Административная ответственность за передачу персональных данных

В течение длительного времени у нас привыкли по случаю и без брать копию паспорта (документа, удостоверяющего личность). Национальный центр защиты персональных данных дал уже немало разъяснений в части использования копии паспорта как при заключении различных видов договоров, так и в других ситуациях. Однако далеко не все следуют предостережениям, и в результате виновные лица привлекаются к административной ответственности по ст. 23.7 КоАП.

Самосейко Владимир

Юрист, магистр права

297 Shape 1 copy 6Created with Avocode.

Содержание:


Передача копии паспорта инспектору в рамках проверки

(Полный текст судебного постановления)

Ситуация

Гр-ка С. работала на предприятии под руководством директора гр-на Б. В связи с нарушением нанимателем законодательства о труде она обратилась в межрайонный отдел областного управления Департамента государственной инспекции труда с просьбой провести проверку. Инспектору для ведения административного процесса в отношении гр-на Б. необходимы были паспортные данные последнего. Гр-ка С. предоставила инспектору копию паспорта директора.

Позиция лица, в отношении которого ведется административный процесс

В судебном заседании гр-ка С. вину в совершении правонарушения признала и пояснила, что действительно предоставила копию паспорта руководителя организации, в которой она работала, главному инспектору межрайонного отдела областного управления Департамента государственной инспекции труда. Копия паспорта директора ей была доступна в связи с выполнением должностных обязанностей. О том, что такие действия являются неправомерными, ей не было известно. 

Выводы суда

Гражданка С. в нарушение ст. 32 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (далее — Закон об информации), являясь лицом, которому персональные данные физического лица известны в связи с ее служебной деятельностью, умышленно незаконно предоставила персональные данные (копию паспорта) физического лица третьему лицу. Суд признал гр-ку С. виновной в совершении административного правонарушения, предусмотренного ч. 2 ст. 23.7 КоАП, и наложил на нее административное взыскание в виде штрафа в размере 4 базовых величин.

Комментарий:  В целом согласие работников, бывших работников или соискателей на обработку персональных данных в целях осуществления контроля (надзора) в соответствии с законодательными актами не требуется (абз. 4 ст. 6 и абз. 16 п. 2 ст. 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», далее — Закон о защите персональных данных).

Департамент государственной инспекции труда является контролирующим органом и имеет право запрашивать у организаций информацию по вопросам, входящим в его компетенцию, в порядке, установленном законодательством. В рамках вопросов проводимой проверки департаменту должны быть представлены документы (их копии), в том числе в электронном виде, иная информация, касающаяся деятельности и имущества проверяемого субъекта (абз 4 п. 4, абз. 12 п. 8 Положения о порядке организации и проведения проверок, утвержденного Указом Президента Республики Беларусь от 16.10.2009 № 510 «О совершенствовании контрольной (надзорной) деятельности в Республике Беларусь»). 

В данном случае гр-ка С. действовала в своих интересах, а не как представитель организации, проверка проводилась по ее заявлению. Маловероятно, что инспектор межрайонного областного управления Департамента государственной инспекции труда попросил именно копию паспорта для ведения административного процесса. Как показывает вышеприведенное судебное постановление, лицо, непосредственно допущенное к обработке персональных данных в организации, не имеет право предоставлять доступ к персональным данным работников надзорным органам, если они запрашивают эти данные непосредственно у заявителя (физического лица), а не у предприятия. 

Использование паспортных данных третьих лиц в личных целях

(Полный текст судебного постановления)

Ситуация 

Гр-н Н., работая в должности следователя по особо важным делам УСК Республики Беларусь, которому для выполнения служебных обязанностей был предоставлен удаленный доступ к информационным ресурсам МВД, в частности АИС «ГАИ-Центр», с использованием предоставленного ему логина и пароля, посредством ведомственной сети передачи данных вошел в систему АИС «ГАИ-Центр» и осуществил извлечение имеющейся в указанной базе информации о персональных данных гр-на Ш.

Позиция лица, в отношении которого ведется административный процесс

Гр-н Н. пояснил, что, находясь при исполнении служебных полномочий на рабочем месте, он из личной заинтересованности, при отсутствии служебной необходимости, а также не имея письменного согласия гр-на Ш. на обработку его персональных данных, действительно извлек из системы АИС «ГАИ-Центр» паспортные данные последнего.

Выводы суда

Гр-н Н. в нарушение ч. 2 ст. 18 Закона об информации, являясь лицом, которому персональные данные известны в связи с его служебной деятельностью, умышленно незаконно осуществил сбор персональных данных физического лица. Суд признал гр-на Н. виновным в совершении административного правонарушения, предусмотренного ч. 2 ст. 23.7 КоАП, и наложил на него административное взыскание в виде штрафа в размере 10 базовых величин.

Комментарий:  По общему правилу, чтобы получить персональные данные гражданина, нужно в первую очередь заручиться его согласием, однако есть и исключения. Например, не требуется согласие на обработку персональных данных для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности (абз. 2 ст. 6 Закона о защите персональных данных).

Таким образом, следователь при возникшей служебной необходимости имеет право получить персональную информацию без предварительного разрешения со стороны субъекта, но причиной этому может служить только производство по уголовному или административному делу. Данное правило допустимо транслировать на всех должностных лиц и служащих, которые имеют доступ к персональным данным третьих лиц: получение информации из ведомственных информационных баз данных правомерно только в случае выполнения должностных (служебных) обязанностей, но никак не из личной заинтересованности или в собственных целях.

Получение паспортных данных в быту, а использование на работе

(Полный текст судебного постановления)

Ситуация

Гр-ка Р. является сотрудником ИП ‒ поверенного сотового оператора. Находясь в салоне сотовой связи, она оформила кредитный договор на приобретение мобильного телефона, использовав данные гр-ки Д. без ее согласия.

Позиция лица, в отношении которого ведется административный процесс

Гр-ка Р. в судебное заседание не явилась. На стадии подготовки дела об административном правонарушении вину признала полностью, что подтверждалось отобранными сотрудниками РОВД объяснениями и подписью гр-ки Р. в протоколе об административном правонарушении.

Выводы суда

Гр-ка Р. в нарушение ст. 17 и 18 Закона об информации внесла при оформлении кредитного договора неверные сведения, использовав данные гр-ки Д., что повлекло несоблюдение мер обеспечения защиты персональных данных физических лиц. Суд признал гр-ку Р. виновной в совершении административного правонарушения, предусмотренного ч. 4 ст. 23.7 КоАП, и наложил на нее административное взыскание в виде штрафа в размере 4 базовых величин.

Комментарий: Это самое неоднозначное дело, вызывающее множество вопросов. В целом сложно сказать, почему суд пришел к выводу о наличии в действиях гр-ки Р. состава административного правонарушения, предусмотренного именно ч. 4 ст. 23.7 КоАП, а не ч. 2 ст. 23.7 КоАП.

Если гражданка Р., действуя как сотрудник, ответственный за оформление кредитных договоров, использовала персональные данные лица, которое уже обращалось в данный салон сотовой связи, то речь должна идти о должностном лице (работнике), которому персональные данные стали известны в связи с его профессиональной деятельностью. Однако в данном случае возможно, что данные гр-ки Д. стали известны гр-ке Р. как физическому лицу, а не как сотруднику салона сотовой связи, а уже распространила она их с использованием своих должностных полномочий. Таким образом, при квалификации деяния необходимо учитывать, когда и как именно персональные данные обрабатывались лицом, в отношении которого ведется административный процесс, то есть при исполнении должностных (служебных) обязанностей или нет.



Дополнительно по теме:
>>Персональные данные без бюрократии и формализма (видео)

297 Shape 1 copy 6Created with Avocode.
Установлены виды сделок, по которым наряду с возмездными внешнеторговыми договорами должен вестись учет. Скорректирован порядок функционирования рынка ценных бумаг. Опред...
2167
• • •
Нормативный акт: Указ Президента Республики Беларусь от 31.03.2022 № 131 «О развитии средств массовой информации» (далее — Указ) Дата вступления в силу: 01.05.2022
№ 5 май 2022
2592