В современном мире, учитывая стремительное развитие различных информационных технологий и ресурсов, распространение любой информации не представляет абсолютно никакой сложности для людей любого возраста, независимо от образования и рода деятельности. Поэтому вопрос защиты персональных данных звучит повсеместно и является очень актуальным, поскольку персональные данные – это весьма ценный информационный актив, который нуждается в действенной охране. Ненадлежаще организованная работа с информацией, относящейся к персональным данным, невнимательное или пренебрежительное отношение к мерам защиты личной информации может повлечь несанкционированный доступ к ней, распространение персональных данных, причинение вреда гражданам и юридическим лицам. И, как следствие, виновные в этом лица будут привлечены к установленной законодательством Республики Беларусь ответственности.
– В целях системного и комплексного урегулирования вопросов, касающихся правовой регламентации работы с персональными данными, а также их защиты, отечественным законодателем был принят Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», который вступил в силу 15.11.2021, – поясняет старший инспектор по административной практике Светлогорского РОВД Денис Петрушко.
В силу статьи 19 названного Закона лица, виновные в нарушении настоящего Закона, несут ответственность, предусмотренную законодательными актами. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных настоящим Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Можно выделить следующие виды ответственности, которые могут наступить в случае нарушения действующего законодательства о защите персональных данных: дисциплинарная, административная, уголовная, гражданско-правая.
Дисциплинарная ответственность применяется в соответствии со ст. 197 Трудового кодекса за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (дисциплинарный проступок). В силу ст. 198 ТК за совершение дисциплинарного проступка наниматель может применить к работнику следующие меры дисциплинарного взыскания: 1) замечание; 2) выговор; 3) лишение полностью или частично стимулирующих выплат на срок до двенадцати месяцев; 4) увольнение (пункты 6-11 статьи 42, пункты 1, 1-2, 5-1, 9 и 10 части первой статьи 47). Следует также обратить особое внимание на то, что в качестве самостоятельного основания для прекращения трудового договора с работниками законодатель выделил нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных (пункт 10 статьи 47 ТК). При этом сам факт привлечения работника к дисциплинарной ответственности за нарушение законодательства о персональных данных не влияет на возможность привлечения и его к гражданско-правовой, административной или уголовной ответственности за те же нарушения, если для этого имеются установленные законом основания.
Административная ответственность за нарушение законодательства о защите персональных данных предусмотрена статьей 23.7 Кодекса Республики Беларусь об административных правонарушениях. Данной статьей регламентировано следующее:
Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, – влекут наложение штрафа в размере до пятидесяти базовых величин (ч. 1 ст. 23.7 КоАП).
При этом нарушение прав физического лица, связанных с обработкой персональных данных, может выражаться в следующем: непредоставление ответа на заявления, поданные в соответствии со ст. 14 Закона о защите персональных данных; несоблюдение сроков ответов на заявления субъектов персональных данных; неправомерный отказ в удовлетворении соответствующих требований субъектов персональных данных; предоставление неполной информации в ответ на поступившее заявление.
Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин (ч. 2 ст. 23.7 КоАП).
Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин (ч. 3 ст. 23.7 КоАП).
Распространение персональных данных – действия, направленные на ознакомление с персональными данными неопределенного круга лиц (абз. 11 ч. 1 ст. 1 Закона). Например, это публикация персональных данных на сайте организации, размещение данных на информационном стенде, на дверях подъезда и др.
Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин (ч. 4 ст. 23.7 КоАП).
Несоблюдение мер защиты персональных данных имеет место в следующих случаях (п. 1, 3 ст. 17 Закона):
– отсутствие в организации лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
– необеспечение неограниченного доступа к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки;
– отсутствие порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); – и др.
За невыполнение требований по защите персональных данных юридическое лицо может быть привлечено к административной ответственности, если: не создан обязательный пакет документов, необходимых для обеспечения защиты данных; не обеспечена сохранность данных; не обеспечен неограниченный доступ к документам, определяющим политику оператора в отношении обработки персональных данных, до начала такой обработки (ст. 17 Закона). Максимальный штраф за такое нарушение для организаций, как указывалось выше, составляет 50 базовых величин (ч. 4 ст. 23.7 КоАП).
Кроме того, за нарушение требований законодательных актов по учету и хранению персональных данных пользователей интернет-услуг предусмотрена ответственность по ч. 2 ст. 23.9 КоАП в виде штрафа от 5 до 15 базовых величин.
Уголовная ответственность наступает в соответствии со ст. 203-1 Уголовного кодекса Республики Беларусь «Незаконные действия в отношении информации о частной жизни и персональных данных».
Частью 1 ст. 203-1 УК установлена ответственность за умышленные незаконные сбор, предоставление персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина. За указанное деяние может быть назначено наказание в виде общественных работ, или штрафа, или ареста, или ограничения или лишения свободы на срок до двух лет.
Частью 2 ст. 203-1 УК регламентирована ответственность за умышленное незаконное распространение персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина. За совершение указанного деяния может быть назначено наказание в виде ограничения свободы на срок до трех лет или лишения свободы на тот же срок со штрафом.
А вот деяния, предусмотренные ч. 1 и 2 ст. 203-1 УК, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, – наказываются ограничением свободы на срок до пяти лет или лишением свободы на тот же срок со штрафом (ч. 3 ст. 203-1 УК).
В статье 203-2 УК «Несоблюдение мер обеспечения защиты персональных данных» законодатель установил ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим их обработку, повлекшее по неосторожности их распространение и причинение тяжких последствий. Указанное деяние может повлечь наложение наказания в виде штрафа, или лишения права занимать определенные должности или заниматься определенной деятельностью, или исправительных работ на срок до одного года, или ареста, или ограничения свободы на срок до двух лет, или лишение свободы на срок до одного года.
Кроме того, лицо, ответственное за нарушение законодательства о защите персональных данных, может быть привлечено к гражданско-правовой ответственности в формах возмещения убытков и (или) компенсации морального вреда. При этом моральный вред подлежит возмещению вне зависимости от того, возмещался ли имущественный вред физическому лицу и понесенные им убытки. Гражданско-правовая ответственность может наступить, если нарушены права физического лица, установленные Законом (п. 2 ст. 19 Закона): правила обработки персональных данных; требования к их защите.
Таким образом, наряду с административной и (или) уголовной ответственностью виновное лицо либо лицо, на которое законом возложена ответственность, должно будет выплатить физическому лицу денежную компенсацию морального вреда и возместить убытки в соответствии с решением суда. Размер компенсации определяет суд с учетом степени вины нарушителя и иных заслуживающих внимания обстоятельств, а также с учетом степени физических и нравственных страданий, связанных с индивидуальными особенностями лица, которому причинен вред. (ч. 2 ст. 152 Гражданского кодекса Республики Беларусь – далее ГК). Убытки по решению суда будут взысканы, если будут доказаны наступление вреда, противоправность поведения и вина нарушителя, а также причинно-следственная связь между ними (ст. 14, п. 1 ст. 364 ГК). Под убытками понимаются расходы, которые лицо, чье право было нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было бы нарушено (упущенная выгода).
Также следует акцентировать внимание на том, что в силу действующего законодательства юридическое лицо возмещает вред, причиненный его работником при исполнении своих трудовых (служебных, должностных) обязанностей (п. 1 ст. 937 ГК). При этом наниматель не несет ответственности в случае, если работник причинил вред третьему лицу не при исполнении трудовых обязанностей. Впоследствии наниматель, который возместил вред, причиненный работником другим лицам при исполнении трудовых обязанностей, имеет право регрессного требования к такому работнику (п. 1 ст. 950 ГК).
– Очень важно, чтобы все понимали и осознавали, что защита персональных данных в нашем государстве – это не просто слова, а очень действенный и многофункциональный механизм, способный защитить права и интересы как граждан, так и юридических лиц, – заключает Денис Петрушко.
