Дисциплинарная ответственность за нарушение законодательства о персональных данных

За нарушение законодательства о персональных данных предусмотрена ответственность:

• дисциплинарная (увольнение в соответствии с п. 10 ч. 1 ст. 47 ТК);
• административная (ст. 23.7 КоАП);
• уголовная (ст. 2031 и 2032 УК);
• гражданско-­правовая (п. 2 ст. 19 Закона предусматривает возмещение морального вреда, имущественного вреда и понесенных субъектом персональных данных убытков).

Лицо, чьи права были нарушены, вправе обратиться в порядке, установленном законодательством, за привлечением виновных в нарушении законодательства о персональных данных к дисциплинарной, административной, уголовной и гражданско-­правовой ответственности.

Меры дисциплинарной ответственности, порядок и сроки их применения, порядок обжалования, снятия и погашения дисциплинарных взысканий установлены:

• гл. 14 ТК;
• декретами Президента Республики Беларусь:
  • от 26.07.1999 № 29 «О дополнительных мерах по совершенствованию трудовых отношений, укреплению трудовой и исполнительской дисциплины»;
  • от 15.12.2014 № 5 «Об усилении требований к руководящим кадрам и работникам организаций» (далее — Декрет № 5) и др.

Справочно: в соответствии со ст. 197 ТК дисциплинарная ответственность наступает за противоправное, виновное неисполнение или ненадлежащее исполнение работником своих трудовых обязанностей (совершение дисциплинарного проступка).

Кто может быть привлечен к дисциплинарной ответственности

Основные обязанности работников закреплены в ст. 53 ТК, правилах внутреннего трудового распорядка, коллективных договорах, должностных (рабочих) инструкциях и иных локальных правовых актах нанимателя (соглашениях, положениях, инструкциях по охране труда и технике безопасности и т. д.), а также дисциплинарных уставах.

Это важно
Привлечение к дисциплинарной ответственности за нарушение законодательства о персональных данных возможно только в отношении тех категорий работников, на которых возложена обязанность по обработке персональных данных, в связи с нарушением ими порядка обработки персональных данных.

Важно отметить, что несмотря на предусмотренную Законом в качестве обязательной меру по назначению ответственного за осуществление внутреннего контроля за обработкой персональных данных, ни оператор, ни уполномоченное лицо, ни работники, непосредственно осуществляющие обработку персональных данных, не освобождаются от ответственности за допущенные ими нарушения.

Правовые основания привлечения к дисциплинарной ответственности

В октябре 2021 г. Декрет № 5 был дополнен подп. 6.14¹, который предусматривает увольнение за нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных. Данное основание увольнения предусматривает виновные действия работника и, соответственно, отнесено к дискредитирующим обстоятельствам увольнения.

Появление нового основания увольнения потребовало внесения соответствующих изменений и в ТК. Так, Законом Республики Беларусь от 28.05.2021 № 114-З «Об изменении законов по вопросам трудовых отношений» введено новое основание прекращения трудовых отношений — нарушение работником порядка сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления персональных данных (п. 10 ч. 1 ст. 47 ТК).

Таким образом, законодатель предусмотрел нарушение законодательства о персональных данных как самостоятельное основание привлечения к дисциплинарной ответственности.

Увольнение как мера дисциплинарного взыскания по данному основанию возможно в том случае, если работник исполнил свою трудовую обязанность ненадлежащим образом либо не исполнил вовсе. При этом совершенное действие или бездействие должно быть виновным, а поведение работника должно быть противоправным. Для увольнения по рассматриваемому основанию достаточно нарушения работником хотя бы одного вида действия (хранения, блокирования и т. п.).

Это важно
Увольнение по п. 10 ч. 1 ст. 47 ТК допускается в случае:
• сбора персональных данных в большем объеме, чем это требуется для конкретного бизнес-­процесса;
• хранения персональных данных сверх установленного срока;
• несвоевременной блокировки или несвоевременного обезличивания персональных данных;
• использования персональных данных для обработки не в заявленных целях;
• предоставления персональных данных работника сотрудникам других подразделений, третьим лицам без достаточных на то оснований;
• удаления персональных данных с нарушением требований законодательства и др.

Примеры нарушений

• В учреждении образования собираются и обрабатываются копии документов, удостоверяющих личность, копии свидетельств о рождении в случаях, когда такая обработка не вытекает из требований законодательных актов.

• Персональные данные работников предоставляются третьим лицам по запросам без достаточных для этого правовых оснований.

Следует отметить, что наниматель самостоятельно оценивает степень вины работника в нарушении законодательства о персональных данных и с учетом обстоятельств совершенного дисциплинарного проступка принимает решение о выборе дисциплинарного взыскания.

Это важно
Если наниматель посчитает, что достижение целей привлечения к ответственности возможно без прекращения трудовых отношений, то он может избрать иной, кроме увольнения, вид дисциплинарного взыскания (например, замечание, выговор, лишение премии).

При этом о дисциплинарном проступке можно вести речь лишь в отношении лица, состоящего в трудовых отношениях с конкретным нанимателем.

Привлечение к ответственности по требованию госорганов

Пунктом 5 Декрета № 5 предусмотрено, что наниматель может применять меру дисциплинарного взыскания по письменному требованию иного уполномоченного в соответствии с законодательством на проведение проверок государственного органа (организации).

Согласно пп. 7 и 23 Положения о Национальном центре защиты персональных данных (утв. Указом Президента Республики Беларусь от 28.10.2021 № 422 «О мерах по совершенствованию защиты персональных данных») одной из функций Национального центра защиты персональных данных (далее — НЦЗПД) является осуществление контроля за обработкой персональных данных операторами (уполномоченными лицами).

В случае выявления по результатам плановой или внеплановой проверки нарушений законодательства о персональных данных, отраженных в акте плановой или внеплановой проверки, директор НЦЗПД в течение 10 рабочих дней со дня окончания проверки:

• выносит письменное требование (предписание) об устранении выявленных нарушений и (или) приостановлении (прекращении) обработки персональных данных в информационном ресурсе (системе);
• указывает в нем конкретные действия, которые должны быть приостановлены (прекращены);
• устанавливает срок такого устранения и (или) приостановления (прекращения), не превышающий шести месяцев.

Указанное предписание может содержать конкретные факты нарушения работником законодательства о персональных данных, в результате чего у нанимателя появляются основания для привлечения его к дисциплинарной ответственности.

Порядок и сроки привлечения к дисциплинарной ответственности

Порядок привлечения виновного лица к дисциплинарной ответственности предусмотрен ст. 199 ТК.

Так, до применения дисциплинарного взыскания наниматель обязан затребовать письменное объяснение работника.

Отказ работника от дачи письменного объяснения, невозможность получения от него объяснения по поводу совершенного дисциплинарного проступка не являются препятствиями для применения дисциплинарного взыскания и оформляются актом с указанием присутствовавших при этом свидетелей.

Дисциплинарное взыскание оформляется приказом, который объявляется работнику под роспись в пятидневный срок со дня издания, не считая времени болезни работника или ухода за больным членом семьи, подтвержденных листком нетрудоспособности или справкой о временной нетрудоспособности, пребывания работника в отпуске, нахождения на военных или специальных сборах.

Работник, не ознакомленный в указанный срок с приказом о дисциплинарном взыскании, считается не имеющим дисциплинарного взыскания. Отказ работника от ознакомления с приказом оформляется актом с указанием присутствовавших при этом свидетелей.

Дисциплинарное взыскание применяется не позднее одного месяца со дня обнаружения дисциплинарного проступка, не считая времени болезни работника или ухода за больным членом семьи, подтвержденных листком нетрудоспособности или справкой о временной нетрудоспособности, пребывания работника в отпуске, нахождения на военных или специальных сборах.

При этом дисциплинарное взыскание не может быть применено позднее шести месяцев, а по результатам ревизии, проверки, проведенной компетентными государственными органами или организациями, — позднее двух лет со дня совершения дисциплинарного проступка. В указанные сроки не включается время производства по уголовному делу  (ст. 200 ТК).

Часть 1 ст. 198 ТК предусматривает четыре меры дисциплинарного взыскания: 

• замечание;
• выговор;
• лишение полностью или частично стимулирующих выплат на срок до 12 месяцев;
• увольнение.

Это важно
К работникам, совершившим дисциплинарный проступок, выразившийся в нарушении законодательства о персональных данных, на основании ч. 4 ст. 198 ТК независимо от применения мер дисциплинарного взыскания могут применяться лишение премий, изменение времени предоставления трудового отпуска и другие меры.

В соответствии со ст. 203 ТК работник не считается подвергавшимся дисциплинарному взысканию, если в течение года со дня применения дисциплинарного взыскания он не был подвергнут новому взысканию.

Привлечение работника к дисциплинарной ответственности за нарушение законодательства о персональных данных не влияет на возможность привлечения его к гражданско-­правовой, административной или уголовной ответственности за те же нарушения в порядке и на основаниях, установленных законодательством.