Центр персональных данных
10.9K subscribers
656 photos
43 videos
4 files
528 links
Официальный Telegram канал Национального центра защиты персональных данных Республики Беларусь

Контакты:
220004 г. Минск, ул. К. Цеткин, 24-3
Download Telegram
#Вопрос_Ответ
#Оператору

Организация планирует передать на аутсорсинг часть своих функций, связанных с обработкой персональных данных. На что обратить внимание при заключении договора?

В обязательном порядке в договор с такой организацией необходимо включать положения, предусмотренные пунктом 1 статьи 7 Закона ”О защите персональных данных“.

⚠️Обращаем внимание! Включение указанных положений в договор не освобождает оператора от ответственности за нарушение законодательства о персональных данных уполномоченным лицом (аутсорсинговой компанией).

☝️Рекомендуем тщательно подходить к выбору уполномоченных лиц, а в договор включать подготовленные Центром стандартные положения согласно приложению к рекомендациям о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.
#Важно_Знать
#Оператору

Гражданин обратился в Центр с просьбой разъяснить был ли соблюден организацией срок рассмотрения его заявления на получение информации об обработке персональных данных (ПД).

Как установлено, организация направила ответ на 7 рабочий день, ошибочно полагая, что срок рассмотрения заявления составляет 15 дней.

Закон ”Об обращениях граждан и юридических лиц“ предусматривает возможность установления законодательными актами иного срока рассмотрения отдельных обращений.

Закон о защите персональных данных в отношении заявлений на получение информации, касающейся обработки ПД, устанавливает срок рассмотрения – 5 рабочих дней.

Центр напоминает! При рассмотрении таких заявлений следует руководствоваться сроками, установленными Законом, а их несоблюдение является нарушением законодательства о персональных данных и влечет административную ответственность.
#Оператору
При анализе последних уведомлений о нарушении систем защиты персональных данных было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).

Такая уязвимость позволяет злоумышленнику размещать клиентские скрипты на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.

Уязвимость возникает:
🔹вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке ИС),
🔹отсутствия контроля за обеспечением информационной безопасности в организациях,
🔹необеспечения технической и криптографической защиты персональных данных в установленном порядке.

⚠️ Центр напоминает операторам о необходимости своевременного обновления системного ПО и реализации в полном объеме требований технической и криптографической защиты персональных данных.
#Вопрос_Ответ
#Оператору

Необходимо ли организации наряду с документом, определяющим политику
оператора в отношении обработки персональных данных, отдельно разрабатывать Положение о защите персональных данных?

❗️Нет. Разработка и принятие Положения о защите персональных данных наряду с документом, определяющим политику оператора в отношении обработки персональных данных, не основана на нормах белорусского законодательства о персональных данных.

Практика наличия двух этих документов применяется в отдельных зарубежных странах. По мнению Центра, исходя из анализа проводимых контрольных мероприятий, реализация данного подхода приводит к появлению нескольких документов, которые описывают одни и те же бизнес-процессы и зачастую противоречат друг другу.

В соответствии со статьей 17 Закона Оператору необходимо
разработать документы, определяющие ПОЛИТИКУ оператора в отношении обработки персональных данных,
установить ПОРЯДОК ДОСТУПА к персональным данным.
This media is not supported in your browser
VIEW IN TELEGRAM
#Оператору

Немного «контрольной» статистики:
💡Центром в текущем году проведено 26 проверок, по результатам которых операторам направлены требования (предписания) об устранении нарушений и в ряде случаев в правоохранительные органы материалы о привлечении к ответственности.
Мы об этом подробно рассказываем на нашем сайте. Детальный разбор выявленных нарушений и недостатков в деятельности операторов при принятии мер по обеспечению защиты персональных данных мы представим также 29 августа в рамках онлайн-семинара.
Вместе с участниками мероприятия разберем причины типичных нарушений подробно и доступно.

🤓Учиться лучше на чужих ошибках.

Что?
семинар ”Обработка персональных данных: правовые основания, защита, контроль“
Где? Национальный центр защиты персональных данных (онлайн, облачная ВКС IVA MCU)
Когда? 29 августа

Продолжительность: 6 академических часов
💳Стоимость: 150 Br.
📋Сертификат об обучении государственного образца.

🌐Подробности на cpd.by
💡💡💡Относительно недавно на белорусском рынке труда появилась новая профессия – специалист по защите персональных данных, а в начале этого года Единый квалификационный справочник должностей служащих дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных.
Какова роль такого специалиста в организации?
Чем он должен заниматься?
Что контролировать?
Какое образование и квалификацию иметь?

Все это подробно разобрали в нашем очередном гайде для операторов.

Подробности на cpd.by

#Оператору #Важно_Знать #DPO #DataProtectionOfficer
#Оператору #Обучение

Одна из важнейших задач Центра – организация обучения специалистов в сфере защиты персональных данных и информационной безопасности. Мы уделяем большое внимание содержанию наших курсов и, конечно, подбору экспертов, лекторов, практиков.

Обучаем, разъясняем, применяем актуальные цифровые инструменты, помогаем специалистам, пришедшим к нам на обучение, разобраться во всех тонкостях и нюансах законодательства и правоприменения, ”прокачиваем“ технические знания.

Нами уже реализуется целый ряд учебных программ КПК, а сейчас мы с командой активно работаем над разработкой новых курсов.

💡Спойлер: это уникальные программы по информационной безопасности и защите данных, практические курсы с отработкой алгоритмов конкретных действий.

🌟Если у вас есть вопросы по организации обучения в Центре, звоните по тел. 367-02-29, 367-02-46 либо пишите на pk@cpd.by
#Оператору
Центром все чаще выявляются факты нарушения требований законодательства о персональных данных при оформлении баннеров, предусматривающих согласие на обработку cookie-файлов.

#Важно_Знать
Для начала отметим, что обрабатываемые посредством сайтов cookie-файлы можно условно разделить на технические (без них сайт не работает надлежащим образом или не работает совсем) и иные (позволяющие сохранять индивидуальные настройки пользователя, информацию об использовании сайта и т.д.).
Обработка технических cookie-файлов не требует согласия субъектов персональных данных.
Обработка иных cookie-файлов может осуществляться исключительно с согласия.

В отдельных случаях, выявленных Центром, cookie-баннеры содержат лишь кнопки ”согласиться“ и ”настроить“. При этом кнопка ”отказаться“ отсутствует, а отказ пользователя от обработки персональных данных возможен только лишь в настройках на втором уровне cookie-баннера. Эта модель получения согласия вынуждает пользователя предоставить согласие на обработку, в которой он не заинтересован.
⚠️Процесс отказа от обработки cookie-файлов не должен быть сложнее, чем процесс выражения согласия.

☝️В этой связи cookie-баннер наряду с кнопкой ”согласиться“ должен содержать кнопку ”отклонить", а в случае обработки cookie-файлов для нескольких самостоятельных целей (например, рекламных и статистических) необходимо предоставлять возможность согласиться (отказаться) от каждой из них (принцип ”одна цель – одно согласие“).
#Оператору
В ходе проверки крупной торговой сети Центром установлено, что при оформлении присоединения к программе лояльности на сайте автоматически проставляются отметки в чек-боксах ”отправлять мне уведомления на e-mail об акциях“, ”отправлять мне СМС на телефон об акциях“. Таким образом, желание человека для такой обработки его данных (направление рекламной рассылки) не учитывается.

В соответствии с пунктом 1 статьи 5 Закона о защите персональных данных согласие субъекта персональных данных представляет собой
🔹свободное,
🔹однозначное,
🔹информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.

⚠️В этой связи оператору направлено требование об обеспечении получения согласий субъектов персональных данных для цели регистрации, ведения личного кабинета и направления рекламной рассылки в соответствии с требованиями Закона, а в случае их неполучения – прекратить обработку персональных данных, осуществив их удаление.
#Важно_Знать
#Оператору

⚠️Центр напоминает, что в преддверии перезаключения/заключения договоров на оказание соответствующих услуг на очередной год организациям следует помнить, что в случае, если одна из сторон договора по смыслу Закона о защите персональных данных является уполномоченным лицом, то такой договор должен соответствовать требованиям, установленным пунктом 1 статьи 7 Закона.

В договоре должны быть определены:
🔸цели обработки ПД;
🔸перечень действий, которые будут совершаться с ПД уполномоченным лицом;
🔸обязанности по соблюдению конфиденциальности ПД;
меры по обеспечению защиты ПД.

💡💡💡Со стандартными положениями для включения в договор между оператором и уполномоченным лицом о поручении обработки ПД можно ознакомиться на сайте Центра в Рекомендациях о взаимоотношениях операторов и уполномоченных лиц при обработке ПД.
#Вопрос_Ответ
#Оператору

Нашей компании один год. Правомерно ли проведение Центром камеральной проверки в отношении нашей организации, если Указом № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“ запрещено проведение проверок в течение 2 лет со дня госрегистрации организации, а перечнем контролирующих органов, уполномоченных проводить проверки, и сфер их контрольной (надзорной) деятельности Центр не предусмотрен?

⚠️ Проведение проверки в данном случае правомерно. При наличии оснований (к примеру, поступившая в Центр жалоба, выявленное нарушение обработки ПД на сайте организации) Центр проводит контрольные мероприятия.

Порядок их осуществления определен Положением о Национальном центре защиты персональных данных, утвержденным Указом № 422.

❗️❗️❗️Требования законодательства о персональных данных обязательны для соблюдения всеми операторами со дня их создания вне зависимости от масштабов осуществляемой обработки персональных данных.
#Вопрос_Ответ
#Оператору

Сколько необходимо хранить документы, связанные с обработкой персональных данных?

Постановлением Министерства юстиции № 140 ”О перечне типовых документов“ установлено, что
🌐 согласия субъектов персональных данных на обработку их персональных данных необходимо хранить 1 год после окончания срока, на который дается согласие;
🌐 заявления субъектов персональных данных – 1 год;
🌐 уведомления о нарушениях систем защиты персональных данных – 3 года.

☝️Сроки хранения иных документов, связанных с реализацией законодательства о персональных данных, не установленные законодательством, определяются операторами самостоятельно.
#Оператору #Важно_Знать

Сегодня в детских садах, школах, колледжах и вузах обрабатывается огромный массив персональных данных. Для обеспечения их надежной защиты в учреждениях образования необходимо применять комплексный подход, включающий в себя
💻технические,
📋организационные,
🛡 правовые меры.

В помощь учреждениям образования Центром на постоянной основе готовятся
💼разъяснения,
📇методологические документы,
☑️чек-листы.

Рекомендуем заглянуть на cpd.by, где мы пополнили копилку актуальных материалов и разместили более 20 статей о применении законодательства о персональных данных в сфере образования.

☝️Все публикации доступны для прочтения и скачивания.