В соответствии с абз. 2 п. 3 ст. 18 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Национальный центр защиты персональных данных Республики Беларусь осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:
• плановые проверки;
• внеплановые проверки;
• камеральные проверки.
Типичные нарушения, выявленные в ходе проверок:
1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:
• формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);
• возложение обязанностей на работника, который организует обработку персональных данных (например, на руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;
3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных.
В большинстве таких случаев операторами не обеспечивается соотношение в указанных документах целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных либо не отражаются все бизнес-процессы и привлекаемые для обработки персональных данных уполномоченные лица, что нарушает положения п. 6 ст. 4 Закона в части прозрачного характера обработки персональных данных;
4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица), перечня уполномоченных лиц и т.п.);
5) реализация предусмотренных Законом мер с учетом положений законодательства иных государств (например, изложение политики оператора с учетом подходов законодательства о персональных данных Российской Федерации, обработка персональных данных на основании легитимного интереса и т.п.);
6) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:
• изложение договоров с уполномоченными лицами без учета положений п. 1 ст. 7 Закона;
• привлечение к обработке персональных данных уполномоченных лиц без изучения того, какие правовые, организационные и технические меры они принимают для обеспечения обработки персональных данных в соответствии с требованиями Закона;
7) несоблюдение требований ст. 5 Закона к обработке персональных данных на основании согласия:
• несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);
• несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных: «Оставаясь на линии, вы даете согласие на обработку персональных данных», «Пользуясь сайтом, вы соглашаетесь на обработку персональных данных»);
• несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона, изложение неконкретных целей или сроков обработки персональных данных);
8) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
По информации Национального центра
защиты персональных данных Республики Беларусь
по теме