С момента вступления в силу Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) прошло более двух лет.
С точки зрения законодателя, этот период достаточен для того, чтобы оценить практику применения законодательного акта и выявить возникающие проблемы, определить его влияние на общественные отношения в регулируемой сфере.
С точки зрения же правоприменителя, до сих пор часто возникают вопросы, касающиеся не только использования в практической работе отдельных норм Закона, но и непонимания объема регулируемых им правоотношений в целом, что приводит к нарушениям, которые могут повлечь не только дисциплинарную, но и административную или уголовную ответственность.
В этой статье мы разберем само понятие «персональные данные», а также определим его воздействие на, пожалуй, наиболее массовую сферу его применения – кадровую работу организации.
Понятие «персональные данные» установлено в статье 1 Закона – это любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано (абзац девятый статьи 1 Закона).
Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности (абзац семнадцатый статьи 1 Закона).
Как понятно из указанных выше определений, отдельного и конкретного перечня информации, составляющей персональные данные, не имеется и быть не может. К персональным данным относится как очевидная информация (фамилия, имя, отчество и т.п.), так и информация, не позволяющая, на первый взгляд, идентифицировать физическое лицо, но при определенных обстоятельствах и/или в совокупности с другой информацией дающая такую возможность (например, цвет волос, особенности походки, семейное положение и пр.).
При этом отдельные персональные данные, такие как расовая либо национальная принадлежность, политические взгляды, членство в профессиональных союзах, религиозные или другие убеждения и т.д.. здоровье или половая жизнь, привлечение к административной или уголовной ответственности, а также биометрические и генетические персональные данные отнесены к специальным персональным данным (абзац двенадцатый статьи 1 Закона) по признаку повышенной опасности неправомерных в отношении них действий. Обработка специальных персональных данных допускается лишь при условии принятия комплекса мер, направленных на предупреждение рисков, которые могут возникнуть при обработке таких персональных данных для прав и свобод субъектов персональных данных (пункт 3 статьи 8 Закона).
Понимание, того, что является персональными данными, крайне важно, так как позволяет правильно определить основание и пределы их сбора, обработки, а также необходимые меры защиты.
Обработка персональных данных – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных (абзац шестой статьи 1 Закона).
Сторонами в процессе обработки персональных данных выступают оператор, субъект персональных данных и, в отдельных случаях, уполномоченное лицо. Остановимся подробнее на операторе и субъекте персональных данных.
Оператор – государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных (абзац восьмой статьи 1 Закона).
Субъект персональных данных – физическое лицо, в отношении которого осуществляется обработка персональных данных (абзац тринадцатый статьи 1 Закона).
Обработка персональных данных, в том числе специальных персональных данных, в процессе кадровой деятельности осуществляется на основании актов законодательства, обязывающих оператора (нанимателя) осуществлять сбор и обработку отдельных персональных данных, либо согласия субъекта персональных данных. В силу объективных причин работник находится в подчиненном положении по отношению к нанимателю и, соответственно, его согласие не может носить свободный характер (пункт 1 статьи 5 Закона), соответственно, в большинстве случаев основанием обработки персональных данных будут являться требования законодательства.
Согласие субъекта персональных данных на обработку его персональных данных не требуется:
Содержание текста согласия вытекает из содержания части 1 пункта 5 статьи 5 Закона, согласно которому до получения согласия субъекта персональных данных оператор в письменной либо электронной форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора, получающего согласие субъекта персональных данных;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъекта персональных данных;
информацию об уполномоченных лицах в случае, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
иную информацию, необходимую для обеспечения прозрачности процесса обработки персональных данных.
Также до получения согласия субъекта персональных данных оператор обязан простым и ясным языком в письменной либо электронной форме разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа в даче такого согласия. (часть 2 пункта 5 статьи 5 Закона).
При этом именно на оператора возлагается обязанность доказывания получения согласия субъекта персональных данных (пункт 7 статьи 5 Закона), что предполагает под собой не только подтверждение факта дачи согласия (например, путем подписания соответствующего документа в бумажном виде), но и доказывание соблюдения процедуры получения такого согласия.
Зачастую на практике возникает вопрос, что понимается под формулировкой «простым и ясным языком». По мнению автора, подтверждением факта разъяснения субъекту персональных данных его прав, связанных с обработкой персональных данных, механизмом их реализации, а также последствиями дачи настоящего согласия либо отказе в его даче может являться приложение к согласию, содержащее всю вышеуказанную информацию, копия которого вручается субъекту персональных данных.
Применительно к кадровой работе согласие субъекта персональных данных необходимо прежде всего в случаях, когда предоставление (распространение) персональных данных субъекта не обусловлено требованиями законодательства, договором и его трудовой функцией (например, составление списка участников новогоднего концерта для предоставления организаторам, составление и размещение на стенде в холе организации расписания корпоративной спартакиады с указанием лиц, принимающих в ней участие, формирование кадрового резерва (базы данных), содержащего ряд сведений о лицах, потенциально способных занять те или иные должности служащих и др.).
В целях оптимизации процедуры получения согласия наниматель вправе заранее определить перечень конкретных целей обработки персональных данных, для которых правовым основанием будет являться согласие, и предлагать принимаемым на работу работникам решить, на какие из данных целей обработки они готовы дать свое согласие. При этом работнику должна быть предоставлена возможность выбрать отдельные цели, а не согласиться или отказаться от обработки в полном объеме, например, путем проставления галочек в поле напротив каждой заявленной цели.
Стоит обратить внимание, что независимо от основания обработки персональных данных, оператор (наниматель) обязан соблюдать общие требования к обработке персональных данных, установленные статьей 4 Закона.
В целях в том числе правильного определения оснований обработки персональных данных и сроков их хранения, выявления всех процессов, требующих получения согласия субъекта на обработку персональных данных, Национальным центром защиты персональных данных Республики Беларусь (далее – НЦЗПД) рекомендовано создать реестр обработки персональных данных. При этом указанный реестр должен касаться не только процессов обработки персональных данных кадровой службой, но и использоваться для определения всех бизнес-процессов организации, в которых происходит обработка персональных данных.
Обязательных требований к содержанию реестра законодательство не содержит. При этом пример реестра обработки персональных данных размещен на сайте НЦЗПД (https://cpd.by/pravovaya-osnova/metodologicheskiye-dokumenty-rekomendatsii).
Кадровая деятельность предполагает обработку огромного массива персональных данных, при этом верно определить основания к их получению, обработке (использованию) в случае, когда отсутствуют специальные знания и четко выстроенная система работы с персональными данными, порой бывает непросто. Вследствие этого зачастую возникают ситуации, когда нарушается порядок обработки персональных данных, установленный Законом. Данные нарушения могут совершаться работниками как из «благих» побуждений (с целью ускорения документооборота, производственного процесса), так и умышленно, руководствуясь личными интересами.
За нарушение законодательства о персональных данных предусмотрена гражданско-правовая, дисциплинарная, административная и уголовная ответственность.
Рассмотрим наиболее типичные нарушения.
1. Поиск и рассмотрение кандидатов на занятие вакантных должностей. К наиболее частым нарушениям в ходе такой деятельности можно отнести:
обработку персональных данных без наличия на то оснований (например, без получения согласия кандидата в порядке и с соблюдением требований, установленных статьей 5 Закона, или, напротив, получение согласия в случаях, когда оно не требуется) либо их избыточную обработку;
нарушение сроков хранения полученных от кандидата документов, содержащих персональные данные.
В первую очередь следует отметить, что в качестве основания обработки персональных данных при поиске и рассмотрении кандидатов не может выступать абзац восьмой статьи 6 и абзац третий пункта 2 статьи 8 по причине того, что такая обработка производится до оформления трудовых (служебных) отношений.
В такой ситуации основанием обработки персональных данных может быть, в частности, согласие субъекта персональных данных на их обработку, например, получение от него положительного ответа на электронное письмо, отправленное ему нанимателем, на запрос обработки персональных данных его резюме, заявление, адресованное и подписанное субъектом персональных данных нанимателю с просьбой рассмотреть его кандидатуру на замещение вакантной должности с приложением резюме либо предоставление нанимателю самого резюме с подписью.
Согласия кандидата не требуется, если наниматель знакомится с данными, указанными в резюме, без их систематизации (внесения в списки, базы, картотеки и пр.) в целях дальнейшего использования. Такие действия не подпадают, согласно пункту 1 статьи 2 Закона, под предмет его регулирования.
Срок хранения документов лиц, не принятых на работу, установлен пунктом 645 перечня типовых документов Национального архивного фонда Республики Беларусь, образующихся в процессе деятельности государственных органов, иных организаций и индивидуальных предпринимателей, с указанием сроков хранения, утвержденного постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. N 140, и составляет 1 год.
2. Обработка персональных данных при оформлении трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности.
К нарушениям, допускаемым в ходе обработки персональных данных при оформлении трудовых (служебных) отношений и в процессе трудовой (служебной) деятельности, относятся:
обработка избыточных персональных данных, обработка персональных данных, не соответствующая целям их сбора, а также обработка персональных данных без получения в установленных Законом случаях согласия субъекта персональных данных;
умышленные незаконные сбор, хранение, предоставление либо распространение персональных данных;
несоблюдение мер обеспечения защиты персональных данных.
Остановимся на каждом нарушении подробнее.
2.1. Согласно части 4 статьи 26 Трудового кодекса Республики Беларусь (далее – ТК), запрещается требовать при заключении трудового договора документы, не предусмотренные законодательством.
Вместе с тем, встречаются ситуации, когда нанимателем требуется у кандидата не только документы, не предусмотренные законодательством (справку об отсутствии непогашенных административных правонарушений и судимости, характеристику с предыдущих мест работы (за исключением унифицированной формы характеристики в случаях, когда ее запрос является обязанностью нанимателя) и прочие, а также сведения, не связанные с выполнением трудовой функции по должности, на которую принимается работник.
Зачастую работники, которые имеют доступ к персональным данным, ошибочно полагают, что получение согласия субъекта персональных данных на их обработку в любых целях не требуется в случае, если необходимые данные предоставлялись субъектом ранее для использования в иных целях. Обработка персональных данных при указанных обстоятельствах нарушает требования, установленные статьей 4 Закона, и может повлечь за собой в том числе административную ответственность.
С этим также связана обработка персональных данных без получения в установленных Законом случаях согласия субъекта персональных данных (например, размещение в доступном для общего обозрения списка лиц, отказавшихся от прохождения вакцинации в период распространения ОРВИ).
2.2. Умышленные незаконные сбор, хранение, предоставление либо распространение персональных данных предполагают совершение указанных действий без наличия оснований, установленных Законом.
В контексте кадровой работы такие действия совершаются лицом, которому персональные данные стали известны в связи с профессиональной деятельностью.
Согласно постановлению по делу об административном правонарушении С., являясь лицом, которому персональные данных физического лица известны в связи с ее служебной деятельностью, умышленно незаконно предоставила копию паспорта руководителя организации, в которой она работала, главному инспектору межрайонного отдела областного управления Департамента государственной инспекции труда.
В судебном заседании С. пояснила, что она обращалась в инспекцию по фактам нарушения нанимателем законодательства о труде, и инспектору для ведения административного процесса необходима была копия паспорта руководителя нанимателя. О том, что такие действия являются неправомерными, ей не было известно.
С. привлечена к административной ответственности по части 2 статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях в виде штрафа в размере 4 базовых величин.
(https://pravo.by/pravovaya-informatsiya/bank-sudebnykh-resheniy/document/696782)
При этом незаконные сбор и распространение данных могут касаться не только работников организации, в которой работает нарушитель, но и иных лиц.
К., являясь старшим инспектором Дворца гражданских обрядов главного управления юстиции Мингорисполкома, умышленно незаконно предоставила гражданке А. персональные данные гражданки К. без ее согласия о том, что последняя состоит в браке с 2002 года с *** по имени С., расторжения брака не было, которые стали известны ей в связи с ее служебной деятельностью.
К. привлечена к административной ответственности по части 2 статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях в виде штрафа в размере 85 базовых величин.
(https://pravo.by/pravovaya-informatsiya/bank-sudebnykh-resheniy/document/1077470)
Также не стоит забывать, что помимо административной ответственности нарушителю грозит и дисциплинарная.
Я. обратился в суд с исковым заявлением о восстановлении на работе, взыскании среднего заработка за время вынужденного прогула, возмещении морального вреда.
Согласно мотивировочной части решения суда Я., работавший в должности начальника отдела таможенных операций и контроля, неоднократно получал из имевшейся в распоряжении АИС «ГАИ» персональные данные работников У., Б., Н., Р. и впоследствии в том числе за совершение указанных действий в нарушение должностной инструкции и требований статей 4, 6 Закона Республики Беларусь «О защите персональных данных» был уволен, а ранее также привлечен к административной ответственности по части 2 статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях.
Доводы истца о том, что обработка персональных данных У., Б., Н., Р. осуществлялась в рамках предоставленных ему законодательством полномочий, суд счел недоказанными.
По результатам рассмотрения дела в иске Я. к нанимателю о восстановлении на работе, взыскании среднего заработка за время вынужденного прогула, возмещении морального вреда отказано.
(https://pravo.by/pravovaya-informatsiya/bank-sudebnykh-resheniy/document/1441981)
2.3. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных (пункт 1 статьи 17 Закона).
назначение оператором (уполномоченным лицом), являющимся государственным органом, юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
издание оператором (уполномоченным лицом), являющимся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.
Непринятие оператором указанных мер влечет за собой административную ответственность, предусмотренную частью 4 статьи 23.7 Кодекса Республики Беларусь об административных правонарушениях. При этом к ответственности может быть привлечен как руководитель, так и лицо, на которое нанимателем возложена обязанность по их принятию.
Согласно постановлению по делу об административном правонарушении, П., являясь заместителем начальника юридического отдела ЧТУП З., не принял мер по ознакомлению работников, непосредственно осуществляющих обработку персональных данных, с положениями Закона Республики Беларусь «О персональных данных», в том числе с требованиями по защите персональных данных, а также обучению указанных работников и иных лиц в порядке, установленном Законом, установлению порядка доступа к персональным данных, в том числе обрабатываемым в информационном ресурсе (системе), осуществления технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих данные, чем допустил несоблюдение мер обеспечения защиты персональных данных физических лиц, нарушив требования п. 3 ст. 17 Закона.
По результатам рассмотрения административного дела судом П. освобожден от административной ответственности за совершенное административное правонарушение, предусмотренное ч. 4 ст. 23.7 КоАП Республики Беларусь в связи с малозначительностью деяния на основании ч. 1 ст. 8.2 КоАП Республики Беларусь, дело об административном правонарушении прекращено.
(https://pravo.by/pravovaya-informatsiya/bank-sudebnykh-resheniy/document/1169019)
Отдельно стоит отметить, что несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий, влечет за собой уголовную ответственность по статье 203-2 Уголовного кодекса Республики Беларусь.
Список использованных источников:
рекомендации Национального центра по защите персональных данных об обработке персональных данных в связи с трудовой (служебной) деятельностью (в ред. от 02.08.2022)
(https://etalonline.by/document/?regnum=u02200054&q_id=4447970)
отчет о деятельности Национального центра защиты персональных данных за 2022 год
(https://cpd.by/otchet-o-dejatelnosti-nacionalnogo-centra-zashhity-personalnyh-dannyh-za-2022-god)
постатейный комментарий к Закону Республики Беларусь «О защите персональных данных»
