Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон о защите персональных данных), официально начинает действовать с 15 ноября 2021 года. До принятия этого закона в Беларуси источниками правового регулирования персональных данных служил ряд нормативных правовых актов, обеспечивающих правовую защиту персональных данных, в частности: Закон Республики Беларусь «О регистре населения», Закон Республики Беларусь «Об информации, информатизации, защите информации» (далее Закон об информации).
Персональные данные согласно ст. 1 Закона О защите персональных данных есть любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
Субъектом персональных данных признается физическое лицо, в отношении которого осуществляется обработка персональных данных. Передача персональных данных на хранение в электронный архив осуществляется в случае:
- смерти или объявления физического лица умершим;
- выхода из гражданства или утраты гражданства Республики Беларусь гражданами Республики Беларусь;
- аннулирования разрешения на постоянное проживание в Республике Беларусь.
Законом об информации определены правовые, организационные и технические меры по защите информации, в том числе персональных данных.
К правовым мерам отнесены заключаемые обладателем информации, собственником информационных ресурсов (далее ИР) с их пользователем договоры, в которых определяются условия пользования информацией, а также ответственность сторон по договору за нарушение указанных условий.
К организационным мерам относят обеспечение особого режима допуска на территории (в помещения), где может быть осуществлен доступ к ИР, информации (материальным носителям информации), а также разграничение доступа к информации из ИР по кругу лиц и характеру информации.
К техническим мерам – использование средств защиты ИР, непосредственно информации, в том числе криптографических, а также систем контроля доступа и регистрации фактов доступа к информации. Для защиты информации в информационных системах создается система защиты информации, включающая комплекс организационных и технических мер, направленных на обеспечение: 1) конфиденциальности; 2) целостности; 3) подлинности; 4) доступности; 5) сохранности информации.
Правовая защита персональных данных предусмотрена санкциями, закрепленными нормами о юридической ответственности трудового, гражданского, административного и уголовного законодательства.
Персональные данные подлежат защите в течение 75 лет со дня их предоставления респондентами.
Дисциплинарная ответственность. Впервые с 30.06.2021 в Трудовой кодекс Республики Беларусь внесено новое основание увольнения, предусмотренное п. 10 ч. 1 ст. 47 ТК Республики Беларусь, согласно которому наниматель вправе уволить работника за нарушение им порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных.
Важным представляется, что данное основание увольнения, предусмотренное п. 10 ч. 1 ст. 47 ТК Республики Беларусь (далее ТК) должно применяться без учета требований ст. 43 и 46 ТК, т.е. следует иметь в виду, что п.10 ч. 1 ст. 47 ТК не относится к основаниям увольнения по инициативе нанимателя, как установлено ст. 42 ТК. Отметим, что указанное основание увольнения является мерой дисциплинарного взыскания (п. 4 ч. 1 ст. 198 ТК). Следовательно, нанимателю при увольнении по п. 10 ч. 1 ст. 47 ТК работника, виновного в нарушении требований Закона о персональных данных следует соблюсти требования главы 14 ТК «Дисциплинарная ответственность работников».
Гражданско-правовая ответственность. Законами Об информации, О защите персональных данных, О регистре населения предусмотрены меры правовой защиты персональных данных в гражданско-правовом порядке.
К правовым мерам защиты персональных данных относятся заключаемые распорядителем информационного ресурса, содержащего персональные данные, (к примеру, МВД Республики Беларусь, Национальный статистический комитет и др.) договоры, в которых определяются условия предоставления или использования персональных данных. Установлена ответственность за нарушение этих условий в соответствии с общими нормами ГК Республики Беларусь о ненадлежащем исполнении обязательств по договору.
В частности установлено, что меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь. Последующая передача персональных данных разрешается только с согласия физического лица, к которому они относятся, либо в соответствии с законом.
Обязанность обеспечивать конфиденциальность персональных данных предусматривается в гражданско-правовых договорах, заключаемых, согласно Постановлению Совета Министров Республики Беларусь от 10 сентября 2009 г. № 1178 «Об утверждении положений о порядке защиты персональных данных переписи населения Республики Беларусь и порядке предоставления итоговых данных переписи населения Республики Беларусь», с временным переписным персоналом, а также с гражданами, привлекаемыми для обработки и обобщения персональных данных и формирования итоговых данных переписи населения Республики Беларусь. А в отношении уполномоченных работников органов государственной статистики и работников организаций, осуществляющих перепись отдельных категорий населения, указанных в ст. 20 Закона Республики Беларусь от 13 июля 2006 года (ред. от 13.06.2016) «О переписи населения».
Согласно ч. 2 ст. 19 Закона О защите персональных данных моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных в Законе О защите персональных данных подлежит возмещению.
Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Административная ответственность. С 1 марта 2021 г. незаконная обработка, нарушение прав субъекта персональных данных либо правил их защиты влечет административную ответственность, установленную КоАП Республики Беларусь в новой редакции от 06.01.2021 № 91-З. За нарушение законодательства о защите персональных данных впервые предусмотрена ответственность в соответствии с ч. 1–4 ст. 23.7 КоАП Республики Беларусь.
Объектом данного правонарушения являются отношения, возникающие в связи со сбором, обработкой, хранением, предоставлением распространением, обеспечением защиты персональных данных физического лица.
Объективную сторону ч.1 и 2 комментируемой статьи составляют неправомерные действия, направленные на умышленные незаконные сбор, обработку, хранение, предоставление персональных данных физического лица либо умышленное нарушение его прав при обработке его данных.
В ч.3 данной статьи объективная сторона заключается в умышленных неправомерных действиях, выражающихся в незаконном распространении персональных данных физических лиц.
С объективной стороны состав ч.4 статьи 23.7 характеризуется действиями (бездействием), направленными на несоблюдение мер обеспечения защиты персональных данных физических лиц.
С субъективной стороны данное административное правонарушение может быть совершено как умышленно, так и по неосторожности в случае несоблюдения порядка защиты персональных данных.
Субъектами правонарушения в данной сфере могут быть граждане, должностные лица, индивидуальные предприниматели, юридические лица.
Таким образом, комментируемая статья устанавливает следующие составы правонарушений:
умышленные незаконные сбор, обработку, хранение или предоставление персональных данных – штраф в размере до пятидесяти базовых величин.;
нарушение прав физических лиц, связанных с обработкой персональных данных – штраф в размере от четырех до ста базовых величин;
умышленное незаконное распространение персональных данных — штраф в размере до двухсот базовых величин;
несоблюдение мер обеспечения защиты персональных данных – штраф в размере от двух до десяти базовых величин, на индивидуального предпринимателя — от десяти до двадцати пяти базовых величин, а на юридическое лицо — от двадцати до пятидесяти базовых величин.
Уголовная ответственность. До недавнего времени УК Республики Беларусь не содержал специальных составов об ответственности за действия именно с персональными данными.
Статья 179 УК Республики Беларусь предусматривала лишь ответственность за незаконные собирание либо распространение сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия, повлекшие причинение вреда правам, свободам и законным интересам потерпевшего. Кроме того, ряд статей УК предусматривал ответственность за умышленное разглашение отдельных видов охраняемой законом тайны (ст.ст. 177, 178, 203, 205).
Законом от 26 мая 2021 г. № 112-З УК Республики Беларусь дополнен двумя новыми нормами статей: 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных». При этом ст. 179 из УК исключена, а ст. 203-1 и 203-2 размещены в главе о преступлениях против конституционных прав и свобод человека и гражданина. Отметим, что ст. 179 ранее размещалась в главе о преступлениях против уклада семейных отношений и интересов несовершеннолетних).
В ч. 1 ст. 203-1 в качестве объекта преступления рассматриваются отношения, опосредующие умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина. Наказание установлено в виде общественных работ, или штрафа, или ареста, или ограничения свободы на срок до двух лет, или лишения свободы на тот же срок.
Часть 2 ст. 203-1 предусматривает повышенную ответственность за умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина и выражается в ограничении свободы на срок до трех лет или лишении свободы на тот же срок со штрафом.
В отличие от ч. 1 ст. 203-1, предусматривающей ответственность за сбор или предоставление персональных данных, в ч. 2 ответственность установлена за распространение персональных данных.
Распространение персональных данных, как гласит норма Закона Об информации, представляет собой действия, направленные на ознакомление с персональными данными неопределенного круга лиц. Это может быть распространение информации в социальных сетях, средствах массовой информации, посредством расклейки информации, устного озвучивания информации перед большим скоплением людей и др.
Часть 3 ст.203-1 УК Республики Беларусь устанавливает повышенную ответственность за действия, предусмотренные ч. 1 или ч. 2, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга.
Законодатель вводит понятие «специальный потерпевший», что предполагает, в качестве объекта преступления рассматриваются отношения, возникающие когда персональные данные собираются, предоставляются или распространяются в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга. Санкция по ч. 3 ст.203-1 предусматривает наказание в виде ограничения свободы на срок до пяти лет или лишения свободы на тот же срок со штрафом.
Обращаем внимание, что если ст. 203-1 устанавливает ответственность за умышленные действия с персональными данными, то ст. 203-2 – за действия с персональными данными, совершенные по неосторожности.
Объектом преступления признаются общественные отношения, связанные с несоблюдением мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий.
Закон о персональных данных не предусматривает конкретного перечня мер, принятие которых было бы достаточным для обеспечения защиты персональных данных. Вместе с тем несколько мер являются обязательными для всех операторов во всех случаях, перечень которых определен в п. 3 ст. 17 Закона о персональных данных.
Преступление по ст.203-2 будет окончено с момента наступления тяжких последствий. К тяжким последствиям могут быть отнесены, в частности, потеря работы, ухудшение состояния здоровья, распад семьи и др.
Санкция за совершение данных деяний предусматривает наказание в виде штрафа или лишения права занимать определенные должности, или заниматься определенной деятельностью, или исправительных работ на срок до одного года, или ареста, или ограничения свободы на срок до двух лет, или лишения свободы на срок до одного года.
Т.З. Шалаева, адвокат специализированной юридической
консультации «Бизнес и право»
