Принять меры из-за утечки персональных данных клиентов магазинов «Соседи»!

По информации СМИ, в открытый доступ были выложены данные клиентов беларусской сети магазинов «Соседи». Сообщается, что утечка датируется 5 июля и содержит данные 634 279 зарегистрированных пользователей на сайте сети sosedi.by.



В открытый доступ попали логины, адреса электронной почты, телефоны, хешированный пароль, а также дата регистрации и последнего входа в профиль на сайте торговой сети. Пользователи интернета выборочно проверили случайные записи из «слитой» информации через функцию восстановления пароля на сайте торговой сети. Все логины и телефоны из этих записей оказались действительными.


Ч.1 ст.16 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» установила, что к информации, распространение и (или) предоставление которой ограничено, относятся персональные данные.


Согласно ст.1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о ПД), персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Отметим, что п.1 ст.16 Закона о ПД установил, что оператор обязан обеспечивать защиту персональных данных в процессе их обработки.


Также п.1 ст.17 Закона о ПД установил, что оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.


В свою очередь, п.3 ст.17 Закона о ПД установил, что обязательными мерами по обеспечению защиты персональных данных являются (среди прочего):
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.


Согласно п.13 Положения о Национальном центре защиты персональных данных, утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 (далее – Положение о НЦЗПД), внеплановые проверки могут назначаться директором НЦЗПД при наличии сведений, в том числе полученных от организации или физического лица, жалоб субъектов персональных данных, свидетельствующих о совершаемом (совершенном) нарушении требований законодательства о персональных данных.


На основании высказанного, просим:
- провести проверку фактов распространение (предоставление) оператором персональных данных граждан Республики Беларусь неограниченному кругу лиц, указанных в настоящем обращении;
- на основании пп. 8, 13 и 23 Положения о НЦЗПД – провести внеплановую проверку оператора персональных данных на предмет соблюдения законодательства о персональных данных; в случае обнаружения фактов нарушений законодательства о персональных данных – вынести письменное требование (предписание) об устранении выявленных нарушений;
- дать правовую оценку действиям должностных лиц оператора персональных данных, которые привели к распространение (предоставление) персональных данных граждан Республики Беларусь неограниченному кругу лиц, и привлечь их к дисциплинарной ответственности. Просим проинформировать заявителей в ответе на коллективное обращение о принятых к указанным выше лицам мер дисциплинарной ответственности;
- начать против оператора персональных данных административный процесс по чч.3-4 ст. 23.7 КоАП – за нарушение законодательства о защите персональных данных.