В соответствии со ст. 19 Закона о персональных данных лица, виновные в нарушении данного Закона, несут ответственность, предусмотренную законодательными актами.
Так, за нарушение законодательства о защите персональных данных могут быть применены следующие виды ответственности:
- дисциплинарная;
- гражданско-правовая;
- материальная;
- административная;
- уголовная.
Дисциплинарная ответственность
По общему правилу дисциплинарная ответственность применяется за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (дисциплинарный проступок).
Справочно: за совершение дисциплинарного проступка наниматель может применить к работнику следующие меры дисциплинарного взыскания:
– замечание;
– выговор;
– лишение полностью или частично стимулирующих выплат на срок до 12 месяцев;
– увольнение (пп. 6–11 ст. 42, пп. 1, 12, 51, 9 и 10 ч. 1 ст. 47 ТК).
Самостоятельным дополнительным основанием для прекращения трудового договора с работниками является нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных (п. 10 ч. 1 ст. 47 ТК).
Административная ответственность
Данная ответственность за нарушение законодательства о защите персональных данных предусмотрена ст. 23.7 КоАП. Правовые последствия соответствующих административных правонарушений представлены в таблице.
Таблица
Нарушения и ответственность в сфере защиты персональных данных (КоАП)
Правонарушение | Санкция |
---|
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных | Штраф в размере до 50 БВ |
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью | Штраф в размере от 4 до 100 БВ |
Умышленное незаконное распространение персональных данных физических лиц | Штраф в размере до 200 БВ |
Несоблюдение мер обеспечения защиты персональных данных физических лиц | Штраф в размере от 2 до 10 БВ В отношении ИП — от 10 до 25 БВ В отношении юрлиц — от 20 до 50 БВ |
С учетом требований по защите персональных данных, предусмотренных Законом о персональных данных, можно выделить следующие нарушения, за которые организацию здравоохранения могут привлечь к административной ответственности:
Важно
Максимальный размер штрафа за такого рода нарушения для юридических лиц составляет 50 БВ.
Если говорить о таком нарушении, как умышленное незаконное распространение персональных данных физических лиц, то нужно напомнить, что согласно абз. 11 ст. 1 Закона о персональных данных под распространением понимают действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
Мнение автора
К такого рода нарушениям можно отнести, например, размещение на сайте организации здравоохранения отзыва физического лица с указанием его ФИО и фотографией, когда согласия этого физического лица не имеется.
Частью 2 ст. 23.9 КоАП предусмотрена административная ответственность за нарушение требований законодательных актов по учету и хранению персональных данных пользователей интернет-услуг.
Уголовная ответственность
Уголовная ответственность в сфере защиты персональных данных предусмотрена за:
- умышленные незаконные сбор, предоставление персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина (ст. 2031 УК);
- несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим их обработку, повлекшее по неосторожности их распространение и причинение тяжких последствий (ст. 2032 УК).
За преступления, предусмотренные ч. 1 ст. 2031 УК, может быть назначено наказание в виде общественных работ, или штрафа, или ареста, или ограничения или лишения свободы на срок до двух лет.
За преступления, предусмотренные ст. 2032 УК, — наказание в виде штрафа, или лишения права занимать определенные должности или заниматься определенной деятельностью, или исправительных работ на срок до одного года, или ареста, или ограничения свободы на срок до двух лет, или лишения свободы на срок до одного года.
Руководителю на заметку
Действия, предусмотренные чч. 1 и 2 ст. 2031 УК, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, наказываются ограничением свободы на срок до пяти лет или лишением свободы на тот же срок со штрафом.
Гражданско-правовая ответственность
Оператор может быть привлечен к гражданско-правовой ответственности в случае необходимости компенсации морального вреда и возмещения убытков.
Справочно: моральный вред подлежит возмещению независимо от того, возмещались ли физическому лицу имущественный вред и понесенные им убытки.
Согласно п. 2 ст. 19 Закона о персональных данных ответственность оператора в данном случае может наступить, если нарушены:
- права физического лица, установленные Законом о персональных данных;
- правила обработки персональных данных;
- требования к защите персональных данных.
Мнение автора
Из этого следует, что параллельно с привлечением к административной и (или) уголовной ответственности может возникнуть ситуация, когда организация здравоохранения должна будет выплатить физическому лицу компенсацию и возместить убытки, если суд примет такое решение.
Согласно ч. 2 ст. 152 ГК при определении размера компенсации суд учитывает степень вины и степень страданий гражданина.
При этом убытки суд взыщет в том случае, если будут доказаны:
- факт наступления вреда;
- противоправность действий организации здравоохранения;
- вина организации здравоохранения;
- причинно-следственная связь между противоправными действиями и наступившими последствиями.
Материальная ответственность
Работник при нарушении порядка работы с персональными данными может быть привлечен к материальной ответственности.
Порядок привлечения работников к материальной ответственности за ущерб, причиненный нанимателю при исполнении трудовых обязанностей, предусмотрен главой 37 ТК.
При этом при определении размера ущерба учитывается только реальный ущерб, упущенная выгода не учитывается, за исключением случая полной материальной ответственности (ст. 404 ТК).
Контроль за обработкой персональных данных
Вопрос ответственности напрямую связан с организацией контроля за обработкой персональных данных.
Контроль за обработкой персональных данных операторами (уполномоченными лицами) осуществляет Национальный центр защиты персональных данных.
Важно
Указанное мероприятие внесено в п. 23 Указа Президента Республики Беларусь от 16.10.2009 № 510 (в ред. от 30.10.2021), из которого следует, что данный Указ при осуществлении контроля за обработкой персональных данных не применяется.
Национальный центр защиты персональных данных осуществляет контроль в форме:
- проверок, проводимых в соответствии с планом проверок соблюдения законодательства о персональных данных (далее — план проверок);
- проверок, проводимых без включения в план проверок (внеплановые проверки);
- камеральных проверок.
Справочно: план проверок ежегодно утверждается директором Национального центра защиты персональных данных и размещается на сайте Национального центра защиты персональных данных не позднее 30 декабря года, предшествующего году проведения проверки.