Уголовная ответственность за незаконные действия с персональными данными

Конституция Республики Беларусь в статье 28 предоставляет каждому право на защиту от незаконного вмешательства в личную жизнь. Одним из необходимых элементов обеспечения реализации данного конституционного права является установление уголовной ответственности за незаконные действия с персональными данными.

До недавнего времени уголовный закон не содержал специальных составов об ответственности за действия именно с персональными данными.

Статья 179 Уголовного кодекса Республики Беларусь (УК) предусматривала лишь ответственность за незаконные собирание либо распространение сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия, повлекшие причинение вреда правам, свободам и законным интересам потерпевшего. Кроме того, ряд статей УК предусматривал ответственность за умышленное разглашение отдельных видов охраняемой законом тайны (ст.ст. 177, 178, 203, 205).

Законом от 26 мая 2021 г. № 112-З УК дополнен двумя новыми статьями: 203-1 «Незаконные действия в отношении информации о частной жизни и персональных данных» и 203-2 «Несоблюдение мер обеспечения защиты персональных данных». При этом статья 179 из УК исключена, а статьи 203-1 и 203-2 размещены в главе о преступлениях против конституционных прав и свобод человека и гражданина (статья 179 ранее размещалась в главе о преступлениях против уклада семейных отношений и интересов несовершеннолетних).

По статье 203-1.

В части 1 рассматриваемой статьи криминализируются умышленные незаконные сбор, предоставление информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина.

Важным элементом правильного применения данной нормы выступает четкое понимание термина «персональные данные». Персональные данные и информация о частной жизни, поскольку их соотношение не всегда очевидно.

В Законе Республики Беларусь «Об информации, информатизации и защите информации» под персональными понимаются основные и дополнительные персональные данные физического лица, подлежащие в соответствии с законодательными актами внесению в регистр населения, а также иные данные, позволяющие идентифицировать такое лицо.

Согласно Закону Республики Беларусь от 7 мая 2021 г. «О защите персональных данных» (Закон о персональных данных) персональные данные – любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.

Несмотря на схожесть данных определений (и там и там говорится про возможность идентификации лица), определение в Законе о персональных данных видится значительно более широким. К персональным данным относится не только информация, которая сама по себе идентифицирует лицо (это, в основном, ФИО, место жительства и другая информация о лице, которое уже фактически идентифицировано), но и другие сведения, которые сами по себе не идентифицируют лицо, но в комбинации с иными сведениями могут лицо идентифицировать. Например, номер банковской карточки, сведения о месте работы, имуществе, информация о привычках и др.

Развитие информационных технологий и увеличение мощности и функционала различных электронных устройств, вместе с переводом значительной части жизнедеятельности населения (общение, просмотр фильмов, покупки и др.) в онлайн пространство привели к беспрецедентному увеличению объема персональной информации, которая находится в сети Интернет. Это, в свою очередь, обуславливает и соответствующую эволюцию самого понятия «персональных данных», которое необходимо приспосабливать под изменяющийся мир. В целом можно отметить тенденцию постепенного расширения количества информации, подпадающей под определение персональных данных, поскольку с развитием информационных технологий появляется возможность связывать с лицом все более разрозненные частички данных.

С учетом изложенного после вступления в силу Закона о персональных данных (15 ноября 2021 г.) должно применяться определение персональных данных, содержащееся именно в этом Законе.

В рассматриваемой статье устанавливается ответственность как за действия с персональными данными, так и за действия с информацией о частной жизни. Исходя из положений Закона о персональных данных, можно представить следующее соотношение указанных категорий.

Сведения о частной жизни, которые обрабатываются с помощью средств автоматизации и не предназначены для личного, семейного, домашнего и иного подобного пользования, фактически будут функционировать в режиме удвоения режима правовой защиты, подпадая одновременно под режим как персональных данных, так и под режим информации о частной жизни.

Сведения о частной жизни, которые обрабатываются без использования средств автоматизации (например, вручную) и без создания системы поиска (например, систематизированных картотек), либо сведения о частной жизни, которые предназначены для личного, семейного, домашнего и иного подобного пользования (например, письма, справочник контактов в телефоне или список e-mail в почтовом браузере), будут подпадать лишь под правовой режим информации о частной жизни.

Наконец, сведения, которые относятся к лицу идентифицированному (то есть, уже известному лицу, в отношении которого мы знаем ФИО, место рождения, работы и др.), но не касаются его частной жизни, например, информация об образовании, уровне заработной платы и др. будут подпадать лишь под режим персональных данных.

Ответственность по рассматриваемой норме наступает лишь за два действия, а именно – сбор или предоставление. Сбор персональных данных предполагает собирание, получение таких данных независимо от того, от кого получаются такие данные и на какой основе (возмездно или безвозмездно). Предоставление персональных данных, в свою очередь, согласно Закону о персональных данных представляет собой действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

Для сведения
Закон о персональных данных предусматривает в качестве термина, характеризующего совершаемые с персональными данными действия, общий термин – обработка – любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

Обязательным элементом объективной стороны рассматриваемого состава является отсутствие согласия субъекта персональных данных на действия с персональными данными. Требования к форме получения согласия, а также к содержанию согласия установлены статьей 5 Закона. Так, согласие субъекта персональных данных может быть получено в письменной форме, в виде электронного документа или в иной электронной форме.

Но наличие просто подписи на документе еще не свидетельствует о том, что юридически значимое согласие действительно имеется. В пункте 1 статьи 5 Закона указано, что согласие субъекта персональных данных представляет собой свободное, однозначное, информированное выражение его воли, посредством которого он разрешает обработку своих персональных данных. В этой связи, если указанные характеристики не будут соблюдаться (например, согласие не является свободным) и этот факт охватывается умыслом лица, то можно констатировать, что действия совершены без согласия субъекта персональных данных.

Рассматриваемый состав сформулирован в виде материального состава. Иными словами, преступление будет окончено лишь при наступлении перечисленных общественно-опасных последствий, а именно – существенного вреда правам, свободам и законным интересам гражданина. При этом должна быть доказана причинно-следственная связь между совершенными действиями с персональными данными и наступившими последствиями.

В отличие от самих действий по сбору и предоставлению персональных данных, которые совершаются только умышленно, по отношению к наступлению последствий возможна как умышленная, так и неосторожная форма вины.

Санкция по части 1 предусматривает наказание в виде общественных работ, или штрафа, или ареста, или ограничения свободы на срок до двух лет, или лишения свободы на тот же срок.

Часть 2 анализируемой статьи предусматривает повышенную ответственность за умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшее причинение существенного вреда правам, свободам и законным интересам гражданина.

В отличие от части 1, предусматривающей ответственность за сбор или предоставление персональных данных, в части 2 ответственность установлена за распространение персональных данных.

Распространение персональных данных представляет собой действия, направленные на ознакомление с персональными данными неопределенного круга лиц. Это может быть распространение информации в социальных сетях, средствах массовой информации, посредством расклейки информации, устного озвучивания информации перед большим скоплением людей и др.

Санкция по части 2 предусматривает наказание в виде ограничения свободы на срок до трех лет или лишения свободы на тот же срок со штрафом.

Наконец, часть 3 устанавливает повышенную ответственность за действия, предусмотренные частями 1 или 2 рассмотренной статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга.

Для данного состава характерен специальный потерпевший. Персональные данные собираются, предоставляются или распространяются в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга. Иные юридически значимые элементы состава аналогичны описанным применительно к частям 1 и 2.

Санкция по части 3 предусматривает наказание в виде ограничения свободы на срок до пяти лет или лишения свободы на тот же срок со штрафом.

По статье 203-2.

Если статья 203-1 устанавливает ответственность за умышленные действия с персональными данными, то статья 203-2 – за действия с персональными данными, совершенные по неосторожности.

Данная статья предусматривает ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий.

Закон о персональных данных не предусматривает конкретного перечня мер, принятие которых было бы достаточным для обеспечения защиты персональных данных. Перечень таких мер определяет сам оператор, исходя из характера обрабатываемых персональных данных, круга лиц, имеющих доступ к таким данным, и иных обстоятельств, связанных с обработкой персональных данных.

Вместе с тем несколько мер являются обязательными для всех операторов во всех случаях. Их перечень определен в пункте 3 статьи 17 Закона о персональных данных. К ним относятся:

• назначение оператором (уполномоченным лицом), являющимся государственным органом, юридическим лицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
• издание оператором (уполномоченным лицом), являющимся юридическим лицом Республики Беларусь, иной организацией, индивидуальным предпринимателем, документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;
• ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;
• установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
• осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Как уже отмечалось, распространение персональных данных  представляет собой действия, направленные на ознакомление с персональными данными неопределенного круга лиц.

Рассматриваемый состав будет окончен с момента наступления тяжких последствий. К тяжким последствиям могут быть отнесены, в частности, потеря работы, ухудшение состояния здоровья, распад семьи и др.

Санкция за совершение данных деяний предусматривает наказание в виде штрафа или лишения права занимать определенные должности, или заниматься определенной деятельностью, или исправительных работ на срок до одного года, или ареста, или ограничения свободы на срок до двух лет, или лишения свободы на срок до одного года.

Подводя итог сказанному, можно сделать вывод, что принятие Закона от 26 мая 2021 г. № 112-З, установившего уголовную ответственность за незаконные действия с персональными данными, стало важным эволюционным этапом развития законодательства о персональных данных и необходимым условием для обеспечения действия Закона о персональных данных.

Николай Саванович,
заместитель начальника управления конституционного и международного права Национального центра законодательства и правовых исследований Республики Беларусь, кандидат юридических наук, доцент

Информация предоставлена автором для Национального правового Интернет-портала Республики Беларусь
При использовании материала гиперссылка на источник обязательна!

Читайте на Pravo.by и другие материалы по теме:

• Важные нововведения в уголовное законодательство. Интервью Вадима Ипатова, директора Национального центра законодательства и правовых исследований Республики Беларусь;
• Вопросы использования новых технологий и мерах по защите информационной безопасности в уголовных кодексах. Комментарий Следственного комитета Республики Беларусь;
• Какие вопросы таможенного контроля затронули изменения уголовного законодательства? Комментарий Государственного таможенного комитета Республики Беларусь;
• Внедрение института медиации в уголовное судопроизводство и изменения в УПК. Комментарий Министерства юстиции Республики Беларусь.

Нашли ошибку? Выделите текст с ошибкой и нажмите «Ctrl+Enter».