Новости

Министерство использовало программу для сбора данных о сотрудниках – Служба защиты персональных данных Грузии

5 апреля, 2023 • 4068
Министерство использовало программу для сбора данных о сотрудниках – Служба защиты персональных данных Грузии

На основании анонимного уведомления Служба защиты персональных данных Грузии провела внеплановую проверку в одном из министерств и установила, что на рабочих компьютерах около 3000 компьютеров сотрудников министерства и более 10 юридических лиц, входящих в его систему, была активирована специальная программа технической поддержки. Эта программа использовалась для оформления временных отпусков и выдачи пропусков.

При этом, как указали в Службе защиты персональных данных, через эту программу осуществлялся сбор информации о действиях сотрудников министерства производимых с рабочих компьютеров.

По данным Службы защиты персональных данных Грузии, собранные данные включали название электронных программ, используемых сотрудниками на компьютере (например: «Opera», «Google Chrome», «Pdf», «Word», «Exel»), период использования упомянутых программ, активные окна, содержание просмотренных страниц и другие сведения.

Также министерством были определены специальные слова (например, «facebook», «porn»), в случае ввода этих слов в активном окне любой программы (например, «Google chrome», «Mozilla Firefox», «Internet Explorer» и т.д.) и суммировались периоды использования соответствующего ключевого слова. В результате была собрана информация о каждом сотруднике в отношении используемых им компьютерных программ, посещенных им веб-сайтов и содержания этих страниц.

В результате проверки также было выявлено, что по каждому сотруднику, включенному в программу технической поддержки, через специальный сайт была доступна статистическая информация о действиях осуществленных им за последние 60 дней, с соответствующими данными о продолжительности их использования.

В результате задействования указанной программы подробная информация, собранная на уровне соответствующего ведомства, была доступна до 30 сотрудникам учреждений, входящих в систему министерства (включая департамент HR).

Служба выяснила, что собранные данные, использовались одним из отделов с целью мониторинга сотрудников в рамках трудовой деятельности (например, начальник отдела отслеживал деятельность своих сотрудников во время служебной деятельности, поездки), а также, по мнению министерства, данные, полученные с помощью программы, служили для самоконтроля сотрудников за собственным временем. Кроме того, как заявили в министерстве, данные действия служили целями информационной безопасности министерства.

По данным Службы защиты персональных данных Грузии, при проверке соответствия процесса обработки данных указанным целям, было установлено, что на практике соответствующие менеджеры министерства не пользовались собранными данными, за исключением руководителя Департамента информационных технологий министерства.

Также сотрудники не были или были недостаточно проинформированы об указанном сборе данных. Кроме того, часть полученных данных не имела пользы в плане обеспечения информационной безопасности министерства.

При определении оценки вышеупомянут действий, Служба защиты персональных данных Грузии руководствовалась несколькими решениями Европейского суда по правам человека, в частности: решением по делу ((Copland v. UK (No. 62617/00; 03.04.2007); ANTOVIĆ AND MIRKOVIĆ v. MONTENEGRO (No. 70838/13; 28.11.2017) и BĂRBULESCU v. ROMANIA ( No. 61496/08; 05.09.2017)).

Решением Службы защиты персональных данных Грузии было установлено, что организационно-технические меры по сбору информации создавали риски неправомерного получения данных. Это указывало на нарушение статьи 17 («Безопасность данных») Закона Грузии «О защите персональных данных». В решении также указано, что министерство признано нарушителем статьи 46 (Невыполнение требований по соблюдению безопасности данных) Закона Грузии «О защите персональных данных».

Правила перепечатки


Также: