220013, г.Минск, ул. Дорошевича, 8,
приемная администрации: +375 17 378-34-12,
факс: 
«горячая линия»
sovadm@minsk.gov.by (не используется для направления электронных обращений граждан и юридических лиц. Реализовать данную возможность можно через сайт обращения.бел (интернет-сайт)4 декабря в администрации Советского района г.Минска прошел Семинар – практикум по защите персональных данных.
Что необходимо знать!
В рамках реализации Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» в организации (государственном органе) необходимо реализовать следующие меры:
- Обеспечить внутренний контроль за обработкой персональных данных:
– назначить оператора (уполномоченное лицо) или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
основная функция – выстраивание эффективной системы защиты персональных данных.
Необходимо издать локальный правовой акт организации при условии отсутствия конфликта интересов. Рекомендуется назначить освобожденное лицо либо минимизировать имеющий место конфликт интересов;
– определить порядок осуществления внутреннего контроля (на сайте Национального центра защиты персональных данных Республики Беларусь);
– утвердить план контрольных мероприятий.
- Обеспечить ознакомление работников с положениями законодательства о персональных данных, проведение обучения:
– с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных. Фрагментарность при ознакомлении с Законом недопустима;
– с документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных:
Политика в отношении обработки персональных данных,
Положение о работе с персональными данными,
Инструкция по обеспечению безопасности при работе с персональными данными,
Положение о порядке доступа к персональным данным,
– соблюдение периодичности прохождения обучения в Национальном центре защиты персональных данных (далее – НЦЗПД) в соответствии с Положением НЦЗПД, утвержденным Указом Президента Республики Беларусь от 28.10.2021 № 422, (не реже 1 раза в три года),
– необходимо назначить лицо, ответственное за обеспечение информационной безопасности.
Работники организации должны понимать, что для реализации каких обязанностей (полномочий) осуществляется сбор, хранение и предоставление персональных данных (документов, содержащих персональные данные) в каждом конкретном случае, а при возникновении вопросов у субъектов персональных данных – информировать их о правовых основаниях обработки персональных данных.
- Исключить сбор персональных данных без надлежащих правовых оснований.
Сбор персональных данных – действие по обработке персональных данных.
Указом Президента Республики Беларусь от 09.08.2011 № 348 «О мерах по организации сбора, хранения неэксплуатируемых транспортных средств и их последующей утилизации» установлен исчерпывающий перечень организаций, которые обязаны представлять местному исполнительному и распорядительному органу сведения о собственниках (владельцах) неэксплуатируемых транспортных средств.
- Осуществлять предоставление персональных данных только при наличии правового основания.
Предоставление персональных данных работников организации и граждан является обработкой персональных данных. Законом определены случаи когда такое согласие не требуется (статьи 6,8 Закона), в остальных случаях необходимо получение согласия граждан на их обработку.
Обработка персональных данных без правового основания влечет административную ответственность по частям 1-3 статьи 23.7КоАП Республики Беларусь.
При запросе на предоставление персональных данных запрашивающая организация должна указать цели обработки персональных данных, объем и содержание, а также правовые основания на их обработку.
Копия согласия прилагается обязательно. Ответственность за предоставление сведений несет организация.
Примеры из материалов проверки.
- Исключить избыточную обработку персональных данных в деятельности комиссии по делам несовершеннолетних.
Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (сбор копий правоустанавливающих документов законных представителей, несовершеннолетних, при рассмотрении на заседании КДН, признании в СОП, посещения в интернатных учреждениях).
- Исключить избыточную сбор документов, содержащих персональные данные, при реализации полномочий по согласованию кандидатуры на должность председателя правления организации собственников.
Согласно статьи 3 Закона Республики Беларусь от 17.07.2018 № 130-З «О нормативных правовых актах» местные исполнительные и распорядительные органы принимают нормативные правовые акты в форме решений.
Согласно статьи 170 ЖК местные исполнительные и распорядительные органы уполномочены на установление перечня документов, необходимых для согласования кандидатуры на должность председателя правления организации собственников (согласие не требуется).
Вопрос об объеме сведений проработан с МЖКХ. Примеры из материалов проверки.
- Обеспечить корректировку бланков заявлений об осуществлении административных процедур, подаваемых в службу «одно окно».
В рамках осуществления административной процедуры «Принятие решения о согласовании (разрешении) переустройства и (или) перепланировки жилого помещения, нежилого помещения в жилом доме» (подпункт 1.1.21 пункта 1.1 перечня административных процедур) свидетельствует разная практика определений сведений, подлежащих указанию в них (мобильный телефон, адрес электронной почты, вместо года рождения указывается дата рождения).
Примеры из материалов проверки.
- Исключить использование при формировании дел черновиков, содержащих персональные данные.
Документы распечатываются на копиях обращений граждан, что влечен к неправомерному доступу к персональным данным лиц, которым для исполнения своих должностных обязанностей такой доступ не предоставлен.
- Обеспечить принятие мер по недопущению ознакомления граждан с записями, содержащими персональные данные иных лиц.
В отделе ЗАГС ведутся различные журналы, содержащие персональные данные, справок. Указанные журналы предоставляются гражданам для проставления подписи без сокрытия ранее внесенных записей, содержащих персональные данные, что способствует неправомерному ознакомлению с ними неуполномоченных лиц.
Согласно ст.17 Закона оператор обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Организация, осуществляющая ведение соответствующих журналов, предоставляемых гражданам, обязана обеспечить законность обработки содержащихся в них персональных данных, приняв для этого все необходимые меры. С целью минимизации указанного риска предыдущие записи скрепляются ранее заполненными страницами, закрываются листом бумаги.
- Убедиться в реализации структурными подразделениями с правами юридического лица обязательных мер по обеспечению защиты персональных данных.
Структурные подразделения местного исполнительного и распорядительного органа, которые наделены правами юридического лица, являются самостоятельными операторами.
- Издание документов, определяющие политику организации в отношении обработки персональных данных в трудовых отношениях, а также файлов cookie
Размещение на интернет-сайте организации Политики и Положения о видеонаблюдении организации. Политика в отношении трудовых отношений и обработки файлов cookie должна быть отдельна.
Классификация применяется в Законе Республики Беларусь «О регистре населения», а не в законодательстве о персональных данных, и может вводить в заблуждение при ознакомлении с документами, определяющими политику оператора в отношении обработки персональных данных.
Разъяснения имеются на сайте НЦЗПД.
- Обеспечить соблюдение требований законодательства о персональных данных при поручении обработки персональных данных уполномоченным лицам.
Закон допускает возможность осуществления обработки персональных данных иным лицом от имени оператора или в его интересах. Необходимо в перечне уполномоченных лиц, который должен поддерживаться в актуальном состоянии, указывать:
предмет заключенных с ними договоров,
цель обработки персональных данных,
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом,
обязанности по соблюдению конфиденциальности персональных данных,
мер по обеспечению защиты персональных данных.
Если предоставление персональных данных третьим лицам осуществляется в рамках поручения их обработки уполномоченным лицом третьим лицам (субуполномоченным), в договорах с уполномоченными лицами должны быть предусмотрены условия об обеспечении субуполномоченным лицом защиты персональных данных на уровне не ниже, чем уполномоченным лицом, а также его обязанность обеспечить соблюдение субуполномоченным лицом обязательств, возложенных на уполномоченное лицо.
Уполномоченное лицо несет ответственность перед оператором.
Вне зависимости от содержания договоров с уполномоченными лицами оператор обязан осуществлять надлежащий контроль за фактическим принятием ими мер.
Организации необходимо установить и поддерживать в актуальном состоянии перечень всех фактически привлекаемых к обработке персональных данных уполномоченных лиц.
Рекомендации имеются на сайте НЦЗПД.
- Привести обработку персональных данных кандидатов на трудоустройство в соответствие с требованиями законодательства.
Подбор персонала осуществляется с использованием информационного портала государственной службы занятости, посредством которого работником отдела кадровой работы осуществляется размещение вакансии и получение откликов на них.
Резюме соискателей направляются и на адреса электронной почты работников организации – только с согласия субъекта персональных данных на такую обработку.
Согласие письменное или электронное по форме.
Хранение документов, предоставленных кандидатами на трудоустройство, является нарушением.
