Закон “О защите персональных данных”. Что нужно знать?

Отвечает старший участковый инспектор милиции ООПП МОБ ОВД Свислочского райисполкома майор милиции Прокопик Артур Владимирович.

Сегодня вопрос защиты персональных данных звучит повсеместно и является очень актуальным, поскольку персональные данные – это весьма ценный информационный актив, который нуждается в действенной охране. Ненадлежаще организованная работа с информацией, относящейся к персональным данным, невнимательное или пренебрежительное отношение к мерам защиты личной информации может повлечь несанкционированный доступ к ней, распространение персональных данных, причинение вреда гражданам и юридическим лицам.

Соблюдение требований законодательства о защите персональных данных в Беларуси включает в себя понимание основных принципов, таких как цели обработки, согласие субъекта, сроки хранения и меры безопасности, а также знание возможных последствий их нарушения. Несоблюдение этих требований может привести к административной, а в некоторых случаях и к уголовной ответственности.

В целях системного и комплексного урегулирования вопросов, касающихся правовой регламентации работы с персональными данными, а также их защиты, принят Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».

Можно выделить следующие виды ответственности, которые могут наступить в случае нарушения действующего законодательства о защите персональных данных: дисциплинарная, административная, уголовная, гражданско-правая.

Дисциплинарная ответственность применяется в соответствии со ст. 197 Трудового кодекса (далее — ТК) за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (дисциплинарный проступок). В силу ст. 198 ТК за совершение дисциплинарного проступка наниматель может применить к работнику следующие меры дисциплинарного взыскания: 1) замечание; 2) выговор; 3) лишение полностью или частично стимулирующих выплат на срок до двенадцати месяцев; 4) увольнение (пункты 6-11 статьи 42, пункты 1, 1-2, 5-1, 9 и 10 части первой статьи 47). Следует также обратить особое внимание на то, что в качестве самостоятельного основания для прекращения трудового договора с работниками законодатель выделил нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных (пункт 10 статьи 47 ТК). При этом сам факт привлечения работника к дисциплинарной ответственности за нарушение законодательства о персональных данных не влияет на возможность привлечения и его к гражданско-правовой, административной или уголовной ответственности за те же нарушения, если для этого имеются установленные законом основания.

В соответствии с  п.  1 ст.  19 Закона Республики Беларусь от  07.05.2021 №  99-З «О  защите персональных данных» (далее — Закон) лица, виновные в нарушении Закона, несут ответ-ственность, предусмотренную законодательными актами. Статьей 23.7 КоАП установлена административная ответственность за нарушение законодательства о защите персональных данных. 

Административная ответственность за нарушение законодательства о защите персональных данных предусмотрена статьей 23.7 Кодекса Республики Беларусь об административных правонарушениях (далее – КоАП). Данной статьей регламентировано следующее:

Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, — влекут наложение штрафа в размере до пятидесяти базовых величин (ч. 1 ст. 23.7 КоАП).

При этом нарушение прав физического лица, связанных с обработкой персональных данных, может выражаться в следующем: непредоставление ответа на заявления, поданные в соответствии со ст. 14 Закона о защите персональных данных; несоблюдение сроков ответов на заявления субъектов персональных данных; неправомерный отказ в удовлетворении соответствующих требований субъектов персональных данных; предоставление неполной информации в ответ на поступившее заявление.

Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, — влекут наложение штрафа в размере от четырех до ста базовых величин (ч. 2 ст. 23.7 КоАП).

Умышленное незаконное распространение персональных данных физических лиц — влечет наложение штрафа в размере до двухсот базовых величин (ч. 3 ст. 23.7 КоАП).

Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц (абз. 11 ч. 1 ст. 1 Закона). Например, это публикация персональных данных на сайте организации, размещение данных на информационном стенде, на дверях подъезда и др.

Несоблюдение мер обеспечения защиты персональных данных физических лиц — влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя — от десяти до двадцати пяти базовых величин, а на юридическое лицо — от двадцати до пятидесяти базовых величин (ч. 4 ст. 23.7 КоАП).

  Несоблюдение мер защиты персональных данных имеет место в следующих случаях (п. 1, 3 ст. 17 Закона):

— отсутствие в организации лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

— необеспечение неограниченного доступа к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки;

— отсутствие порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); — и др.

За невыполнение требований по защите персональных данных юридическое лицо может быть привлечено к административной ответственности, если: не создан обязательный пакет документов, необходимых для обеспечения защиты данных; не обеспечена сохранность данных; не обеспечен неограниченный доступ к документам, определяющим политику оператора в отношении обработки персональных данных, до начала такой обработки (ст. 17 Закона). Максимальный штраф за такое нарушение для организаций, как указывалось выше, составляет 50 базовых величин (ч. 4 ст. 23.7 КоАП).

Кроме того, за нарушение требований законодательных актов по учету и хранению персональных данных пользователей интернет-услуг предусмотрена ответственность по ч. 2 ст. 23.9 КоАП в виде штрафа от 5 до 15 базовых величин.

В Республике Беларусь предусмотрена уголовная ответственность за незаконное распространение персональных данных и нарушение законодательства о защите персональных данных. За такие действия предусмотрены штрафы, лишение свободы и другие виды наказаний.

Кроме того, за нарушение требований законодательных актов по учету и хранению персональных данных пользователей интернет-услуг предусмотрена ответственность по ч. 2 ст. 23.9 КоАП в виде штрафа от 5 до 15 базовых величин.

Уголовная ответственность наступает в соответствии со ст. 203-1 Уголовного кодекса Республики Беларусь (далее – УК) «Незаконные действия в отношении информации о частной жизни и персональных данных».

Частью 1 ст. 203-1 УК установлена ответственность за умышленные незаконные сбор, предоставление персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина. За указанное деяние может быть назначено наказание в виде общественных работ, или штрафа, или ареста, или ограничения или лишения свободы на срок до двух лет.

Частью 2 ст. 203-1 УК регламентирована ответственность за умышленное незаконное распространение персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина. За совершение указанного деяния может быть назначено наказание в виде ограничения свободы на срок до трех лет или лишения свободы на тот же срок со штрафом.

Кроме того, лицо, ответственное за нарушение законодательства о защите персональных данных, может быть привлечено к гражданско-правовой ответственности в формах возмещения убытков и (или) компенсации морального вреда. При этом моральный вред подлежит возмещению вне зависимости от того, возмещался ли имущественный вред физическому лицу и понесенные им убытки. Гражданско-правовая ответственность может наступить, если нарушены права физического лица, установленные Законом (п. 2 ст. 19 Закона): правила обработки персональных данных; требования к их защите.

Таким образом, наряду с административной и (или) уголовной ответственностью виновное лицо либо лицо, на которое законом возложена ответственность, должно будет выплатить физическому лицу денежную компенсацию морального вреда и возместить убытки в соответствии с решением суда.