#Вопрос_Ответ
#Оператору
Организация планирует передать на аутсорсинг часть своих функций, связанных с обработкой персональных данных. На что обратить внимание при заключении договора?
В обязательном порядке в договор с такой организацией необходимо включать положения, предусмотренные пунктом 1 статьи 7 Закона ”О защите персональных данных“.
⚠️Обращаем внимание! Включение указанных положений в договор не освобождает оператора от ответственности за нарушение законодательства о персональных данных уполномоченным лицом (аутсорсинговой компанией).
☝️Рекомендуем тщательно подходить к выбору уполномоченных лиц, а в договор включать подготовленные Центром стандартные положения согласно приложению к рекомендациям о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.
#Оператору
Организация планирует передать на аутсорсинг часть своих функций, связанных с обработкой персональных данных. На что обратить внимание при заключении договора?
В обязательном порядке в договор с такой организацией необходимо включать положения, предусмотренные пунктом 1 статьи 7 Закона ”О защите персональных данных“.
⚠️Обращаем внимание! Включение указанных положений в договор не освобождает оператора от ответственности за нарушение законодательства о персональных данных уполномоченным лицом (аутсорсинговой компанией).
☝️Рекомендуем тщательно подходить к выбору уполномоченных лиц, а в договор включать подготовленные Центром стандартные положения согласно приложению к рекомендациям о взаимоотношениях операторов и уполномоченных лиц при обработке персональных данных.
#Важно_Знать
#Оператору
Гражданин обратился в Центр с просьбой разъяснить был ли соблюден организацией срок рассмотрения его заявления на получение информации об обработке персональных данных (ПД).
Как установлено, организация направила ответ на 7 рабочий день, ошибочно полагая, что срок рассмотрения заявления составляет 15 дней.
Закон ”Об обращениях граждан и юридических лиц“ предусматривает возможность установления законодательными актами иного срока рассмотрения отдельных обращений.
Закон о защите персональных данных в отношении заявлений на получение информации, касающейся обработки ПД, устанавливает срок рассмотрения – 5 рабочих дней.
Центр напоминает! При рассмотрении таких заявлений следует руководствоваться сроками, установленными Законом, а их несоблюдение является нарушением законодательства о персональных данных и влечет административную ответственность.
#Оператору
Гражданин обратился в Центр с просьбой разъяснить был ли соблюден организацией срок рассмотрения его заявления на получение информации об обработке персональных данных (ПД).
Как установлено, организация направила ответ на 7 рабочий день, ошибочно полагая, что срок рассмотрения заявления составляет 15 дней.
Закон ”Об обращениях граждан и юридических лиц“ предусматривает возможность установления законодательными актами иного срока рассмотрения отдельных обращений.
Закон о защите персональных данных в отношении заявлений на получение информации, касающейся обработки ПД, устанавливает срок рассмотрения – 5 рабочих дней.
Центр напоминает! При рассмотрении таких заявлений следует руководствоваться сроками, установленными Законом, а их несоблюдение является нарушением законодательства о персональных данных и влечет административную ответственность.
#Оператору
При анализе последних уведомлений о нарушении систем защиты персональных данных было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).
Такая уязвимость позволяет злоумышленнику размещать клиентские скрипты на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Уязвимость возникает:
🔹вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке ИС),
🔹отсутствия контроля за обеспечением информационной безопасности в организациях,
🔹необеспечения технической и криптографической защиты персональных данных в установленном порядке.
⚠️ Центр напоминает операторам о необходимости своевременного обновления системного ПО и реализации в полном объеме требований технической и криптографической защиты персональных данных.
При анализе последних уведомлений о нарушении систем защиты персональных данных было установлено, что злоумышленники воспользовались уязвимостью межсайтовых сценариев информационной системы Битрикс для загрузки на сервера организаций сторонних файлов-скриптов в формате *.php (adminer.php, testing.php и т.п.).
Такая уязвимость позволяет злоумышленнику размещать клиентские скрипты на веб-страницах, что допускает осуществление несанкционированного доступа к базе данных информационного ресурса.
Уязвимость возникает:
🔹вследствие блокировки обновлений (в том числе из-за использования пользовательского кода при доработке/разработке ИС),
🔹отсутствия контроля за обеспечением информационной безопасности в организациях,
🔹необеспечения технической и криптографической защиты персональных данных в установленном порядке.
⚠️ Центр напоминает операторам о необходимости своевременного обновления системного ПО и реализации в полном объеме требований технической и криптографической защиты персональных данных.
#Вопрос_Ответ
#Оператору
Необходимо ли организации наряду с документом, определяющим политику оператора в отношении обработки персональных данных, отдельно разрабатывать Положение о защите персональных данных?
❗️Нет. Разработка и принятие Положения о защите персональных данных наряду с документом, определяющим политику оператора в отношении обработки персональных данных, не основана на нормах белорусского законодательства о персональных данных.
Практика наличия двух этих документов применяется в отдельных зарубежных странах. По мнению Центра, исходя из анализа проводимых контрольных мероприятий, реализация данного подхода приводит к появлению нескольких документов, которые описывают одни и те же бизнес-процессы и зачастую противоречат друг другу.
В соответствии со статьей 17 Закона Оператору необходимо
✅разработать документы, определяющие ПОЛИТИКУ оператора в отношении обработки персональных данных,
✅установить ПОРЯДОК ДОСТУПА к персональным данным.
#Оператору
Необходимо ли организации наряду с документом, определяющим политику оператора в отношении обработки персональных данных, отдельно разрабатывать Положение о защите персональных данных?
❗️Нет. Разработка и принятие Положения о защите персональных данных наряду с документом, определяющим политику оператора в отношении обработки персональных данных, не основана на нормах белорусского законодательства о персональных данных.
Практика наличия двух этих документов применяется в отдельных зарубежных странах. По мнению Центра, исходя из анализа проводимых контрольных мероприятий, реализация данного подхода приводит к появлению нескольких документов, которые описывают одни и те же бизнес-процессы и зачастую противоречат друг другу.
В соответствии со статьей 17 Закона Оператору необходимо
✅разработать документы, определяющие ПОЛИТИКУ оператора в отношении обработки персональных данных,
✅установить ПОРЯДОК ДОСТУПА к персональным данным.
This media is not supported in your browser
VIEW IN TELEGRAM
#Оператору
Немного «контрольной» статистики:
💡Центром в текущем году проведено 26 проверок, по результатам которых операторам направлены требования (предписания) об устранении нарушений и в ряде случаев в правоохранительные органы материалы о привлечении к ответственности.
Мы об этом подробно рассказываем на нашем сайте. Детальный разбор выявленных нарушений и недостатков в деятельности операторов при принятии мер по обеспечению защиты персональных данных мы представим также 29 августа в рамках онлайн-семинара.
Вместе с участниками мероприятия разберем причины типичных нарушений подробно и доступно.
🤓Учиться лучше на чужих ошибках.
Что? семинар ”Обработка персональных данных: правовые основания, защита, контроль“
Где? Национальный центр защиты персональных данных (онлайн, облачная ВКС IVA MCU)
Когда? 29 августа
⏳Продолжительность: 6 академических часов
💳Стоимость: 150 Br.
📋Сертификат об обучении государственного образца.
🌐Подробности на cpd.by
Немного «контрольной» статистики:
💡Центром в текущем году проведено 26 проверок, по результатам которых операторам направлены требования (предписания) об устранении нарушений и в ряде случаев в правоохранительные органы материалы о привлечении к ответственности.
Мы об этом подробно рассказываем на нашем сайте. Детальный разбор выявленных нарушений и недостатков в деятельности операторов при принятии мер по обеспечению защиты персональных данных мы представим также 29 августа в рамках онлайн-семинара.
Вместе с участниками мероприятия разберем причины типичных нарушений подробно и доступно.
🤓Учиться лучше на чужих ошибках.
Что? семинар ”Обработка персональных данных: правовые основания, защита, контроль“
Где? Национальный центр защиты персональных данных (онлайн, облачная ВКС IVA MCU)
Когда? 29 августа
⏳Продолжительность: 6 академических часов
💳Стоимость: 150 Br.
📋Сертификат об обучении государственного образца.
🌐Подробности на cpd.by
💡💡💡Относительно недавно на белорусском рынке труда появилась новая профессия – специалист по защите персональных данных, а в начале этого года Единый квалификационный справочник должностей служащих дополнен квалификационной характеристикой специалиста по внутреннему контролю за обработкой персональных данных.
✅Какова роль такого специалиста в организации?
✅Чем он должен заниматься?
✅Что контролировать?
✅Какое образование и квалификацию иметь?
Все это подробно разобрали в нашем очередном гайде для операторов.
Подробности на cpd.by
#Оператору #Важно_Знать #DPO #DataProtectionOfficer
✅Какова роль такого специалиста в организации?
✅Чем он должен заниматься?
✅Что контролировать?
✅Какое образование и квалификацию иметь?
Все это подробно разобрали в нашем очередном гайде для операторов.
Подробности на cpd.by
#Оператору #Важно_Знать #DPO #DataProtectionOfficer
#Оператору #Обучение
Одна из важнейших задач Центра – организация обучения специалистов в сфере защиты персональных данных и информационной безопасности. Мы уделяем большое внимание содержанию наших курсов и, конечно, подбору экспертов, лекторов, практиков.
Обучаем, разъясняем, применяем актуальные цифровые инструменты, помогаем специалистам, пришедшим к нам на обучение, разобраться во всех тонкостях и нюансах законодательства и правоприменения, ”прокачиваем“ технические знания.
Нами уже реализуется целый ряд учебных программ КПК, а сейчас мы с командой активно работаем над разработкой новых курсов.
💡Спойлер: это уникальные программы по информационной безопасности и защите данных, практические курсы с отработкой алгоритмов конкретных действий.
🌟Если у вас есть вопросы по организации обучения в Центре, звоните по тел. 367-02-29, 367-02-46 либо пишите на [email protected]
Одна из важнейших задач Центра – организация обучения специалистов в сфере защиты персональных данных и информационной безопасности. Мы уделяем большое внимание содержанию наших курсов и, конечно, подбору экспертов, лекторов, практиков.
Обучаем, разъясняем, применяем актуальные цифровые инструменты, помогаем специалистам, пришедшим к нам на обучение, разобраться во всех тонкостях и нюансах законодательства и правоприменения, ”прокачиваем“ технические знания.
Нами уже реализуется целый ряд учебных программ КПК, а сейчас мы с командой активно работаем над разработкой новых курсов.
💡Спойлер: это уникальные программы по информационной безопасности и защите данных, практические курсы с отработкой алгоритмов конкретных действий.
🌟Если у вас есть вопросы по организации обучения в Центре, звоните по тел. 367-02-29, 367-02-46 либо пишите на [email protected]
#Оператору
Центром все чаще выявляются факты нарушения требований законодательства о персональных данных при оформлении баннеров, предусматривающих согласие на обработку cookie-файлов.
#Важно_Знать
Для начала отметим, что обрабатываемые посредством сайтов cookie-файлы можно условно разделить на технические(без них сайт не работает надлежащим образом или не работает совсем) и иные (позволяющие сохранять индивидуальные настройки пользователя, информацию об использовании сайта и т.д.).
✅Обработка технических cookie-файлов не требует согласия субъектов персональных данных.
✅Обработка иных cookie-файлов может осуществляться исключительно с согласия.
В отдельных случаях, выявленных Центром, cookie-баннеры содержат лишь кнопки ”согласиться“ и ”настроить“. При этом кнопка ”отказаться“ отсутствует, а отказ пользователя от обработки персональных данных возможен только лишь в настройках на втором уровне cookie-баннера. Эта модель получения согласия вынуждает пользователя предоставить согласие на обработку, в которой он не заинтересован.
⚠️Процесс отказа от обработки cookie-файлов не должен быть сложнее, чем процесс выражения согласия.
☝️В этой связи cookie-баннер наряду с кнопкой ”согласиться“ должен содержать кнопку ”отклонить", а в случае обработки cookie-файлов для нескольких самостоятельных целей (например, рекламных и статистических) необходимо предоставлять возможность согласиться (отказаться) от каждой из них (принцип ”одна цель – одно согласие“).
Центром все чаще выявляются факты нарушения требований законодательства о персональных данных при оформлении баннеров, предусматривающих согласие на обработку cookie-файлов.
#Важно_Знать
Для начала отметим, что обрабатываемые посредством сайтов cookie-файлы можно условно разделить на технические
✅Обработка иных cookie-файлов может осуществляться исключительно с согласия.
В отдельных случаях, выявленных Центром, cookie-баннеры содержат лишь кнопки ”согласиться“ и ”настроить“. При этом кнопка ”отказаться“ отсутствует, а отказ пользователя от обработки персональных данных возможен только лишь в настройках на втором уровне cookie-баннера. Эта модель получения согласия вынуждает пользователя предоставить согласие на обработку, в которой он не заинтересован.
⚠️Процесс отказа от обработки cookie-файлов не должен быть сложнее, чем процесс выражения согласия.
☝️В этой связи cookie-баннер наряду с кнопкой ”согласиться“ должен содержать кнопку ”отклонить", а в случае обработки cookie-файлов для нескольких самостоятельных целей (например, рекламных и статистических) необходимо предоставлять возможность согласиться (отказаться) от каждой из них (принцип ”одна цель – одно согласие“).
#Оператору
В ходе проверки крупной торговой сети Центром установлено, что при оформлении присоединения к программе лояльности на сайте автоматически проставляются отметки в чек-боксах ”отправлять мне уведомления на e-mail об акциях“, ”отправлять мне СМС на телефон об акциях“. Таким образом, желание человека для такой обработки его данных (направление рекламной рассылки) не учитывается.
В соответствии с пунктом 1 статьи 5 Закона о защите персональных данных согласие субъекта персональных данных представляет собой
🔹свободное,
🔹однозначное,
🔹информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
⚠️В этой связи оператору направлено требование об обеспечении получения согласий субъектов персональных данных для цели регистрации, ведения личного кабинета и направления рекламной рассылки в соответствии с требованиями Закона, а в случае их неполучения – прекратить обработку персональных данных, осуществив их удаление.
В ходе проверки крупной торговой сети Центром установлено, что при оформлении присоединения к программе лояльности на сайте автоматически проставляются отметки в чек-боксах ”отправлять мне уведомления на e-mail об акциях“, ”отправлять мне СМС на телефон об акциях“. Таким образом, желание человека для такой обработки его данных (направление рекламной рассылки) не учитывается.
В соответствии с пунктом 1 статьи 5 Закона о защите персональных данных согласие субъекта персональных данных представляет собой
🔹свободное,
🔹однозначное,
🔹информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных.
⚠️В этой связи оператору направлено требование об обеспечении получения согласий субъектов персональных данных для цели регистрации, ведения личного кабинета и направления рекламной рассылки в соответствии с требованиями Закона, а в случае их неполучения – прекратить обработку персональных данных, осуществив их удаление.
#Важно_Знать
#Оператору
⚠️Центр напоминает, что в преддверии перезаключения/заключения договоров на оказание соответствующих услуг на очередной год организациям следует помнить, что в случае, если одна из сторон договора по смыслу Закона о защите персональных данных является уполномоченным лицом, то такой договор должен соответствовать требованиям, установленным пунктом 1 статьи 7 Закона.
В договоре должны быть определены:
🔸цели обработки ПД;
🔸перечень действий, которые будут совершаться с ПД уполномоченным лицом;
🔸обязанности по соблюдению конфиденциальности ПД;
меры по обеспечению защиты ПД.
💡💡💡Со стандартными положениями для включения в договор между оператором и уполномоченным лицом о поручении обработки ПД можно ознакомиться на сайте Центра в Рекомендациях о взаимоотношениях операторов и уполномоченных лиц при обработке ПД.
#Оператору
⚠️Центр напоминает, что в преддверии перезаключения/заключения договоров на оказание соответствующих услуг на очередной год организациям следует помнить, что в случае, если одна из сторон договора по смыслу Закона о защите персональных данных является уполномоченным лицом, то такой договор должен соответствовать требованиям, установленным пунктом 1 статьи 7 Закона.
В договоре должны быть определены:
🔸цели обработки ПД;
🔸перечень действий, которые будут совершаться с ПД уполномоченным лицом;
🔸обязанности по соблюдению конфиденциальности ПД;
меры по обеспечению защиты ПД.
💡💡💡Со стандартными положениями для включения в договор между оператором и уполномоченным лицом о поручении обработки ПД можно ознакомиться на сайте Центра в Рекомендациях о взаимоотношениях операторов и уполномоченных лиц при обработке ПД.
#Вопрос_Ответ
#Оператору
Нашей компании один год. Правомерно ли проведение Центром камеральной проверки в отношении нашей организации, если Указом № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“ запрещено проведение проверок в течение 2 лет со дня госрегистрации организации, а перечнем контролирующих органов, уполномоченных проводить проверки, и сфер их контрольной (надзорной) деятельности Центр не предусмотрен?
⚠️ Проведение проверки в данном случае правомерно. При наличии оснований (к примеру, поступившая в Центр жалоба, выявленное нарушение обработки ПД на сайте организации) Центр проводит контрольные мероприятия.
Порядок их осуществления определен Положением о Национальном центре защиты персональных данных, утвержденным Указом № 422.
❗️❗️❗️Требования законодательства о персональных данных обязательны для соблюдения всеми операторами со дня их создания вне зависимости от масштабов осуществляемой обработки персональных данных.
#Оператору
Нашей компании один год. Правомерно ли проведение Центром камеральной проверки в отношении нашей организации, если Указом № 510 ”О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь“ запрещено проведение проверок в течение 2 лет со дня госрегистрации организации, а перечнем контролирующих органов, уполномоченных проводить проверки, и сфер их контрольной (надзорной) деятельности Центр не предусмотрен?
⚠️ Проведение проверки в данном случае правомерно. При наличии оснований (к примеру, поступившая в Центр жалоба, выявленное нарушение обработки ПД на сайте организации) Центр проводит контрольные мероприятия.
Порядок их осуществления определен Положением о Национальном центре защиты персональных данных, утвержденным Указом № 422.
❗️❗️❗️Требования законодательства о персональных данных обязательны для соблюдения всеми операторами со дня их создания вне зависимости от масштабов осуществляемой обработки персональных данных.
#Вопрос_Ответ
#Оператору
Сколько необходимо хранить документы, связанные с обработкой персональных данных?
Постановлением Министерства юстиции № 140 ”О перечне типовых документов“ установлено, что
🌐 согласия субъектов персональных данных на обработку их персональных данных необходимо хранить 1 год после окончания срока, на который дается согласие;
🌐 заявления субъектов персональных данных – 1 год;
🌐 уведомления о нарушениях систем защиты персональных данных – 3 года.
☝️Сроки хранения иных документов, связанных с реализацией законодательства о персональных данных, не установленные законодательством, определяются операторами самостоятельно.
#Оператору
Сколько необходимо хранить документы, связанные с обработкой персональных данных?
Постановлением Министерства юстиции № 140 ”О перечне типовых документов“ установлено, что
🌐 согласия субъектов персональных данных на обработку их персональных данных необходимо хранить 1 год после окончания срока, на который дается согласие;
🌐 заявления субъектов персональных данных – 1 год;
🌐 уведомления о нарушениях систем защиты персональных данных – 3 года.
☝️Сроки хранения иных документов, связанных с реализацией законодательства о персональных данных, не установленные законодательством, определяются операторами самостоятельно.
#Оператору #Важно_Знать
Сегодня в детских садах, школах, колледжах и вузах обрабатывается огромный массив персональных данных. Для обеспечения их надежной защиты в учреждениях образования необходимо применять комплексный подход, включающий в себя
💻технические,
📋организационные,
🛡 правовые меры.
В помощь учреждениям образования Центром на постоянной основе готовятся
💼разъяснения,
📇методологические документы,
☑️чек-листы.
Рекомендуем заглянуть на cpd.by, где мы пополнили копилку актуальных материалов и разместили более 20 статей о применении законодательства о персональных данных в сфере образования.
☝️Все публикации доступны для прочтения и скачивания.
Сегодня в детских садах, школах, колледжах и вузах обрабатывается огромный массив персональных данных. Для обеспечения их надежной защиты в учреждениях образования необходимо применять комплексный подход, включающий в себя
💻технические,
📋организационные,
🛡 правовые меры.
В помощь учреждениям образования Центром на постоянной основе готовятся
💼разъяснения,
📇методологические документы,
☑️чек-листы.
Рекомендуем заглянуть на cpd.by, где мы пополнили копилку актуальных материалов и разместили более 20 статей о применении законодательства о персональных данных в сфере образования.
☝️Все публикации доступны для прочтения и скачивания.