Думаете, работодатели должны защищать личную информацию работников? Подумайте еще раз!

Думаете, работодатели должны защищать личную информацию работников? Подумайте еще раз!

По крайней мере, один из судов в Пенсильвании утверждает, что нет никаких оснований ожидать, что личная информация не подвергнется хакерской атаке

Есть хорошая новость для профессионалов в сфере безопасности, обеспокоенных тем, что их организации могут нести ответственность, в случае, если личные данные сотрудников подвергнутся хакерской атаке. Коллегия судей в Пенсильвании утверждает, что работники не могут взыскать убытки со своего работодателя, если такая информация, как номер карты социального страхования, данные о банковском счете, дате рождения, адресе и размере зарплаты скомпрометированы в результате нарушения безопасности.

Даже несмотря на то, что украденные данные были использованы для подачи фиктивных деклараций для получения налогового возврата, работники Медицинского Центра Университета Питтсбурга (UPMC) не имели оснований ожидать, что их данные будут в безопасности. Такое постановление вынес Верховный суд штата Пенсильвания.

Это дело, известное как в Dittman против UPMC, касается исключительно записей о сотрудниках, не о клиентах или пациентах, на которые распространяется защита HIPAA.

Это происходит именно в Пенсильвании, где законы не имеют непосредственного отношения к обязанностям предприятия по защите данных сотрудников. И именно сейчас, потому что законодатели все еще пытаются создавать законы, применимые к электронным данным. Закон может наверстать упущенное, но сейчас суды применяют действующие правовые нормы, которые, во многих случаях, были приняты еще до возникновения цифровых записей. И это актуально не только для Пенсильвании. Между тем, суды и стороны, считающие себя пострадавшими, вынуждены опираться на законы и предыдущие дела, не имеющие никакого отношения к киберпреступности.

Например, в решении , принятом судом говорится, что сотрудники в Пенсильванском деле, предоставили свою личную информацию не на безопасное хранение, а поскольку это было одним из условий приема на работу. Используя доводы, взятые из дела, возбужденного против банка владельцами счетов, судьи решили, что в данном случае безопасность информации не была гарантирована.

Ссылаясь на еще одно старое дело, суд постановил, что UPMC не обязан платить в том случае, если утечка данных привела к чисто экономическим потерям, но не нанесла ущерба здоровью, безопасности или имущества.

Наиболее жесткий критерий, используемый судом, был взят из другого дела, выходящего за рамки данного иска и имеющего отношение к тому, имеют ли право родители, подвергающие своих детей сексуальному насилию, подать в суд на детского психолога, сдавшего их властям. Применяя рассуждения, использованные для вынесения решения в том случае, суд пришел к некоторым поспешным выводам относительно ответственности в случаях нарушения данных.

Суд отметил, что закон не должен требовать от работодателей брать на себя стоимость усиления безопасности данных сотрудников, потому что они не могут предотвратить все возможные попытки взлома. «Мы считаем, что нет необходимости требовать от работодателей взваливать на себя потенциально высокие расходы на усиление мер безопасности, в то время, как не существует универсального способа предотвратить утечку данных в целом», — говорится в решении.

Далее в постановлении говорится, что выгоды от хранения этого типа данных в электронном виде перевешивают недостатки, состоящие в том, что данные могут быть скомпрометированы. «В то время как нарушение данных (и последующий ущерб), как правило, предсказуемы, мы не считаем, что это перевешивает социальную пользу электронной формы хранения информации о сотрудниках», — говорится в постановлении. «Хотя утечка данных, хранимых в электронном виде, представляет собой потенциальный риск, он не перевешивает социальную полезность хранения информации в электронном виде».

Два судьи, подписавшие основное решение по этому делу, также предоставили дополнительное мнение для дальнейшего объяснения ситуации. Они написали, что медицинскому центру не было известно о каких-либо конкретных угрозах, которые были впоследствии проигнорированы, а потому центр ничего не должен своим сотрудникам. «Если бы UPMC был уведомлен о реальных или потенциальных нарушениях безопасности своих систем, или бы было очевидным, что небрежное обращение с конфиденциальной информацией сделало ее уязвимой для преступной деятельности, то, возможно, было бы принято другое решение».

До тех пор, пока законы не смогут более точно определять, кто несет ответственность в случаях нарушения данных, суды должны действовать консервативно, предоставляя приоритет законодательным органам. «В этой постоянно развивающейся области права и технологии нам следует приступать к созданию прецедента медленно и с осторожностью», — говорят судьи.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации