Вы на портале
Персональные данные

Административная ответственность за нарушение законодательства о защите персональных данных

В соответствии с п. 1 ст. 19 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон № 99-З) лица, виновные в нарушении данного Закона, несут ответственность, предусмотренную законодательными актами. Статьей 23.7 КоАП установлена административная ответственность за нарушение законодательства о защите персональных данных.

Рассмотрим ее более подробно.

Швед Надежда
Швед Надежда

Заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент


4470 Shape 1 copy 6Created with Avocode.

Содержание:


Ответственность по ч. 1 ст. 23.7 КоАП 

Частью 1 ст. 23.7 КоАП предусмотрена ответственность за умышленные незаконные сбор, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных. 

По сути, под сбором в данном случае понимается целенаправленный процесс, совершение любых действий, в результате которых виновный приобретает информацию о персональных данных и становится ее фактическим обладателем. При этом как незаконный сбор следует рассматривать получение персональных данных, совершенное в нарушение положений действующего законодательства о персональных данных. 

Справочно.
К сбору информации о персональных данных следует относить действия, направленные на их получение, включая аудиозапись, фото- и видеосъемку.

Пример
Лицо совершает умышленные действия, состоящие в получении персональных данных любым способом без согласия субъекта персональных данных, либо при отсутствии правовых оснований, предусмотренных ст. 6п. 2 ст. 8 Закона № 99-З, либо в объеме большем, чем это необходимо для осуществления конкретного процесса, например путем опроса других лиц, в том числе с фиксированием информации аудио-, видео-, фотосредствами, копирования соответствующих сведений, а также путем похищения или иного их приобретения.

В соответствии с п. 8 ст. 4 Закона № 99-З хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных. 

Справочно.
Под хранением понимается фактическое размещение (владение) полученных персональных данных у какого-либо лица, в жилище, в помещении организации или других местах.

В этой связи незаконное хранение следует рассматривать как незаконное владение персональными данными. 

Пример
Незаконным будет являться хранение персональных данных при условии отсутствия правовых оснований для их обработки, а также осуществление хранения в связи с истечением срока их обработки дольше предусмотренного срока архивного хранения в отношении конкретных персональных данных. 

Под предоставлением персональных данных понимают действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц (абз. 10 ст. 1 Закона № 99-З). Соответственно, незаконным будет такое предоставление, когда персональные данные передаются для ознакомления определенному кругу лиц без достаточных на то оснований. 

Пример
Нарушением будет являться направление копии постановления о привлечении к административной ответственности определенного лица в личные сообщения другому лицу посредством сети Интернет в социальных сетях либо размещение такой информации в закрытой группе в мессенджере. 

Нарушение прав субъекта, связанных с обработкой персональных данных, может представлять собой иные незаконные действия с персональными данными, в том числе нарушение предписаний Закона № 99-З по реализации прав субъектов персональных данных, предусмотренных ст. 10–15 Закона № 99-З, пренебрежение обязанностями оператора, направленными на защиту прав субъектов персональных данных.

Пример
Оператор отказывается предоставить субъекту персональных данных информацию, касающуюся обработки персональных данных субъекта, либо уведомить его о причинах отказа в ее предоставлении.

Таким образом, сбор, хранение или предоставление персональных данных будут являться незаконными в том случае, если указанные действия совершаются виновным без согласия лица и в нарушение действующего законодательства в части порядка и условий получения той или иной информации, ее предоставления и хранения.

Санкция предусматривает наложение штрафа в размере до 50 базовых величин.

Справочно.
Субъектом рассматриваемого правонарушения является любое вменяемое физическое лицо, достигшее возраста 16 лет. В силу требований п. 2 ч. 1 ст. 4.6 КоАП индивидуальный предприниматель также может являться субъектом данного правонарушения.

Ответственность по ч. 2 ст. 23.7 КоАП 

В ч. 2 ст. 23.7 КоАП предусмотрен квалифицированный вид: деяния, предусмотренные ч. 1 ст. 23.7 КоАП, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью. 

При привлечении лица к административной ответственности в данном случае следует установить, что соответствующие действия по обработке персональных данных охватывались трудовой функцией работника, отражены в его должностной инструкции. 

Пример
В качестве подобного нарушения можно рассматривать предоставление работником кадровой службы персональных данных работника третьим лицам без наличия на то правовых оснований, осуществление доступа к базе данных с целью сбора персональных данных конкретных лиц и предоставление таких сведений по просьбе третьих лиц, несвоевременная подготовка ответа либо его игнорирование по запросу субъекта персональных данных и др. 

Как показывает практика, достаточно часто встречаются нарушения, квалифицируемые по ч. 2 ст. 23.7 КоАП, заключающиеся в ознакомлении лица, имеющего доступ в силу занимаемой должности к информационным ресурсам или информационным системам, содержащим персональные данные, по личной инициативе или по просьбе третьих лиц с информацией о конкретных субъектах, а также предоставлении такой информации третьим лицам. 

Содеянное по ч. 2 ст. 23.7 КоАП влечет наложение штрафа в размере от 4 до 100 базовых величин.

Ответственность по ч. 3 ст. 23.7 КоАП 

В ч. 3 ст. 23.7 КоАП установлена ответственность за умышленное незаконное распространение персональных данных физических лиц. В соответствии с абз. 11 ст. 1 Закона № 99-З под распространением персональных данных понимают действия, направленные на ознакомление с персональными данными неопределенного круга лиц.Особая опасность распространения персональных данных заключается в том, что информация выходит из-под контроля субъекта, субъект теряет возможность управления доступом к персональным данным, нарушается конфиденциальность соответствующих сведений. 

Справочно.
Распространение может осуществляться в устной, письменной или иной форме и любым способом (в частности, путем передачи материалов или размещения информации с использованием информационно-телекоммуникационных сетей, в том числе сети Интернет).

Указанное деяние влечет наложение штрафа в размере до 200 базовых величин.

Пример
Распространением будет являться размещение чужих персональных данных без согласия субъекта персональных данных в открытом аккаунте в социальных сетях (видеоролики, фотографии, копии документов, сведения о месте работы, адресе проживания, мобильном телефоне и т.д.), оглашение персональных данных в публичном выступлении (например, озвучивание на собрании жильцов жилищно-строительного производственного кооператива списка должников по членским взносам), публикация на сайте организации списка работников, являющихся членами БРСМ, профсоюзов, размещение на информационном стенде организации списка работников, не прошедших очередной медицинский осмотр либо не прошедших вакцинацию, размещение на дверях подъезда списка должников по оплате за жилищно-коммунальные услуги и др.

Справочно.
Аккаунт – это личная страница пользователя на каком-либо сайте. Наиболее часто этот термин употребляется в отношении социальных сетей, но аккаунтами также называются профили в почтовых сервисах и личные кабинеты, появляющиеся после регистрации на порталах, форумах.

Ответственность по ч. 4 ст. 23.7 КоАП 

В ч. 4 ст. 23.7 КоАП закреплен еще один самостоятельный состав административного правонарушения — несоблюдение мер обеспечения защиты персональных данных физических лиц. 

Соответствующие меры вытекают из требований ст. 17 Закона № 99-З. Оператор (уполномоченное лицо) обязан принимать правовые, органи-ационные и технические меры по обеспечению защиты персональных данных. 

Законодатель применительно к данному нарушению в санкции статьи установил дифференцированный подход. Так, несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от 2 до 10 базовых величин, на индивидуального предпринимателя — от 10 до 25 базовых величин, а на юридическое лицо — от 20 до 50 базовых величин.

Справочно.
Несоблюдение мер обеспечения защиты персональных данных может выражаться в отсутствии порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе), неосуществлении технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные, и др.

При этом назначение ответственного за осуществление внутреннего контроля не освобождает ни оператора, ни уполномоченное лицо, ни работников организации, непосредственно осуществляющих обработку персональных данных, от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.

Исходя из положений ст. 4.4 КоАП, ответственность за данное правонарушение применяется независимо от требования потерпевшего, его законного представителя. Однако это не лишает их права обратиться в уполномоченные органы с заявлением о начале административного процесса по ст. 23.7 КоАП по факту нарушения законодательства о защите персональных данных. В соответствии со ст. 3.30 ПИКоАП протоколы об административных правонарушениях по ст. 23.7 КоАП имеют право составлять уполномоченные на то должностные лица органов внутренних дел, а также прокурор (при осуществлении им надзорных функций), дела рассматриваются единолично судьей районного (городского) суда.

Выводы
1. Сбор, хранение или предоставление персональных данных влекут привлечение к административной ответственности по ч. 1 ст. 23.7 КоАП в случае, если указанные действия будут совершаться виновным без согласия лица и в нарушение действующего законодательства о защите персональных данных.
2. За незаконный сбор, хранение или предоставление персональных данных, совершенные лицом, которому такие данные известны в связи с его профессиональной или служебной деятельностью, ч. 2 ст. 23.7 КоАП предусмотрена административная ответственность, при условии, что действия по обработке персональных данных охватывались трудовой функцией работника, отражены в его должностной инструкции.
3. Действия, направленные на ознакомление с персональными данными неопределенного круга лиц (умышленное незаконное распространение персональных данных физических лиц), влекут за собой привлечение к административной ответственности по ч. 3 ст. 23.7 КоАП.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц приводит к административной ответственности по ч. 4 ст. 23.7 КоАП, как по заявлению потерпевшего, так и независимо от требований потерпевшего.

4470 Shape 1 copy 6Created with Avocode.
Последнее
по теме