Вы на портале
Персональные данные

Типичные нарушения законодательства о персональных данных

4056 Shape 1 copy 6Created with Avocode.

В соответствии с абз. 2 п. 3 ст. 18 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Национальный центр защиты персональных данных Республики Беларусь осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

• плановые проверки;

• внеплановые проверки;

• камеральные проверки.

Типичные нарушения, выявленные в ходе проверок:

1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

• формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);

• возложение обязанностей на работника, который организует обработку персональных данных (например, на руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. 

В большинстве таких случаев операторами не обеспечивается соотношение в указанных документах целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных либо не отражаются все бизнес-процессы и привлекаемые для обработки персональных данных уполномоченные лица, что нарушает положения п. 6 ст. 4 Закона в части прозрачного характера обработки персональных данных;

4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица), перечня уполномоченных лиц и т.п.);

5) реализация предусмотренных Законом мер с учетом положений законодательства иных государств (например, изложение политики оператора с учетом подходов законодательства о персональных данных Российской Федерации, обработка персональных данных на основании легитимного интереса и т.п.);

6) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

• изложение договоров с уполномоченными лицами без учета положений п. 1 ст. 7 Закона;

• привлечение к обработке персональных данных уполномоченных лиц без изучения того, какие правовые, организационные и технические меры они принимают для обеспечения обработки персональных данных в соответствии с требованиями Закона;

7) несоблюдение требований ст. 5 Закона к обработке персональных данных на основании согласия:

• несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);

• несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных: «Оставаясь на линии, вы даете согласие на обработку персональных данных», «Пользуясь сайтом, вы соглашаетесь на обработку персональных данных»);

• несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона, изложение неконкретных целей или сроков обработки персональных данных);

8) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

По информации Национального центра 

защиты персональных данных Республики Беларусь


4056 Shape 1 copy 6Created with Avocode.
Последнее
по теме