Одно из министерств нарушило закон о защите персональных данных
Служба защиты персональных данных 5 апреля опубликовала решение о законности обработки данных о компьютерной активности сотрудников одним из министерств, в котором говорится, что министерство нарушает Закон о защите персональных данных. Служба начала расследование на основании анонимного сообщения и провела внеплановую проверку в Министерстве. Министерство в решении не уточняется.
По результатам дознания министерство активировало программу технической поддержки примерно на 3 000 компьютеров своих сотрудников и сотрудников более 10 юридических лиц в его системе. Программа собирала информацию об активности сотрудников за компьютером, такую как названия используемых программ, продолжительность использования и содержимое активных окон. Кроме того, министерство разработало ключевые слова, периоды использования которых в разных окнах суммировались.
По данным службы, некоторые департаменты использовали полученные из программы данные для мониторинга деятельности сотрудников, в том числе во время командировок. В министерстве пояснили, что данные, полученные с помощью программы, использовались для самоконтроля сотрудников и информационной безопасности.
По данным Службы по защите персональных данных, сотрудники не были проинформированы или были не должным образом проинформированы о доступности информации о них в статистической форме с помощью программы технической поддержки, а обработка этих данных в целях самоконтроля не основывалась на их желании и воле.
Кроме того, по заявлению службы, часть полученных данных была даже не нужна для информационной безопасности министерства, поскольку министерство «было первостепенным субъектом критической инфраструктуры, в нем использовалось несколько типов и разного уровня лицензированных современных устройств и программного обеспечения». Таким образом, Служба защиты персональных данных считает, что в целях безопасности данные с рабочих компьютеров сотрудников должны собираться только в минимальном объеме, а доступ к учтенной информации должен быть максимально ограничен.
По заявлению службы, часть данных, обрабатываемых министерством с помощью программы технической поддержки, может содержать не служебную, а личную/приватную информацию, «поскольку даже в процессе служебной деятельности существует такая зона отношений с другими людьми, которую следует рассматривать как часть его личной жизни».
Соответственно, Служба защиты персональных данных считает, что обработка министерством выявленного объема данных, для озвученных целей, без желания и инициативы сотрудников, в то же время без их информирования, в целях самоконтроля, была неоправданной, а организационные и технические меры, принятые министерством в целях информационной безопасности, создали риски незаконного получения данных.
В результате служба поставила перед министерством несколько задач для их выполнения, в том числе прекращение обработки данных сотрудников министерства в целях мониторинга/самоконтроля с помощью упомянутого программного обеспечения и удаление уже обработанных данных.
По теме:
This post is also available in: English (Английский) ქართული (Georgian)
