



Типичные нарушения при принятии правовых и организационных мер по защите персональных данных
Ошибки, часто допускаемые при составлении Политики в отношении обработки персональных данных и других документов, принятии организационных мер в этой сфере, могут стать причиной конфликтов, жалоб, негативных правовых последствий для организации и ее работников, поскольку по сути являются нарушениями Закона от 07.05.2021 № 99-З «О защите персональных данных».
Ошибки при принятии правовых и организационных мер по защите персональных данных создают условия для совершения в организациях административных и дисциплинарных правонарушений - незаконных действий с персональными данными и даже могут быть квалифицированы как такие правонарушения.
Приведенные перечни выявляемых ошибок окажут помощь в проведении самоаудита разработанных в организации документов и мер по защите персональных данных.
В материале рассмотрены:
Нарушения при разработке Политики в отношении обработки персональных данных
В Политике в отношении обработки персональных данных на практике допускаются следующие нарушения:
• перечисляются цели обработки персональных данных без определения, к какой категории субъектов они относятся, что не позволяет конкретному субъекту понять, в каких целях будут обрабатываться именно его персональные данные;
• не указаны все действительно преследуемые и реализуемые цели обработки персональных данных;
• указываются неконкретные (общие) цели либо открытые перечни целей, что также не позволяет субъекту понять, в каких пределах, для какой конкретно цели его персональные данные будут собираться, храниться, использоваться или обрабатываться иным образом.
Например, цели, не соответствующие критерию конкретности:
- «осуществление функций, полномочий и обязанностей, возложенных на предприятие в соответствии с законодательством, решениями уполномоченного органа, Уставом»;
- «осуществление иных прав и обязанностей предприятия, предусмотренных Уставом, коллективным договором и иными ЛПА предприятия»;
- «достижение общественно значимых целей»;
- «иные цели, не противоречащие законодательству»;
• в перечне обрабатываемых персональных данных указываются излишние персональные данные, обработка которых не нужна для достижения конкретной цели;
• механически перечисляются все действия, входящие в понятие «обработка персональных данных», без отнесения, для достижения какой именно цели эти действия совершаются (такие действия, как предоставление и распространение персональных данных, необходимы для достижения далеко не всех целей);
• не указываются конкретные правовые основания обработки персональных данных отдельно для каждой цели обработки (без согласия субъекта, с согласия субъекта);
• ошибочно определяется способ получения согласия, например: «Передавая предприятию персональные данные, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей политике»;
• не определяются условия и порядок трансграничной передачи персональных данных;
• не приводится перечень уполномоченных лиц, которым поручается обработка персональных данных;
• для обращения к лицу, ответственному за осуществление внутреннего контроля, за содействием в реализации прав субъекта персональных данных указывается общий адрес электронной почты, номер телефона в «Контактах» предприятия (у лица, ответственного за осуществление внутреннего контроля, должны быть своя отдельная электронная почта и номер служебного телефона, которые указываются в Политике);
• на субъекта возлагаются обязанности, не предусмотренные законодательством, например: «Сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных»;
• отсутствие Политики на сайте юридического лица, иной организации, индивидуального предпринимателя;
• если же Политика на сайте есть, найти ее затруднительно (например, Политика размещена на сайте в разделе «Правовая информация»), тогда как Политика должна быть на первой странице (рекомендуется в «подвале» сайта);
• наименование Политики: «Политика конфиденциальности», нужно «Политика в отношении обработки персональных данных»;
• наименование ссылки на сайте «Политика конфиденциальности».
Нарушения при разработке Реестра обработки персональных данных
В Реестре обработки персональных данных на практике допускаются следующие нарушения:
• отсутствие Реестра;
• формальное составление Реестра без отражения всех процессов деятельности организации и целей обработки персональных данных всех категорий субъектов;
• приведенные выше применительно к Политике нарушения при формулировании целей обработки персональных данных, перечней обрабатываемых персональных данных, действий, совершаемых для достижения целей обработки, что влечет признание: «избыточная обработка»;
• при указании в Реестре действия «предоставление» не называется, кому именно предоставляются персональные данные для реализации конкретной цели обработки;
• указывается в качестве правового основания обработки согласие субъекта, тогда как есть иные правовые основания обработки персональных данных без согласия субъекта;
• при определении правовых оснований обработки персональных данных без согласия субъекта указывается только номер абзаца ст.6 или п.2 ст.8 Закона № 99-З, но не называется конкретный законодательный акт, который устанавливает обязанность организации либо предоставляет ей полномочия совершать определенные действия с персональными данными;
• если же называется законодательный акт, не указывается его структурный элемент (статья, пункт);
• в качестве правового основания обработки персональных данных без согласия субъекта называется не законодательный акт (закон, кодекс, декрет или указ), а иной НПА или даже ненормативный документ;
• сроки хранения персональных данных определяются без учета сроков хранения, нормативно определенных Перечнем № 140 и другими НПА;
• при определении сроков хранения не приводится ссылка на конкретный пункт Перечня № 140 или иного НПА, устанавливающий срок хранения;
• если срок хранения персональных данных нормативно не определен, по усмотрению организации устанавливаются слишком длительные сроки хранения персональных данных, тогда как сроки хранения должны быть разумными, то есть их можно логично обосновать.
Нарушения при получении согласия субъекта на обработку персональных данных в письменной форме (при личном общении с субъектом)
При получении согласия субъекта на обработку персональных данных в письменной форме (при личном общении с субъектом) на практике допускаются следующие нарушения:
• получение Согласия на достижение тех целей обработки персональных данных, на которые согласие субъекта не требовалось (когда имелись иные правовые основания обработки без согласия), например: «осуществление функций, полномочий и обязанностей, возложенных на предприятие в соответствии с законодательством»;
• формулирование неопределенных целей обработки на основании согласия, не соответствующих критерию конкретности, например:
- «осуществление прав и обязанностей предприятия, предусмотренных Уставом, коллективным договором и иными локальными правовыми актами предприятия»;
- «достижение общественно значимых целей»;
• открытый, а не исчерпывающий (определенный) перечень целей обработки, на которые получается согласие, например: согласие на «иные цели, не противоречащие законодательству»;
• получение одного общего согласия на разные самостоятельные (не связанные между собой) цели;
• получение одного согласия на все возможные действия с персональными данными без привязки к конкретной цели;
• излишний перечень действий, на совершение которых получается согласие, что является в том числе следствием предыдущего нарушения (чаще всего указываются предоставление и распространение персональных данных);
• не определяется перечень обрабатываемых персональных данных применительно к каждой цели обработки на основании согласия;
• избыточный объем (перечень) персональных данных, на обработку которых получается согласие, по отношению к заявленным целям их обработки (как следствие предыдущего нарушения);
• неконкретное определение лиц, которым в соответствии с согласием будут предоставляться персональные данные (например: «третьим лицам», «партнерам банка», «лицам, с которыми оператор состоит в договорных отношениях»), что не позволяет субъекту понять, кому еще попадут его персональные данные на основании подписанного им согласия, кем и как они будут использоваться;
• ошибочное отнесение к биометрическим персональным данным любого изображения человека при получении согласия;
• получение согласия в целях «совершения действий, необходимых для заключения и исполнения договора, заключенного (заключаемого) с Оператором, либо в связи с этим договором»
• неправильное определение (или даже отсутствие) срока, на который получается согласие, например:
- «Настоящее согласие действует до момента отзыва согласия, если иное не предусмотрено законодательством»;
- «Я ознакомлен с тем, что согласие действует с даты подписания до достижения целей обработки персональных данных»
• невыполнение обязательного требования о свободном характере согласия:
- принуждение к даче согласия;
- включение согласия на обработку персональных данных в текст гражданско-правового договора, в том числе публичного договора, пользовательского соглашения;
• невыполнение обязательного требования Закона № 99-З об информированном согласии: информация, предусмотренная п.5 ст.5 Закона № 99-З, должна быть предоставлена оператором субъекту перед дачей согласия;
• субъекту перед дачей согласия не предоставляется вся информация, предусмотренная п.5 ст.5 Закона № 99-З. Эта информация должна быть предоставлена субъекту в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации;
• неправильное определение способа получения согласия в Политике в отношении обработки персональных данных, например: «Передавая предприятию персональные данные, субъект персональных данных подтверждает свое согласие на обработку соответствующей информации на условиях, изложенных в настоящей Политике».
Нарушения при получении согласия субъекта на обработку персональных данных в электронной форме на сайте организации
При получении согласия субъекта на обработку персональных данных в электронной форме на сайте организации на практике допускаются следующие нарушения:
• приведенные выше нарушения применительно к получению согласия в письменной форме;
• не понятно, на что дается согласие, - просто нажать «галочку» на сайте, при этом не указано, на какие цели и действия с персональными данными получается согласие, в каком объеме персональных данных, на какой срок и т. д.;
• текст рядом с «галочкой» согласия: «Даю согласие / соглашаюсь с Политикой конфиденциальности». Нужно получать согласие на обработку персональных данных, а не согласие с документом организации, при этом согласие на обработку персональных данных на сайте не предусмотрено;
• «галочка» согласия проставлена заранее (по умолчанию), однако согласие - это только активное действие путем нажатия и постановки «галочки»;
• на сайте осуществляется сбор резюме (анкет) соискателей на трудоустройство, но получение согласия на такую обработку не предусмотрено.
Нарушения при обработке на сайте организации файлов куки (cookie)
При обработке на сайте организации файлов куки (cookie) на практике допускаются следующие нарушения:
• нет Политики в отношении обработки файлов куки;
• не предусмотрено получение согласия на обработку целевых необязательных (вспомогательных) аналитических и рекламных файлов куки;
• нет возможности отказа от обработки целевых необязательных (вспомогательных) аналитических и рекламных файлов куки, есть только кнопка «Принять», без нажатия которой сайтом пользоваться невозможно, что является принуждением к даче согласия на обработку файлов куки;
• не предусмотрена кастомизация (настройка) пользователем сайта выбора файлов куки («Персональные настройки куки»);
• не предусмотрена возможность отзыва согласия на обработку файлов куки в той же форме, в которой оно было получено.
Нарушения при поручении обработки персональных данных уполномоченному лицу
При поручении обработки персональных данных уполномоченному лицу на практике допускаются следующие нарушения:
• не определено, кто из контрагентов - уполномоченное лицо в смысле ст.7 Закона № 99-З;
• информация об уполномоченных лицах не отражена в Политике;
• при определении отношений с контрагентами - уполномоченными лицами не учитываются Рекомендации Национального центра защиты персональных данных о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных;
• с таким контрагентом не заключен договор (соглашение) как с уполномоченным лицом на обработку персональных данных;
• если договор (соглашение) с уполномоченным лицом заключен(о), в него не включены «Стандартные положения для включения в договор между оператором и уполномоченным лицом о поручении обработки персональных данных» - приложение к названным Рекомендациям НЦЗПД;
• приведенные в договоре (соглашении) с уполномоченным лицом цели обработки персональных данных не соответствуют целям, определенным в Политике оператора в отношении обработки персональных данных и Реестрах обработки персональных данных;
• в договоре (соглашении) с уполномоченным лицом указываются общие цели, не соответствующие критерию конкретности;
• в договоре (соглашении) с уполномоченным лицом не указан перечень поручаемых для обработки персональных данных, не называются конкретные действия с ними, которые поручаются уполномоченному лицу;
• в договоре (соглашении) с уполномоченным лицом не определяется обязанность уполномоченного лица по соблюдению конфиденциальности персональных данных (уполномоченное лицо не вправе распространять и (или) предоставлять персональные данные, которые стали ему известны в связи с исполнением договора о поручении обработки, в том числе после прекращения обработки без наличия правового основания, предусмотренного законодательными актами);
• в договор (соглашение) с уполномоченным лицом не включаются положения о том, что уполномоченное лицо гарантирует принятие мер по обеспечению защиты персональных данных в соответствии со ст.17 Закона № 99-З и что такие меры должны быть приняты до заключения договора;
• в договоре (соглашении) с уполномоченным лицом не определяется механизм контроля оператором выполнения уполномоченным лицом указанных мер (обязанность уполномоченного лица предоставлять оператору информацию, необходимую для подтверждения реализации мер по обеспечению защиты персональных данных в соответствии со ст.17 Закона № 99-З);
• в договоре (соглашении) с уполномоченным лицом не устанавливается обязанность уполномоченного лица по окончании договора прекратить обработку персональных данных, передать все персональные данные оператору либо удалить (блокировать) персональные данные (за исключением случаев, когда законодательными актами предусмотрена обязанность их хранения), а также удалить (блокировать) все имеющиеся копии персональных данных;
• в договоре (соглашении) с уполномоченным лицом не устанавливается механизм подтверждения прекращения обработки персональных данных уполномоченным лицом.
Нарушения при предоставлении персональных данных третьим лицам (другим организациям, гражданам)
При предоставлении персональных данных третьим лицам (другим организациям, гражданам) на практике допускаются следующие нарушения:
• предоставление персональных данных по запросу без понимания или прямого указания в запросе:
- в каких целях запрашивается информация, содержащая персональные данные,
- на каком правовом основании она запрашивается, какой законодательный акт, его статья, пункт предоставляют право иной организации запросить информацию, содержащую персональные данные, а организацию, получившую запрос, обязывает ее предоставить;
- в отношении кого конкретно запрашивается информация и в каком объеме персональных данных.
Нарушения при организации внутреннего контроля за обработкой персональных данных
При организации внутреннего контроля за обработкой персональных данных на практике допускаются следующие нарушения:
• не назначено лицо (структурное подразделение), ответственное за осуществление внутреннего контроля за обработкой персональных данных;
• лицо, ответственное за осуществление внутреннего контроля, назначено, но его обязанности не определены;
• назначено лицо, ответственное за осуществление внутреннего контроля, без реального осуществления такого контроля;
• обязанности такого лица определены без учета положений выпуска 1 ЕКСД и Постатейного комментария к Закону Республики Беларусь «О защите персональных данных»
• обязанности такого лица установлены только путем дополнения его должностной инструкции, а права такого лица, позволяющие выполнить эти обязанности, не определены;
• не издан отдельный локальный правовой акт - положение об организации внутреннего контроля за обработкой персональных данных;
• не определен порядок осуществления внутреннего контроля, действий в конкретных служебных ситуациях;
• не определены порядок планирования проверок, основания и порядок назначения внеплановых проверок;
• не определен порядок проведения плановых и внеплановых проверок, текущего мониторинга;
• не установлены порядок и форма отчетности о проведении проверок;
• не предусмотрены меры, обеспечивающие независимость внутреннего контроля;
• отсутствует план осуществления внутреннего контроля;
• план есть, но формальный и не выполняется.
Нарушения при возложении на работника обязанности осуществления внутреннего контроля за обработкой персональных данных
При возложении на работника обязанности осуществления внутреннего контроля за обработкой персональных данных на практике допускаются следующие нарушения:
• возложение функций внутреннего контроля только на специалиста по информационной безопасности (причина: он не будет компетентным в части большинства функций внутреннего контроля);
• назначение ответственных за осуществление внутреннего контроля в каждом структурном подразделении (причина: отсутствие единого подхода к внутреннему контролю, распыление контроля, конфликт интересов, невозможность обеспечить независимость контроля, что обусловлено подчиненностью руководителю подразделения и взаимоотношениями с коллегами по подразделению);
• назначение ответственным за осуществление внутреннего контроля руководителя организации либо одного из его заместителей (причина: конфликт интересов, невозможность выполнения функций внутреннего контроля по причине загруженности своими непосредственными обязанностями);
• возложение функций внутреннего контроля на работника, который сам непосредственно обрабатывает большие объемы персональных данных (причина: конфликт интересов).
Нарушения при определении обязанностей работников, непосредственно обрабатывающих персональные данные
При определении обязанностей работников, непосредственно обрабатывающих персональные данные, на практике допускаются следующие нарушения:
• обязанности работников при обработке персональных данных не определены;
• не установлен перечень должностей работников, чья трудовая функция непосредственно связана с обработкой персональных данных;
• формально дополнены должностные инструкции всех работников перечнем обязанностей из «Алгоритма приведения деятельности операторов, уполномоченных лиц в соответствие с требованиями Закона Республики Беларусь от 7 мая 2021 г. № 99-З "О защите персональных данных"»
• от работников потребовали подписать обязательство о неразглашении персональных данных (подписание такого обязательства законодательством не предусмотрено);
• не дополнены положения о структурных подразделениях в части, определяющей должностные обязанности и ответственность их руководителей, нормами об организации и контроле обработки и защиты персональных данных в подчиненном структурном подразделении.
Нарушения при ознакомлении работников, иных лиц, непосредственно обрабатывающих персональные данные, с нормативными положениями о защите персональных данных и обучении таких работников и иных лиц
При ознакомлении работников, иных лиц, непосредственно обрабатывающих персональные данные, с нормативными положениями о защите персональных данных и обучении таких работников и иных лиц на практике допускаются следующие нарушения:
• не проведено ознакомление всех работников и иных лиц, непосредственно обрабатывающих персональные данные, с положениями законодательства о персональных данных, в том числе с требованиями по их защите, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных;
• не проведено обучение всех таких работников и иных лиц законной работе с персональными данными;
• не установлен перечень должностей работников, чья трудовая функция непосредственно связана с обработкой персональных данных и, соответственно, которые должны быть ознакомлены и пройти обучение;
• не проводится ознакомление и обучение новых работников при их приеме на работу на соответствующие должности;
• не проводится ознакомление и обучение иных лиц, которые не являются работниками, непосредственно обрабатывающих персональных данные (например, студентов, прибывших для прохождения практики; граждан, выполняющих работы, оказывающих услуги на основании гражданско-правовых договоров);
• подменяется ознакомление обучением и, наоборот, вместо обучения проходит только ознакомление (ознакомление и обучение - это самостоятельные и разные по содержанию меры по обеспечению защиты персональных данных, хотя и объединенные в одном абз.3 п.3 ст.17 Закона № 99-З);
• ознакомление происходит не со всеми законодательными положениями в сфере защиты персональных данных, имеющими непосредственное отношение к трудовой функции работника;
• не всех работников ознакамливают с Политикой в отношении обработки персональных данных и всеми ЛПА организации в этой сфере, Реестрами обработки персональных данных;
• факт ознакомления работников и иных лиц с нормативными положениями и Политикой не фиксируется;
• обучение работников и иных лиц проходит, но это не фиксируется в отношении всех, кого было необходимо охватить таким обучением;
• обучение работников и иных лиц проходит, но не проводится проверка знаний по вопросам защиты персональных данных в форме собеседования, опроса, тестирования и других формах контроля знаний;
• если проверка знаний проводится, результаты контроля знаний не фиксируются.
Нарушения при реализации прав субъектов персональных данных
При реализации прав субъектов персональных данных на практике допускаются следующие нарушения:
• рассмотрение заявлений субъектов персональных данных о реализации прав (предусмотрены ст.10-13 Закона № 99-З) в соответствии с законодательством об обращениях граждан и юридических лиц;
• нарушение сроков и порядка рассмотрения заявлений субъектов персональных данных;
• непредставление ответа на заявление субъекта;
• нарушение срока дачи ответа на заявление;
• предоставление по заявлению субъекта неполной или не соответствующей действительности информации;
• на сайте, если согласие получалось в электронной форме путем проставления «галочки», не предусмотрена возможность отзыва согласия в электронной форме;
• на сайте предлагается для отзыва согласия направить письменное заявление об этом;
• по требованию субъекта не прекращается обработка персональных данных, не происходит их удаление, когда отсутствуют правовые основания для продолжения хранения персональных данных, их использования и совершения с ними других действий;
• продолжается рекламная рассылка, направление информационных и других материалов, несмотря на требование субъекта это прекратить.
Нарушения при установлении порядка доступа к персональным данным
При установлении порядка доступа к персональным данным на практике допускаются следующие нарушения:
• не установлен порядок доступа работников к персональным данным отдельным ЛПА- положением о порядке доступа к персональным данным (в том числе обрабатываемым в информационных ресурсах (системах));
• доступ работников к персональным данным с учетом их трудовой функции не ограничен, не разграничен;
• не определен порядок временного предоставления работникам доступа к персональным данным;
• не определен порядок прекращения доступа работников к персональным данным;
• не определен порядок доступа работников отдельно к информационным ресурсам и к документам на бумажных носителях;
• не обеспечена защита персональных данных от несанкционированного ознакомления и других незаконных действий с ними;
• не предусмотрена реализация принципа предоставления работнику минимально необходимого уровня доступа к персональным данным исключительно в целях выполнения работником своих должностных обязанностей (доступ к персональным данным предоставляется только в пределах и для выполнения трудовой функции конкретного работника с учетом его должности и круга обязанностей, определенных в его должностной инструкции);
• не определен порядок предоставления паролей, замены паролей при увольнении работника;
• не определен порядок доступа к видеонаблюдению в режиме реального времени;
• не определен порядок доступа к видеозаписям и устройствам их хранения;
• порядок доступа работников к персональным данным, в том числе обрабатываемым в информационных ресурсах (системах), формально определен, но на практике не обеспечивается.
Нарушения при реализации требований законодательства о технической защите персональных данных
При реализации требований законодательства о технической защите персональных данных на практике допускаются следующие нарушения:
• отсутствует утвержденный приказом перечень информационных ресурсов (систем), содержащих персональные данные, собственником (владельцем) которых является организация;
• не определено, какие категории персональных данных включены, подлежат включению в такие ресурсы (системы);
• ошибочно определены категории персональных данных, включенные, подлежащие включению в такие ресурсы (системы);
• персональные данные обрабатываются в информационных системах без применения системы защиты информации;
• если система защиты информации есть, она не соответствует требованиям, которые определяются в зависимости от класса типовых информационных систем (с учетом категорий обрабатываемых персональных данных);
• не проведена аттестация системы защиты информации информационных систем, предназначенных для обработки персональных данных, в порядке, установленном Оперативно-аналитическим центром при Президенте (отсутствует аттестат соответствия либо имеющийся аттестат соответствия получен более 5 лет назад);
• в организации не определено структурное подразделение или должностное лицо, ответственное за обеспечение защиты информации (информационной безопасности);
• такое лицо, если оно назначено, не прошло обязательное обучение в НЦЗПД (не реже одного раза в 3 года) по образовательной программе повышения квалификации руководящих работников и специалистов по вопросам технической и (или) криптографической защиты информации.
![]() |
Дополнительно по теме • Персональные данные в кадровой службе. |