Утечка данных латвийских самоуправлений: штраф в 300 000 оспорен в суде

Как пояснили агентству в инспекции, утекшие данные хранились в информационной системе, которую обслуживает фирма ZZ Dats. Инспекция провела проверку и признала компанию виновной, поскольку та не обеспечила выполнение обязанностей обработчика в соответствии с 32-й статьей Общего регламента по защите данных (GDPR). 
За это на предприятие наложен административный штраф в 300 000 евро. ZZ Dats обжаловала это решение в Рижском городском суде. Самоуправлениям же, чьи данные утекли, объявлен выговор, сообщили в DVI.

Речь идет о прошлогоднем инциденте, поясняет LETA: с 29 октября по 2 ноября 2024-го «отдельным лицам» удалось несанкционированно получить некоторые данные из Единой информационной системы самоуправлений.

После инцидента директор ZZ Dats Эджус Жейрис сообщил агентству, что этим лицам удалось получить доступ к поисковому индексу, где была продублирована небольшая часть данных из упомянутой системы.

Этот инцидент напрямую затронул 42 самоуправления Латвии. Проведённый специалистами по безопасности анализ показал, что «отдельные лица» получили доступ к данным о некоторых сотрудниках самоуправлений, включая информацию об их именах, фамилиях, структурных подразделениях, где они работают, должностях, адресе э-почты и номере телефона. Кроме того, утекли и персональные данные физических лиц — жителей самоуправлений (включая имена, фамилии, персональные коды и задекларированные адреса), а также метаданные некоторых документов отдельных самоуправлений.

Вскоре были предприняты меры, чтобы предотвратить дальнейший несанкционированный доступ, сообщили тогда LETA в компании.

Тогда представители Латвийской ассоциации сертифицированных специалистов по защите персональных данных отмечали, что разработчик системы ZZ Dats лишь обрабатывает данные и, согласно условиям Регламента о данных (GDPR), самоуправления несут ответственность и за выбор партнера по сотрудничеству, и за установление стандартов для обеспечения безопасной обработки персональных данных.

При этом представители ассоциации отмечали, что в заявлении ZZ Dats о том, что произошедшее не имело прямых последствий для людей (ведь не были скопированы данные, содержащие, например, пароли и банковскую информацию), вниманием оказались обойдены некоторые существенные риски, поскольку среди утекших данных была и базовая информация о жителях (имена, фамилии, персональные коды, адреса), которые используются для полной идентификации личности. К тому же, неизвестны намерения похитителей, заключила ассоциация.