Центр персональных данных
10.9K subscribers
657 photos
43 videos
4 files
529 links
Официальный Telegram канал Национального центра защиты персональных данных Республики Беларусь

Контакты:
220004 г. Минск, ул. К. Цеткин, 24-3
Download Telegram
#Жалоба

В Центр поступила
жалоба гражданина на то, что нанимателем установлена камера видеонаблюдения в помещениях, где находятся рабочее место заявителя и место для переодевания работников.

Осуществление видеонаблюдения на рабочем месте, по общему правилу, допускается лишь при наличии специфических обстоятельств, требующих организации постоянного контроля на рабочем месте.

Видеонаблюдение за работниками, работа которых не обременена подобными факторами (рабочие места считаются безопасными) или выборочно на рабочих местах отдельных (конкретных) работников, выполняющих аналогичные функции, не соответствует требованиям статьи 4 Закона о защите персональных данных.

В адрес организации-нанимателя Центром направлено требование о прекращении незаконной обработки ПД посредством осуществления видеонаблюдения.
Камеры видеонаблюдения были демонтированы.
#Жалоба

Все чаще в Центр поступают жалобы граждан на рассылку рекламных сообщений на номера мобильных телефонов без их согласия.

💁‍♀️Из последних случаев:
Центром было установлено, что направление рекламы осуществлялось оператором электросвязи на основании договора на оказание услуги рассылки таргетированных SMS-сообщений.
☝️Данная услуга оказывалась с применением клиентской базы оператора электросвязи в соответствии с выборкой по критериям, устанавливаемым организацией, являющейся заказчиком данной услуги.

⚠️Обработка ПД физического лица (в том числе номера мобильного телефона) для рассылки рекламы не относится к случаям, когда получение согласия на обработку персональных данных не требуется.

⛔️По требованию Центра рассылка рекламы на номера мобильных телефонов заявителей оператором электросвязи прекращена.
#Кейсы_из_практики
#Жалоба

В Центр поступила жалоба, согласно которой работник одного из государственных коммунальных предприятий, имея в связи с трудовой функцией доступ к заявке гражданина в системе ”115.бел“, предоставил содержащуюся в ней информацию своему знакомому (скриншот заявки).
Позже последним гражданином полученная информация была опубликована в чате мессенджера Viber.


⚠️ Эти действия являются незаконной обработкой персональных данных.

☝️Напоминаем операторам, что они обязаны:
📌принимать меры по обеспечению защиты ПД от несанкционированного предоставления/распространения;
📌ознакомить работников с положениями законодательства о ПД, в том числе с требованиями по защите ПД (включая запрет на незаконное предоставление/распространение персональных данных).
#Кейсы_из_практики
#Жалоба

В Центр поступила жалоба по вопросу соблюдения организацией здравоохранения законодательства о персональных данных.

В жалобе сообщалось, что в холле поликлиники размещены списки пациентов, записанных на прием к медицинским работникам, с указанием, помимо времени и даты приема, их ФИО, номера медицинской карты, адреса места жительства и даты рождения.

⚠️ Размещение такой информации в месте общего пользования является распространением ПД, которое допускается с согласия субъекта ПД либо в случаях, прямо предусмотренных законодательными актами.

Центром в адрес организации здравоохранения направлено требование о прекращении такой обработки.

В результате списки были сняты, а распространение ПД прекращено.
#Жалоба

Ситуация:
📩Гражданин направил оператору отзыв согласия на обработку ПД,
🙅‍♂️организация, в свою очередь, ответ заявителю не предоставила.

Выводы: Оператор нарушил законодательство о ПД, что влечет ответственность по части 1 статьи 23.7 КоАП.

Центр напоминает:
📌субъект ПД вправе в любое время без объяснения причин отозвать свое согласие;
📌форма ответа должна соответствовать форме поданного субъектом ПД заявления (если в заявлении не указано иное);
📌наличие оснований для отказа в удовлетворении заявления об отзыве согласия в связи с иными (помимо согласия) основаниями для обработки ПД не может являться основанием непредоставления ответа на заявление.
#Кейсы_из_практики
Популярным сервисом поиска исполнителей услуг прекращена обработка без правовых оснований фотографий документов, удостоверяющих личность.


В Центр поступила #жалоба.
В ней сообщалось, что при создании профиля на Сервисе необходимо загрузить фотографию последнего разворота паспорта для подтверждения достоверности рекламы. После предварительной модерации фотография сохранялась в профиле.
⚠️Хранение таких фотографий после модерации не соответствует требованиям статьи 4 Закона.

Центром отмечено:
❗️истребование рекламораспространителем у рекламодателей фотографий документов, удостоверяющих личность, допустимо для подтверждения достоверности рекламы;

⛔️хранение таких фотографий необходимо ограничить периодом предварительной модерации (не более 3 суток), после чего они должны быть удалены.

По требованию Центра Сервисом
☝️внесены изменения в пользовательское соглашение, политику в отношении обработки ПД,
🗑удалено более 5 тысяч фотографий документов, обрабатываемых без правовых оснований.
⚡️⚡️⚡️Центром установлены нарушения в работе популярного маркетплейса.

#Жалоба #Кейсы_из_практики
По итогам рассмотрения жалоб субъектов ПД на оператора одной из крупных торговых площадок Центром установлены:
нарушение требований статьи 5 Закона о защите ПД при получении согласия на обработку ПД для рекламных целей. Принятие пользователем правил пользования торговой площадкой было невозможно без такого согласия;
необоснованно длительные сроки хранения видеозаписей в пунктах выдачи товаров.

☝️В этой связи оператору указано на необходимость:
обеспечения возможности использования функционала личного кабинета на интернет-сайте торговой площадки без необходимости выражения согласия на обработку ПД для рекламных целей;
установления срока хранения видеозаписей, произведенных в пунктах выдачи товаров в местах, доступных для посещения клиентами, не более 30 дней.

⚠️Исполнение вынесенных требований находится на контроле Центра.
#Жалоба

В Центр поступила
жалоба субъекта ПД на то, что при регистрации в программе лояльности организации, осуществляющей деятельность в сфере продаж, покупателю не предоставляется информация, предусмотренная пунктом 5 статьи 5 Закона о защите ПД.

☝️Факт в ходе проверки подтвержден.
Также установлено, что регистрация в программе лояльности автоматически влечет участие физлица в рекламной акции, проводимой организацией. В таком случае согласие субъекта ПД не является свободным, поскольку получается для достижения нескольких самостоятельных целей.

⚠️Организации направлено требование о приведении согласия в соответствие с требованиями статьи 5 Закона. Нарушение устранено.

О том, каким должно быть согласие, и на что необходимо обратить внимание читайте на cpd.by
This media is not supported in your browser
VIEW IN TELEGRAM
#Жалоба

📨В Центр поступила
жалоба должностного лица налогового органа о том, что блогер в социальной сети ”TikTok“ распространил его персональные данные без правовых оснований, разместив акт проверки.

☝️Напомним, что персональные данные – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано, например, через ФИО, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абзацы девятый и семнадцатый статьи 1 Закона).

⚠️Должность, место работы, ФИО сотрудника налогового органа, содержащиеся в акте проверки налогового органа, являются его ПД, распространение которых в рассматриваемой ситуации могло осуществляться исключительно с согласия сотрудника налоговых органов, которое блогеру предоставлено не было.

📝По требованию Центра видеозапись, содержащая ПД заявителя, была удалена блогером.
#Кейсы_из_практики

В Центр поступила #жалоба субъекта ПД на оператора интернет-ресурса, который в случае поступления от пользователей сведений о недостоверности размещаемой на сайте информации о транспортном средстве запрашивал у его владельца копию свидетельства о регистрации ТС.

⚠️Центром проведена проверка.
⛔️Установлено, что оператор осуществлял неограниченное по сроку хранение полученных копий свидетельств, что противоречит пункту 8 статьи 4 Закона о защите персональных данных, согласно которому хранение ПД должно осуществляться не дольше, чем этого требуют заявленные цели обработки ПД.

☝️По требованию Центра оператором удалено больше 120 тысяч электронных писем, в том числе содержащих фотоизображения свидетельств о регистрации транспортного средства.

Прекращено незаконное хранение ПД.
⚠️Центр обращает внимание на недопустимость избыточной обработки ПД и их хранения после достижения заявленных целей обработки.
К нам присоединилось много новых подписчиков, и для удобства мы обновили навигацию на нашем Telegram-канале! Теперь вы можете легко ориентироваться в контенте и быстро находить интересующие вас темы.

Вот рубрики, которые мы для вас подготовили:
🙋‍♂️ #Вопрос_Ответ – ответы на ваши часто задаваемые вопросы по защите данных;
📚 #Кейсы_из_практики – полезные примеры из «реальной жизни» операторов и проверок Центра;
📨 #Жалоба – разбор реальных жалоб на нарушение прав субъектов ПД;
🌐 #Международная_повестка – важные новости в мире приватности;
⚠️ #Важно_Знать – инсайты и советы Центра, которые стоит запомнить;
🌟 #данныеперсональные – базовые правила приватности и защиты личной информации;
😄 #шуткаюмора – подборка легких и веселых постов о защите данных.

Закрепим эту публикацию, пользуйтесь удобной навигацией!

Еще у нас есть супергеройский стикерпак⬇️
➡️https://t.me/addstickers/cpd_by
➡️https://t.me/addstickers/cpdby
Скачивайте, делитесь, берегите персональные данные!

Не переключайтесь😎
Будет интересно😉
#Жалоба

📨В Центр поступила жалоба субъекта ПД на незаконное предоставление нанимателем информации о нем.

Так, в характеристике с места работы заявителя, выданной по запросу потенциального нанимателя, содержались сведения о применении к заявителю меры пресечения в виде заключения под стражу.

Характеристика по форме, утвержденной постановлением Совета Министров Республики Беларусь от 14 октября 2021 г. № 585, не предполагает отражения данных сведений.

⛔️Сведения о применении меры пресечения не относятся к сведениям о привлечении работника к ответственности (пункт 9 формы).

⚠️ Указанная нанимателем информация являлась избыточной, поскольку в данном случае не позволяла объективно характеризовать работника (уголовное преследование в отношении заявителя впоследствии было прекращено по реабилитирующим обстоятельствам).

📩 Центр признал незаконным предоставление такой информации в характеристике и направил нанимателю требование о прекращении такой практики.
#Жалоба

В Центр поступила жалоба по вопросу указания в бюллетенях для голосования при проведении общего собрания участников совместного домовладения в многоквартирном жилом доме в форме письменного опроса персональных данных гражданина, предложение которого послужило поводом для проведения такого собрания.

📝Жилищным законодательством не предусмотрено отражение в бюллетене для голосования (опросном листе) персональных данных физического лица, предложение которого послужило поводом для проведения общего собрания участников совместного домовладения.

☝️Поэтому, и поскольку обрабатываемые персональные данные
не должны быть избыточными, указание персональных данных инициатора вопроса, выносимого на общее собрание, не соответствует законодательству.

❗️По требованию Центра обработка персональных данных заявителя прекращена, имеющиеся в управляющей организации опросные листы уничтожены❗️
This media is not supported in your browser
VIEW IN TELEGRAM
#Жалоба

В Центр поступают жалобы на незаконную обработку ПД граждан индивидуальным предпринимателем посредством отправления на их имя  почтовых отправлений с наложенным платежом. По данному факту проводится разбирательство.

Ранее СМИ сообщали об одном из фактов привлечения ИП к ответственности по статье 23.7 КоАП за умышленную незаконную обработку ПД в аналогичных обстоятельствах.

⚠️Если вам поступают такие почтовые отправления от незнакомых лиц без соответствующих правовых оснований (например, договора или согласия), Центр рекомендует:
зафиксировать информацию об отправителе;
направить ему заявление о прекращении незаконной обработки ваших ПД;
обратиться в органы внутренних дел с заявлением о начале административного процесса по статье 23.7 КоАП.
подать жалобу в Центр.

Будьте бдительны!
Не спешите забирать такие почтовые отправления и не доверяйте ”заманчивым“ предложениям, например, о ”подарочных“ картах с включенным депозитом на покупки.

Не передавайте свои и чужие личные данные посторонним!
This media is not supported in your browser
VIEW IN TELEGRAM
#Жалоба

Гражданин пожаловался в Центр, что без его ведома был открыт счет, который использовался мошенниками для перевода украденных денежных средств.

💼Центром проведена проверка.
Установлено, что заявитель общался с лицом, разместившим объявление о продаже товара на интернет-площадке. Впоследствии общение было переведено в мессенджер.

🎣Получение мошенниками ПД стало возможным вследствие перехода заявителем по ссылке для заполнения формы на фишинговом сайте ”банка“, а также переноса на этот ресурс цифровых кодов из поступающих SMS.

⚠️Будьте бдительны!
Это распространённый вид мошенничества, когда у держателей похищаются номера карты, CVV/ и ПИН-коды. Получив эту информацию, аферисты крадут деньги с карт. Преступники создают сайты, похожие на официальные интернет-страницы банков, на которых предлагают клиентам оставить конфиденциальную информацию о себе.
#Жалоба

📨В Центр поступают жалобы граждан на незаконное предоставление их персональных данных (информации о привлечении к административной ответственности) должностными лицами организаций собственников (ЖСПК, товарищества собственников и т.п.) в общедомовых чатах без их согласия.

⚠️Центр обращает внимание, что правовые основания для подобных действий отсутствуют.

⚠️За предоставление персональных данных без правовых оснований должностным лицом, которому персональные данные известны в связи
с его профессиональной или служебной деятельностью, предусмотрена ответственность по части 2 статьи 23.7 КоАП в виде наложения штрафа в размере от 4 до 100 базовых величин.

☝️При обработке ПД в рамках осуществления деятельности организаций собственников следует учитывать подготовленные Центром разъяснения.
#Кейсы_из_практики

Директор организации привлечен к ответственности за непредоставление сведений в ответ на запрос Центра.


📧К нам поступила #жалоба гражданина на организацию, осуществляющую незаконную обработку его ПД.

📨Центром направлен запрос организации о предоставлении информации, подтверждающей наличие правовых оснований для обработки ПД заявителя. Ответ на запрос в установленный срок от организации не поступил.

🟥В этой связи Центром направлены материалы в органы внутренних дел для привлечения должностных или иных уполномоченных лиц организации к ответственности за совершение правонарушения, предусмотренного ст. 24.11 (”Непредставление документов, отчетов и иных материалов“) КоАП.

⛔️Директор организации привлечен к ответственности.
#Жалоба

В Центр поступила жалоба работника на нанимателя, который отслеживал место нахождения работника при помощи сервисов геолокации, установленных на его личном мобильном телефоне.

В указанном случае обработка ПД работника была признана избыточной и несоразмерной заявленной цели контроля рабочего времени при помощи сервисов геолокации.
Она осуществлялась без правовых оснований, так как личный номер телефона работника использовался в рабочих целях без согласия на обработку ПД.

📨Нанимателю было направлено требование об устранении выявленных нарушений.

➡️Требование исполнено, оператор уведомил о:
📌прекращении использования сервисов геолокации для осуществления такого контроля,
📌получении согласий работников для использования их личных абонентских номеров в рабочих целях.
#Жалоба

📨В Центр поступают жалобы по фактам обработки на официальных интернет-ресурсах организаций и ИП 💻cookie-файлов без правовых оснований, а также 🌐 отсутствия на сайтах политик обработки персональных данных.

Такие же нарушения выявляются Центром и при мониторинге интернет-ресурсов и камеральных проверках.

Так, в прошлом месяце требования об устранении таких нарушений направлены Центром 17 организациям, осуществляющим страховую деятельность.

Нарушения при обработке cookie-файлов и в части размещения политик обработки ПД отсутствуют у Белгосстраха и ЗАСО ”Имклива Иншуранс“.
#Жалоба

В Центр поступила жалоба на оператора, оказывающего услуги по приему, хранению и доставке почтовых отправлений посредством почтоматов.

Заявитель усомнился, что для получения отправлений в почтомате правомерно истребовать в числе прочих ПД идентификационный номер паспорта.

Правовым основанием такой обработки являются Закон о почтовой связи и принятые в его развитие Правила оказания услуг почтовой связи общего пользования.

⛔️Для достижения рассматриваемой цели обработка идентификационного номера гражданина является избыточной.

📨Оператору направлены требования об исключении практики сбора избыточных ПД и 🚮 удалении обрабатываемых идентификационных номеров пользователей.

⚠️⚠️⚠️ Обращаем внимание, что операторы должны собирать, хранить и запрашивать сведения о гражданах ровно настолько, насколько это необходимо для достижения поставленных целей. Обрабатываемые ПД не должны быть избыточными и не собираются про запас.