Защита персональных данных: административная ответственность за нарушения
История поискаИстория поискаИстория поискаИстория поискаИстория поиска

Защита персональных данных: административная ответственность за нарушения

В соответствии с п. 1 ст. 19 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) лица, виновные в нарушении Закона, несут ответственность, предусмотренную законодательными актами. Статьей 23.7 КоАП установлена административная ответственность за нарушение законодательства о защите персональных данных. В статье разберемся, за какие конкретно нарушения могут привлечь к административной ответственности.

Швед Надежда

заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент

300 Shape 1 copy 6Created with Avocode.

Ответственность по части 1 статьи 23.7 КоАП

Частью 1 ст. 23.7 КоАП предусмотрена ответственность за умышленные незаконные:

  • сбор;
  • хранение;
  • предоставление персональных данных физического лица;
  • нарушение прав, связанных с обработкой персональных данных.

Незаконный сбор персональных данных

Под сбором в данном случае понимается целенаправленный процесс, совершение любых действий, в результате которых виновный приобретает персональные данные и становится фактическим обладателем такой информации. При этом как незаконный сбор следует рассматривать получение персональных данных, совершенное в нарушение законодательства о персональных данных.

К сбору персональных данных относятся действия, направленные на получение персональных данных, включая аудиозапись, фото- и видеосъемку.


Пример

Лицо совершает умышленные действия, состоящие в получении персональных данных любым способом без согласия субъекта персональных данных, либо при отсутствии правовых оснований, предусмотренных ст. 6, п. 2 ст. 8 Закона, либо в объеме большем, чем это необходимо для осуществления конкретного процесса, например путем опроса других лиц, в т. ч. с фиксированием информации аудио-, видео-, фотосредствами, копирования соответствующих сведений, похищения или иного их приобретения.


Незаконное хранение персональных данных

В соответствии с п. 8 ст. 4 Закона хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

В связи с этим незаконное хранение следует рассматривать как незаконное владение персональными данными.

Под хранением понимается фактическое размещение (владение) полученных персональных данных у какого-либо лица, в жилище, помещении учреждения или других местах.


Пример

Незаконным является хранение персональных данных в отсутствие правовых оснований для их обработки, а также по истечении срока обработки дольше предусмотренного срока архивного хранения в отношении конкретных персональных данных.


Незаконное предоставление персональных данных

Под предоставлением персональных данных понимают действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц (абз. 10 ст. 1 Закона). Соответственно, незаконным будет такое предоставление, когда персональные данные передаются для ознакомления определенному кругу лиц без достаточных на то оснований.


Пример

Нарушением является направление копии постановления о привлечении к административной ответственности определенного лица в личные сообщения другому лицу в социальных сетях либо размещение такой информации в закрытой группе в мессенджере.


Нарушение прав, связанных с обработкой персональных данных

Нарушение прав субъекта, связанных с обработкой его персональных данных, может представлять собой иные незаконные действия с персональными данными, в т. ч. нарушение предписаний Закона по реализации прав субъектов персональных данных, предусмотренных ст. 10–15 Закона, пренебрежение обязанностями оператора, направленными на защиту прав субъектов персональных данных.


Пример

Оператор отказывается предоставить субъекту персональных данных информацию, касающуюся обработки его персональных данных, либо уведомить его о причинах отказа в предоставлении такой информации.


Таким образом, сбор, хранение и предоставление персональных данных являются незаконными в том случае, если указанные действия совершаются виновным без согласия субъекта персональных данных и в нарушение законодательства в части порядка и усло­вий получения той или иной информации, ее предоставления и хранения.

Это важно
Санкция ч. 1 ст. 23.7 КоАП предусматривает наложение штрафа в размере до 50 БВ.

Ответственность по части 2 статьи 23.7 КоАП

В ч. 2 ст. 23.7 КоАП установлена ответственность за деяния, предусмотренные ч. 1 ст. 23.7 КоАП, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью.

При привлечении лица к административной ответственности в данном случае должно быть установлено, что соответствующие действия по обработке персональных данных охватывались трудовой функцией работника, отражены в его должностной инструкции.


Пример

Как нарушение можно рассматривать предоставление работником кадровой службы персональных данных работника третьим лицам без наличия на то правовых оснований, использование базы данных с целью сбора персональных данных конкретных лиц и предоставления таких сведений по просьбе третьих лиц, несвое­временную подготовку ответа либо его игнорирование по запросу субъекта персональных данных и др.


Как показывает практика, достаточно часто встречаются нарушения, квалифицируемые по ч. 2 ст. 23.7 КоАП, заключающиеся в ознакомлении лица, имеющего доступ в силу занимаемой должности к информационным ресурсам или информационным системам, содержащим персональные данные, по личной инициативе или по просьбе третьих лиц с информацией о конкретных субъектах, а также предоставлении такой информации третьим лицам.

Это важно
Содеянное по ч. 2 ст. 23.7 КоАП влечет наложение штрафа в размере от 4 до 100 БВ.

Ответственность по части 3 статьи 23.7 КоАП

В ч. 3 ст. 23.7 КоАП установлена ответственность за умышленное незаконное распространение персональных данных физических лиц.

В соответствии с абз. 11 ст. 1 Закона под распространением персональных данных понимаются действия, направленные на озна­комление с персональными данными неопределенного круга лиц. Особая опасность распространения персональных данных заключается в том, что информация выходит из-под контроля субъекта, субъект теряет возможность управления доступом к персональным данным, нарушается конфиденциальность соответствующих сведений.

Это важно
Указанное деяние влечет наложение штрафа в размере до 200 БВ.

Распространение персональных данных может осуществляться в устной, письменной или иной форме любым способом (в частности, путем передачи материалов или размещения информации с использованием инфор­ма­ционно-­телекоммуни­ка­цион­ных сетей, в т. ч. сети Интернет).


Пример

Распространением будут являться размещение чужих персональных данных без согласия субъекта персональных данных в открытом аккаунте в социальных сетях (видеоролики, фотографии, копии документов, сведения о месте работы, адресе проживания, мобильном телефоне и т. д.), оглашение персональных данных в публичном выступлении (например, озвучивание на собрании жильцов жилищно-­строи­тель­­­ного производственного кооператива списка должников по членским взносам), публикация на сайте организации списка работников, являющихся членами БРСМ, профсоюзов, размещение на информационном стенде организации списка работников, не прошедших очередной медицинский осмотр либо вакцинацию, размещение на дверях подъезда списка должников по оплате за жи­лищно-­ком­мунальные услуги и др.


Ответственность по части 4 статьи 23.7 КоАП

В ч. 4 ст. 23.7 КоАП закреплен еще один самостоятельный состав административного правонарушения — несоблюдение мер обеспечения защиты персональных данных физических лиц.

Соответствующие меры вытекают из требований ст. 17 Закона. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных.


Пример

Несоблюдение мер обеспечения защиты персональных данных может выражаться в отсутствии порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), неосуществлении технической и криптографической защиты персональных данных в порядке, установленном Оперативно-­аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные, и др.


Законодатель применительно к данному нарушению в санкции статьи установил дифференцированный подход.

Это важно
Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от 2 до 10 БВ, на индивидуального предпринимателя — от 10 до 25 БВ, а на юридическое лицо — от 20 до 50 БВ.

Назначение ответственного за осуществление внутреннего контроля за обработкой персональных данных не освобождает ни оператора, ни уполномоченное лицо, ни работников организации, непосредственно осуществляющих обработку персональных данных, от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.

Исходя из положений ст. 4.4 КоАП, ответственность за данное правонарушение применяется независимо от требования потерпевшего, его законного представителя. Однако это не лишает их права обратиться в уполномоченные органы с заявлением о начале административного процесса по ст. 23.7 КоАП по факту нарушения законодательства о защите персональных данных.

Протоколы об административных правонарушениях по ст. 23.7 КоАП имеют право составлять уполномоченные на то должностные лица органов внутренних дел, а также прокурор (при осуществлении им надзорных функций), дела рассматриваются единолично судьей районного (городского) суда (ст. 3.30 Процессуально-­исполнительного кодекса Республики Беларусь об административных правонарушениях).

Выводы

1. Сбор, хранение или предоставление персональных данных влекут привлечение к административной ответственности по ч. 1 ст. 23.7 КоАП в случае, если указанные действия совершены виновным без согласия субъекта персональных данных и в нарушение законодательства о защите персональных данных.

2. За незаконные сбор, хранение или предоставление персональных данных, совершенные лицом, которому такие данные известны в связи с его профессиональной или служебной деятельностью, административная ответственность по ч. 2 ст. 23.7 КоАП наступает при условии, что действия по обработке персональных данных охватываются трудовой функцией работника, отражены в его должностной инструкции.

3. Действия, направленные на ознакомление с персональными данными неопределенного круга лиц (умышленное незаконное распространение персональных данных физических лиц), влекут привлечение к административной ответственности по ч. 3 ст. 23.7 КоАП.

4. Несоблюдение мер обеспечения защиты персональных данных физических лиц приводит к административной ответственности по ч. 4 ст. 237 КоАП как по заявлению потерпевшего, так и независимо от его требований.


От редакции

Чтобы не нарушить законодательство при обработке персональных данных, воспользуйтесь нашим электронным пособием «Руководство по обработке персональных данных в учреждении образования».

300 Shape 1 copy 6Created with Avocode.
Последнее
по теме
Задать вопрос в редакцию
Заказать звонок