Рубрики
Инструменты поиска
Сообщество
Избранное
Мой профиль
Войти
Всё по одной теме.
Защита персональных данных
22.10.2025
В эпоху цифровых технологий и больших объемов данных защита персональных данных (ПД) становится критически важной как для граждан, так и для предприятий.
Защита ПД - это комплекс мер, направленных на обеспечение конфиденциальности, целостности и доступности информации, относящейся к идентифицированным или идентифицируемым физлицам.
Рассмотрим основные принципы и рекомендации по организации защиты персональных данных.
Из подборки вы узнаете:
Чем регулируются отношения в сфере защиты персональных данных
Основные документы, регулирующие отношения в данной сфере:
✓ Закон от 07.05.2021 № 99-З «О защите персональных данных», постатейный комментарий см. здесь;
✓ Указ от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных»;
✓ Закон от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
✓ Закон от 21.07.2008 № 418-З «О регистре населения»;
✓ приказ ОАЦ от 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;
✓ приказ ОАЦ от 12.11.2021 № 194 «Об обучении по вопросам защиты персональных данных»;
✓ приказ ОАЦ от 12.11.2021 № 195 «О технической и криптографической защите персональных данных»;
✓ приказ ОАЦ от 01.06.2022 № 94 «О государственном информационном ресурсе "Реестр операторов персональных данных"»;
✓ приказ ОАЦ от 23.11.2023 № 218 «Об изменении приказа Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194»;
✓ постановление Совмина от 10.04.2019 № 228 «Об особенностях внесения отдельных персональных данных и их актуализации в регистре населения»;
✓ КоАП (ст.23.7);
✓ УК (ст.2031, 2032);
✓ приказы, разъяснения и методические документы НЦЗПД.
 |
Дополнительно по теме • Защита персональных данных: стратегический взгляд для руководителя организации. • Всё по одной теме. Персональные данные в кадровой службе. • Какие НПА регламентируют в организации порядок утилизации бумаг (макулатуры), на которых напечатаны персональные данные? Например, был распечатан табель учета рабочего времени, но из-за ошибок был отправлен в черновики либо на макулатуру. Должна ли в таком случае организация обеспечивать сохранность этих данных? И если да, то каким образом? • Определены ли нормативные требования к порядку ознакомления работников, которые обрабатывают ПД в организации, с законодательством в этой сфере? • На какие акты законодательства необходимо ссылаться для получения личных номеров акционеров для выполнения обязанности по представлению в ИМНС сведений о доходах физлиц, если они игнорируют письма организации с просьбой явиться и сообщить свой личный номер? Обязаны ли акционеры уведомлять об изменении сведений, необходимых для организации депозитарного учета? |
Что относится к персональным данным
Персональные данные (ПД) - это любая информация, с помощью которой можно идентифицировать физлицо (абз.9 ст.1 Закона № 99-З).
В предоставлении и обработке персональных данных участвуют субъект ПД (тот, кто делится личными сведениями) и оператор ПД (тот, кто их обрабатывает).
Без согласия гражданина нельзя разглашать любые данные о нем, с помощью которых его идентифицируют или могут идентифицировать. Однако ст.6 Закона № 99-З установлены случаи, когда обработка ПД может осуществляться без согласия субъекта ПД.
|
|
Дополнительно по теме • Относятся ли к биометрическим ПД ксерокопии или сканы паспортов и удостоверений с фотографиями? • Есть ли отличие специальных персональных данных от общедоступных персональных данных, где требуется согласие на разглашение таких данных? Можно ли утвердить свой перечень персональных данных? • Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.). В салоне до оказания услуги маникюра и после нее, не спрашивая согласия, сфотографировали пальцы и ногти клиента на случай предъявления клиентом претензии салону. Относятся ли вышеуказанные фотографии к биометрическим персональным данным? Нарушает ли салон закон? • Защита персональных данных: стратегический взгляд для руководителя организации. • Всё по одной теме. Персональные данные в кадровой службе. |
Кто занимается обработкой персональных данных
Обработкой ПД занимаются госорганы, юрлица либо иные организации, физические лица, в том числе ИП, самостоятельно или совместно с иными из этих лиц - операторы персональных данных (абз.8 ст.1 Закона № 99-З).
Как только кто-нибудь из указанных субъектов хозяйствования начинает обрабатывать ПД граждан, он берет на себя роль оператора.
 |
Справочно Обработка ПД - любое действие или совокупность действий, совершаемые с ПД, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абз.6 ст.1 Закона № 99-З). |
Примеры обработки ПД:
✓ организация собирает контактную информацию граждан на своем сайте. Так, при подписке на email-рассылку пользователь указывает свое имя и адрес электронной почты. Такие данные относятся к персональным, для обработки которых необходимо согласие гражданина;
✓ сбор на сайтах организаций cookie-файлов, из которых можно узнать местоположение клиента, его предпочтения и активность в Сети, а также другие параметры;
✓ сбор магазинами, заправочными станциями, кафе, гостиницами и другими организациями личной информации о клиентах для их подключения к различным программам лояльности, позволяющей на ее основе строить персонализированный маркетинг, а взамен предоставляют клиентам различные бонусы;
✓ сбор документов на детей в детсад или школу;
✓ заполнение медицинских карточек и историй болезни пациентов в учреждениях здравоохранения;
✓ заключение договоров в различных организациях, оказывающих услуги, а также банках и страховых компаниях.
Обработка ПД может быть поручена оператором уполномоченному лицу, которое обязано соблюдать требования законодательства к обработке таких данных.
|
|
Справочно Уполномоченное лицо - госорган, юрлицо, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением госоргана, являющегося оператором, либо на основании договора с оператором осуществляют обработку ПД от имени оператора или в его интересах (абз.16 ст.1 Закона № 99-З). |
В договоре между оператором и уполномоченным лицом, акте законодательства либо решении госоргана должны быть определены:
✓ цели обработки ПД;
✓ перечень действий, которые будут совершаться с ПД уполномоченным лицом;
✓ обязанности по соблюдению конфиденциальности ПД;
✓ меры по обеспечению защиты персональных данных в соответствии со ст.17 Закона № 99-З (п.1 ст.7 Закона № 99-З).
Если оператор поручает обработку ПД уполномоченному лицу, ответственность перед субъектом ПД за действия указанного лица несет оператор. Уполномоченное лицо несет ответственность перед оператором.
|
|
Дополнительно по теме • Защита персональных данных: стратегический взгляд для руководителя организации. • Защита персональных данных. • Типичные нарушения при принятии правовых и организационных мер по защите персональных данных. • Является ли уполномоченным лицом организация, осуществляющая техническое обслуживание информационного ресурса оператора на основании соответствующего договора в случае, если такая организация не совершает никаких действий с хранящимися на таком ресурсе персональными данными? • Следует ли рассматривать обслуживающий банк юрлица как уполномоченное лицо при обработке персональных данных (ПД) с учетом предоставления ему таких данных (по работникам - для перечисления зарплаты, авансов по командировкам, по неработникам - подрядчики физлица, перечисление алиментов и др.)? • Может ли оператор не включать в перечень уполномоченных лиц организации, которым обработка ПД поручается на основании «разовых» договоров (срок действия которых ограничен коротким периодом времени)? |
Обязанности оператора персональных данных
Обработка ПД осуществляется в соответствии с Законом № 99-З и иными актами законодательства и должна быть соразмерна заявленным целям их обработки и обеспечивать на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц (пп.1 и 2 ст.4 Закона № 99-З).
Обязанности оператора определены ст.16 Закона № 99-З.
Наиболее важной из них является принятие оператором ПД мер по обеспечению защиты ПД от несанкционированного или случайного доступа к ним, а также от иных незаконных действий в их отношении. В частности, они должны включать:
✓ определение ответственного лица или подразделения, контролирующего процессы обработки ПД;
✓ разработку и утверждение документов, определяющих политику оператора (уполномоченного лица) в отношении обработки ПД;
✓ ознакомление сотрудников, участвующих в обработке ПД, с НПА и документами, определяющими политику оператора (уполномоченного лица) в отношении обработки ПД, а также обучение указанных работников и иных лиц.
|
|
Справочно Операторы письменно до 15 ноября ежегодно обеспечивают представление НЦЗПД информации о количестве лиц, ответственных за осуществление внутреннего контроля за обработкой ПД, а также лиц, непосредственно осуществляющих обработку ПД, которым необходимо пройти обучение в данном центре (абз.3 подп.3.2 п.3 Указа № 422); |
✓ установление порядка доступа к ПД, в том числе обрабатываемым в информационном ресурсе (системе);
✓ обеспечение технической и криптографической защиты данных в порядке, установленном ОАЦ, в соответствии с классификацией информационных ресурсов (систем), содержащих ПД;
✓ реализация иных мер, предусмотренных законодательством.
|
|
Дополнительно по теме • Защита персональных данных: стратегический взгляд для руководителя организации. • Политика оператора в отношении обработки персональных данных как обязательный локальный правовой акт: порядок разработки, содержание и практические аспекты внедрения. • Разрабатываем формы документов по защите персональных данных: 9 рекомендаций. • Как указать в политике по обработке cookie-файлов передачу их сервисам веб-аналитики? • Защита персональных данных. • С 1 января 2024 г. операторы обязаны вносить в созданный НЦЗПД государственный информационный ресурс «Реестр операторов персональных данных» сведения об информационных ресурсах (системах), содержащих персональные данные, а также обеспечивать актуализацию соответствующих сведений. Если в организации (штат работников не превышает 150 человек) есть программа 1С:8 «Кадры», где содержатся вся информация о работниках, их паспортные данные и т. д., нужно внести сведения в Реестр о наличии указанной программы? • Госпредприятие коммунальной формы собственности (организация ЖКХ) оказывает основную ЖКУ - обращение с отходами. Права доступа к АИС «Расчет ЖКУ» у предприятия ограничены просмотром сведений о произведенных начислениях за обращение с ТКО, так как организация не уполномочена производить начисления по такой ЖКУ. Требуется ли предприятию вносить в реестр сведения об информационных ресурсах (системах), в которых обрабатываются персональные данные? • Организация по ведению бухучета обрабатывает личные дела работников своих клиентов. Личные дела содержат фото работника. Организация не сравнивает фото, не помещает его в базу данных, не осуществляет иное использование. Необходимо ли организации (бухфирме) подавать сведения о включении в реестр операторов? • Обязан ли ИП, осуществляющий обработку персональных данных (ПД), пройти обучение по вопросам защиты ПД? • Кто устанавливает срок хранения и обработки персональных данных субъектов персональных данных, а также от чего отталкиваться в определении данных сроков? • Защита персональных данных при их обработке: ответы на вопросы сообщества «Бизнес-Инфо». • Как согласно ОКРБ 005-2011 классифицируется оказание услуг по осуществлению внутреннего контроля за обработкой персональных данных, составлению политики обработки персональных данных и иных документов, регламентирующих обработку и защиту персональных данных, консультированию по вопросам обработки и защиты персональных данных? • Предоставление персональных данных по запросам УВД. • Оператор получил запрос органа внутренних дел, согласно которому он должен представить список своих работников с указанием фамилии, собственного имени, отчества (если таковое имеется), мобильных номеров телефонов и адресов места жительства. Вправе ли оператор представлять указанные персональные данные без согласия работников? • Всё по одной теме. Персональные данные в кадровой службе. |
Порядок доступа к персональным данным
Для соблюдения прав субъектов ПД операторы должны ограничивать круг лиц, имеющих доступ к таким данным. Как правило, доступ к ПД предоставляют:
✓ работникам, в обязанности которых входит работа с такими данными;
✓ лицу, ответственному за осуществление внутреннего контроля за обработкой ПД, назначенному оператором (уполномоченным лицом) (абз.2 п.3 ст.17 Закона № 99-З).
Перечень должностей и порядок доступа к таким данным целесообразней всего предусмотреть в соответствующей политике оператора.
Работники и иные лица, непосредственно осуществляющие обработку ПД, должны быть ознакомлены с:
✓ законодательством о ПД;
✓ требованиями по защите ПД;
✓ политикой оператора в отношении обработки ПД.
|
|
Дополнительно по теме • Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) (пример). • Положение о порядке осуществления внутреннего контроля за обработкой персональных данных (пример). • Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных. • Должностная инструкция специалисту по осуществлению внутреннего контроля за обработкой персональных данных (пример). • Какой минимальный пакет документов должен быть для выполнения требований законодательства о защите персональных данных? • Может ли специалист по внутреннему контролю за обработкой персональных данных работать в двух организациях? То есть по основному месту работы и по внешнему совместительству? • Организация готовит договор подряда с физлицом на подшивку архивной документации, по тексту ссылается на защиту персональных данных и ответственность за разглашение коммерческой тайны. Как сформулировать? • Определены ли нормативные требования к порядку ознакомления работников, которые обрабатывают ПД в организации, с законодательством в этой сфере? |
Права субъекта персональных данных
Субъекты ПД в соответствии с Законом № 99-З наделены широким кругом прав.
Права субъекта ПД реализуются путем подачи заявления оператору. Порядок подачи такого заявления установлен в ст.14 Закона № 99-З.
Заявление должно содержать:
✓ фамилию, собственное имя, отчество (если таковое имеется), адрес его места жительства (места пребывания);
✓ дату рождения;
✓ идентификационный номер, при отсутствии такого номера - номер документа, удостоверяющего личность, в случаях, если эта информация указывалась субъектом ПД при даче своего согласия оператору или обработка ПД осуществляется без согласия субъекта персональных данных;
✓ изложение сути требований;
✓ личную подпись либо электронную цифровую подпись субъекта ПД.
Срок ответа на заявление зависит от реализуемого субъектом ПД права:
| Право субъекта ПД | Срок ответа | Норма Закона № 99-З |
| Отзыв согласия | 15 дней после получения заявления | ч.1 п.2 ст.10 |
| Получение информации об обработке ПД | 5 рабочих дней после получения заявления | п.2 ст.11 |
| Внесение изменений в ПД | 15 дней после получения заявления | ч.2 п.4 ст.11 |
| Получение информации о предоставлении ПД третьим лицам | 15 дней после получения заявления | п.2 ст.12 |
| Прекращение обработки ПД (их удаление) | 15 дней после получения заявления | ч.1 п.2 ст.13 |
Ответ на заявление направляется субъекту СП в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное (п.3 ст.14 Закона № 99-З).
Обжаловать действия (бездействие) и решение оператора, нарушающие права субъекта ПД, можно в уполномоченный орган по защите прав субъектов ПД в порядке, установленном законодательством об обращениях граждан и юридических лиц.
|
|
Дополнительно по теме • Правомерна ли публикация фотографом на своей странице в Instagram фотографий, содержащих изображение заказчика, при наличии в заключенном с ним договоре следующего положения: «Заключая настоящий договор, Вы даете согласие на размещение Ваших фотографий в социальных сетях фотографа в рекламных целях»? • Можно ли на основании устного обращения субъекта удалить его персональные данные из Программы лояльности? Письменное заявление писать отказывается. • На предприятие поступила жалоба от жителя города, который требует представить ему информацию о работнике предприятия: данные об обучении, о прохождении медосмотра, об образовании (с подтверждающими документами). Имеет ли право наниматель представлять данную информацию о работнике без его согласия? Относится ли это к персональным данным? На какой документ необходимо сделать ссылку? • Для обеспечения пропускного режима организация по производству пищевой продукции использует СКУД. Программа предусматривает обязательное внесение биометрических данных работника (его фотоизображения лица). Данная форма пропускного режима обеспечивает работнику охраны возможность идентифицировать входящего на охраняемый объект по его фотоизображению лица на мониторе. Является ли обработка биометрических данных работника условием для получения у него письменного согласия на это? • Физическое лицо хочет оказывать услуги ИП и юрлицам по созданию видеоконтента (рилсы, сторисы) об их мероприятиях - видеосъемка, видеомонтаж (код 742). Но при съемке в кадр могут попадать различные физические лица (например, обзор кафе - его посетители). Не будет ли здесь нарушения персональных данных? Кто может быть в кадре, как брать разрешение у этих физлиц на съемку и ее дальнейшее распространение? • В типовых договорах об обучении сейчас нужно указывать идентификационный номер обучающегося (плательщика) и только при его отсутствии - данные документа, удостоверяющего личность. Бланки договоров, как правило, заполняют сами абитуриенты либо их родители. Если абитуриент или плательщик заполнит помимо идентификационного номера еще и свои паспортные данные, укажет номер телефона, будет ли это избыточной обработкой ПД? Нужно ли в этом случае переписывать договор? • В организацию здравоохранения поступают письменные обращения, в которых заявители просят (требуют) сообщить фамилию, имя, отчество медицинских работников, которые оказывали помощь. Как поступать при предоставлении ответа? |
Уполномоченный орган по защите прав субъектов персональных данных
Уполномоченным органом по защите прав субъектов персональных данных является Национальный центр защиты персональных данных (НЦЗПД) (п.1 Положения о Национальном центре защиты персональных данных, утв. Указом № 422).
Основные его функции:
✓ осуществление контроля за обработкой ПД операторами (уполномоченными лицами);
✓ рассмотрение жалоб субъектов ПД;
✓ определение перечня иностранных государств, на территории которых обеспечивается надлежащий уровень защиты прав субъектов ПД;
✓ выдача разрешений на трансграничную передачу ПД, если на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов ПД, а также определение порядка выдачи таких разрешений;
✓ разъяснение вопросов применения законодательства о ПД, проведение иной разъяснительной работы в данной сфере;
✓ определение случаев, когда не требуется уведомления центра о нарушениях систем защиты ПД;
✓ установление классификации содержащих ПД информационных ресурсов (систем) для определения предъявляемых к ним требований технической и криптографической защиты ПД;
✓ осуществление сотрудничества с органами (организациями) по защите прав субъектов ПД в иностранных государствах;
✓ реализация образовательных программ дополнительного образования взрослых в соответствии с законодательством об образовании (п.7 Положения № 422).
|
|
Дополнительно по теме • Чек-лист по приведению деятельности операторов - субъектов малого предпринимательства в соответствие с требованиями Закона. • Алгоритм подготовки к проверке НЦЗПД. |
Основные требования к обработке персональных данных
Обобщенно основные требования к обработке ПД изложены в ст.4 Закона № 99-З, а затем конкретизированы в других положениях этого Закона.
Обработка ПД осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом № 99-З и иными законодательными актами.
|
|
Справочно Случаи, когда не требуется согласие субъекта на обработку его ПД, определены в ст.6 Закона № 99-З. |
|
|
Дополнительно по теме • Защита персональных данных: стратегический взгляд для руководителя организации. • Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе) (пример). • Положение о порядке осуществления внутреннего контроля за обработкой персональных данных (пример). • Рекомендации о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных. • Должностная инструкция специалисту по осуществлению внутреннего контроля за обработкой персональных данных (пример). • Какой минимальный пакет документов должен быть для выполнения требований законодательства о защите персональных данных? • Обработка cookie-файлов. • Удаление персональных данных. • Акт об уничтожении (удалении) персональных данных (пример). • Сколько времени необходимо хранить акты об удалении персональных данных? • Кто устанавливает срок хранения и обработки персональных данных субъектов персональных данных, а также от чего отталкиваться в определении данных сроков? • Разрабатываем формы документов по защите персональных данных: 9 рекомендаций. • Какие документы по защите персональных данных целесообразно включать в номенклатуру дел? • Вправе ли оператор устанавливать требования к содержанию заявления субъекта персональных данных, отличные от определенных п.2 ст.14 Закона от 07.05.2021 № 99-З «О защите персональных данных»? • Организация обрабатывает персональные данные граждан с целью осуществления телефонных звонков рекламного характера на основании согласия, полученного в письменной форме при заключении договора. На просьбу одного из клиентов прекратить подобные звонки работник организации уведомил его о необходимости приехать в офис и написать отдельный документ. Соответствует ли такой ответ законодательству о персональных данных? • Гражданин обратился к оператору с просьбой уничтожить договор об оказании услуг после его исполнения и удалить его персональные данные. Обязан ли оператор выполнить это требование? • Можно ли на основании устного обращения субъекта удалить его персональные данные из Программы лояльности? Письменное заявление писать отказывается. • Какой срок согласно требованиям законодательства о персональных данных допустим для хранения списка аффилированных лиц, замененного новой редакцией? • Какие НПА регламентируют в организации порядок утилизации бумаг (макулатуры), на которых напечатаны персональные данные? Например, был распечатан табель учета рабочего времени, но из-за ошибок был отправлен в черновики либо на макулатуру. Должна ли в таком случае организация обеспечивать сохранность этих данных? И если да, то каким образом? • Для учета посетителей, приходящих к директору, заполняется соответствующий журнал с указанием даты и времени прихода и ухода, Ф.И.О. посетителя и его подписи. Соответствует ли такой подход к учету посетителей законодательству о персональных данных? • Клиент записывается по телефону на оказание услуги. Нужно ли брать у него согласие на отправку СМС с напоминанием о предстоящем визите за сутки? Если да, то как брать такое согласие? |
Согласие на обработку персональных данных
Согласие субъекта ПД является одним из ключевых правовых оснований обработки ПД, посредством которого он разрешает обработку своих ПД (п.1 ст.5 Закона № 99-З).
Согласие может быть получено в письменной форме, в виде электронного документа или в иной электронной форме (например, путем выбора субъектом определенной информации (кода) после получения SMS-сообщения или письма на e-mail или проставления соответствующей отметки на сайте) (пп.2 и 3 ст.5 Закона № 99-З). Законодательными актами может быть установлено, что согласие нужно получать только в письменном виде или в форме электронного документа.
Для получения такого согласия операторы должны разработать его форму.
 |
Обратите внимание! Перед получением согласия оператор обязан предоставить субъекту информацию в письменной или электронной форме (соответствующей форме выражения согласия). Эта информация включает: ✓ наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта ПД; ✓ цели обработки; ✓ перечень ПД, на обработку которых дается согласие; ✓ срок, на который дается согласие; ✓ информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами; ✓ перечень действий с ПД, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных; ✓ иную информацию, необходимую для обеспечения прозрачности процесса обработки данных. |
При даче согласия субъект указывает свою фамилию, имя, отчество (при его наличии), дату рождения, идентификационный номер, а если номера нет - номер документа, удостоверяющего личность. При этом если цели обработки ПД оператором не требуют наличие такой информации, то ее обрабатывать запрещено (п.6 ст.5 Закона № 99-З).
Субъект может отозвать свое согласие в порядке, установленном Законом № 99-З.
Обязанность доказывания получения согласия возлагается на оператора.
Если субъект умер или признан умершим, согласие на обработку его данных дают наследник, близкий родственник, усыновитель, усыновленный или супруг, если субъект не дал согласие при жизни.
Если субъект признан недееспособным или ограниченно дееспособным, или ему еще нет 16 лет (кроме случаев вступления в брак до 16 лет), согласие дает законный представитель. Законодательными актами может быть установлен другой возраст, до достижения которого согласие на обработку данных дает один из законных представителей (п.9 ст.5 Закона № 99-З).
|
|
Дополнительно по теме • Согласие на обработку персональных данных (пример). • Согласие на обработку персональных данных (с комментариями). • Согласие на обработку персональных данных. • Согласие на обработку персональных данных (с пояснением). • Разъяснение субъекту персональных данных прав, связанных с обработкой его персональных данных, механизма их реализации, а также последствий дачи им согласия или отказа в даче такого согласия (пример). • Типичные нарушения при принятии правовых и организационных мер по защите персональных данных. • Требуется ли согласие на обработку персональных данных при выплате материальной помощи многодетным семьям к учебному году? • Организация оказывает населению услуги по ремонту бытовой электрической техники и бытовых приборов. При оформлении заказа она запрашивает у потребителя его фамилию, собственное имя, отчество (если таковое имеется), место жительства и контактный телефон. Необходимо ли получать для этих действий согласие на обработку персональных данных? • Клиент отказался от дачи согласия на обработку ПД. Должен ли отказ быть оформлен письменно? • Необходимо ли блогеру получать согласие прохожих при их участии в съемке видеоролика, размещаемого в социальной сети? • Ответ на заявление субъекта персональных данных об отзыве согласия на обработку персональных данных (с удовлетворением требований). • Ответ на заявление субъекта персональных данных об отзыве согласия на обработку персональных данных (с отказом в удовлетворении требований). • О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента. • Алгоритм подготовки к проверке НЦЗПД. • Всё по одной теме. Персональные данные в кадровой службе. |
Трансграничная передача персональных данных
Трансграничная передача ПД - передача персональных данных на территорию иностранного государства (абз.14 ст.1 Закона № 99-З), то есть ПД выходят из-под сферы действия белорусского законодательства и подпадают под юрисдикцию другого государства.
По общему правилу такая передача запрещена, если в стране-получателе не обеспечивается надлежащий уровень защиты ПД людей, чьи данные передаются. Однако есть исключения, когда передача все же возможна:
✓ дано согласие субъекта ПД, но при этом субъект должен быть проинформирован о рисках, связанных с отсутствием надлежащего уровня их защиты;
✓ ПД получены на основании договора, заключенного (или заключаемого) с субъектом ПД, и передача нужна для выполнения действий, предусмотренных этим договором;
✓ ПД могут быть получены любым лицом путем направления запроса в случаях и порядке, установленных законодательством;
✓ такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД или других лиц, если получить согласие субъекта невозможно;
✓ обработка ПД происходит в рамках исполнения международных договоров Республики Беларусь;
✓ передача осуществляется органом финансового мониторинга для мер по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, согласно законодательству;
✓ получено соответствующее разрешение НЦЗПД (ст.9 Закона № 99-З).
|
|
Дополнительно по теме • Защита персональных данных: стратегический взгляд для руководителя организации. • Экстерриториальное действие регламента GDPR: влияние и риски для белорусского бизнеса. • Будет ли иметь место трансграничная передача персональных данных в случае, если иностранная организация, расположенная за пределами Республики Беларусь, обрабатывает персональные данные, полученные от своего представительства в Республике Беларусь? • Соответствует ли Закону о защите персональных данных обработка оператором ПД своих работников и клиентов с использованием сервисов Googlе (например, Google Таблицы и Google Формы)? • В организацию пришел запрос из иностранного государства на предоставление данных о бывшем работнике (о периоде его работы) для трудоустройства. Правомерно ли будет предоставить запрашиваемые данные по электронной почте на основании согласия бывшего работника (его скан-копии), полученного по электронной почте? |
Ответственность за нарушения в сфере персональных данных
При обработке ПД важно помнить об ответственности, которая может наступать при нарушении норм, обеспечивающих их защиту.
Лица, виновные в нарушении законодательства о защите ПД, несут ответственность, предусмотренную законодательными актами (ст.19 Закона № 99-З). Выбор конкретного вида ответственности зависит от характера деяния, степени его общественной опасности и наступивших последствий.
| Вид ответственности | Правовое основание | Что предусматривает |
| Дисциплинарная | п.10 ч.1 ст.47 ТК | Прекращение трудового договора с некоторыми категориями работников за нарушения ими порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления ПД |
| Административная | ст.23.7 КоАП | 1. Умышленные незаконные сбор, обработка, хранение или предоставление ПД физлица либо нарушение его прав, связанных с обработкой ПД, влекут штраф до 50 БВ. 2. Деяния, предусмотренные ч.1 ст.23.7 КоАП, совершенные лицом, которому ПД известны в связи с его профессиональной или служебной деятельностью, влекут штраф от 4 до 100 БВ. 3. Умышленное незаконное распространение ПД физлиц - влечет штраф до 200 БВ. 4. Несоблюдение мер обеспечения защиты ПД физлиц - влечет штраф от 2 до 10 БВ, на ИП - от 10 до 25 БВ, а на юрлицо - от 20 до 50 БВ |
| Уголовная | ст.2031 УК | 1. Умышленные незаконные сбор, предоставление информации о частной жизни и (или) ПД другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, - наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до 2 лет, или лишением свободы на тот же срок. 2. Умышленное незаконное распространение информации о частной жизни и (или) ПД другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина, - наказывается ограничением свободы на срок до 3 лет или лишением свободы на тот же срок со штрафом. 3. Действия, предусмотренные чч.1 или 2 ст.2031 УК, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, - наказываются ограничением свободы на срок до 5 лет или лишением свободы на тот же срок со штрафом |
| ст.2032 УК | Несоблюдение мер обеспечения защиты ПД лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий, наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до 1 года, или арестом, или ограничением свободы на срок до 2 лет, или лишением свободы на срок до 1 года | |
| Гражданско-правовая | п.2 ст.19 Закона № 99-З | Моральный вред, причиненный субъекту ПД вследствие нарушения его прав, установленных Законом № 99-З, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПД убытков |
|
|
Дополнительно по теме • Административная и уголовная ответственность должностных лиц субъекта хозяйствования за нарушения законодательства о защите персональных данных. • В розничной сети реализуется товар физлицу. Впоследствии потребитель обращается с требованием о гарантийном ремонте. В заявлении он указывает свои фамилию, имя, отчество, место жительства, номер мобильного телефона. Считается ли указание номера мобильного телефона излишней обработкой данных? • Ответственность за нарушение законодательства о защите персональных данных. • Какая предусмотрена ответственность за нарушение требований законодательства в области защиты персональных данных? |
Исключительное право на данный авторский материал принадлежит ООО «Профессиональные правовые системы»