О защите персональных данных от Слуцкого РОВД

Желание иметь личную сферу, свободную от вторжения других лиц - естественное стремление человека. Большинство из нас не хотят широко афишировать взаимоотношения в семье, с родственниками, личные пристрастия, размер зарплаты, обладание имуществом, допускаемые правонарушения и др. Поэтому во все времена люди старались оберегать и защищать личные сведения и основным инструментом был контроль над носителями такой информации, ограничение круга осведомленных лиц.

Но за последние десятилетия ситуация с контролем за своей личной информацией кардинальным образом изменилась. Различные технологии и гаджеты прочно вошли в нашу жизнь, изменив ее традиционный уклад. Сформировалась новая информационная реальность, в рамках которой большинство населения уже не представляет себя без карманных помощников в виде мобильных телефонов, позволяющих быстро найти необходимую информацию, выйти в любое время на связь с нужным человеком, совершить покупки или платежи, не выходя из дома, и др. Неотъемлемым элементом повседневной коммуникации становятся различные социальные сети и мессенджеры.

Но вместе с позитивными изменениями смартфоны, облачные сервисы, социальные сети и технологии больших данных способствуют возникновению нового общества наблюдения, которое создает серьезные угрозы конфиденциальности. Обработка данных приобретает беспрецедентные масштабы. Пользуясь Интернетом, мы ежедневно совершаем бесчисленное количество онлайн-действий, просматривая, выбирая, комментируя, оценивая и др., что постоянно фиксируется, анализируется, систематизируется и используется. В таких условиях естественные барьеры приватности (дома, квартиры, физический контроль над носителями личной информации и др.) становятся весьма зыбкими.

В итоге граждане постепенно утрачивают контроль над личной информацией, а риски и угрозы для сферы частной жизни возрастают.

Так что же такое персональные данные? Это понятие раскрывается в Законе Республики Беларусь «О защите персональных данных» № 99-З от 07.05.2021 года. Персональные данные - любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано (абз. 9 ст. 1 Закона о персональных данных). Другими словами, под персональными данными понимают информацию, которая в совокупности: 1) "относится" к физлицу. Законодательство не уточняет, что это означает. Исходя из практики, информация относится к конкретному лицу, когда эта информация:

• об этом человеке. Например, дата рождения, фото лица, история его болезни, место работы;
• не о самом физическом лице, но она связана с деятельностью такого лица и может быть использована для оценки или влияния на поведение физлица, реализации его прав и обязанностей. В частности, история звонков с рабочего телефона - для оценки использования средств связи нанимателя работником в личных целях.

Отметим, что единого перечня сведений, которые являются или могут признаваться персональными данными, нет. Следовательно, относится ли определенная информация к персональным данным, нужно рассматривать в каждом конкретном случае с учетом всех обстоятельств.

За нарушение законодательства о персональных данных предусмотрены дисциплинарная, гражданско-правовая, административная и уголовная ответственность (ст. 197, 198, п. 10 ч. 1 ст. 47 Трудового Кодекса (далее-ТК) Республики Беларусь; ст. 19 Закона о защите персональных данных; ст. 14 Гражданского Кодекса (далее - ГК) Республики Беларусь; ст. 23.7 Кодекса об административных правонарушениях (далее-КоАП) Республики Беларусь; ст. 203-1, 203-2 Уголовного Кодекса (далее - УК) Республики Беларусь). Вид (виды) ответственности будут зависеть от того, какие нарушения допущены. 

Административная ответственность.

Статьей 23.7 КоАП предусмотрена административная ответственность за нарушение законодательства о защите персональных данных. Составы административных правонарушений, объединенные в данной статье, являются формальными. Законодатель признает административно наказуемым сам факт совершения противоправного виновного деяния независимо от наступления последствий. Важно также учитывать, что данная статья является общей и подлежит применению к нарушению порядка обработки персональных данных независимо от того, распространяется ли на данные отношения действие Закона или нет (например, в силу изъятия, предусмотренного абзацем вторым п. 2 ст. 2 Закона).

Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, — влекут наложение штрафа в размере до пятидесяти базовых величин (ч. 1 ст. 23.7 КоАП).

При этом нарушение прав физического лица, связанных с обработкой персональных данных, может выражаться в следующем: непредоставление ответа на заявления, поданные в соответствии со ст. 14 Закона о защите персональных данных; несоблюдение сроков ответов на заявления субъектов персональных данных; неправомерный отказ в удовлетворении соответствующих требований субъектов персональных данных; предоставление неполной информации в ответ на поступившее заявление.

Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, — влекут наложение штрафа в размере от четырех до ста базовых величин (ч. 2 ст. 23.7 КоАП).

Умышленное незаконное распространение персональных данных физических лиц — влечет наложение штрафа в размере до двухсот базовых величин (ч. 3 ст. 23.7 КоАП).

Распространение персональных данных — действия, направленные на ознакомление с персональными данными неопределенного круга лиц (абз. 11 ч. 1 ст. 1 Закона).

Особая опасность распространения персональных данных заключается в том, что информация выходит из-под контроля субъекта, субъект теряет возможность управления доступом к персональным данным, нарушается конфиденциальность соответствующих сведений.

Пример.

Распространением является размещение чужих персональных данных без согласия субъекта персональных данных в открытом аккаунте в социальных сетях, оглашение персональных данных в публичном выступлении, публикация на сайте организации, размещение на информационном стенде, размещение на дверях подъезда и др. 

Несоблюдение мер обеспечения защиты персональных данных физических лиц — влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя — от десяти до двадцати пяти базовых величин, а на юридическое лицо — от двадцати до пятидесяти базовых величин (ч. 4 ст. 23.7 КоАП).

Несоблюдение мер защиты персональных данных имеет место в следующих случаях (п. 1, 3 ст. 17 Закона):

• отсутствие в организации лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• необеспечение неограниченного доступа к документам, определяющим политику оператора (уполномоченного лица) в отношении обработки персональных данных, до начала такой обработки;
•  отсутствие порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе); — и др.

За невыполнение требований по защите персональных данных юридическое лицо может быть привлечено к административной ответственности, если: не создан обязательный пакет документов, необходимых для обеспечения защиты данных; не обеспечена сохранность данных; не обеспечен неограниченный доступ к документам, определяющим политику оператора в отношении обработки персональных данных, до начала такой обработки (ст. 17 Закона). Максимальный штраф за такое нарушение для организаций, как указывалось выше, составляет 50 базовых величин (ч. 4 ст. 23.7 КоАП).

Исходя из положений ст. 4.4 КоАП, ответственность за данное правонарушение применяется независимо от требования потерпевшего, его законного представителя. Однако это не лишает их права обратиться в уполномоченные органы с заявлением о начале административного процесса по ст. 23.7 КоАП по факту нарушения законодательства о защите персональных данных.

В соответствии со ст. 3.30 ПИКоАП протоколы об административных правонарушениях по ст. 23.7 КоАП имеют право составлять уполномоченные на то должностные лица органов внутренних дел, дела рассматриваются единолично судьей районного (городского) суда.

Уголовная ответственность.

На сегодняшний день в УК существуют две статьи, касающиеся защиты персональных данных и информации о частной жизни. Так, в ст. 203¹ УК устанавливается ответственность за незаконные действия в отношении информации о частной жизни и персональных данных, а в ст. 203² УК - ответственность за несоблюдение мер обеспечения защиты персональных данных.

Диспозиция ч. 1 ст. 203¹ УК сформулирована как умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина.

Следует отметить, что рассматриваемая статья УК применяется независимо от того, распространяется на обработку персональных данных действие Закона или нет, поскольку в данном случае речь может идти об обработке персональных данных физическими лицами в процессе в том числе личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью.

Общественно опасное деяние представлено в виде двух альтернативных действий: незаконный сбор или незаконное предоставление. Каким образом производится сбор и предоставление соответствующей информации другим организациям, гражданам или общественности, не имеет значения.

Обязательным элементом объективной стороны рассматриваемого состава является отсутствие согласия субъекта персональных данных или иных правовых оснований для обработки персональных данных.

В диспозиции ч. 1 ст. 203¹ УК в качестве обязательного признака объективной стороны предусмотрены общественно опасные последствия - причинение существенного вреда правам, свободам и законным интересам гражданина. Наличие общественно опасных последствий выступает основным критерием разграничения административного правонарушения и уголовно наказуемого деяния.

С субъективной стороны рассматриваемое преступление характеризуется умышленной формой вины. При этом мотив и цель для квалификации деяния как преступления значения не имеют.

Субъектом преступного посягательства является физическое вменяемое лицо, достигшее к моменту совершения преступления 16-летного возраста.

Обращаем внимание, что только деяние, предусмотренное ч. 1 ст. 203¹ УК влечет уголовную ответственность по требованию потерпевшего. Степень вреда и целесообразность уголовной ответственности в данном случае определяются потерпевшей стороной, и именно требование потерпевшего инициирует возбуждение уголовного дела.

В ч. 2 ст. 203¹ УК установлен квалифицированный состав преступления, касающийся распространения информации о частной жизни и (или) персональных данных при аналогичных последствиях.

Усиление ответственности в данном случае продиктовано тем, что, в отличие от предоставления, распространение информации о частной жизни и (или) персональных данных связано с ознакомлением с ними неопределенного круга лиц.

Формы распространения могут быть различными: это может быть распространение информации в сети Интернет или в социальных сетях, средствах массовой информации, посредством доведения информации до широкого круга лиц путем расклейки объявлений (сообщений) на информационных стендах, дверях подъездов, местах массового скопления людей и т.п. Как распространение информации следует рассматривать также устное озвучивание информации неопределенному кругу людей (например, в общественном месте) и др. Сказанное свидетельствует о том, что распространение закономерно расширяет границы причинения вреда, чему, несомненно, должна даваться самостоятельная правовая оценка.

Часть 3 ст. 203¹ УК предусматривает повышенную уголовную ответственность за рассмотренные действия, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга. Таким образом, данной нормой установлены особые требования к потерпевшему, и наступление уголовной ответственности зависит от установления его особого статуса.

В ст. 203² УК установлена ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий.

Рассматриваемый состав является материальным и будет окончен с момента наступления последствий. В качестве общественно опасных последствий, предусмотренных ст. 203² УК, выступает одновременное распространение персональных данных (ознакомление с ними неопределенного круга лиц) и причинение тяжких последствий.

Субъект преступного посягательства специальный - лицо, осуществляющее обработку персональных данных.

Под лицом, осуществляющим обработку персональных данных, в качестве субъекта преступления следует понимать работника оператора (уполномоченного лица) и иных лиц, не являющихся работниками оператора (уполномоченного лица), на которых возложена обязанность непосредственно осуществлять обработку персональных данных.

Слуцкий РОВД
Slutsk-Gorod.by