«Дирява Діла»

Під час та після епідемії КОВІДу візит українця по аналізи до приватних медичних лабораторій став буденним. Напевно більшість візитерів лабораторій навіть не помічала, що при зверненні за аналізами вони не просто заповнюють якісь папірці та платять кошти, аби отримати довгоочікувані аналізи, вони й підписуються під згодою на обробку персональних даних. Кожний великий оператор відповідного ринку має величезні бази із персональними даними своїх клієнтів. Задум наче гарний – промо-акції, комунікація із клієнтом, цифровізація і все так. Однак що із захистом цих даних? Адже мова йде не просто про абстракті ПІБ особи, все таки це ж медична таємниця.

Нещодавно ми натрапили на жахливий приклад поводження із базою даних пацієнтів – в нашому розпорядженні виявилась база даних всіх клієнтів медичної лабораторії «Діла» https://dila.ua/. Ні, ми її не придбали і не викрадали – вона просто собі «гуляла» по Інтернетах. Мова йде не просто про тисячі пацієнтів, їх там більш ніж 1 млн. Це таке собі ціле місто розміром із Дніпро чи Одесу.

Подивившись на їх сайт, можна знайти так званий «публічний договір,», де дуже багато умов присвячено захисту персональних даних:

«Звертаючись до Виконавця від імені та в інтересах Пацієнта за отриманням Послуг за відповідним Замовленням / Додатковим замовленням Замовник гарантує, що: (і) Замовником отримано згоду Пацієнта на обробку персональних даних Пацієнта на умовах, встановлених цим Договором, (іі) Замовником отримано інформовану згоду Пацієнта на проведення медичного втручання, проведення лабораторного дослідження, (ііі) Пацієнт ознайомлений з характером та ризиками, пов’язаними з таким можливим медичним втручанням та погодився з умовами цього Договору, (iv) Пацієнт ознайомлений з вимогами до підготовки до досліджень й попереджений про можливість отримання некоректного результату досліджень у випадку порушення Пацієнтом вказаних правил,  а також (іiv) отримав згоду Пацієнта на передання Виконавцю доступу до відомостей про Пацієнта, що зазначені в пунктах (і) – (іiv) з метою їх обробки у межах, необхідних для надання медичних послуг Пацієнту.»

«7.6. Виконавець зобов’язується забезпечити дотримання режиму конфіденційності та захисту персональних даних Замовника та Пацієнта під час здійснення їх обробки, в тому числі дотримання таких умов обробки персональних даних працівниками Виконавця, які отримують доступ до зазначених даних у зв’язку із виконанням своїх трудових функцій перед Виконавцем».

Читаєш і наче все добре. Все захищено. Так чому ж ця база «гуляє» Інтернетом?

Медична таємниця, європейські стандарти, 21 століття, «держава в смартфоні», цифрова безпека – все це можливо існує в якійсь альтернативній реальності…

До речі, ті, хто не вірять в автентичність бази, особисло це стосується пацієнтів «Діли» – можете її завантажити та перевірити:

Оригінал (3,291,252 клієнти, 128,928 кб)

Також, файли бази, розділені по першим літерам прізвища:

• 0-z
• А
• Б
• В
• Г, Ґ
• Д
• Е, Є
• Ж
• З
• И, І, Й
• К
• Л
• М
• Н
• О
• П
• Р
• С
• Т
• У
• Ф
• Х
• Ц
• Ч
• Ш
• Щ
• Э
• Ю
• Я

Ось така вона «Дирява Діла». Можливо не «найдирявіша» в Україні, однак за обсягом зливу – точно в жовтій майці лідера.

Цікаво, а що про це думають наші правоохоронці? Чи все встигли погодуватись та «злити» чергову карну справу?!

Далі буде…