Казахстанцы обнаружили утечку персональных данных в системе Damumed
Кто несет ответственность за хранение персональной информации пациентов, рассказал юрист Джохар Утебеков.
Казахстанцы жалуются на утечку персональных данных в системе Damumed, с помощью которой третьи лица могут узнать не только информацию о состоянии здоровья, но и контактные данные, ИНН, род деятельности другого человека, а также размер отчисляемых им налогов. Можно ли подать в суд за рассекречивание личных данных поликлиниками, а главное на кого, корреспонденту BaigeNews.kz разъяснил казахстанский адвокат Джохар Утебеков.
Система Damumed на слуху больше не из-за функциональности приложения, а скандалов, связанных с сотрудниками поликлиник, которые занимались приписками пациентов. Более того приложение приписывало казахстанцам чужих мужей, жен и детей. И именно этот сбой в системе дает доступ посторонним к персональной информации другого человека.
Одной из первых, кто забил тревогу стала Гулим Амирханова. Она сделала для себя неожиданное открытие и решила поделиться им в соцсетях. Гулим пишет, что обнаружила в приложении приписанного ей четырехлетнего ребенка, затем нашла его настоящего отца, ИИН мужчины, а вместе с идентификационным номером его место работы, наличие недвижимости и даже размер налогов.
На пост отреагировали в Министерстве здравоохранения, пообещав разобраться в ситуации.
Однако у пользователей соцсетей остались вопросы: кто понесет наказание за утечку персональных данных и можно ли в этом случае обратиться в суд, а если да, то на кого? Права и обязанности сторон разъяснил известный адвокат Джохар Утебеков.
"Это статья 79 "Нарушение законодательства Республики Казахстан о персональных данных и их защите". В ней четыре части. Здесь орган владеет персональными данными официально, другое дело, что он их не защищает. Это квалифицируется по статье 79 части 3 КоАП "Несоблюдение оператором мер по защите персональных данных. Скорее всего, в этом случае непосредственная вина поликлиники, а опосредованная вина оператора в лице Damumed, если это удастся доказать", - считает юрист.
Он пояснил, что если сбор, обработка персональных данных и их внесение в систему Damumed были незаконными (человек не посещал поликлиники), то дело квалифицируется по статье 79 части 1 КоАП, и нарушение будет со стороны поликлиники. Если же поликлиника внесла данные верно, но пациента приписали как родственника третьему лицу, то это нарушение со стороны Damumed.
"У нас такая тенденция, максимально разгрузить административный суд, чтобы органы исполнительной власти сами рассматривали протоколы, постановления, сами накладывали. Эту статью (ст. 79 КоАП РК) исключили из под ведомства судов, она не требует заявления. С июля в МЦРИАП сами рассматривают подобные обращения", - рассказал Утебеков.
Между тем, подведомственные организации Минздрава проводят свое расследование инцидента и решают, кто понесет ответственность за утечку личных данных казахстанцев в системе Damumed.