СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕР ОТВЕТСТВЕННОСТИ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РЕСПУБЛИКИ БЕЛАРУСЬ И ЗАРУБЕЖНЫХ СТРАН

В современных реалиях быстроразвивающегося информационного общества идентифицировать личность конкретного человека не составляет особого труда, выделив его из множества по индивидуальным (персональным) признакам. Личные данные физического лица необходимо ограждать от негативного воздействия третьих лиц, так как вследствие увеличения числа краж персональной информации, такие данные, оказавшись в руках правонарушителей, превращаются в поражающее оружие против личности. Для достижения высокого уровня безопасности персональных данных операторами и иными лицами, обрабатывающими персональные данные, должны приниматься соответствующие меры для их защиты. Законодатель каждого государства предусматривает такие меры ответственности, которые не только рассматриваются и принимаются на законодательном уровне, но и обеспечивают применение мер защиты конфиденциальности персональных данных на практике.

В Республике Беларусь вопросы обработки персональных данных регулируется Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-3) и иными нормативными правовыми актами.

Так, Кодексом об административных правонарушениях Республики Беларусь установлена административная ответственность (статья 23.7 «Нарушение законодательства о защите персональных данных») в виде штрафа для физических лиц (ч. 1–4) и юридических лиц (ч. 4): за умышленные незаконные сбор, обработку, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных (ч. 1 — штраф в размере до 50 базовых величин); эти же деяния, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью (ч. 2 — штраф в размере от 4 до 100 базовых величин); умышленное незаконное распространение персональных данных физических лиц (ч. 3 — штраф в размере до 200 базовых величин); несоблюдение мер обеспечения защиты персональных данных физических лиц (ч. 4 — штраф в размере от 2 до 10 базовых величин, на индивидуального предпринимателя — от 10 до 25 базовых величин, а на юридическое лицо — от 20 до 50 базовых величин).

Уголовным кодексом Республики Беларусь предусмотрена ответственность за: умышленные незаконные действия в отношении информации о частной жизни и персональных данных без согласия лица, если это повлекло причинение существенного вреда его правам, свободам и законным интересам, статья 203-1 УК «Незаконные действия в отношении информации о частной жизни и персональных данных»: ч. 1 − за сбор, предоставление такой информации (наказание — от общественных работ до лишения свободы на срок до 2 лет); ч. 2 − за ее распространение (наказание в виде ограничения свободы на срок до 3 лет или лишения свободы на тот же срок со штрафом); в ч. 3 − за сбор, предоставление или распространение такой информации лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга (наказание в виде ограничения свободы на срок до 5 лет или лишения свободы на тот же срок со штрафом); за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий наказание, статья 203-2 «Несоблюдение мер обеспечения защиты персональных данных» − от штрафа до лишения свободы на срок до 1 года.

Если рассматривать ближнее зарубежье, то в Российской Федерации законодательство о персональных данных составляет Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ). В 2024 году в 152-ФЗ были внесены изменения, которые существенно усилили ответственность за нарушение законодательства о персональных данных.

За нарушение законодательства о персональных данных в Российской Федерации может быть применена административная ответственность в виде штрафов по ст. 13.11 КоАП РФ, за нарушение требований к обработке персональных данных может быть наложен штраф в размере: до 10 000 рублей на граждан; до 150 000 рублей на должностных лиц; до 500 000 рублей на юридических лиц.

За более серьезные нарушения законодательства по обработке персональных данных в Российской Федерации может быть применена уголовная ответственность. Согласно ст. 272 УК РФ, за неправомерный доступ к компьютерной информации, в том числе к персональным данным, может быть назначено наказание в виде штрафа в размере до 300 000 рублей; обязательных работ на срок до 480 часов; исправительных работ на срок до 2 лет; ареста на срок до 4 месяцев; лишения свободы на срок до 2 лет.

За нарушение законодательства по обработке персональных данных в Российской Федерации также может быть применена гражданская ответственность. Согласно ст. 1079 ГК РФ, за причинение вреда в результате неправомерной обработки персональных данных может быть возмещена компенсация в размере до 100 000 рублей.

В Европейском Союзе основным законодательным актом, регулирующим обработку персональных данных, является Общий регламент Европейского союза о защите персональных данных (далее - GDPR). Этот регламент был принят 27 апреля 2016 года, вступил в силу 25 мая 2018 года и устанавливает относительно строгие требования к обработке персональных данных, в том числе регламентом предусмотрены меры ответственности: согласно статье 83 GDPR, за нарушение требований к обработке персональных данных может быть наложен штраф в размере: до 10 000 000 евро или до 2% от мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше; до 20 000 000 евро или до 4% от мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше, за более серьезные нарушения.

За более серьезные нарушения в соответствии с GDPR может быть применена уголовная ответственность. Согласно статье 84 GDPR, за неправомерный доступ к компьютерной информации, в том числе к персональным данным, может быть назначено наказание в виде: штрафа; лишения свободы на срок до 2 лет; других мер наказания.

За нарушение GDPR также может быть применена гражданская ответственность. Согласно статье 82 GDPR, за причинение вреда в результате неправомерной обработки персональных данных может быть возмещена компенсация в размере до 100 000 евро.

В сравнении с GDPR, в настоящее время законодательство Республики Беларусь имеет более мягкие требования к обработке персональных данных и менее строгую ответственность за нарушение законодательства. Однако, в обоих случаях ответственность за нарушение законодательства о персональных данных может быть серьезной и включать административные, уголовные и гражданско-правовые меры наказания, дисциплинарную ответственность.

В том числе не будем забывать, что в Республике Беларусь в полномочиях регулятора содержится право остановить обработку персональных данных в информационном ресурсе (системе), что может привести к полной остановке осуществляемых бизнес-процессов и повлечь для нарушителя понести более значимые последствия, как финансовые так и репутационные, чем привлечение к ответственности.

В целом, сравнительный анализ законодательства о персональных данных в Европейском Союзе, Российской Федерации и Республике Беларусь показывает, что имеются схожие подходы к установлению ответственности за нарушение требований к обработке персональных данных. Однако, GDPR имеет более строгие требования и более серьезные меры наказания за нарушение законодательства и законодатель Российской Федерации усиливая ответственность, таким образом показывает, что видит значимость и чувствительность защиты персональных данных и конфиденциальности.

Таким образом международный опыт, а также текущая динамика роста правонарушений по результатам анализа, подтверждают, что в Республике Беларусь назрела необходимость, с целью реализации обязательных мер, предусмотренных ст. 17 Закона №; 99-3, а также обеспечения соблюдения законодательства о персональных данных, меры административной ответственности корректировать в сторону существенного усиления.