К сведению юридических и физических лиц об ответственности за нарушение порядка обработки персональных данных
Прокуратурой г. Тирасполь в рамках надзорной деятельности в конце 2022 г. зафиксирован рост числа обращений граждан, по вопросам нарушений требований действующего законодательства в сфере обработки их персональных данных. При этом, исходя из содержания обращений, нарушения обработки персональных данных допускались повсеместно как должностными лицами, так и физическими лицами.
В этой связи необходимо разъяснить, что в соответствии Законом ПМР «О персональных данных» (далее — Закон) персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Также исходя из содержания Закона, оператор – государственный орган, орган местного самоуправления, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных на их обработку, если иное не предусмотрено Законом.
В качестве примера нарушений требований норм Закона можно привести обращение гражданина А., являющегося членом одного из жилищно-строительного кооперативов. Прокурорской проверкой было установлено, что в связи с имеющейся задолженностью по оплате коммунальных услуг у ряда членов кооператива, председателем от имени правления данной организации на доске объявлений был вывешен список должников с указанием фамилий, инициалов, номеров квартир, в которых проживают данные лица. Кроме того, председателем кооператива в дверях квартир должников также были оставлены уведомления, содержащие аналогичную информацию.
Так, кооперативом были созданы условия для распространения персональных данных его членов неограниченному кругу лиц.
Необходимо отметить, что исходя из определения обработки персональных данных, приведенного в Законе, обработкой является любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Таким образом, распространение персональных данных является их обработкой, и соответственно нарушения, допущенные при их распространении, являются одновременно нарушением порядка обработки персональных данных.
Прокурорской проверкой установлено, что согласие на обработку персональных данных и их распространение подобным образом председатель, либо члены правления кооператива у субъектов указанных данных не получали.
Аналогичным примером может послужить обращение гражданина Б., содержащее сведения о размещении знакомым ему лицом его фотографии, содержащей его биометрические персональные данные в социальной сети без его согласия.
Согласно положениям названного Закона к персональным данным относятся как общепринятые сведения (фамилия, имя, отчество и т.д.), так и сведения, которые характеризуют физиологические и биологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные).
Кодексом Приднестровской Молдавской Республики об административных правонарушениях предусмотрена административная ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Вместе с этим, размещение фотографий субъектов персональных данных без их согласия также влечет административную ответственность.
Статьей 13.11. вышеназванного Кодекса нарушение установленного законом порядка обработки персональных данных, если эти деяния не содержат признаков иного административного правонарушения или уголовно наказуемого деяния влечет предупреждение или наложение административного штрафа на граждан в размере от 10 (десяти) до 15 (пятнадцати) РУ МЗП, на должностных лиц – от 15 (пятнадцати) до 40 (сорока) РУ МЗП, на юридических лиц – от 150 (ста пятидесяти) до 300 (трехсот) РУ МЗП.
Прокуратурой г. Тирасполь в 2022 году, в связи с выявленными нарушениями порядка обработки персональных данных были возбуждены административные производства за совершение административных правонарушений в отношении как физических, так и юридических лиц, которые понесли административное наказание в виде штрафа и предупреждения.
Отдел общего надзора прокуратуры г. Тирасполь