Вы на портале
+375 (29) 896-76-10
Подписка
Вход
Еще
    Персональные данные
    Рубрикатор

    Типичные нарушения законодательства о персональных данных

    2464 Shape 1 copy 6Created with Avocode.

    В соответствии с абз. 2 п. 3 ст. 18 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных, утвержденного Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных», Национальный центр защиты персональных данных Республики Беларусь осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

    • плановые проверки;

    • внеплановые проверки;

    • камеральные проверки.

    Типичные нарушения, выявленные в ходе проверок:

    1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

    2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

    • формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в том числе с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);

    • возложение обязанностей на работника, который организует обработку персональных данных (например, на руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

    3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. 

    В большинстве таких случаев операторами не обеспечивается соотношение в указанных документах целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных либо не отражаются все бизнес-процессы и привлекаемые для обработки персональных данных уполномоченные лица, что нарушает положения п. 6 ст. 4 Закона в части прозрачного характера обработки персональных данных;

    4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственниками (владельцами) которых являются операторы (уполномоченные лица), перечня уполномоченных лиц и т.п.);

    5) реализация предусмотренных Законом мер с учетом положений законодательства иных государств (например, изложение политики оператора с учетом подходов законодательства о персональных данных Российской Федерации, обработка персональных данных на основании легитимного интереса и т.п.);

    6) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

    • изложение договоров с уполномоченными лицами без учета положений п. 1 ст. 7 Закона;

    • привлечение к обработке персональных данных уполномоченных лиц без изучения того, какие правовые, организационные и технические меры они принимают для обеспечения обработки персональных данных в соответствии с требованиями Закона;

    7) несоблюдение требований ст. 5 Закона к обработке персональных данных на основании согласия:

    • несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);

    • несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных: «Оставаясь на линии, вы даете согласие на обработку персональных данных», «Пользуясь сайтом, вы соглашаетесь на обработку персональных данных»);

    • несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона, изложение неконкретных целей или сроков обработки персональных данных);

    8) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

    По информации Национального центра 

    защиты персональных данных Республики Беларусь


    2464 Shape 1 copy 6Created with Avocode.
    Последнее
    по теме
    Новые
    материалы:
    Закупка служебных (специальных) легковых автомобилей
    Институт возмещения потерь: на что обратить внимание с учетом российского опыта
    Очистить
    Отсортировано:
    по релевантности
    по дате
    Проверить контрагента:
    Очистить
    Очистить
    Период принятия
    Период регистрации в Национальном реестре
    Базы данных
    Результаты: 0
    Спасибо за сообщение!
    В скором времени мы свяжемся с вами
    На главную
    Рубрики
    Кадровик