Ответственность за нарушение законодательства о защите персональных данных: правовое регулирование и судебная практика

Обратите внимание!

При выявлении по результатам плановой или внеплановой проверки нарушений законодательства о ПД, отраженных в акте такой проверки, директор НЦЗПД в течение 10 рабочих дней со дня окончания проверки вправе вынести письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки ПД в информационном ресурсе (системе) с указанием конкретных действий, которые должны быть приостановлены (прекращены), и установить срок такого устранения и (или) приостановления (прекращения), не превышающий 6 месяцев (п.23 Положения о Национальном центре защиты персональных данных, утв. Указом от 28.10.2021 № 422).

Пример из судебной практики

Начальник отдела таможенных операций и контроля таможни был уволен на основании подп.24.1 и 24.6¹ п.24 Дисциплинарного устава таможенных органов Республики Беларусь, утв. Указом от 09.03.2011 № 98.

Фактическое основание увольнения - неоднократное получение посредством АИС «ГАИ» и из центрального хранилища данных таможенной информации персональных данных физических лиц для использования в неслужебных целях.

Работник подал в суд иск о восстановлении на работе, указывая, что информацию в АИС «ГАИ» он анализировал в связи с наличием сведений о возможной причастности сотрудников к противоправной деятельности, это было вызвано объективной необходимостью и входило в его должностные обязанности.

Выводы судов первой и апелляционной инстанции.

1. Факт незаконной обработки истцом персональных данных сотрудников таможни подтверждается материалами дела, в том числе вступившим в законную силу постановлением суда по делу об административном правонарушении по ч.2 ст.23.7 КоАП.

2. Должностная инструкция не давала истцу права на обработку персональных данных указанных лиц, поскольку:

- он не обладал полномочиями на осуществление оперативно-розыскной деятельности;

- не совершал процессуальных действий в рамках административного или уголовного процесса;

- его обязанности касались пресечения нарушений при непосредственном перемещении товаров через границу и анализа дисциплины в подчиненном отделе, а не сбора персональных данных о сотрудниках таможни.

3. Согласие субъекта персональных данных не требуется лишь для строго определенных целей (административный либо уголовный процесс, оперативно-розыскная деятельность, борьба с коррупцией, национальная безопасность и др.).

Действия истца под эти исключения не подпадали.

На основании изложенного суды признали увольнение правомерным и отказали в иске (определение судебной коллегии по гражданским делам Гродненского областного суда от 02.08.2023).

Примеры из судебной практики (ч.1 ст.23.7 КоАП)

1. ИП осуществил незаконный сбор, а также обработку персональных данных потерпевшего без цели дальнейшего распространения.

Суд признал ИП виновным в совершении правонарушения, предусмотренного ч.1 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 2 БВ (постановление суда Пинского района и г. Пинска от 10.04.2023 по делу № 232171001724/18АП23781).

2. Гражданин путем направления письма с личной электронной почты предоставил Департаменту финансовых расследований персональные данные потерпевшего.

Суд признал гражданина виновным в совершении правонарушения, предусмотренного ч.1 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 10 БВ (постановление суда от 13.10.2022 по делу № 17АП221974/Н).

3. ИП, неправомерно получив персональные данные граждан, направляли им почтовые отправления, однако только лишь за лежащую внутри карту товар приобрести нельзя, необходимо доплачивать.

Суд признал ИП виновными в совершении правонарушения, предусмотренного ч.1 ст.23.7 КоАП, и подвергнул их административному взысканию в виде штрафа в размере 20 БВ (источник: телеграм-канал НЦЗПД).

4. Судом Минского района в январе текущего года принято решение о наложении административного взыскания в виде штрафа в отношении индивидуального предпринимателя по ч.1 ст.23.7 КоАП.

ИП осуществлял торговлю товарами посредством предоставляемой безвозмездно подарочной карты и последующей отправки приобретенного товара почтовым отправлением с использованием наложенного платежа.

В рамках своей деятельности ИП незаконно производил сбор, обработку персональных данных физического лица.

Суд признал ИП виновным в совершении правонарушения, предусмотренного ч.1 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа (источник: телеграм-канал НЦЗПД).

Пример из судебной практики (ч.2 ст.23.7 КоАП)

Гражданин, следователь по особо важным делам, не имея письменного согласия потерпевшего на обработку его персональных данных, при отсутствии служебной необходимости использовал предоставленный ему логин и пароль и вошел в АИС «ГАИ-Центр», собрал и обработал персональные данные потерпевшего.

Суд признал гражданина виновным в совершении правонарушения, предусмотренного ч.2 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 10 БВ (постановление суда от 20.01.2022 по делу № 17АП212391/Н).

Примеры из судебной практики (ч.3 ст.23.7 КоАП)

1. Гражданин в мессенджере Viber в сообществе умышленно незаконно разместил информацию, являющуюся персональными данными, а именно: номер и серию паспорта, идентификационный номер, адрес места жительства потерпевшей, которые позволяют идентифицировать ее как физическое лицо.

Суд признал гражданина виновным в совершении правонарушения, предусмотренного ч.3 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 2 БВ (постановление суда Центрального района г. Гомеля от 11.01.2024).

2. Гражданка разместила в группе жильцов дома в мессенджере фото- и видеоизображения потерпевшего, зафиксированные камерами видеонаблюдения.

Суд признал гражданку виновной в совершении правонарушения, предусмотренного ч.3 ст.23.7 КоАП, и подвергнул ее административному взысканию в виде штрафа в размере 1 БВ (постановление суда от 07.08.2023 по делу № 49АП23862).

3. Гражданка в социальной сети «ВКонтакте» распространила персональные данные потерпевшего: фамилия, имя, отчество, фотография, дата рождения, личный номер, серия и номер паспорта, дата выдачи и срок действия паспорта.

Гражданка вину не признала, утверждала, что у нее закрытый профиль, и никто, кроме нее, видеть эти данные не мог.

Судья не принял эти доводы, поскольку из показаний потерпевшего и свидетелей следовало, что другие лица (находящиеся в друзьях) имели доступ к странице даже при закрытом профиле.

Суд признал гражданку виновной в совершении правонарушения, предусмотренного ч.3 ст.23.7 КоАП, и подвергнул ее административному взысканию в виде штрафа в размере 3 БВ (постановление суда Брагинского района Гомельской области от 26.01.2023).

4. Гражданин неоднократно распространял персональные данные нескольких физических лиц в сети Интернет:

- на страницах в Instagram разместил персональные данные К. (фамилию, имя, изображение);

- на страницах в Instagram разместил персональные данные Ч. (фамилию, имя, отчество, изображение);

- на страницах в сети «Одноклассники» разместил персональные данные Ч. (фамилию, имя, отчество, дату и место рождения, фотоизображение, адрес места жительства, место работы, личный телефонный номер);

- на страницах сайтов в сети Интернет разместил персональные данные К. (фамилию, имя, отчество, место работы, фотоизображение);

- на страницах в сетях Instagram и «Одноклассники» разместил персональные данные К. (фамилию, имя, отчество, дату и место рождения, фотоизображение, адрес места жительства, место работы, личный телефонный номер).

Гражданин утверждал, что его страницы были взломаны бывшей супругой Ч., которая разместила данные, чтобы его оклеветать.

Суд отклонил возражения и признал гражданина виновным в совершении правонарушения, предусмотренного ч.3 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 30 БВ (постановление суда Мозырского района Гомельской области от 18.02.2022).

Примеры из судебной практики (ч.4 ст.23.7 КоАП)

1. В организации допустили несоблюдение абз.3-5 п.3 ст.17 Закона № 99-З:

- работников, осуществлявших обработку персональных данных, не ознакомили с положениями законодательства о персональных данных;

- не был определен порядок доступа к таким данным;

- уровень технической и криптографической защиты персональных данных был недостаточным, что повлекло их несанкционированное распространение.

Представитель организации признал вину в правонарушения.

Суд признал организацию виновной в совершении правонарушения, предусмотренного ч.4 ст.23.7 КоАП, и подвергнул ее административному взысканию в виде штрафа в размере 20 БВ (постановление суда от 15.06.2023 по делу № 99АП231555/Н).

2. Заместитель начальника юридического отдела организации не обеспечил:

- ознакомление работников, обрабатывающих персональные данные, с законодательством о таких данных и с соответствующими локальными правовыми актами;

- обучение работников деятельности с персональными данными;

- определение порядка доступа к персональным данным;

- криптографическую защиту персональных данных.

Суд, установив, что по характеру, продолжительности и общественной вредности деяние не причинило существенного вреда, а работник организации принимал меры по выполнению требований законодательства, признал деяние малозначительным, прекратил дело об административном правонарушении по ч.4 ст.23.7 КоАП (постановление суда от 17.03.2023 по делу № 101АП2387/Н).

3. Проверкой НЦЗПД установлено, что руководитель организации не обеспечил:

- ознакомление работников, обрабатывающих персональные данные, с законодательством о таких данных и с соответствующими локальными правовыми актами;

- обучение работников деятельности с персональными данными;

- определение порядка доступа к персональным данным;

- криптографическую защиту персональных данных.

Организация выполнила требование НЦЗПД об устранении нарушений, руководитель признал вину.

Суд освободил руководителя от административной ответственности с вынесением предупреждения (постановление суда от 06.02.2023 по делу № 26АП231/Н).

4. Руководитель организации не обеспечил:

- ознакомление работников, обрабатывающих персональные данные, с законодательством о таких данных и с соответствующими локальными правовыми актами;

- обучение работников деятельности с персональными данными;

- определение порядка доступа к персональным данным;

- криптографическую защиту персональных данных.

Руководитель признал вину и указал на частичное устранение выявленных нарушений.

Суд признал гражданина виновным в совершении правонарушения, предусмотренного ч.4 ст.23.7 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 4 БВ (постановление суда от 30.09.2022 по делу № 101АП222657/Н).

Примеры из судебной практики (ст.24.11 КоАП)

1. ИП не предоставила информацию по запросу, поступившему из Национального центра защиты персональных данных.

Суд признал ИП виновным в совершении правонарушения, предусмотренного ст.24.11 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 2 БВ (постановление суда Пинского района и г. Пинска от 10.04.2023 по делу № 232171001724/18АП23781).

2. Работник организации, в обязанности которого входит своевременное уведомление о распространении сведений, составлявших коммерческую и иную охраняемую законом тайну, узнав, что неустановленные лица взломали базу данных организации и получили несанкционированный доступ к персональным данным, сообщил об этом в НЦЗПД на 10-й день, то есть с нарушением установленного законодательством срока.

Суд признал работника виновным в совершении правонарушения, предусмотренного ст.24.11 КоАП, и подвергнул его административному взысканию в виде штрафа в размере 2 БВ (постановление суда от 04.11.2022 по делу № 97АП223181/Н/Н).

Пример из судебной практики (ч.1 ст.203¹ УК)

Обвиняемый, имея умысел избежать административной ответственности за безбилетный проезд, при составлении протокола об административном правонарушении предоставил контролеру персональные данные другого лица - И. (фамилию, имя, отчество, дату рождения, адрес).

В результате потерпевший И. был незаконно привлечен к административной ответственности (оштрафован), в отношении его возбуждено исполнительное производство, что причинило существенный вред его правам, свободам и законным интересам (нарушение права на частную жизнь, честь, достоинство, необходимость доказывать свою невиновность).

Суд признал обвиняемого виновным в совершении преступления, предусмотренного ч.1 ст.203¹ УК, и назначил наказание в виде общественных работ на срок 250 часов (определение судебной коллегии по уголовным делам Минского городского суда от 09.02.2024).

Пример из судебной практики (ч.3 ст.203¹ УК)

Обвиняемая зашла на свою страницу в Facebook (под вымышленным именем) и сделала репост (поделилась) публикацией из другой группы. В этой публикации содержалась фотография и личные данные (Ф.И.О., дата рождения, место работы, должность) сотрудника милиции.

Действия обвиняемой повлекли причинение существенного вреда потерпевшему, выразившееся в том числе в нарушении его конституционных прав, свобод и законных интересов, прав на сохранение и неразглашение информации о персональных данных, недопущение неправомерного доступа к такой информации, утрате информацией своей конфиденциальности, с возможностью использования в последующем иными лицами для совершения противоправных действий; подрыве авторитета государства в сфере обеспечения на территории Республики Беларусь надлежащей информационной безопасности, в том числе защиты информации, принадлежащей гражданам и организациям.

Суд признал обвиняемую виновной в совершении преступления, предусмотренного ч.3 ст.203¹ УК, и назначил наказание в виде ограничения свободы с направлением в исправительное учреждение открытого типа сроком на 2 года 6 месяцев со штрафом в доход государства в размере 100 БВ (определение судебной коллегии по уголовным делам Брестского областного суда от 10.05.2024).

Примеры из судебной практики

1. Истец обратилась в суд с иском о взыскании с ответчика 2 000 руб. компенсации морального вреда.

В рамках дела об административном правонарушении, предусмотренном ч.3 ст.23.7 КоАП, вина ответчика доказана, но в привлечении его к административной ответственности было отказано в связи с истечением срока привлечения к административной ответственности.

Таким образом, ответчик путем размещения информации в сети Интернет распространил персональные данные истца, чем причинил истцу моральный вред.

Ответчик возражал против удовлетворения иска.

Суд взыскал с ответчика 200 руб. компенсации морального вреда (решение суда Мозырского района от 23.05.2022 по делу № 64ГИП22278).

2. Истец обратилась в суд с иском о взыскании с ответчика 200 000 руб. компенсации морального вреда.

Иск основан на том, что ответчик путем размещения информации в социальных сетях распространила персональные данные истца, чем причинил истцу моральный вред.

Суд утвердил мировое соглашение, согласно которому ответчик обязалась направить согласованное сторонами сообщение в службу поддержки приложения, в группу социальной сети путем предложения соответствующей новости, а истец отказалась от требования о взыскании денежной компенсации морального вреда (определение суда Железнодорожного района г. Гомеля от 25.05.2022 по делу № 48ГИП22835).

Дополнительно по теме

• Административная и уголовная ответственность должностных лиц субъекта хозяйствования за нарушения законодательства о защите персональных данных.

• Ответственность за нарушение законодательства о защите персональных данных.

• Защита персональных данных: стратегический взгляд для руководителя организации.

• Защита персональных данных.