Вы на портале
Персональные данные

Дисциплинарная ответственность за нарушение законодательства о персональных данных

Согласно п. 1 ст. 19 Закона Республики Беларусь от 07.05.2021 № 99-З  «О  защите персональных данных» (далее — Закон) лица, виновные в нарушении данного Закона, несут ответственность, предусмотренную законодательными актами.

Существуют следующие виды ответственности за нарушение законодательства о персональных данных: дисциплинарная, административная, уголовная и гражданско-правовая. Рассмотрим более подробно основания и порядок привлечения к дисциплинарной ответственности за нарушение законодательства о персональных данных.

Швед Надежда
Швед Надежда

Заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь, кандидат юридических наук, доцент


4121 Shape 1 copy 6Created with Avocode.

Содержание:


Меры дисциплинарной ответственности, порядок и сроки их применения, порядок обжалования, снятия и погашения дисциплинарных взысканий урегулированы главой 14 ТК, а также: 

Основные обязанности работника закреплены в ст. 53 ТК, в правилах внутреннего трудового распорядка (ПВТР), коллективных договорах, должностных (рабочих) инструкциях и иных локальных правовых актах нанимателя (соглашениях, положениях, инструкциях по охране труда и технике безопасности и т.д.), а также дисциплинарных уставах.

Таким образом, привлечение к дисциплинарной ответственности за нарушение законодательства о персональных данных возможно только в отношении тех категорий работников, на которых возложена обязанность по обработке персональных данных, в связи с нарушением ими порядка обработки персональных данных. 

Важно отметить, что, несмотря на предусмотренную Законом в качестве обязательной меры по назначению ответственного за осуществление внутреннего контроля, ни оператор, ни уполномоченное лицо, ни работники организации, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности за допущенные ими нарушения.

Основания привлечения к дисциплинарной ответственности

Декретом Президента Республики Беларусь от 12.10.2021 № 6 «Об изменении Декрета Президента Республики Беларусь» Декрет № 5 был дополнен новым подп. 6.14-1 п. 6: «нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных». 

Данное основание предусматривает виновные действия работника и, соответственно, отнесено к дискредитирующим обстоятельствам увольнения.

Включение нового основания для увольнения потребовало внесения соответствующих изменений и в ТК. 

Законом Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» ст. 47 ТК была дополнена новым основанием прекращения трудовых отношений: «нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных». 

Справочно.
В соответствии со ст. 197 ТК дисциплинарная ответственность наступает за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (совершение дисциплинарного проступка).

Таким образом, законодатель предусмотрел самостоятельное основание для привлечения к дисциплинарной ответственности за нарушение законодательства о персональных данных. 

Увольнение как мера дисциплинарного взыскания по данному основанию возможно, если работник исполнил свою трудовую обязанность ненадлежащим образом либо она не исполнена вовсе. При этом совершенное действие или бездействие должно быть виновным, а поведение работника — противоправным. Для увольнения по рассматриваемому основанию достаточно нарушения работником хотя бы одного вида действия (хранения, блокирования и т.п.).

Пример.

Рассматриваемое деяние касается обработки персональных данных и может проявляться в следующих нарушениях: 

— сбор персональных данных в большем объеме, чем это требуется для конкретного бизнес-процесса;

— хранение персональных данных сверх установленного срока;

— несвоевременная блокировка или обезличивание персональных данных; 

— использование персональных данных для обработки не в заявленных целях; 

— предоставление персональных данных работника сотрудникам других подразделений, третьим лицам без достаточных на то оснований;

— удаление персональных данных с нарушением требований законодательства и др. 

Так, например, если в организации собираются и обрабатываются копии документов, удостоверяющих личность, копии свидетельств о рождении, в случаях, когда такая обработка не вытекает из требований законодательных актов, данную ситуацию можно рассматривать как нарушение Закона. 

В качестве примера нарушения Закона можно привести также предоставление персональных данных работников третьим лицам по запросам без достаточных для этого правовых оснований.

Справочно.
Лицо, чьи права были нарушены, вправе обратиться в порядке, установленном законодательством, за привлечением виновных в нарушении законодательства о персональных данных к дисциплинарной, административной, уголовной и гражданско-правовой ответственности.

Наниматель самостоятельно оценивает степень вины работника в нарушении законодательства о персональных данных и с учетом обстоятельств совершенного дисциплинарного проступка принимает решение о выборе дисциплинарного взыскания. Если наниматель посчитает, что достижение целей привлечения к ответственности возможно без прекращения трудовых отношений, то он может избрать иной вид дисциплинарных взысканий. При этом указанный дисциплинарный проступок может совершить лишь лицо, состоящее в трудовых отношениях с конкретным нанимателем. 

Дисциплинарная ответственность по требованию уполномоченного органа

Пунктом 5 Декрета № 5 предусмотрено, что наниматель может применять меру дисциплинарного взыскания по письменному требованию иного уполномоченного в соответствии с законодательством на проведение проверок государственного органа (организации). 

В соответствии с положениями Указа Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных» (далее — Указ) одной из функций Национального центра защиты персональных данных (далее — НЦЗПД) является осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами). 

Так, в п. 23 Положения о НЦЗПД, утвержденного Указом, предусмотрено, что в случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных, отраженных в акте, директор НЦЗПД в течение 10 рабочих дней со дня окончания проверки выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе). Предписание содержит указание конкретных действий, которые должны быть приостановлены (прекращены), и устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий 6 месяцев. 

Указанное представление может содержать конкретные факты нарушения работником законодательства о персональных данных, в результате чего у нанимателя появляются основания для привлечения его к дисциплинарной ответственности. 

Порядок привлечения к дисциплинарной ответственности

Порядок привлечения виновного лица к дисциплинарной ответственности предусмотрен ст. 199 ТК.

Статьей 200 ТК установлены сроки применения дисциплинарных взысканий. По общему правилу дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения дисциплинарного проступка, не считая времени болезни работника и (или) пребывания его в отпуске. Однако дисциплинарное взыскание не может быть применено позднее 6 месяцев со дня его совершения. 

Если совершение дисциплинарного проступка установлено по результатам проверки, проведенной компетентными государственными органами или организациями, то дисциплинарное взыскание не может быть применено позднее двух лет со дня совершения проступка. В шестимесячный и двухлетний срок не включается время производства по уголовному делу.

Меры дисциплинарного взыскания предусмотрены ч. 1 ст. 198 ТК, к ним относятся замечание, выговор, лишение полностью или частично стимулирующих выплат на срок до 12 месяцев, увольнение. 

Справочно.
К работникам, совершившим дисциплинарный проступок, выразившийся в нарушении законодательства о персональных данных, на основании ч. 4 ст. 198 ТК независимо от применения мер дисциплинарного взыскания могут применяться: лишение премий, изменение времени предоставления трудового отпуска и другие меры.

В соответствии со ст. 203 ТК работник не считается подвергавшимся дисциплинарному взысканию, если в течение года со дня применения дисциплинарного взыскания он не был подвергнут новому взысканию. 

Выводы
1. Законодательством предусмотрены самостоятельные основания для привлечения к дисциплинарной ответственности за нарушение законодательства о персональных данных, в частности нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.
2. Одним из оснований для привлечения к дисциплинарной ответственности является требование уполномоченного в соответствии с законодательством на проведение проверок государственного органа (организации).
3. Привлечение работника к дисциплинарной ответственности за нарушение законодательства о персональных данных не влияет на возможность привлечения его к гражданско-правовой, административной или уголовной ответственности за те же нарушения в порядке и на основаниях, установленных законодательством.

4121 Shape 1 copy 6Created with Avocode.
Последнее
по теме