была оштрафована за неправильное использование базы данных своих сотрудников, а также за нелегальный перенос приватных данных в свою американскую штаб-квартиру. Этот случай стал первым прецедентом использования директивы Евросоюза по защите данных (E.U.'s Data Protection Directive) против транснациональной американской корпорации.

Напомним, что директива Евросоюза запрещает передачу конфиденциальной информации в страны, расположенные за пределами европейской экономической зоны (European Economic Area, EEA). Это означает, что «дочки» транснациональных корпораций, базирующихся в Америке, не могут передать информацию о своих сотрудниках и клиентах в головной офис организации. Существует несколько способов легального трансфера данных в любую страну мира, однако все они сопряжены с массой организационных проблем.

История с Tyco началась с того, что Национальная комиссия попросила объяснить цели хранения данных в системе HRIS (Human Resources Information System), которая использовалась Tyco для хранения конфиденциальных данных. На запрос властей специалисты Tyco не предоставили внятного ответа и даже заявили о том, что они прекратили использовать систему. В ответ Комиссия затеяла неожиданную проверку французских офисов Tyco, в ходе которой выяснилось, что система благополучно работала, а также содержала массу «интересной» информации. В базе данных находились сведения о зарплате, профессиональных навыках и предпочтениях сотрудников, что противоречило условиям регистрации HRIS со стороны Комиссии. В дальнейшем стало очевидно, что эти данные пересылались на территорию США без согласия со стороны властей.