Важное в статье:

• приводится актуальная судебная практика, когда должностные лица организации были привлечены к административной ответственности за незаконный сбор, обработку и представление персональных данных третьим лицам.

Типичная практика – брать копии личных документов у сотрудников. Однако со вступлением в силу Закона о персональных данных должностных лиц организации могут обвинить в излишнем сборе и обработке персональных данных.

НЦЗПД даны разъяснения в части использования копий паспорта.

Справочно:

НЦЗПД – Национальный центр защиты персональных данных.

С правовой точки зрения представление гражданином копии паспорта оправдано, к примеру:

– при получении кредита;

– при совершении ряда процедур в налоговых органах;

– при оформлении визы;

– для постановки на учет нуждающихся в улучшении жилищных условий.

Недопустимо брать копию паспорта:

– при трудоустройстве;

– при оказании/получении услуг;

– при возврате товара;

– для подтверждения личности.

В этих случаях достаточно предъявить/показать документ, удостоверяющий личность.

НЦЗПД рекомендует: прежде чем передавать кому-либо копию своего паспорта или допускать это сделать, следует выяснить, какой нормой закона руководствуется лицо, заинтересованное в сборе такой информации.

Ответственность за сбор персональных данных

Ниже приведена судебная практика по делам о нарушении законодательства в области защиты персональных данных.

Судебное решение: постановление по делу об административном правонарушении суда Мозырского района от 12.08.2022 по делу № 64АП221167/Н (источник: www.pravo.by).

С. в нарушение ст. 32 Закона № 455-З, являясь лицом, которому персональные данные физического лица известны в связи со служебной деятельностью, умышленно и незаконно представила персональные данные (копию паспорта) физического лица Б. гражданину П.: представила копию паспорта руководителя организации, в которой она работала, главному инспектору Мозырского межрайонного отдела Гомельского областного управления Департамента государственной инспекции труда, поскольку С. обратилась в инспекцию по фактам нарушения нанимателем законодательства о труде и инспектору для ведения административного процесса в отношении Б. необходима была его копия паспорта.

О том, что такие действия противоправны, С. не было известно.

С. признана судом виновной в умышленном незаконном представлении персональных данных физического лица, совершенном лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, и на основании ч. 2 ст. 23.7 КоАП к ней применено административное взыскание в виде штрафа в размере 4 базовых величин.

Согласие работников, бывших работников или соискателей на работу на обработку персональных данных в целях осуществления контроля (надзора) в соответствии с законодательными актами не требуется с учетом абз. 4 ст. 6 и абз. 16 п. 2 ст. 8 Закона о персональных данных.

Департамент для осуществления возложенных на него задач и функций вправе запрашивать у республиканских органов государственного управления, иных государственных организаций, подчиненных Правительству Республики Беларусь, местных исполнительных и распорядительных органов, иных организаций информацию по вопросам, входящим в его компетенцию, в порядке, установленном законодательством (подп. 8.3 п. 8 Положения о Департаменте).

Однако, как показывает вышеприведенное судебное дело, это не означает, что работник (лицо, непосредственно обрабатывающее персональные данные (допущенное к обработке персональных данных)) вправе предоставлять доступ сотрудникам Департамента к персональным данным работников организации.

Действующее законодательство не предусматривает изготовление копий паспорта в целях представления их в проверяющий (надзорный) орган для ведения административного процесса (по крайне мере в данной ситуации).

Напомним, что Департаменту в рамках вопросов проводимой проверки должны быть представлены документы (их копии), в т.ч. в электронном виде, иная информация, касающаяся деятельности и имущества проверяемого субъекта (абз. 4 п. 4, абз. 12 п. 8 Положения о порядке организации и проведения проверок).

За непредставление указанных документов в установленный срок либо представление документов с заведомо недостоверными сведениями предусмотрена ответственность в виде штрафа в размере до 20 базовых величин (ст. 24.11 КоАП).

Кроме того, моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных Законом о персональных данных, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Судебное решение: постановление по делу об административном правонарушении суда Московского района г. Бреста от 20.01.2022 по делу 17АП212392/Н (источник: www.pravo.by).

Х., работая в должности инспектора-дежурного отдела государственного реагирования, мобилизационной работы и оперативно-дежурной службы управления Следственного комитета Республики Беларусь по Брестской области, которому для выполнения служебных обязанностей в установленном порядке предоставлен удаленный доступ к информационным ресурсам МВД, в частности АИС «Пас­порт», 27.06.2021, находясь при исполнении служебных полномочий на рабочем месте, умышленно, из личной заинтересованности, в нарушение части второй ст. 18 Закона № 455-З, не имея письменного согласия гражданина В. на обработку его персональных данных, а также при отсутствии служебной необходимости с использованием предоставленного ему логина и пароля посредством ведомственной сети передачи данных осуществил вход в АИС «Паспорт» и осуществил незаконное извлечение (сбор) и обработку имеющейся в указанной информационной системе информации о персональных данных гражданина В., после чего указанные персональные данные представил гражданину И.Х. признан виновным в умышленном, незаконном сборе, обработке и представлении персональных данных физического лица, совершенных лицом, которому персональные данные известны в связи с его служебной деятельностью, т.е. в совершении административного правонарушения, предусмотренного ч. 2 ст. 23.7 КоАП, и подверг­нут административному взысканию в виде штрафа в размере 10 базовых величин.

Судебные решения:

решение экономического суда Витебской области от 04.02.2022 по делу № 152ЭИП211041, оставленное в силе (без изменения) постановлением экономического суда Витебской области от 16.03.2022 (источник: www.pravo.by);

решение экономического суда Могилевской области от 06.04.2022 по делу № 157ЭИП21902 (источник: www.pravo.by).

Участники хозяйственного общества вправе получать информацию о деятельности хозяйственного общества и знакомиться с его документацией в объеме и порядке, установленном уставом общества (ст. 13 Закона № 2020-XII). При этом на участников законом возложена обязанность не разглашать конфиденциальную информацию о деятельности хозяйственного общества, полученную в связи с участием в хозяйственном обществе.

В обоих случаях экономический суд подтвердил право участников на получение доступа к трудовым договорам (контрактам) работником, но при этом отказал им в доступе к личным делам. Указание такой информации, как данные документа, удостоверяющие личность, место проживания и т.п., могут быть доступны иным лицам, что увеличивает риск утечки персональных данных.

Заметим, что в отличие от гражданско-правовых отношений у нанимателя есть достаточно сведений, чтобы определить, с кем именно был заключен трудовой договор (наименование должности служащего (профессии рабочего), наименование структурного подразделения, дата приема на работу, иные персональные данные, которые обрабатывает наниматель (табельный номер, личное дело и т.п.)).

По мнению автора, указание сведений о работнике в объеме большем, чем фамилия, имя, отчество, можно расценивать как ситуацию, когда содержание и объем обрабатываемых персональных данных не соответствуют заявленным целям их обработки. В таком случае будет иметь место избыточная обработка персональных данных по отношению к заявленным целям их обработки (п. 5 ст. 4 Закона о персональных данных).

В Примерном договоре о полной матответственности есть реквизит «Адреса сторон договора». В этом случае допускается указывать подробные данные сторон договора. Когда на законодательном уровне установлены формы документов, об излишней обработке персональных данных не приходится говорить.

Документы:

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (Закон о персональных данных).

Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (Закон № 455-З).

Кодекс об административных правонарушениях Республики Беларусь (КоАП).

Положение о Департаменте государственной инспекции труда Министерства труда и социальной защиты Республики Беларусь, утвержденное постановлением Совета Министров Республики Беларусь от 29.07.2006 № 959 «Вопросы Министерства труда и социальной защиты Республики Беларусь» (Положение о Департаменте).

Положение о порядке организации и проведения проверок, утвержденное Указом Президента Республики Беларусь от 16.10.2009 № 510 (Положение о порядке организации и проведения проверок).

Закон Республики Беларусь от 09.12.1992 № 2020-XII «О хозяйственных обществах» (Закон № 2020-XII).

Примерный договор о полной индивидуальной материальной ответственности, утвержденный постановлением Совета Министров Республики Беларусь от 26.05.2000 № 764 (Примерный договор о полной матответственности).