Несоблюдение мер обеспечения защиты персональных данных

К.С.ЗАХИЛЬКО, кандидат юридических наук, доцент, практикующий юрист

Объект преступления — приватность человека, обеспечиваемая установленным порядком защиты персональных данных.

Дополнительный объект преступления — базовые условия функционирования социальных институтов, основанных на обработке персональных данных, в том числе цифрового государства и цифровой экономики, а также механизмов социальной и психологической защиты отдельных категорий граждан. Утечки персональных данных способны причинять вред не только отдельным физлицам, но и порядку оказания цифровых услуг, коммерческим интересам отдельных организаций, установленному порядку обеспечения социальной защищенности некоторых категорий служащих, национальной безопасности и т.д. Это должно учитываться при определении последствий совершения рассматриваемого преступления и при его разграничении с преступлениями других видов.

Предмет преступления — персональные данные. Данный признак является бланкетным, его содержание раскрывается в ст. 1 Закона о защите персональных данных. К персональным данным относится любая информация, относящаяся к идентифицированному физлицу или физлицу, которое может быть идентифицировано.

В отличие от ранее существовавшего подхода, категория «персональные данные» в актуальном ее понимании является весьма широкой. К предмету рассматриваемого преступления относятся как идентификаторы, т.е. отличительная информация, позволяющая выделить лицо среди остальных и позволить взаимодействовать с лицом, влиять на лицо (например, Ф.И.О., номер телефона, адрес почты, место регистрации, место проживания, личные номера и т.д.), так и иная информация, относящаяся к конкретному лицу, идентификация которого уже осуществлена или возможна при определенных условиях или обстоятельствах (например, любая информация о работнике, клиенте, определенном гражданине, включая их возраст, пол, место рождения, размер заработной платы, сведения о заболеваниях, составе семьи, событиях личной жизни, их изображения, видеозаписи, переписка и т.д.).

Объективная сторона преступления — несоблюдение мер обеспечения защиты персональных данных. Данный признак является бланкетным: состав мер по обеспечению защиты персональных данных определяется на основании ст. 17 Закона о защите персональных данных.

К обязательным мерам по обеспечению защиты персональных данных, которые операторы (уполномоченные лица) должны реализовывать при работе с персональными данными, относятся (п. 3 ст. 17 Закона о защите персональных данных):

— назначение оператором (уполномоченным лицом), являющимся госорганом, юрлицом Республики Беларусь, иной организацией, структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;

— издание оператором (уполномоченным лицом), являющимся юрлицом Республики Беларусь, иной организацией, ИП, документов, определяющих политику оператора (уполномоченного лица) в отношении обработки персональных данных;

— ознакомление работников оператора (уполномоченного лица) и иных лиц, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику оператора (уполномоченного лица) в отношении обработки персональных данных, а также обучение указанных работников и иных лиц в порядке, установленном законодательством;

— установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

— осуществление технической и криптографической защиты персональных данных в порядке, установленном приказом ОАЦ от 20.02.2020 N 66, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

Соблюдение мер обеспечения защиты персональных данных обязательно только при обработке персональных данных в соответствии с Законом о защите персональных данных. При этом действие Закона о защите персональных данных, в том числе в части организации мер защиты персональных данных, не распространяется на отношения, касающиеся случаев обработки персональных данных:

— физлицами в процессе исключительно личного, семейного, домашнего и иного подобного их использования, не связанного с профессиональной или предпринимательской деятельностью;

— отнесенных в установленном порядке к госсекретам;

— без использования средств автоматизации, если при этом не обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.) (ст. 2 Закона о защите персональных данных).

Соответственно, небрежное или легкомысленное отношение к персональным данным в случаях, относящихся к указанным исключениям, не подпадает под признаки объективной стороны рассматриваемого преступления, т.к. какие-либо специфические меры по защите персональных данных в таких случаях не применяются (например, гражданин по невнимательности предоставляет возможность ознакомиться с персональными данными, законно находящимися на его компьютере в личных целях, третьим лицам, что по неосторожности влечет тяжкие последствия). Из-за особенностей конструкции ст. 203-2 УК и позитивного законодательства, к которому она отсылает, данная норма может применяться только в ситуации, когда у оператора (уполномоченного лица) организована реализация необходимых мер защиты персональных данных (изданы соответствующие ЛПА, созданы и аттестованы системы защиты информации, организован доступ к персональным данным и т.д.), но конкретный работник (при наличии его вины) эти меры не соблюдает.

Кроме указанных обязательных мер, оператор (уполномоченное лицо) может реализовывать и иные меры с учетом особенностей процессов обработки персональных данных у конкретного оператора (уполномоченного лица) (п. 2 ст. 17 Закона о защите персональных данных). Например, в определенной организации в ЛПА могут быть определены более жесткие требования к технической и криптографической защите персональных данных, чем предусмотренные в законодательстве. В этом случае нарушение таких требований также будет подпадать под признаки объективной стороны состава преступления, и при наличии остальных признаков (последствий, причинной связи, вины, субъекта и т.д.) такое нарушение будет влечь уголовную ответственность, несмотря на то, что законодательство соответствующих требований не предъявляет.

Объективную сторону состава преступления может образовывать как несоблюдение одной из мер защиты персональных данных (например, нарушение работником установленного в ЛПА организации порядка доступа к персональным данным путем предоставления работником возможности ознакомиться с банком данных неуполномоченному на такой доступ лицу), так и нескольких мер (например, предоставление доступа в банку данных неуполномоченному лицу с последующим нарушением требований к криптографической защите информации в виде нарушения установленного в ЛПА организации порядка использования в информационной системе съемных носителей).

Обязательным признаком объективной стороны являются распространение персональных данных и вызванные им тяжкие последствия несоблюдения мер защиты персональных данных.

Распространение персональных данных, как последствие рассматриваемого преступления, должно толковаться с учетом того обстоятельства, что признак в данном случае является бланкетным и для его уяснения необходимо обращаться к ст. 1 Закона о защите персональных данных. С учетом этого содержание данного признака будет существенно отличаться от содержания признака «распространение» в других нормах УК (ст. 343, 354 УК и др.).

Под распространением персональных данных в случае со ст. 203-2 УК следует понимать факт ознакомления с персональными данными неопределенного круга лиц (например, размещены на общедоступном ресурсе в сети Интернет) (см. абз. 11 ст. 1 Закона о защите персональных данных). При этом количество лиц, которые получили возможность ознакомиться с персональными данными, не имеет значения. Главным является то обстоятельство, что лица, получившие возможность ознакомиться с информацией, индивидуально не определены. Распространение будет отсутствовать в ситуации, когда данные были представлены (см. абз. 10 ст. 1 Закона о защите персональных данных), т.е. доведены до сведения определенного лица или определенного круга лиц (например, направлены письмом, сообщением и т.д.).

Под тяжкими последствиями следует понимать последствия, непосредственно вызванные несоблюдением мер обеспечения защиты персональных данных и их распространением, которые характеризуются особым масштабом или значением для отдельных физлиц, групп граждан, социальных институтов или механизмов (например, психическое расстройство субъекта персональных данных из-за сильных переживаний, связанных с раскрытием особо чувствительной информации и иные несчастные случаи с людьми; дезорганизация или невозможность работы крупных государственных или частных цифровых платформ; значительные и массовые затруднения в возможности осуществления расчетов, приобретении услуг, связанные с ущербом в крупном размере; массовая и вынужденная невозможность использовать биометрические персональные данные для идентификации в связи с их раскрытием; массовые хищения или атаки с использованием распространенных персональных данных; социальная напряженность, массовая травля и преследование людей и т.д.).

В силу прямого указания в ст. 203-2 УК одно только распространение персональных данных без дополнительных тяжких последствий, вызванных этим распространением, не отвечает необходимым признакам состава рассматриваемого преступления. В связи с этим органу уголовного преследования и суду при применении нормы следует конкретно обосновать, в чем, помимо распространения, например, большого массива персональных данных, были выражены тяжкие последствия от деяния.

Понятие «тяжкие последствия» является оценочным. Определение наличия или отсутствия тяжких последствий осуществляется органом уголовного преследования и судом на основании внутреннего убеждения в конкретной ситуации исходя из конкретных обстоятельств совершения преступления.

Существенный вред, который является вредом меньшей степени, чем тяжкие последствия, не позволяет относить содеянное к преступлению, предусмотренному ст. 203-2 УК. Причинение существенного вреда нескольким лицам также по общему правилу не может рассматриваться как тяжкие последствия, если при этом количество потерпевших не видоизменяет характер последствий совершенного деяния.

Причинная связь между несоблюдением мер защиты персональных данных лицом, осуществляющим обработку персональных данных, и тяжкими последствиями также является обязательным признаком рассматриваемого преступления.

Для применения ст. 203-2 УК необходимо обосновать, что несоблюдение субъектом преступления конкретной меры (конкретных мер) защиты персональных данных, предусмотренных в ЛПА и иных документах оператора (уполномоченного лица), закономерно и непосредственно вызвало распространение персональных данных (утечку), что также непосредственно и закономерно вызвало тяжкие последствия. Причинная связь будет исключаться, если распространение персональных данных и (или) тяжкие последствия непосредственно вызваны:

— действиями иных лиц (например, руководителем организации или иными лицами, непосредственно не обрабатывающими персональные данные; действиями самих потерпевших, в том числе представителей потерпевших организаций и т.д.);

— случайными событиями или явлениями, непосредственно не связанными и не вызванными действиями лиц, обрабатывающих персональные данные (например, объективные нарушения работы технических устройств, систем защиты, совпавшие по времени с несоблюдением требуемых мер);

— деяниями, которые хоть и являются недостаточно внимательными, легкомысленными по своему существу, но не были прямо предусмотрены в документах оператора (уполномоченного лица) в качестве мер защиты персональных данных.

Субъект преступления — лицо, осуществляющее обработку персональных данных. Лицом, осуществляющим обработку персональных данных, является:

работник оператора (уполномоченного лица), в должностные обязанности которого входит обработка (в том числе использование, сбор, хранение, представление, распространение) персональных данных (например, бухгалтер при обработке данных о заработной плате работников, системный администратор при поддержании работы базы данных оператора, специалист при систематизации информации или дополнении информации банка данных новыми сведениями и т.д.);

иные физлица, непосредственно обрабатывающие персональные данные в рамках организации (уполномоченного лица) (например, физлица, оказывающие услуги, связанные с обработкой персональных данных, на основании гражданско-правового договора);

ИП или иное физлицо, которые выступает в качестве оператора (уполномоченного лица) в соответствии с положениями Закона о защите персональных данных (например, ИП, оказывающий услуги по доработке ПО с доступом к базе данных о физлицах; ремесленник при обработке персональных данных клиентов и т.д.).

Лица, которые ответственны за организацию мер по защите персональных данных, но непосредственно не осуществляющие обработку персональных данных, не являются субъектом рассматриваемого преступления (например, директор, который не принимает мер по регламентации доступа, не организует реализацию иных обязательных мер по защите персональных данных, если непосредственная обработка персональных данных, в отношении которых произошла утечка, относилась к должностным обязанностям бухгалтера или инженера-программиста организации).

Субъективная сторона преступления характеризуется неосторожной виной по отношению к распространению персональных данных и тяжким последствиям такого распространения.

Лицо, обрабатывающее персональные данные и не соблюдающее меры обеспечения защиты персональных данных:

— предвидит возможность распространения (утечки) персональных данных и непосредственно связанного с таким распространением тяжкого вреда, но без достаточных на то оснований рассчитывает на предотвращение распространения (утечки) или ее тяжких последствий (легкомысленный расчет, легкомыслие — см. ч. 2 ст. 23 УК);

— не предвидит возможности распространения (утечки) персональных данных и непосредственно связанного с таким распространением тяжкого вреда, но при необходимой внимательности и предусмотрительности должно было и могло предвидеть распространение (утечку) и ее тяжкие последствия (небрежность — см. ч. 3 ст. 23 УК).

Интеллектуальный момент небрежности исключается, если лицо не было обязано соблюдать меры по защите персональных данных (например, не было ознакомлено с документами, возлагающими на него обязанности по соблюдению мер защиты персональных данных). Волевой момент небрежности исключается, если лицо хоть и было обязано соблюдать меры по защите персональных данных, но не могло обеспечить их соблюдение вследствие стечения объективных обстоятельств, непонимания процессов обработки информации в информационных системах (в том числе по причине непрохождения специального обучения у оператора или в специализированных организациях) и тому подобных обстоятельств.

При этом необходимо обосновать, что лицо имело представление (должно и могло было иметь представление) о том, что между несоблюдением той или иной меры защиты персональных данных и их распространением, тяжкими последствиями возможна закономерная связь.

Как было рассмотрено выше, в законодательстве отсутствуют нормы прямого действия, определяющие конкретные меры по защите персональных данных у оператора (уполномоченного лица): состав и объем этих конкретных мер определяется с учетом требований законодательства абстрактного характера, конкретным оператором (уполномоченным лицом) и по отношению к конкретным условиям обработки персональных данных (п. 2 и 3 ст. 17 Закона о защите персональных данных). Поэтому для обоснования вины необходимо, чтобы субъект преступления был надлежащим образом ознакомлен с требованиями документов оператора (уполномоченного лица), определяющих требуемые меры по защите персональных данных, а в некоторых случаях (если для реализации мер требуются специальные знания) — дополнительно обучен должным образом (абз. 4 ст. 17 Закона о защите персональных данных).

Несоблюдение мер обеспечения защиты персональных данных не пересекается с такими видами преступлений, как разглашение гостайны по неосторожности (ст. 374 УК), нарушение требований по защите госсекретов (ст. 375-2 УК).

Несоблюдение мер защиты тайны усыновления (удочерения), врачебной тайны, тайны переписки, телефонных переговоров, телеграфных или иных сообщений, коммерческой и банковской тайны, связанной с физлицами при их совершении представителями операторов (уполномоченных лиц) и наличии иных признаков, предусмотренных ст. 203-2 УК, влекут ответственность в соответствии со ст. 203-2 УК, если в деяниях отсутствовал умысел лица на разглашение соответствующей информации. Если такой умысел имелся, то ответственность наступает в соответствии со ст. 177, 178, 203, 255 УК.

Несоблюдение мер защиты персональных данных, выраженное в их умышленном незаконном сборе, представлении, влечет ответственность в соответствии со ст. 203-1 УК при наличии иных признаков, предусмотренных в данной норме.

Несоблюдение мер защиты персональных данных, выраженное в умышленном нарушении правил эксплуатации компьютерной системы или сети лицом, имеющим доступ к этим системе или сети, повлекшее причинение существенного вреда, влечет ответственность в соответствии с ч. 1 ст. 355 УК. Если такие деяния повлекли последствия, указанные в ч. 2 ст. 349 УК (тяжкие последствия), то ответственность наступает только в соответствии с ч. 2 ст. 355 УК, предусматривающей более строгие санкции. Аналогично решается вопрос об ответственности в случае с ч. 2 ст. 349, ч. 3 ст. 350, ч. 3 ст. 352.

Читайте этот материал в ilex >>*
* по ссылке Вы попадете в платный контент сервиса ilex