Все по одной теме от 01.12.2024
Автор: Аналитическая редакция Правовой платформы «Бизнес-Инфо»

Персональные данные в кадровой службе


СОДЕРЖАНИЕ

 

1. Что относится к персональным данным

2. Стороны взаимоотношений при обработке персональных данных

2.1. Субъект персональных данных

2.2. Операторы и уполномоченные лица

2.3. Национальный центр защиты персональных данных

3. Общие требования к обработке персональных данных

3.1. Цели обработки персональных данных

3.2. Получение согласия субъекта персональных данных на их обработку

3.3. Когда можно использовать персональные данные без получения согласия субъекта персональных данных

3.4. Права субъекта персональных данных

3.5. Обязательства по защите персональных данных

3.6. Удаление персональных данных new

4. Трансграничная передача персональных данных

5. Обязанности нанимателей в отношении персональных данных работников

5.1. Алгоритм организации защиты персональных данных (для кадровой службы и юридического отдела) в организации

5.2. Ошибки в обработке персональных данных в организации

6. Ответственность за нарушения в сфере персональных данных

6.1. Административная ответственность

6.2. Уголовная ответственность

Дополнительная информацияУстановить закладкуКомментарии  

Для всех отраслей

Всё по одной теме.
Персональные данные в кадровой службе

Правовая платформа «Бизнес-Инфо»

Материал подготовлен аналитической редакцией Правовой платформы «Бизнес-Инфо»

01.12.2024

15 ноября 2021 г. вступил в силу Закон от 07.05.2021 № 99-З «О защите персональных данных». Рассмотрим ключевые моменты обработки персональных данных для кадровой службы.

Постатейный комментарий к Закону № 99-З см. здесь.

 

1. Что относится к персональным данным

2. Стороны взаимоотношений при обработке персональных данных

2.1. Субъект персональных данных

2.2. Операторы и уполномоченные лица

2.3. Национальный центр защиты персональных данных

3. Общие требования к обработке персональных данных

3.1. Цели обработки персональных данных

3.2. Получение согласия субъекта персональных данных на их обработку

3.3. Когда можно использовать персональные данные без получения согласия субъекта персональных данных

3.4. Права субъекта персональных данных

3.5. Обязательства по защите персональных данных

3.6. Удаление персональных данных

4. Трансграничная передача персональных данных

5. Обязанности нанимателей в отношении персональных данных работников

5.1. Алгоритм организации защиты персональных данных (для кадровой службы и юридического отдела) в организации

5.2. Ошибки в обработке персональных данных в организации

6. Ответственность за нарушения в сфере персональных данных

6.1. Административная ответственность

6.2. Уголовная ответственность

1. Что относится к персональным данным

К понятию «персональные данные» можно отнести любые данные, если с их помощью можно идентифицировать физическое лицо, так как законодательством не установлен перечень «иных данных» (абз.9 ст.1 Закона № 99-З).

Определить физическое лицо можно, в частности, через:

• Ф.И.О.;

• дату рождения;

• идентификационный номер;

• через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абз.9, 17 ст.1 Закона № 99-З).

Значит, к персональным данным можно отнести самые разные данные. Определение персональных данных Закона № 99-З схоже с понятиями, закрепленными в GDPR (примечание).

 


Персональные данные

 

справочно

Справочно

До принятия Закона № 99-З (15.11.2021) в Беларуси был закрытый перечень персональных данных - в него входила только информация, которая вносится в реестр населения (Ф.И.О., дата рождения, пол, адрес регистрации и т. д.):

персональные данные - это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абз.9 ст.1 Закона № 99-З).

Данные, которые могут быть отнесены к основным персональным данным, перечислены в ст.8 Закона от 21.07.2008 № 418-З «О регистре населения», к дополнительным - в ст.10, закрытый список.

2. Стороны взаимоотношений при обработке персональных данных

2.1. Субъект персональных данных

Субъектом персональных данных может быть только физлицо, в отношении которого осуществляется обработка персональных данных (абз.13 ст.1 Закона № 99-З). Юридические лица и иные организации не являются субъектами персональных данных. Гражданство физлица не имеет значения, если на обработку персональных данных этого лица распространяется действие Закона № 99-З.

Определенный субъект персональных данных - конкретное лицо, выделяемое из группы лиц.

Прямая идентификация - возможность прямо идентифицировать лицо.

Косвенная идентификация - возможность при неизвестности характеристик физического лица выделить его из группы других лиц по некоторым известным фактам (например, по имени и месту работы).

Субъект персональных данных имеет право:

• на отзыв согласия;

• доступ и получение информации об обработке персональных данных;

• изменение персональных данных;

• получение информации о передаче данных;

• прекращение обработки данных (их удаление);

• обжалование действий (бездействия) оператора (ст.10-13, 15 Закона № 99-З).

2.2. Операторы и уполномоченные лица

Законом № 99-З введены новые категории субъектов в сфере обработки и защиты персональных данных: оператор и уполномоченное лицо.

 

Обработка персональных данных
   
 
   
Оператор
 
Уполномоченное лицо

 

Оператор самостоятельно организует или осуществляет обработку персональных данных, а уполномоченное лицо обрабатывает их от имени или в интересах оператора, например, на основании договора с ним (абз.8, 16 ст.1 Закона № 99-З).

 

справочно

Справочно

Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З).

Примеры обработки персональных данных:

• ведение клиентской базы (физических лиц, с которыми заключены договоры);

• использование электронных адресов клиентов (физических лиц) для новостной рассылки;

• использование номеров мобильных телефонов (для информирования о выгодных предложениях);

• сбор документов на детей в детсад или школу;

• заключение договоров в банках, страховых компаниях;

• получение паспортных данных клиентов или создание базы данных работников - контактов клиентов;

• список аффилированных лиц хозяйственного общества;

• заказ товаров в интернет-магазине;

• регистрация клиентов на сайте организации.

 

Договор должен содержать необходимые существенные условия: цель, перечень действий по обработке, оговорку о конфиденциальности и меры защиты. Уполномоченное третье лицо не обязано самостоятельно получать согласие субъекта персональных данных, за это отвечает оператор.

Перечень операторов:

• госорган;

• юрлицо Республики Беларусь;

• иная организация;

• физлицо, в том числе ИП (абз.8 ст.1 Закона № 99-З).

Таким образом, любое физическое или юридическое лицо (интернет-магазин, банк, медицинское учреждение, частная компания и т. д.), которое занимается обработкой персональных данных, будет оператором и подпадает под действие Закона № 99-З.

Обрабатывать данные операторы могут только с согласия субъекта персональных данных.

Обязанности субъектов в сфере обработки и защиты персональных данных

Оператор Уполномоченное лицо
Разъяснять субъекту данных его права, связанные с обработкой данных (абз.2, 5 п.1 ст.16 Закона № 99-З) Соблюдать цели обработки персональных данных (ч.1 п.4 ст.4, абз.2 п.1 ст.7 Закона № 99-З)
Получать согласие на обработку данных (абз.3 п.1 ст.16 Закона № 99-З) Совершать обработку персональных данных по определенному перечню действий (абз.3 п.1 ст.7 Закона № 99-З)
Предоставлять субъекту персональных данных возможность ознакомления со своими данными (абз.5 п.1 ст.16 Закона № 99-З) Обеспечивать конфиденциальность персональных данных (абз.4 п.1 ст.7 Закона № 99-З)
Прекратить обработку данных или удалить их по требованию (абз.7 п.1 ст.16 Закона № 99-З) Организовывать обучение определенных лиц по вопросам защиты персональных данных и т. д. (абз.4 п.3 ст.17 Закона № 99-З, подп.3.3 п.3 Указа от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»)
Обеспечивать защиту данных (абз.4 п.1 ст.16 Закона № 99-З)
Уведомлять в определенное время уполномоченный орган о нарушениях систем защиты персональных данных (абз.8 п.1 ст.16 Закона № 99-З)  
Опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику обработки данных и требования по их защите (ч.2 п.5 ст.5 Закона № 99-З), и др.  

 

внимание

Обратите внимание!

Обработка персональных данных оператором или уполномоченным лицом невозможна без получения согласия субъекта данных (ч.1 п.3 ст.4 Закона № 99-З).

 

Обязанности оператора и уполномоченного лица различаются:

• уполномоченное лицо не обязано получать согласие субъекта персональных данных, это обязанность оператора;

• ответственность перед субъектом персональных данных за действия уполномоченного лица несет оператор, уполномоченное лицо несет ответственность перед оператором.

В остальном обязанности оператора и уполномоченного лица совпадают.

Оператору необходимо сообщить субъекту, что доступ к его данным будет иметь третье лицо (уполномоченный оператор). Это могут быть СМС-ассистенты, Яндекс Метрика, Bitrix24, Facebook Adsmanager, Google Analytics.

 

пример ситуация

Пример

Организация «Весна» использует сервис e-mail-рассылок, предоставляемый ООО «Новая почта».

Организация «Весна» будет оператором и несет ответственность перед субъектами персональных данных.

Обрабатывает персональные данные оператор. По договору оператор может поручить обработку персональных данных от имени оператора или в его интересах уполномоченному лицу (абз.16 ст.1 Закона № 99-З). Уполномоченное лицо ООО «Новая почта» выполняет по договору с организацией «Весна» (оператором) одну из его функций и действует в его интересах. Если оператор поручает обработку персональных данных уполномоченному лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность перед оператором (п.3 ст.7 Закона № 99-З). Значит, если уполномоченное лицо нарушит конфиденциальность при обработке персональных данных, ответственность несет оператор. За нарушение законодательства о защите персональных данных предусмотрена ответственность по ст.23.7 КоАП.

 

список

Дополнительно по теме

Алгоритм действий оператора: разъяснение.

Алгоритм приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных».

Является ли уполномоченным лицом организация, осуществляющая техническое обслуживание информационного ресурса оператора на основании соответствующего договора в случае, если такая организация не совершает никаких действий с хранящимися на таком ресурсе персональными данными?

2.3. Национальный центр защиты персональных данных

В развитие норм Закона № 99-З подписан Указ № 422, которым предусмотрено создание Национального центра защиты персональных данных (далее - НЦЗПД, Национальный центр), уполномоченного органа по защите прав субъектов персональных данных (п.5 ст.18 Закона № 99-З).

Указом № 422 предусмотрено право НЦЗПД на осуществление приносящей доходы образовательной деятельности.

Национальный центр вправе осуществлять повышение квалификации работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности по вопросам технической и (или) криптографической защиты информации (подп.3.1 п.3 Указа № 422).

Указом № 422 введена обязанность:

собственников (владельцев) информационных систем и владельцев критически важных объектов информатизации, указанных в ч.1 п.3 Положения о технической и криптографической защите информации, утв. Указом от 16.04.2013 № 196, а также организаций, осуществляющих подлежащую лицензированию деятельность по технической и (или) криптографической защите информации (по установленному перечню работ и услуг), обеспечивать на базе Национального центра не реже одного раза в 3 года повышение квалификации своих работников и (или) иных лиц, в обязанности которых входит обеспечение информационной безопасности по вопросам технической и (или) криптографической защиты информации (подп.3.2 п.3 Указа № 422);

операторов (уполномоченных лиц) организовывать прохождение лицами, ответственными за осуществление внутреннего контроля за обработкой персональных данных, а также лицами, непосредственно осуществляющими обработку персональных данных, не реже одного раза в 5 лет обучения по вопросам защиты персональных данных на базе НЦЗПД, оператора и других организаций.

3. Общие требования к обработке персональных данных

3.1. Цели обработки персональных данных

Обработка персональных данных должна ограничиваться достижением заранее заявленных конкретных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки (ч.1 п.4 ст.4 Закона № 99-З).

Возможные цели:

• организация и проведение мероприятий, в том числе конференций (направление приглашений, изготовление беджей и др.);

• рассмотрение заявки о трудоустройстве;

• заключение и исполнение трудового договора с работниками, совершение необходимых действий в рамках трудовой деятельности;

• заключение, исполнение, изменение и расторжение договора;

• рассылка анонсов будущих мероприятий и публикаций по электронной почте;

• направление ответа на поступившее обращение.

Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям их обработки.

 

пример ситуация

Пример

Интернет-магазин не вправе требовать от покупателя паспортные данные или просить указать почтовый адрес, если клиент забирает товар самовывозом.

 

При появлении новых целей необходимо получать новое согласие (ч.2 п.4 ст.4 Закона № 99-З).

От формулировки целей зависит срок хранения и обработки персональных данных, поэтому важно предусматривать все возможные варианты использования данных физлица.

3.2. Получение согласия субъекта персональных данных на их обработку

Согласие может быть дано как в письменной форме, так и с помощью CMC-сообщения с кодом, электронной почты, а также проставления отметки (галочки) на сайте (ч.1 п.2, абз.2 п.3 ст.5 Закона № 99-З).

Согласие должно быть свободным, однозначным, целевым и информированным, то есть до дачи своего согласия субъект персональных данных должен быть проинформирован о (об):

• названии и местонахождении оператора;

• цели обработки;

• перечне персональных данных;

• сроке, на который дается согласие;

• информации об уполномоченных третьих лицах;

• перечне действий с персональными данными;

• иной информации для «прозрачности» процесса обработки персональных данных (п.5 ст.5 Закона № 99-З).

До получения согласия оператор обязан разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия или отказа в даче такого согласия. Эта информация должна представляться отдельно от иной информации.

Обязанность доказать получение согласия пользователя возлагается на оператора.

 

внимание

Обратите внимание!

При даче согласия физлицо указывает свои Ф.И.О., дату рождения и идентификационный номер. Если такие данные не нужны оператору в соответствии с заявленными им целями обработки, обрабатывать их запрещается (п.6 ст.5 Закона № 99-З).

 

список

Дополнительно по теме

О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента. Комментарий к постановлению Минздрава от 07.06.2021 № 74.

 

В Законе № 99-З конкретно не определено, что должно содержаться в письменном согласии физлица. Полагаем, в согласии целесообразно указать:

• Ф.И.О. физлица, чьи персональные данные будут обрабатываться;

• перечень персональных данных, на обработку (сбор, хранение, распространение, представление) которых дается согласие;

• цели обработки (сбор, хранение, распространение, представление) персональных данных;

• перечень действий, на совершение которых дается согласие;

• срок, на который дается согласие;

• порядок отзыва согласия (п.5 ст.5 Закона № 99-З).

 

список

Дополнительно по теме

Для учета посетителей, приходящих к директору, заполняется соответствующий журнал с указанием даты и времени прихода и ухода, Ф.И.О. посетителя и его подписи. Соответствует ли такой подход к учету посетителей законодательству о персональных данных? new

3.3. Когда можно использовать персональные данные без получения согласия субъекта персональных данных

Ситуации, когда не требуется получать согласие Примечание
В рамках трудовых (служебных) отношений, включая их оформление Законодательством определен перечень документов, предъявляемых при заключении трудового договора (ст.26 ТК). Следовательно, на их обработку согласие работника получать не нужно
При заключении (исполнении) договора с физлицом, в том числе гражданско-правового договора на выполнение работ (оказание услуг) В обязанности заказчика входит оплата работ (услуг), уплата подоходного налога, страховых взносов (абз.2 и 3 подп.1.1 п.1 Указа от 06.07.2005 № 314 «О некоторых мерах по защите прав граждан, выполняющих работу по гражданско-правовым и трудовым договорам»). Поэтому согласия на обработку персональных данных, которые необходимы для исполнения этих обязательств (Ф.И.О., расчетный счет и др.), не требуется
Если персональные данные указаны в документе, адресованном оператору и подписанном физлицом, в соответствии с содержанием такого документа При записи обращения в книге замечаний и предложений организации гражданин заполняет реквизиты книги в соответствии с пп.13 и 14 Положения о порядке выдачи, ведения и хранения книги замечаний и предложений, утв. постановлением Совмина от 16.03.2005 № 285
При обработке распространенных ранее персональных данных Распространить персональные данные - значит совершить действия, направленные на ознакомление с ними неопределенного круга лиц (абз.11 ст.1 Закона № 99-З)
При осуществлении нотариальной деятельности  
Для осуществления учета, расчета и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещения расходов на электроэнергию, платы за другие услуги и возмещения налогов, а также при предоставлении льгот и взыскании задолженности по плате за жилищно-коммунальные услуги, плате за пользование жилым помещением и возмещении расходов на электроэнергию  
Для обработки в научных или иных исследовательских целях Персональные данные должны быть обезличены
Обработка происходит в целях осуществления законной профессиональной деятельности журналиста и (или) деятельности СМИ, организации, осуществляющей издательскую деятельность Деятельность лиц и организаций должна быть направлена на защиту общественного интереса
При обработке персональных данных, необходимых для выполнения обязанностей (полномочий), предусмотренных законодательными актами  
Для защиты жизни, здоровья или иных жизненно важных интересов физлица или иных лиц, если получение согласия физлица невозможно Сообщение персональных данных, когда физлицо это сделать не в состоянии (например, из-за болезни)
Для ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности  
Для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов  
Для осуществления контроля (надзора) в соответствии с законодательными актами  
При реализации норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения  
При реализации норм законодательства о выборах, референдуме, об отзыве депутата Палаты представителей, члена Совета Республики Национального собрания, депутата местного Совета депутатов  
Для ведения индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования  
При рассмотрении вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь  
Когда обработка осуществляется в целях назначения и выплаты пенсий, пособий  
В случае организации и проведения государственных статистических наблюдений, формирования официальной статистической информации  
В других случаях, когда законодательными актами прямо предусматривается обработка персональных данных без согласия физлица  

 

пример ситуация

Пример 1

Организация делает рассылку для клиентов - информация об оказываемых услугах, скидках, акциях и др. Это возможно только при наличии согласия субъекта. По GDPR в аналогичной ситуации при определенных условиях можно не получать согласие пользователя, а ссылаться на законный (легитимный) интерес.

 

пример ситуация

Пример 2

Специалист кадрового агентства хочет получить данные из резюме кандидата на работу по электронным каналам. Для этого нужно сначала получить согласие субъекта персональных данных на их обработку, например, на сайте агентства. Ознакомившись с перечнем обрабатываемой информации и целями обработки, субъект может дать согласие и загрузить резюме или заполнить форму прямо на сайте.

Агентство обязано в любой момент удалить всю информацию о субъекте и прекратить обработку его данных, как только он этого потребует.

Без согласия субъекта нельзя передавать резюме из одной компании в другую с той же целью - найма на работу.

3.4. Права субъекта персональных данных

 

Права субъекта персональных данных (кроме прочего)

Права субъекта персональных данных и действия оператора

Права субъекта Содержание Действия оператора
Получение информации, касающейся обработки персональных данных (п.1 ст.11 Закона № 99-З) Информация содержит:
- наименование и местонахождение оператора;
- подтверждение факта обработки;
- источник получения - правовые основания и цели обработки;
- срок, на который дано согласие на обработку;
- наименование и место нахождения уполномоченного лица, которому оператор передает персональные данные для обработки.
При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации
В течение 5 рабочих дней после получения заявления предоставить запрашиваемую информацию либо уведомить о причинах отказа в ее предоставлении (п.2 ст.11 Закона № 99-З)
Получение информации о предоставлении персональных данных третьим лицам (п.1 ст.12 Закона № 99-З) Физлицо вправе получать от оператора информацию о предоставлении своих персональных данных уполномоченным лицам один раз в календарный год бесплатно В срок до 15 календарных дней с момента получения заявления предоставить информацию о том, какие персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить о причинах отказа в ее предоставлении (п.2 ст.12 Закона № 99-З)
Внесение изменений в свои персональные данные (ч.1 п.4 ст.11 Закона № 99-З) Если персональные данные неполные, устаревшие или неточные В срок до 15 календарных дней с момента получения заявления оператор вносит изменения в персональные данные, если они являются неполными, устаревшими или неточными (ч.2 п.4 ст.11 Закона № 99-З)
Требовать прекращения обработки персональных данных и (или) их удаления (ч.1 п.1 ст.13 Закона № 99-З) При отсутствии оснований для обработки персональных данных субъект вправе требовать от оператора бесплатного прекращения (удаления) обработки своих персональных данных В срок до 15 календарных дней с момента получения заявления прекратить обработку персональных данных (есть исключение - оператор).
Если у оператора нет технической возможности удалить персональные данные, принять меры по недопущению их дальнейших обработки, распространения и предоставления (включая обязанность по блокировке данных) и уведомить пользователя в тот же срок (п.2 ст.13 Закона № 99-З)
Отозвать предоставленное ранее согласие на обработку персональных данных (п.1 ст.10 Закона № 99-З) Субъект может отозвать согласие в любое время без объяснения причин. Это не влияет на законность обработки до момента отзыва согласия В срок до 15 календарных дней с момента получения заявления на отзыв прекратить обработку персональных данных, осуществить их удаление и уведомить об этом (есть исключение, когда оператор вправе продолжить обработку персональных данных при наличии оснований, установленных законодательством Республики Беларусь) (п.2 ст.10 Закона № 99-З).

Справочно

Те же последствия, что и при отзыве согласия, то есть обязанность прекратить, удалить, уведомить, наступают по окончании срока действия или расторжения договора, в соответствии с которым обрабатывались персональные данные (п.3 ст.10 Закона № 99-З)
Обжаловать действия (бездействие) и решения оператора, связанные с обработкой персональных данных (п.1 ст.15 Закона № 99-З) Если субъект персональных данных полагает, что обработка его персональных данных нарушает законодательство в сфере защиты персональных данных, он может подать жалобу в уполномоченный орган  

 

внимание

Обратите внимание!

Заявление о реализации любого из прав должно подаваться в форме письменного документа либо в форме электронного документа, подписанного электронной цифровой подписью субъекта персональных данных.

 

список

Дополнительно по теме

Организация обрабатывает персональные данные граждан с целью осуществления телефонных звонков рекламного характера на основании согласия, полученного в письменной форме при заключении договора. На просьбу одного из клиентов прекратить подобные звонки работник организации уведомил его о необходимости приехать в офис и написать отдельный документ. Соответствует ли такой ответ законодательству о персональных данных?

3.5. Обязательства по защите персональных данных

Одна из основных обязанностей оператора (уполномоченного лица) - принятие правовых, организационных и технических мер по обеспечению защиты персональных данных:

от несанкционированного или случайного доступа к ним;

• изменения;

• блокирования;

• копирования;

• распространения;

• предоставления;

• удаления персональных данных;

• иных неправомерных действий в отношении персональных данных.

В этой связи оператор (уполномоченное лицо) определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей по обеспечению защиты персональных данных. Для обеспечения защиты персональных данных оператор (уполномоченное лицо) обязан:

• назначить лицо (отдел), ответственное за защиту персональных данных;

• разработать политику в отношении обработки персональных данных и сделать ее доступной для неограниченного круга лиц (в том числе посредством сети Интернет);

• провести обучение работников работе с персональными данными;

• установить порядок доступа к персональным данным;

• осуществлять техническую и криптографическую защиту персональных данных (п.3 ст.17 Закона № 99-З).

Действия оператора по защите персональных данных

Защита персональных данных
На бумажных носителях В электронном виде
Хранение в специальных помещениях раздельно по целям, согласно которым обрабатываются персональные данные, так как от этого зависит срок хранения (п.8 ст.4 Закона № 99-З).
В некоторых случаях обязательно хранить в несгораемых шкафах и сейфах, например, трудовые книжки (ч.1 п.80 Инструкции о порядке ведения трудовых книжек, утв. постановлением Минтруда и соцзащиты от 16.06.2014 № 40)
Обеспечение безопасности помещений, в которых размещена информационная система, от неконтролируемого проникновения или неправомерного доступа
Утверждение перечня лиц, имеющих доступ в такие помещения (особый режим доступа) Обеспечение сохранности носителей персональных данных
Организация охраны помещений (оборудование сигнализацией, металлическими самозакрывающимися дверьми, решетками на окнах) Утверждение перечня лиц, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе
  Защита информации с помощью средств, прошедших процедуру оценки соответствия (в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз)

 

Подробнее требования по организации защиты персональных данных (информации ограниченного распространения) изложены в приказе ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449».

 

список

Дополнительно по теме

В Беларуси появится Национальный центр защиты персональных данных. Комментарий к Указу от 28.10.2021 № 422.

Положение о порядке осуществления внутреннего контроля за обработкой персональных данных (пример).

Положение о политике в отношении обработки куки (пример).

Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) (пример).

Положение о реестре обработки персональных данных (пример).

Уведомление о нарушении системы защиты персональных данных.

3.6. Удаление персональных данных

Закон № 99-З регулирует не только процесс сбора, использования, передачи и иных подобных действий с персональными данными (ПД), но и их удаления.

Удаление ПД - это действия, в результате которых становится невозможным восстановить ПД в информационных ресурсах (системах), содержащих ПД, и (или) в результате которых уничтожаются материальные носители ПД (абз.15 ст.1 Закона № 99-З).

Поэтому удалению подлежат ПД и в бумажном виде, и на цифровых носителях. Механизм удаления во многом и зависит от того, в каком виде и в каких документах содержатся ПД.

 

список

Дополнительно по теме

Удаление персональных данных.

На информационный стенд вывешивают поздравление работника с днем рождения (Ф.И.О., дата). Получено согласие. После оформляют акт об удалении бумажного поздравления и согласия. Верно? Сколько хранятся акты об удалении персональных данных?

Кто устанавливает срок хранения и обработки персональных данных субъектов персональных данных, а также от чего отталкиваться в определении данных сроков?

4. Трансграничная передача персональных данных

Для целей трансграничной передачи персональных данных Закон № 99-З разделяет государства на обеспечивающие надлежащий уровень защиты прав субъектов персональных данных и не обеспечивающие такового.

Передача данных за пределы Республики Беларусь в страны, которые не обеспечивают надлежащий уровень защиты данных, возможна только при наличии определенных оснований:

• есть согласие субъекта персональных данных;

• персональные данные получены на основании договора с субъектом персональных данных;

• персональные данные могут быть получены любым лицом посредством направления запроса;

• передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

• персональные данные обрабатываются в рамках исполнения международных договоров Республики Беларусь;

• передачу осуществляет орган финансового мониторинга;

• на основании разрешения уполномоченного органа (п.1 ст.9 Закона № 99-З).

В перечень иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов персональных данных, включены иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, принятой в г. Страсбурге 28 января 1981 г., а также иностранные государства, являющиеся членами Евразийского экономического союза (приказ директора НЦЗПД от 15.11.2021 № 14 «О трансграничной передаче персональных данных»).

Иностранные государства, не подписавшие и не ратифицировавшие Конвенцию, относятся к иностранным государствам, на территории которых не обеспечивается надлежащий уровень защиты прав субъектов персональных данных.

 

список

Дополнительно по теме

Что изменилось в трансграничной передаче персональных данных. Комментарий к приказу директора НЦЗПД от 26.12.2022 № 114.

5. Обязанности нанимателей в отношении персональных данных работников

Когда организация запрашивает паспортные данные и другие сведения у работников при заключении трудового договора или даже раньше - при подборе кандидата, она уже обрабатывает персональные данные.

Для оформления трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности сбор персональных данных может осуществляться без согласия работника, однако дальнейшее их распространение без соответствующего согласия прямо запрещено Законом № 99-З.

 


Документы, содержащие персональные данные работника


 

Обрабатывать персональные данные работника можно с его письменного согласия. Из этого правила есть исключения, регламентированные законодательством (ч.1 п.3 ст.4, п.2 ст.5 Закона № 99-З).

Исключения ограничены целями трудового договора (контракта). Наниматель может получить от работника только ту информацию, которая необходима ему для оформления трудовых отношений, надлежащего выполнения условий трудового договора обеими сторонами и соблюдения требований законодательства (абз.8 ст.6 Закона № 99-З). Без отдельно оформленного согласия работника можно запросить сведения, которые должны содержаться в документах, предъявляемых при заключении трудового договора, в его личном деле и представляться в уполномоченные государственные органы (например, данные для форм отчетов в различные органы).

Цели обработки персональных данных работников, когда их согласия не требуется

Цели обработки персональных данных работников НПА
Ведение индивидуального (персонифицированного) учета сведений о застрахованных лицах для целей государственного социального страхования, в том числе профессионального пенсионного страхования Абзац 7 ст.6 Закона № 99-З
В целях назначения и выплаты пенсий, ежемесячного денежного содержания отдельным категориям государственных служащих, пособий Абзац 11 ст.6 Закона № 99-З
Для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации Абзац 12 ст.6 Закона № 99-З
Для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение согласия субъекта персональных данных невозможно. Например, при получении травмы на производстве Абзац 18 ст.6 Закона № 99-З
Для выполнения обязанностей (полномочий), предусмотренных законодательными актами.
Например, при реализации норм законодательства о борьбе с коррупцией: когда государственное должностное лицо, лицо, претендующее на занятие должности государственного должностного лица, дает обязательство соблюдать установленные ограничения, а также порядок предотвращения и урегулирования конфликта интересов, представляет декларацию о доходах и имуществе при поступлении на службу, при назначении на определенные должности
Абзац 20 ст.6 Закона № 99-З;
ст.16, 29, 30 Закона от 15.07.2015 № 305-З «О борьбе с коррупцией»

 

список

Дополнительно по теме

Комментарий НЦЗПД в части пошагового алгоритма действий оператора (уполномоченного лица) для защиты обрабатываемых персональных данных.

По разъяснениям НЦЗПД, обязательство о неразглашении персональных данных получать от работников не нужно. Как быть с теми обязательствами, что уже получены, можно ли продолжать брать их и дальше?

 

На обработку персональных данных в иных целях, в том числе не связанных с трудовой деятельностью, наниматель должен получить согласие работника по общим правилам (ч.1 п.3 ст.4 Закона № 99-З).

 

Ситуация, когда нужно получать согласие Пояснение
Получение резюме от соискателя Согласие необходимо получить до (или сразу после) получения резюме
Составление списка работников с указанием паспортных данных для проведения выездного мероприятия (турслет, спартакиада и др.) При неполучении согласия на обработку персональных данных, указанных ранее в ЛПА, либо отсутствии такой цели обработки в ЛПА
Использование сведений о детях при составлении списков новогодних подарков Сведения требуются с целью правильного расчета подоходного налога
Размещение фотографии работника на сайте или в социальных сетях Использование фотографий работника в интернете хоть и объясняется тем, что работник состоит с нанимателем в трудовых отношениях, однако, как правило, не влияет на надлежащее выполнение трудовых обязанностей

 

список

Дополнительно по теме

Необходимо ли получать от работников обязательство о неразглашении персональных данных?

Гражданка оформляется на работу и отказывается предоставлять данные о супруге. Не хочет указывать его Ф.И.О. и дату рождения, ссылаясь на такое право по законодательству о защите персональных данных. Ей нужно заполнить личный листок по учету кадров. Соответственно, она не будет указывать в нем ту информацию, которую не хочет. Правомерно ли это? Какие персональные данные гражданин обязан предоставить при оформлении на работу?

Согласно коллективному договору в случае смерти близких родственников работнику организации предоставляется социальный оплачиваемый отпуск в количестве 3 дней. При написании заявления на предоставление такого отпуска должен ли работник указывать номер и дату свидетельства о смерти близкого родственника и номер и дату свидетельства о своем рождении (факт подтверждения родства)? Не будет ли это нарушением Закона от 07.05.2021 № 99-З «О защите персональных данных»?

Обработка персональных данных, указанных соискателями в резюме, размещенных на специализированных сайтах по поиску работы.

Для обеспечения пропускного режима организация по производству пищевой продукции использует СКУД. Программа предусматривает обязательное внесение биометрических данных работника (его фотоизображения лица). Данная форма пропускного режима обеспечивает работнику охраны возможность идентифицировать входящего на охраняемый объект по его фотоизображению лица на мониторе. Является ли обработка биометрических данных работника условием для получения у него письменного согласия на это?

В организацию здравоохранения поступают письменные обращения, в которых заявители просят (требуют) сообщить фамилию, имя, отчество медицинских работников, которые оказывали помощь. Как поступать при предоставлении ответа?

5.1. Алгоритм организации защиты персональных данных (для кадровой службы и юридического отдела) в организации

Шаг 1
Назначить ответственного за осуществление внутреннего контроля за обработкой персональных данных
   
Шаг 2
Выявить бизнес-процессы, где используются персональные данные. Составить реестр обработки персональных данных
   
Шаг 3
Проанализировать, насколько существующий вид обработки персональных данных соответствует нормам законодательства
   
Шаг 4
Подготовить политику обработки персональных данных. Разработать, внести изменения в ЛПА
   
Шаг 5
Внести изменения в должностные инструкции лиц, которые обрабатывают персональные данные. Ознакомить работников и лиц, которые обрабатывают персональные данные, с положениями законодательства о персональных данных и ЛПА
   
Шаг 6
Организовать обучение лиц, которые обрабатывают и защищают персональные данные
   
Шаг 7
Получить согласие на обработку персональных данных у работников (выход за рамки трудовых отношений)

Шаг 1. Назначить ответственного за осуществление внутреннего контроля за обработкой персональных данных

Законодатель выстроил двухуровневую систему контроля за обработкой персональных данных:

1) уполномоченный орган - НЦЗПД;

2) на уровне каждой организации - внутренний контроль.

Их функции - обеспечить соответствие деятельности организации требованиям закона и избежать претензий, штрафов, нарушения прав субъекта персональных данных.

Не рекомендовано функцию контроля возлагать только на лиц, которые занимаются защитой информационных ресурсов, поскольку большая часть возникающих вопросов юридические.

Нельзя передать функцию контроля сторонней организации (аутсорсинг), так как закон использует термин «назначение», что предполагает определенные административные взаимоотношения с лицом, в отношении которого принимается такое решение. Стороннюю организацию можно привлечь для разработки ЛПА.

 

список

Дополнительно по теме

Алгоритм действий оператора: разъяснение.

Варианты назначения лица, ответственного за внутренний контроль?

Введена должность «специалист по внутреннему контролю за обработкой персональных данных»: действия нанимателя.

Целесообразно ли поручить ведение реестра обработки персональных данных работнику, который выполняет обязанности ответственного за внутренний контроль?

Шаг 2. Выявить бизнес-процессы, где используются персональные данные. Составить реестр обработки персональных данных

Примеры бизнес-процессов, в которых может принимать участие кадровая служба:

• оформление (прием) на работу;

• регулирование трудовых отношений (изменение, прекращение трудового договора; предоставление отпусков);

• проверка деклараций о доходах и имуществе;

• ведение учета фактически отработанного времени (сводки, табели, графики);

• ведение воинского учета;

• подача документов в целях осуществления государственного социального страхования;

• подача документов индивидуального (персонифицированного) учета застрахованных лиц, послуживших основанием для начисления пенсии;

• аттестация работников (для контрактной формы найма);

• направление на профессиональную подготовку, повышение квалификации, стажировку и переподготовку;

• рассмотрение индивидуальных трудовых споров (ИТС);

• обязательное страхование от несчастных случаев на производстве и профессиональных заболеваний;

• оформление формы ПУ-2 при прекращении трудовых отношений.

 

справочно

Справочно

Реестр обработок рекомендовано вести согласно разъяснениям, данным в ходе вебинара «Новое законодательство о персональных данных» (запись трансляции вебинара от 30.11.2021 на YouTube-канале НЦПИ).

Спикеры: Сергей Задиран - заместитель директора НЦЗПД; Николай Саванович - заместитель начальника управления - начальник отдела конституционного права НЦЗПИ.

 

список

Дополнительно по теме

Разрабатываем формы документов по защите персональных данных: 9 рекомендаций.

Шаг 3. Проанализировать, насколько существующий вид обработки персональных данных соответствует нормам законодательства

Провести инвентаризацию и привести в соответствие с требованиями Закона № 99-З обработку персональных данных.

Учитываем:

• наличие правовых оснований обработки персональных данных;

• избыточность или недостаток персональных данных;

• организации, учреждения, в которые представляются персональные данные;

• срок хранения персональных данных.

Шаг 4. Подготовить политику обработки персональных данных. Разработать, внести изменения в ЛПА

Политика обработки персональных данных отражает, что обрабатывает организация-оператор и для чего. Политика должна быть у каждого оператора и уполномоченного лица.

Возможные пункты политики:

1. Используемые определения.

2. Какие персональные данные, для каких целей и на каком основании обрабатываются.

3. Срок хранения персональных данных.

4. Доступ третьих лиц к персональным данным.

5. Права субъекта персональных данных.

6. Условия получения и отзыва согласия субъекта персональных данных, срок действия согласия.

 

список

Дополнительно по теме

Положение о политике в отношении обработки персональных данных в процессе трудовой деятельности и при осуществлении административных процедур (пример).

Рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных.

 

Действия оператора:

• внести изменения в Правила внутреннего трудового распорядка;

• издать приказ о внесении дополнений в Правила внутреннего трудового распорядка (в целях исполнения Закона № 99-З);

• направить письмо профсоюзу о согласовании внесения дополнений в Правила внутреннего трудового распорядка;

• подготовить дополнительное соглашение к контракту (в целях исполнения Закона № 99-З);

• разработать должностные инструкции;

• издать необходимые приказы о защите персональных данных работников.

 

список

Дополнительно по теме

Уведомления

Разъяснение субъекту персональных данных прав, связанных с обработкой его персональных данных, механизма их реализации, а также последствий дачи им согласия или отказа в даче такого согласия (пример).

Согласия

Согласие на обработку персональных данных (с комментариями).

Согласие (отказ), отзыв согласия пациента (лиц, указанных в части второй статьи 18 Закона Республики Беларусь «О здравоохранении») на (от) внесение(я) и обработку(и) персональных данных пациента и информации, составляющей врачебную тайну (с 23 июля 2021 года).

 

внимание

Обратите внимание!

По последним рекомендациям и разъяснениям НЦЗПД, в соответствии с Законом № 99-З получение от работников обязательства о неразглашении персональных данных не требуется и приведет к появлению дополнительного, не основанного на законодательстве документа, содержащего персональные данные работника (ч.6 п.2.8 Рекомендаций).

Шаг 5. Внести изменения в должностные инструкции лиц, которые обрабатывают персональные данные. Ознакомить работников и лиц, которые обрабатывают персональные данные, с положениями законодательства о персональных данных и ЛПА

внимание

Обратите внимание!

Постановлением Минтруда и соцзащиты от 31.10.2022 № 62 в выпуск 1 ЕКСД была включена новая должность служащего - специалист по внутреннему контролю за обработкой персональных данных.

Код должности служащего для сдачи форм персонифицированного учета - 2422-018.

 

Внести изменения в должностные инструкции работников, непосредственно обрабатывающих персональные данные.

Внести изменения в должностные инструкции лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных.

Обязательные меры по обеспечению защиты персональных данных:

• ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных;

• обучение указанных работников и иных лиц в порядке, установленном законодательством (абз.4 п.3 ст.17 Закона № 99-З).

 

внимание

Обратите внимание!

С 30 июня 2021 г. п.10 ч.1 ст.47 ТК предусмотрено новое основание увольнения: нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

Применяется без учета требований ст.43 и 46 ТК, поскольку не относится к основаниям увольнения по инициативе нанимателя (то есть не предусмотрено ст.42 ТК), но является одновременно мерой дисциплинарного взыскания (п.4 ч.1 ст.198 ТК), и при увольнении по п.10 ч.1 ст.47 ТК следует соблюсти требования гл.14 ТК.

Для увольнения работника по п.10 ч.1 ст.47 ТК необходимо выяснить:

• является ли работник лицом, допущенным к обработке персональных данных;

• был ли работник обучен в соответствии с законодательством работе с персональными данными, надлежащим образом ознакомлен с требованиями к работе с персональными данными.

 

список

Дополнительно по теме

Новая должность служащего - специалист по внутреннему контролю за обработкой персональных данных. Комментарий к постановлению Минтруда и соцзащиты от 31.10.2022 № 62.

Шаг 6. Организовать обучение лиц, которые обрабатывают и защищают персональные данные

Прохождение обучения в Национальном центре обязательно для лиц, ответственных за внутренний контроль в таких организациях, как банки, страховые и риэлтерские организации, а также в организациях, которые обрабатывают персональные данные не менее 10 тыс. физических лиц (за исключением персональных данных работников, которые обрабатываются в процессе осуществления трудовой деятельности) (подп.1.1 п.1 приказа ОАЦ от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных»).

Ответственные за осуществление внутреннего контроля лица и работники, непосредственно занимающиеся обработкой персональных данных, иных организаций также смогут пройти обучение в Национальном центре или в иных учреждениях образования, на обучающих курсах в виде тематических семинаров, практикумов, тренингов.

Как указано выше, каждые 3 года должны проходить обязательное обучение в НЦЗПД работники и (или) иные лица, в обязанности которых входит обеспечение информационной безопасности (подп.3.2 п.3 Указа № 422).

 

список

Дополнительно по теме

Журнал учета прохождения первичного инструктажа работниками, допущенными к работе с персональными данными.

Журнал проведения обучения лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, и иных лиц.

Шаг 7. Получить согласие на обработку персональных данных у работников (выход за рамки трудовых отношений)

Наниматель обязан разъяснить работнику его права, связанные с обработкой персональных данных, получить на это согласие работника, если такая обработка осуществляется не в рамках трудовых отношений, ознакомить работников с политикой в отношении обработки персональных данных.

Обязательная форма согласия работника на обработку персональных данных не предусмотрена. Можно использовать форму, которая разработана для получения согласия от физических лиц. (См. подраздел 3.2. Получение согласия субъекта персональных данных на их обработку.)

Получение согласия должно быть свободным, однозначным и информированным.

В процессе осуществления трудовых обязанностей наниматель может устанавливать контроль в течение рабочего времени за работником с использованием компьютерных программ и (или) камер видеонаблюдения и т. п. По сути, такие действия - также сбор персональных данных. Наниматель в таком случае должен получить письменное согласие работника на сбор персональных данных.

Получая информацию о работнике, наниматель обязуется принимать все необходимые меры по ее защите и соблюдать конфиденциальность персональных данных.

 

список

Дополнительно по теме

Защита персональных данных при их обработке: ответы на вопросы сообщества «Бизнес-Инфо».

Использование видеонаблюдения в сфере трудовых отношений.

Согласие на обработку персональных данных (пример).

Согласие на обработку персональных данных.

Дополнительное соглашение к контракту (в целях исполнения Закона о защите персональных данных) (пример).

Имеет ли право наниматель собирать сведения о прививках от гриппа и иных заболеваниях у сотрудников без их согласия?

Требуется ли получать согласие работников при заключении договора добровольного страхования медицинских расходов?

Должен ли кадровик при приеме на работу брать у работника согласие на обработку его персональных данных профсоюзом?

Допускается ли помещать в личное дело копию паспорта, копию военного билета работника?

Может ли наниматель использовать фотографию из паспорта без согласия работника для работы внутри организации?

Надо ли согласие при ведении оператором «Инстаграма», где отображается корпоративная жизнь коллектива (фото- и видеосъемка)?

Следует ли рассматривать обслуживающий банк юрлица как уполномоченное лицо при обработке персональных данных (ПД) с учетом предоставления ему таких данных (по работникам - для перечисления зарплаты, авансов по командировкам, по неработникам - подрядчики физлица, перечисление алиментов и др.)?

Может ли отдел кадров предоставить персональные данные (номера телефонов, дату рождения, адрес проживания) сотрудников организации в военкомат не по письменному, а по телефонному запросу?

С учетом норм законодательства о персональных данных допустимо ли со стороны службы безопасности проведение проверки кандидатов на трудоустройство?

Обязан ли кадровик представлять паспортные данные на работников предприятия (не идентификационный номер) в Белгосстрах? new

Организация отправила работникам СМС о том, что переходит на обслуживание другого банка, и для этого необходимо принести в бухгалтерию паспорта. Законно ли это? Согласно Закону от 07.05.2021 № 99-З «О защите персональных данных» необходимо взять согласие на обработку этих данных. Правомерно ли со стороны банка обрабатывать такие данные через бухгалтерию? new

5.2. Ошибки в обработке персональных данных в организации

 

список

Дополнительно по теме

Ошибки работников в части обработки персональных данных.

Риски использования личной почты и телефона работника с точки зрения защиты персональных данных.

Алгоритм подготовки к проверке НЦЗПД.

Ошибки установки видеонаблюдения в организации.

Соответствует ли законодательству о персональных данных хранение фотографий в личных делах работников? Необходимо ли получать согласие на такую обработку?

Дополнительная информацияУстановить закладкуКомментарии 6. Ответственность за нарушения в сфере персональных данных

6.1. Административная ответственность

 

Административная ответственность за нарушения в сфере персональных данных

 

внимание

Обратите внимание!

Разница между предоставлением и распространением персональных данных заключается в следующем:

1) под предоставлением понимают ознакомление с такими данными определенных лица или круга лиц (абз.10 ст.1 Закона № 99-З);

2) под распространением - ознакомление неопределенного круга лиц (чаще всего - размещение информации в общем доступе) (абз.11 ст.1 Закона № 99-З).

 

список

Дополнительно по теме

Ответственность за нарушение законодательства о защите персональных данных.

6.2. Уголовная ответственность

До недавнего времени уголовный закон не содержал специальных составов об ответственности за действия именно с персональными данными. Законом от 26.05.2021 № 112-З УК дополнен двумя новыми статьями:

2031 «Незаконные действия в отношении информации о частной жизни и персональных данных»;

2032 «Несоблюдение мер обеспечения защиты персональных данных».

При этом ст.179 из УК исключена, а ст.2031 и 2032 размещены в главе о преступлениях против конституционных прав и свобод человека и гражданина (ст.179 ранее размещалась в главе о преступлениях против уклада семейных отношений и интересов несовершеннолетних).

В отличие от зарубежной практики, в Республике Беларусь акцент уголовной ответственности смещается исключительно на разглашающее физлицо.

 

Незаконные действия Ответственность
Статья 2031. Незаконные действия в отношении информации о частной жизни и персональных данных
Умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина Общественные работы, или штраф, или арест, или ограничение свободы на срок до 2 лет, или лишение свободы на тот же срок (ч.1)
Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина Ограничение свободы на срок до 3 лет или лишение свободы на тот же срок со штрафом (ч.2)
Действия, предусмотренные ч.1 или 2 ст.2031, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга Ограничение свободы на срок до 5 лет или лишение свободы на тот же срок со штрафом (ч.3)
Статья 2032. Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий Штраф, или лишение права занимать определенные должности или заниматься определенной деятельностью, или исправительные работы на срок до 1 года, или арест, или ограничение свободы на срок до 2 лет, или лишение свободы на срок до 1 года

 

Примечание. Общий регламент защиты персональных данных, Общий регламент по защите данных, Генеральный регламент о защите персональных данных (англ. General Data Protection Regulation, GDPR) - постановление Европейского союза (2016/679), с помощью которого Европейский парламент, Совет Европейского союза и Европейская комиссия усиливают и унифицируют защиту персональных данных всех лиц в Европейском союзе, в том числе экспорт данных из ЕС.

Названный Регламент направлен прежде всего на обеспечение гражданам возможности контроля над собственными персональными данными, на упрощение нормативной базы для международных экономических отношений.

 

Исключительное право на данный авторский материал принадлежит ООО «Профессиональные правовые системы»