Типичные нарушения законодательства о персональных данных

В соответствии с абз. 2 п. 3 ст. 18 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) и абз. 2 п. 7 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422) Национальный центр защиты персональных данных осуществляет контроль за обработкой персональных данных операторами (уполномоченными лицами) в следующих формах:

• плановые проверки;
• внеплановые проверки;
• камеральные проверки.

Типичными нарушениями, выявленными в ходе проверок, являются:

1) невыполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

2) ненадлежащее выполнение обязанности по назначению структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных:

• формальное возложение обязанностей на одного из работников, который не имеет объективной возможности выполнять соответствующие функции, в т. ч. с учетом уже имеющихся у него должностных обязанностей (фактическое неосуществление контроля);
• возложение обязанностей на работника, который организует обработку персональных данных (например, на руководителя кадровой службы организации), что приводит к конфликту интересов, либо назначение таких лиц в каждом структурном подразделении оператора;

3) формальный подход к изданию документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных, приводящий к фактической бесполезности таких документов для субъектов персональных данных. В большинстве таких случаев операторами не обеспечивается соотношение в указанных документах целей обработки, категорий субъектов персональных данных, чьи данные подвергаются обработке, перечня обрабатываемых персональных данных либо не отражаются все бизнес-­процессы и привлекаемые для обработки персональных данных уполномоченные лица, что нарушает п. 6 ст. 4 Закона в части прозрачности характера обработки персональных данных;

4) несоответствие локальных правовых актов требованиям законодательства о персональных данных либо отсутствие требуемых локальных правовых актов (например, порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), перечня информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является оператор (уполномоченное лицо), перечня уполномоченных лиц и т. п.);

5) реализация предусмотренных Законом мер с учетом законодательства иных государств (например, изложение политики оператора с учетом законодательства о персональных данных Российской Федерации, обработка персональных данных на основании легитимного интереса и т. п.);

6) несоблюдение требований к поручению обработки персональных данных уполномоченным лицам:

• изложение договоров с уполномоченными лицами без учета п. 1 ст. 7 Закона;
• привлечение к обработке персональных данных уполномоченных лиц без изучения того, какие правовые, организационные и технические меры они принимают для обеспечения обработки персональных данных в соответствии с Законом;

7) несоблюдение требований ст. 5 Закона к обработке персональных данных на основании согласия:

• несоблюдение свободного характера согласия (например, получение согласия работника на обработку персональных данных в процессе трудовой деятельности, включение согласия в качестве обязательного условия в договор, получение единого согласия на достижение не связанных между собой целей, невозможность отзыва согласия без ухудшения положения субъекта персональных данных);
• несоблюдение однозначного характера согласия (например, получение согласия путем молчания или бездействия субъекта персональных данных: «Оставаясь на линии, вы даете согласие на обработку персональных данных», «Пользуясь сайтом, вы соглашаетесь на обработку персональных данных»);
• несоблюдение информированного характера согласия (например, непредоставление либо неполное предоставление информации, предусмотренной п. 5 ст. 5 Закона, изложение неконкретных целей или сроков обработки персональных данных);

8) неосуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-­аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

По информации Национального центра защиты персональных данных