Пока государственные учреждения и политики продолжают спорить о том, кто и когда должен был сообщить обществу о масштабной утечке данных, Центр регистров (RC) призывает различать обязанность уведомлять пострадавших граждан и ответственность за публичное информирование о возможном преступлении.
«Важно разделять две вещи: информирование общества о проводимом досудебном расследовании возможного преступления (это не входит в компетенцию Центра регистров) и информирование субъектов данных — жителей, чьи персональные данные были раскрыты в результате инцидента, как того требует Общий регламент по защите данных (это ответственность Центра регистров)», — заявили в учреждении агентству ELTA.
По словам представителей государственного предприятия, его обязанность заключалась в надлежащем уведомлении людей, чьи данные были скомпрометированы. Поэтому сразу после получения информации об инциденте началась разработка технического решения, которое позволило бы уведомить столь большое количество граждан.
Центр регистров также представил хронологию событий — когда ему стало известно об инциденте и когда было разрешено сообщить об этом пострадавшим.
Согласно информации учреждения, о происшествии стало известно в начале апреля. Сначала о нём были уведомлены правоохранительные и надзорные органы, которые начали выяснять масштаб утечки и устанавливать возможных виновных.
Ранее Генеральная прокуратура сообщала, что начала досудебное расследование 15 апреля, сразу после получения сообщения об инциденте, а публично объявила о расследовании только 22 мая.
Прокуратура не запрещала уведомлять граждан
Позднее Центр регистров уточнил, что Генеральная прокуратура не запрещала информировать жителей о краже их данных.
«Важно различать информирование всего общества и уведомление конкретных граждан, чьи данные были раскрыты. Прокуратура не запрещала нам выполнить вторую часть этой работы, и после получения её ответа был подготовлен технический инструмент, с помощью которого жители были уведомлены», — пояснили в RC.
В Центре регистров отметили, что во время расследования на всех его участников распространяются определённые ограничения в сфере публичной коммуникации.
«Информирование общества об инциденте как о возможном преступлении, по которому начато расследование, возможно только с разрешения прокурора. Обычно об этом сообщает сама прокуратура, когда считает, что такая информация не навредит следствию», — подчеркнули в учреждении.
По данным Центра регистров, лишь 7 мая было установлено, что произошедшее можно квалифицировать как нарушение безопасности персональных данных. До этого времени велась переписка с государственными учреждениями и ожидались ответы, необходимые для выяснения обстоятельств инцидента.
Сразу после подтверждения факта нарушения, 7 мая, Центр регистров уведомил Государственную инспекцию по защите данных (VDAI).
В свою очередь, инспекция ранее сообщала, что обязала Центр регистров до 27 мая проинформировать всех граждан, чьи данные были раскрыты.
«О нарушении безопасности персональных данных уведомляют только тогда, когда установлено, что инцидент действительно можно считать таким нарушением, поскольку не каждый инцидент автоматически является нарушением безопасности персональных данных», — заявили в RC.
Сервис, позволяющий жителям проверить, были ли украдены их данные, Центр регистров запустил 25 мая.
По предварительным данным, с января из Центра регистров могли быть похищены более 600 тысяч выписок из Реестра недвижимости. Предварительный ущерб оценивается как минимум в 111 тысяч евро.
По данным Государственной инспекции по защите данных, число затронутых утечкой жителей несколько меньше и составляет около 500 тысяч человек.
