Вот уже около 2-х лет прошло с момента как вступил в силу Закон о защите персональных данных. После выхода Закона о персональных данных были скорректированы также многие нормативные акты, в том числе появилась ответственность за нарушение закона о персональных данных. Национальный центр по защите персональных данных (далее – НЦЗПД), проведя достаточно длительный период разъяснительной работы по вышедшему закону, что включало разъяснение по мерам, необходимым организациям для защиты персональных данных, согласию на обработку перс.данных и случаях его получения, правам и обязанностям субъекта перс.данных и т.д., приступил к активному проверочному этапу соблюдения организациями всех установленных требований и норм. Стоит отметить, что законодательством определены обязательные меры для обеспечения защиты перс.данных, однако компания самостоятельно оценивает, исходя из своей деятельности, общих требований законодательства тот объем действий, который ей необходим для обеспечения соответствующей защиты.
Исходя из комментариев НЦЗПД и формирующейся практики можно выделить наиболее распространенные нарушения в сфере защиты перс.данных:
– Нарушения, связанные с согласием на обработку перс.данных.
Нарушение может касаться как отсутствием получения согласия на обработку, так и получением согласия, но не со всеми необходимыми признаками, свойственными ему в силу Закона о перс.данных. К примеру, зачастую на сайтах имеются окошки для обратной связи, либо для ввода какой-то информации (к примеру, для получения рассылки по товару ввод эл.почты/номера телефона), также может быть личный кабинет, куда для регистрации необходимо вносить определенные данные. Во всех этих формах должно спрашиваться согласие на обработку перс.данных (к примеру, отдельная строка с проставлением галочки «согласен на обработку персональных данных»). У многих компаний и на сегодняшний день может не быть механизма получения согласия на сайте, либо он не предусмотрен во всех формах, где вводятся перс.данные. Также согласие должно быть свободным, однозначным и информированным в совокупности, что не всегда учитывают компании при его получении от субъекта. К примеру, при даче согласия у субъекта нет возможности ознакомиться с целями, сроками, способами обработки его личных данных – отсутствие информированности. Если согласие получено через бездействие (направлена смс с запросом на согласие и отсутствие ответа на такую смс – и есть согласие), то отсутствует признак однозначности. Если получается согласие для одних целей обработки данных, но затем эти данные используются и для иных не оговоренных целей (незаконная рассылка рекламы, «холодные» звонки по продажам и т.д.), то отсутствует признак свободы. Какая-то часть компаний просто продолжает собирать данные в той привычной схеме, которая действовала до принятия нового законодательства по перс.данным без модернизации под соответствующие изменения, что является нарушением прав людей, чьи личные данные собираются.
– Отсутствие информированности человека, чьи данные собирает компания.
При получении согласия на обработку перс.данных, организация должна информировать человека о том, в каких целях собираются данные, где и как они будут использоваться, в каком порядке можно отозвать согласие, срок на который дается согласие и другое. Для предоставления такой информации разрабатывается политика по обработке перс.данных, которая должна быть размещена в открытом доступе для всех физлиц, у которых собираются перс.данные. При наличии сайта, как правило, политика размещается на нем и при получении согласия на обработку данных на нее делается ссылка для ознакомления. Отсутствие в компании такой политики является нарушением.
– Чрезмерность собираемой информации и дальнейшей обработки перс.данных.
Такое нарушение обусловлено тем, что собирается то количество данных, которое не требуется для целей обработки. К примеру, анкета соискателя содержит такие сведения: вредные привычки, жилищные условия, наличие рассрочек и др. Данные можно считать избыточными поскольку они не требуются нанимателю для принятия решения о трудоустройстве и также могут служить поводом для дискриминации человека по тем или иным признакам, опять же, не относящимся к целям трудоустройства. Прямым нарушением является требование документов и информации для оформления трудовых отношений, которые не предусмотрены трудовым законодательством. Еще одним примером избыточности обработки можно считать сбор паспортных данных, данных о каком-то имуществе при проведении рекламных акций и рассылок.
– Отсутствие уровней доступа в информационной системе компании.
Такое нарушение можно отнести скорее к крупным компаниям с большим количеством сотрудников. Поскольку явно не у всех сотрудников совпадает трудовая функция и у них разная степень взаимодействия с собираемыми перс.данными людей, то необходимо технически обеспечить разный уровень доступа к этим данным. К примеру, у одного отдела или у отдельных сотрудников будет полный доступ к базе данных (доступен просмотр, изменение, удаление), у другого отдела – доступ только к просмотру и редактированию данных в базе, у третьего отдела – доступ к просмотру какой-то части данных и так далее. Разделение уровней доступа позволяет попадать перс.данным к тем сотрудникам, чья трудовая функция охватывает ту часть обработки, которая требуется и тем самым обеспечивает техническую защиту личных данных людей.
– В компании отсутствует лицо, которое отвечает за внутренний контроль по обработке перс.данных.
В компании должно быть назначено лицо, которое компетентно осуществлять внутренний контроль, куда входит информирование работников о правилах обработки данных, контроль за соблюдением работниками законодательства по перс.данным и др.
НЦЗПД пока не наделен полномочиями составлять протоколы об административных правонарушениях и в случае проведения проверок выносит предписания для исправления существующих нарушений/представления в рамках проверки необходимых документов, подтверждающих соблюдение законодательства. Также НЦЗПД по фактам проверок может проинформировать органы внутренних дел, вследствие чего проводится проверка на наличие составов в рамках административной или уголовной ответственности.
Специалисты нашей компании готовы проконсультировать вас по всем возникшим вопросам в области персональных данных, а также оказать помощь в подготовке необходимых документов: https://usiminsk.by/yuridicheskie-uslugi/soprovozhdenie-deyatelnosti/rabota-s-personalnymi-dannymi/.
Статья актуальна по состоянию на 31 октября 2023 года.
Остались вопросы?
Оставьте свой номер и наш юрист свяжется с Вами в ближайшее время