Ответственность по ч. 1 ст. 23.7 КоАП
Частью 1 ст. 23.7 КоАП предусмотрена ответственность за умышленные незаконные сбор, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных.
Под сбором в данном случае понимается целенаправленный процесс, совершение любых действий, в результате которых виновный приобретает информацию о персональных данных и становится ее фактическим обладателем. При этом как незаконный сбор следует рассматривать получение персональных данных, совершенное в нарушение законодательства о персональных данных.
Справочно: к сбору информации о персональных данных относятся действия, направленные на их получение, включая аудиозапись, фото- и видеосъемку.
Пример
Лицо совершает умышленные действия, состоящие в получении персональных данных любым способом без согласия субъекта персональных данных в случаях, когда оно необходимо, либо при отсутствии правовых оснований, предусмотренных ст. 6 и п. 2 ст. 8 Закона, либо в объеме большем, чем это необходимо для осуществления конкретного процесса, например путем опроса других лиц, в т. ч. с фиксированием информации аудио-, видео-, фотосредствами, копирования соответствующих сведений, похищения или иного их приобретения.
В частности, это может быть ведение фото- и видеосъемки при разговоре с законными представителями воспитанника, сбор копий либо истребование документов, не предусмотренных законодательством об образовании, и др.
В соответствии с п. 8 ст. 4 Закона хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
В связи с этим незаконное хранение следует рассматривать как незаконное владение персональными данными.
Справочно: под хранением понимается фактическое размещение (владение) полученных персональных данных у какого-либо лица, в жилище, в помещении учреждения или других местах.
Пример
Хранение персональных данных является незаконным в случаях отсутствия правовых оснований для их обработки, а также хранения после истечения срока их обработки дольше предусмотренного срока архивного хранения в отношении конкретных персональных данных.
В частности, если в УДО ведется реестр данных законных представителей воспитанников, то после отчисления воспитанников из УДО все персональные данные должны быть исключены из соответствующих информационных источников.
Под предоставлением персональных данных понимаются действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц (абз. 10 ст. 1 Закона). Соответственно, незаконным является предоставление персональных данных для ознакомления определенному кругу лиц без достаточных на то оснований.
Пример
Нарушением будет направление персональных данных определенного лица (к примеру, законного представителя) в личные сообщения другому лицу посредством сети Интернет, в социальных сетях либо размещение такой информации в закрытой группе в мессенджере (например, публикация списка должников по оплате питания) и др.
Нарушение прав субъекта, связанных с обработкой его персональных данных, может представлять собой иные незаконные действия с персональными данными, в т. ч. нарушение предписаний Закона по реализации прав субъектов персональных данных, предусмотренных ст. 10–15 Закона, пренебрежение обязанностями оператора, направленными на защиту прав субъектов персональных данных.
Пример
Детский сад отказывается предоставить законному представителю воспитанника информацию, касающуюся обработки персональных данных, либо уведомить его о причинах отказа в ее предоставлении. Такие действия являются нарушением.
Таким образом, сбор, хранение или предоставление персональных данных являются незаконными в том случае, если указанные действия совершаются без согласия субъекта персональных данных и в нарушение законодательства в части порядка и условий получения той или иной информации, ее предоставления и хранения.
Санкция предусматривает наложение штрафа в размере до 50 БВ.
Ответственность по ч. 2 ст. 23.7 КоАП
В ч. 2 ст. 23.7 КоАП идет речь о деяниях, предусмотренных ч. 1 ст. 23.7 КоАП, совершенных лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью.
При привлечении такого лица к административной ответственности в данном случае следует установить, что соответствующие действия по обработке персональных данных входят в трудовую функцию работника, отражены в его должностной инструкции.
Пример
В качестве подобного нарушения можно рассматривать предоставление работником УДО, ответственным за кадровую работу, персональных данных другого работника третьим лицам без наличия на то правовых оснований, осуществление доступа к базе данных с целью сбора персональных данных конкретных лиц и предоставление таких сведений по просьбе третьих лиц, несвоевременную подготовку ответа по запросу субъекта персональных данных либо игнорирование запроса и т. д.
Как показывает практика, достаточно часто встречаются нарушения, квалифицируемые по ч. 2 ст. 23.7 КоАП, заключающиеся в ознакомлении неопределенного количества третьих лиц с информацией, содержащей персональные данные конкретных субъектов (работников УДО, законных представителей и т. д.).
Содеянное по ч. 2 ст. 23.7 КоАП влечет наложение штрафа в размере от 4 до 100 БВ.
Ответственность по ч. 3 ст. 23.7 КоАП
В ч. 3 ст. 23.7 КоАП установлена ответственность за умышленное незаконное распространение персональных данных физических лиц. В соответствии с абз. 11 ст. 1 Закона под распространением персональных данных понимаются действия, направленные на ознакомление с персональными данными неопределенного круга лиц. Особая опасность распространения персональных данных заключается в том, что информация выходит из-под контроля субъекта, субъект теряет возможность управления доступом к персональным данным, нарушается конфиденциальность соответствующих сведений.
Указанное деяние влечет наложение штрафа в размере до 200 БВ.
Справочно: распространение может осуществляться в устной, письменной или иной форме и любым способом (в частности, путем передачи материалов или размещения информации с использованием информационно-телекоммуникационных сетей, в т. ч. сети Интернет).
Пример
Распространением являются размещение чужих персональных данных без согласия субъекта персональных данных в открытом аккаунте в социальных сетях (видеоролики, фотографии, копии документов, сведения о месте работы, адресе проживания, мобильном телефоне и т. д.), оглашение персональных данных в публичном выступлении (например, озвучивание на родительском собрании должников по оплате питания), публикация на сайте УДО списка работников, являющихся членами БРСМ, профсоюзов, размещение на информационном стенде УДО списка работников, не прошедших очередной медицинский осмотр либо вакцинацию, и др.
Ответственность по ч. 4 ст. 23.7 КоАП
В ч. 4 ст. 23.7 КоАП закреплен еще один самостоятельный состав административного правонарушения — несоблюдение мер обеспечения защиты персональных данных физических лиц.
Соответствующие меры вытекают из требований ст. 17 Закона. Оператор (уполномоченное лицо) обязан принимать правовые, организационные и технические меры обеспечения защиты персональных данных.
Справочно: несоблюдение мер обеспечения защиты персональных данных может выражаться в отсутствии порядка доступа к персональным данным, в т. ч. обрабатываемым в информационном ресурсе (системе), неосуществлении технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные, и др.
Несоблюдение мер обеспечения защиты персональных данных физических лиц влечет наложение штрафа в размере от 2 до 10 БВ, на индивидуального предпринимателя — от 10 до 25 БВ, а на юридическое лицо — от 20 до 50 БВ.
При этом назначение ответственного за осуществление внутреннего контроля не освобождает ни оператора, ни уполномоченное лицо, ни работников УДО, непосредственно осуществляющих обработку персональных данных, от ответственности, предусмотренной законодательными актами, за допущенные ими нарушения.
Исходя из положений ст. 4.4 КоАП, ответственность за данное правонарушение применяется независимо от требования потерпевшего, его законного представителя. Однако это не лишает их права обратиться в уполномоченные органы с заявлением о начале административного процесса по ст. 23.7 КоАП по факту нарушения законодательства о защите персональных данных.
Справочно: в соответствии со ст. 3.30 ПИКоАП протоколы об административных правонарушениях по ст. 23.7 КоАП имеют право составлять уполномоченные на то должностные лица органов внутренних дел, прокурор (при осуществлении им надзорных функций). Дела рассматриваются единолично судьей районного (городского) суда.
Выводы
1. Сбор, хранение или предоставление персональных данных влечет привлечение к административной ответственности по ч. 1 ст. 23.7 КоАП в случае, если указанные действия совершаются без согласия субъекта персональных данных (в тех случаях, когда оно необходимо) и в нарушение законодательства о защите персональных данных.
2. За незаконные сбор, хранение или предоставление персональных данных, совершенные лицом, которому такие данные известны в связи с его профессиональной или служебной деятельностью, ч. 2 ст. 23.7 КоАП предусмотрена административная ответственность при условии, что действия по обработке персональных данных охватывались трудовой функцией работника, отражены в его должностной инструкции.
3. Действия, направленные на ознакомление с персональными данными неопределенного круга лиц (умышленное незаконное распространение персональных данных физических лиц), влекут за собой административную ответственность по ч. 3 ст. 23.7 КоАП.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц приводит к административной ответственности по ч. 4 ст. 23.7 КоАП как по заявлению потерпевшего, так и независимо от его требований.
