Дисциплинарная ответственность за нарушение законодательства о персональных данных

За нарушения законодательства о персональных данных лица, ответственные за работу с персональными данными, а также сам руководитель организации здравоохранения могут быть привлечены к ответственности. В каком случае возможно привлечение к дисциплинарной ответственности и каков порядок такого привлечения? Расскажем в статье.

Швед Надежда

кандидат юридических наук, доцент, заместитель начальника управления методологии защиты персональных данных Национального центра защиты персональных данных Республики Беларусь

771 Shape 1 copy 6Created with Avocode.

В соответствии с п. 1 ст. 19 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) лица, виновные в нарушении данного Закона, несут ответственность, предусмотренную законодательными актами.

  • За нарушение законодательства о персональных данных предусмотрена:
  • дисциплинарная ответственность (увольнение в соответствии с п. 10 ч. 1 ст. 47 ТК);
  • административная ответственность (ст. 23.7 КоАП);
  • уголовная ответственность (ст. 2031 и 2032 УК);
  • гражданско-правовая ответственность (п. 2 ст. 19 Закона предусматривает возмещение морального вреда, имущественного вреда и понесенных субъектом персональных данных убытков).

Справочно: лицо, чьи права были нарушены, вправе обратиться в порядке, установленном законодательством, за привлечением виновных в нарушении законодательства о персональных данных к дисциплинарной, административной, уголовной и гражданско-правовой ответственности.

Дисциплинарная ответственность 

Меры дисциплинарной ответственности, порядок и сроки их применения, порядок обжалования, снятия и погашения дисциплинарных взысканий установлены гл. 14 ТК, а также:

Справочно: в соответствии со ст. 197 ТК дисциплинарная ответственность наступает за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (совершение дисциплинарного проступка).

Кто может быть привлечен к ответственности

Основные обязанности работников закреплены:

  • в ст. 53 ТК;
  • правилах внутреннего трудового распорядка;
  • коллективных договорах;
  • должностных (рабочих) инструкциях;
  • иных локальных правовых актах нанимателя (соглашениях, положениях, инструкциях по охране труда и технике безопасности и т.д.);
  • дисциплинарных уставах.

Таким образом, привлечение к дисциплинарной ответственности за нарушение законодательства о персональных данных возможно только в отношении тех категорий работников, на которых возложена обязанность по обработке персональных данных, в связи с нарушением ими порядка обработки персональных данных.

Несмотря на предусмотренную Законом обязательную меру по назначению ответственного за осуществление внутреннего контроля за обработкой персональных данных, ни оператор, ни уполномоченное лицо, ни работники, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности за допущенные ими нарушения.

 Правовые основания привлечения к ответственности

В октябре 2021 г. Декрет № 5 был дополнен новым подп. 6.141, который предусматривает увольнение за нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.

Это важно
Данное основание увольнения предусматривает виновные действия работника и, соответственно, отнесено к дискредитирующим обстоятельствам увольнения.

Появление нового основания увольнения потребовало внесения соответствующих изменений и в ТК. Так, Законом Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» введено новое основание прекращения трудовых отношений — нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных (п. 10 ч. 1 ст. 47 ТК).

Таким образом, законодатель предусмотрел нарушение законодательства о персональных данных как самостоятельное основание привлеченияк дисциплинарной ответственности. 

Когда возможно увольнение

Увольнение как мера дисциплинарного взыскания по данному основанию возможно в том случае, если работник исполнил свою трудовую обязанность ненадлежащим образом либо не исполнил вовсе. Совершенное действие или бездействие должно быть виновным, а поведение работника — противоправным.

Это важно
Для увольнения по рассматриваемому основанию достаточно нарушения работником хотя бы одного вида действия (хранения, блокирования и т.п.).

Увольнение по п. 10 ч. 1 ст. 47 ТК допускается в случае:

  • сбора персональных данных в большем объеме, чем это требуется для конкретного процесса;
  • хранения персональных данных сверх установленного срока;
  • несвоевременной блокировки или несвоевременного обезличивания персональных данных;
  • использования персональных данных для обработки не в заявленных целях;
  • предоставления персональных данных работника сотрудникам других подразделений, третьим лицам без достаточных на то оснований;
  • удаления персональных данных с нарушением требований законодательства и др.

Пример

Если в организации здравоохранения собираются и обрабатываются копии документов, удостоверяющих личность, копии свидетельств о рождении в случаях, когда такая обработка не вытекает из требований законодательных актов, указанную ситуацию можно рассматривать как нарушение Закона.
Еще один пример нарушения — предоставление персональных данных работников третьим лицам по запросам без достаточных для этого правовых оснований.



Следует отметить, что наниматель самостоятельно оценивает степень вины работника в нарушении законодательства о персональных данных и с учетом обстоятельств совершенного дисциплинарного проступка принимает решение о выборе дисциплинарного взыскания. Если наниматель посчитает, что достижение целей привлечения к ответственности возможно без прекращения трудовых отношений, то он может избрать иной вид дисциплинарного взыскания (замечание, выговор, лишение премии). При этом о дисциплинарном проступке можно вести речь лишь в отношении лица, состоящего в трудовых отношениях с конкретным нанимателем.

Привлечение к ответственности по требованию уполномоченного органа

Пунктом 5 Декрета № 5 предусмотрено, что наниматель может применять меру дисциплинарного взыскания по письменному требованию иного уполномоченного в соответствии с законодательством на проведение проверок государственного органа (организации).

Согласно пп. 7 и 23 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных») одной из функций Национального центра защиты персональных данных (далее — НЦЗПД) является осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами).

В случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных, отраженных в акте плановой или внеплановой проверки, директор НЦЗПД в течение 10 рабочих дней со дня окончания проверки выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий шести месяцев.

Это важно
Указанное предписание может содержать конкретные факты нарушения работником законодательства о персональных данных, в результате чего у нанимателя появляются основания для привлечения его к дисциплинарной ответственности.

Порядок и сроки привлечения к дисциплинарной ответственности 

Порядок привлечения виновного лица к дисциплинарной ответственности предусмотрен ст. 199 ТК.

Статьей 200 ТК установлены сроки применения дисциплинарных взысканий. По общему правилу дисциплинарное взыскание применяется не позднее одного месяцасо дня обнаружения дисциплинарного проступка, не считая времени болезни работника и (или) пребывания его в отпуске. Однако дисциплинарное взыскание не может быть применено позднее шести месяцев со дня его совершения. Если совершение дисциплинарного проступка установлено по результатам проверки, проведенной компетентными государственными органами или организациями, то дисциплинарное взыскание не может быть применено позднее двух лет со дня совершения проступка. В шестимесячный и двухлетний срок не включается время производства по уголовному делу.

Справочно: ч. 1 ст. 198 ТК предусматривает четыре меры дисциплинарного взыскания: замечание, выговор, лишение полностью или частично стимулирующих выплат на срок до 12 месяцев и увольнение. К работникам, совершившим дисциплинарный проступок, выразившийся в нарушении законодательства о персональных данных, на основании ч. 4 ст. 198 ТК независимо от применения мер дисциплинарного взыскания могут применяться лишение премий, изменение времени предоставления трудового отпуска и другие меры.

В соответствии со ст. 203 ТК работник не считается подвергавшимся дисциплинарному взысканию, если в течение года со дня применения дисциплинарного взыскания он не был подвергнут новому взысканию.

Привлечение работника к дисциплинарной ответственности за нарушение законодательства о персональных данных не влияет на возможность привлечения его к гражданско-правовой, административной или уголовной ответственности за те же нарушения в порядке и на основаниях, установленных законодательством. 

771 Shape 1 copy 6Created with Avocode.
Последнее
по теме
• • •

Что должна содержать выписка из медицинских документов, чтобы исключить излишнюю обработку персональных данных?

Руководитель. Здравоохранение № 10 (142) 2024
Shape 1 copy 6Created with Avocode. 123
Задать вопрос в редакцию
Заказать звонок