Типичные нарушения законодательства о персональных данных
+375 (17) 269-86-52
Подписка
Вход
Еще
    История поискаИстория поискаИстория поискаИстория поискаИстория поиска
    № 4 (136) 2023

    В соответствии с абз. 2 п. 3 ст. 18 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422) Национальный центр защиты персональных данных осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

    • плановые проверки;
    • внеплановые проверки;
    • камеральные проверки.

    Типичными нарушениями, выявленными в ходе проверок, являются:

    1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

    2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

    • формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в т. ч. с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);
    • возложение обязанностей на работника, который организует обработку персональных данных (например, на руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

    3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. В большинстве таких случаев операторами не обеспечивается соотношение в указанных документах целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных либо не отражаются все бизнес-­процессы и привлекаемые для обработки персональных данных уполномоченные лица, что нарушает п. 6 ст. 4 Закона в части прозрачности характера обработки персональных данных;

    4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор (уполномоченное лицо), перечня уполномоченных лиц и т. п.);

    5) реализация предусмотренных Законом мер с учетом законодательства иных государств (например, изложение политики оператора с учетом законодательства о персональных данных Российской Федерации, обработка персональных данных на основании легитимного интереса и т. п.);

    6) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

    • изложение договоров с уполномоченными лицами без учета п. 1 ст. 7 Закона;
    • привлечение к обработке персональных данных уполномоченных лиц без изучения того, какие правовые, организационные и технические меры они принимают для обеспечения обработки персональных данных в соответствии с Законом;

    7) несоблюдение требований ст. 5 Закона к обработке персональных данных на основании согласия:

    • несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);
    • несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных: «Оставаясь на линии, вы даете согласие на обработку персональных данных», «Пользуясь сайтом, вы соглашаетесь на обработку персональных данных»);
    • несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона, изложение неконкретных целей или сроков обработки персональных данных);

    8) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-­аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

    По информации Национального центра защиты персональных данных

    875 Shape 1 copy 6Created with Avocode.
    Последнее
    по теме
    • • •

    Электронное пособие «Полное руководство: Инструкция по делопроизводству учреждения дошкольного образования, не являющегося источником комплектования государственного архива»

    Индивидуально для учреждений дошкольного образования специалист Учреждения «Белорусский научно-исследовательский институт документоведения и архивного дела» подготовила э...
    Shape 1 copy 6Created with Avocode. 840
    4
    Спасибо за сообщение!
    В скором времени мы свяжемся с вами
    На главную
    Ваш тарифный план не предусматривает возможность использования продукта "Эталон-онлайн" из комплекта "Эталон. Система Юрист". Просим Вас войти под пользователем с соответствующими правами или приобрести соответствующий тарифный план.
    Я уже подписчик
    Нужна помощь?
    Задать вопрос в редакцию
    Заказать звонок