Поможет: не допустить некоторых нарушений законодательства о защите персональных данных и избежать административной ответственности.
В соответствии с п. 1 ст. 19 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) лица, виновные в нарушении Закона, несут ответственность, предусмотренную законодательными актами. Статьей 23.7 КоАП установлена административная ответственность за нарушение законодательства о защите персональных данных. Рассмотрим, какие нарушения Закона могут быть выявлены проверяющими и в каких случаях может наступить административная ответственность.
Частью 1 ст. 23.7 КоАП предусмотрена ответственность за умышленные незаконные сбор, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных.
Под сбором в данном случае понимается целенаправленный процесс, совершение любых действий, в результате которых виновный приобретает информацию о персональных данных и становится ее фактическим обладателем.
Как незаконный сбор следует рассматривать получение персональных данных, совершенное в нарушение законодательства о персональных данных.
Справочно: к сбору информации о персональных данных относятся действия, направленные на их получение, включая аудиозапись, фото- и видеосъемку.
Пример
Лицо совершает умышленные действия, состоящие в получении персональных данных любым способом без согласия субъекта персональных данных (в случаях, когда оно необходимо), либо при отсутствии правовых оснований, предусмотренных ст. 6 и п. 2 ст. 8 Закона, либо в объеме большем, чем это необходимо для осуществления конкретного процесса, например путем опроса других лиц, в т. ч. с фиксированием информации аудио-, видео-, фотосредствами, копирования соответствующих сведений, похищения или иного их приобретения.
В УЗ, в частности, это может быть сбор копий документов либо истребование документов, не предусмотренных законодательством о здравоохранении, и др.
В соответствии с п. 8 ст. 4 Закона хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
В связи с этим незаконное хранение следует рассматривать как незаконное владение персональными данными.
Справочно: под хранением понимается фактическое размещение (владение) полученных персональных данных у какого-либо лица, в жилище, в помещении учреждения или других местах.
Хранение персональных данных является незаконным в случаях отсутствия правовых оснований для их обработки, а также хранения после истечения срока их обработки дольше предусмотренного срока архивного хранения в отношении конкретных персональных данных.
Справочно: в силу необходимости соблюдения требований законодательства у оператора (уполномоченного лица) имеется обязанность хранить определенные документы, содержащие персональные данные физических лиц, в течение установленного законодательством срока.
Под предоставлением персональных данных понимаются действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц (абз. 10 ст. 1 Закона). Соответственно, незаконным является предоставление персональных данных для ознакомления определенному кругу лиц без достаточных на то оснований.
Пример
Нарушением будут направление персональных данных определенного лица (к примеру, пациента) в личные сообщения другому лицу посредством сети Интернет, размещение такой информации или списка пациентов в закрытой группе в мессенджере и др.
Нарушение прав субъекта, связанных с обработкой его персональных данных, может представлять собой иные незаконные действия с персональными данными, в т. ч. нарушение предписаний Закона по реализации прав субъектов персональных данных, предусмотренных ст. 10–15 Закона, пренебрежение обязанностями оператора, направленными на защиту прав субъектов персональных данных.
Пример
Учреждение здравоохранения отказывается предоставить законному представителю несовершеннолетнего пациента информацию, касающуюся обработки персональных данных, либо уведомить его о причинах отказа в ее предоставлении. Такие действия являются нарушением.
Это важно
Санкция предусматривает наложение штрафа в размере до 50 БВ.
Таким образом, сбор, хранение или предоставление персональных данных являются незаконными в том случае, если указанные действия совершаются без согласия субъекта персональных данных и в нарушение законодательства в части порядка и условий получения той или иной информации, ее предоставления и хранения.
В ч. 2 ст. 23.7 КоАП идет речь о деяниях, предусмотренных ч. 1 ст. 23.7 КоАП, совершенных лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью.
При привлечении такого лица к административной ответственности следует установить, что соответствующие действия по обработке персональных данных входят в трудовую функцию работника, отражены в его должностной инструкции.
Пример
В качестве подобного нарушения можно рассматривать предоставление работником организации здравоохранения, ответственным за кадровую работу, персональных данных другого работника третьим лицам без наличия на то правовых оснований, осуществление доступа к базе данных с целью сбора персональных данных конкретных лиц и предоставление таких сведений по просьбе третьих лиц, несвоевременную подготовку ответа по запросу субъекта персональных данных либо игнорирование запроса и т. д.
Это важно
Штраф по ч. 2 ст. 23.7 КоАП составляет от 4 до 100 БВ.
В ч. 3 ст. 23.7 КоАП установлена ответственность за умышленное незаконное распространение персональных данных физических лиц. В соответствии с абз. 11 ст. 1 Закона под распространением персональных данных понимаются действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Особая опасность распространения персональных данных заключается в том, что информация выходит из-под контроля субъекта, субъект теряет возможность управления доступом к персональным данным, нарушается конфиденциальность соответствующих сведений.
Справочно: распространение может осуществляться в устной, письменной или иной форме и любым способом (в частности, путем передачи материалов или размещения информации с использованием информационно-телекоммуникационных сетей, в т. ч. сети Интернет).
Пример
Распространением являются размещение чужих персональных данных без согласия субъекта персональных данных в открытом аккаунте в социальных сетях (видеоролики, фотографии, копии документов, сведения о месте работы, адресе проживания, мобильном телефоне и т. д.), оглашение персональных данных в публичном выступлении, публикация на сайте организации здравоохранения списка работников, являющихся членами профсоюзов, размещение на информационном стенде организации здравоохранения списка работников, не прошедших очередной медицинский осмотр либо вакцинацию, и др.
В ч. 4 ст. 23.7 КоАП закреплен еще один самостоятельный состав административного правонарушения — несоблюдение мер обеспечения защиты персональных данных физических лиц.
Соответствующие меры вытекают из требований ст. 17 Закона. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры обеспечения защиты персональных данных.
Справочно: несоблюдение мер обеспечения защиты персональных данных может выражаться в отсутствии порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), неосуществлении технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные, и др.
При этом назначение ответственного за осуществление внутреннего контроля не освобождает ни оператора, ни уполномоченное лицо, ни работников организации здравоохранения, непосредственно осуществляющих обработку персональных данных, от ответственности за допущенные ими нарушения.
Это важно
Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от 2 до 10 БВ, на индивидуального предпринимателя — от 10 до 25 БВ, а на юридическое лицо — от 20 до 50 БВ.
Исходя из ст. 4.4 КоАП, ответственность за данное правонарушение применяется независимо от требования потерпевшего, его законного представителя. Однако это не лишает их права обратиться в уполномоченные органы с заявлением о начале административного процесса по ст. 23.7 КоАП по факту нарушения законодательства о защите персональных данных.
Справочно: в соответствии со ст. 3.30 ПИКоАП протоколы об административных правонарушениях по ст. 23.7 КоАП имеют право составлять уполномоченные на то должностные лица органов внутренних дел, прокурор (при осуществлении им надзорных функций). Дела рассматриваются единолично судьей районного (городского) суда.
1. Сбор, хранение или предоставление персональных данных влечет привлечение к административной ответственности по ч. 1 ст. 23.7 КоАП в случае, если указанные действия совершаются без согласия субъекта персональных данных (в тех случаях, когда оно необходимо) и в нарушение законодательства о защите персональных данных.
2. За незаконные сбор, хранение или предоставление персональных данных, совершенные лицом, которому такие данные известны в связи с его профессиональной или служебной деятельностью, ч. 2 ст. 23.7 КоАП предусмотрена административная ответственность при условии, что действия по обработке персональных данных охватывались трудовой функцией работника, отражены в его должностной инструкции.
3. Действия, направленные на ознакомление с персональными данными неопределенного круга лиц (умышленное незаконное распространение персональных данных физических лиц), влекут административную ответственность по ч. 3 ст. 23.7 КоАП.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц приводит к административной ответственности по ч. 4 ст. 23.7 КоАП как по заявлению потерпевшего, так и независимо от его требований.
