Ответственность за нарушение законодательства о защите персональных данных

31 января 2024 в 17:00 Экономические споры
Поделиться
Класснуть
Отправить

Защита персональных данных не просто формальность, она связана с правами и интересами людей на самом глубоком уровне. Но бывает так, что организации, чтобы соблюсти правила обработки персональных данных, могут подходить к этому с недостаточным пониманием. И это, к сожалению, может привести к серьезным проблемам для самих граждан и для самих организаций.

Несмотря на то, что Закон «О защите персональных данных» вступил в законную силу более двух лет назад, организациями так и не приняты должным образом меры по защиты персональных данных. Самые распространённые ошибки это:

  • не выполнены обязанности по назначению в организации структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
  • возложены обязанности на работника, который не имеет объективной возможности выполнять соответствующие функции;
  • возложены обязанности на работника, который организует обработку персональных данных (например, на начальника кадровой службы организации), что приводит к конфликту интересов;
  • не разработаны локальные правовые акты (например, порядок доступа к персональным данным, перечень уполномоченных лиц);
  • получены согласия работников на обработку персональных данных в процессе трудовой деятельности, когда такое согласие не требуется;
  • не ознакомлены работники, осуществляющие обработку персональных данных, с требованиями по защите таких данных;
  • не приняты меры по ознакомлению работников с документами, определяющими политику организации в отношении их обработки;
  • в отношении обработки персональных данных, не указаны цели обработки категорий субъектов персональных данных, чьи данные подвергаются обработке.

В случае выявления по результатам проверки нарушений, Национальный центр защиты персональных данных, выносит письменное требование (предписание) об:

  • устранении выявленных нарушений;
  • приостановлении обработки персональных данных в информационном ресурсе сроком до шести месяцев с указанием конкретных действий, которые должны быть приостановлены (прекращены);
  • об устранении нарушений по результатам камеральной проверки.

Вместе с тем, при наличии определённых критериев (например, организацией не устранены нарушения выявленные по итогам проверки), Национальный центр защиты персональных данных вправе направить материалы проверки в правоохранительные органы для привлечения должностного лица к административной ответственности по статье 23.7 «Нарушение законодательства о защите персональных данных» КоАП РБ.

Следует отметить, что за нарушение законодательства о защите персональных данных к ответственности привлекается должностное лицо организации, например, директор организации либо его заместитель, начальник кадровой службы, юрисконсульт иными словами лицо, назначенное в организации ответственным за осуществление внутреннего контроля за обработкой персональных данных.

Рассмотрим пример из судебной практики:

Районным судом было вынесено постановление о привлечении директора организации к административной ответственности за непринятие в организации мер по защите персональных данных. Директор организации, как лицо ответственное за осуществление внутреннего контроля за обработкой персональных данных, не выполнил следующие требования:

  • не ознакомил работников, с требованиями по защите таких данных;
  • не ознакомил работников с документами, определяющими политику организации в отношении их обработки;
  • не принял мер по обучению сотрудников и иных лиц работе с персональными данными;
  • не установил порядок доступа к персональным данным, в том числе к обрабатываемым в информационном ресурсе;
  • не принял мер по технической и криптографической защите персональных данных.

Учитывая, что директор организации признал вину и частично устранил выявленные нарушений, суд оштрафовал его по ч. 4 ст. 23.7 КоАП на 128 рублей (4 базовые величины).

Таким образом, чтобы избежать ответственности, организациям следует внедрить эффективную систему защиты персональных данных для обеспечения максимально возможного соблюдения Закона «О защите персональных данных».

Белявский С.Ч. Директор юридической компании «Экономические споры», медиатор, председатель Третейского суда «Экономические споры», рекомендованный арбитр МКАС «Палата арбитров при Союзе юристов», более 10 лет стажа работы судьей экономического суда, член Союза юристов.
Сулима Л.А. Юрист юридической компании «Экономические споры».

Нашли опечатку? Выделите фрагмент текста с опечаткой и нажмите Ctrl + Enter. Хотите поделиться тем, что произошло в Гродно? Напишите в наш телеграм-бот. Это анонимно и быстро.