Назад ко всем новостям

Передача персональных данных третьим лицам: ответственность и правовые последствия

07/07/2025
Передача персональных данных третьим лицам: ответственность и правовые последствия
07/07/2025

Передача персональных данных третьим лицам: ответственность и правовые последствия

Назад ко всем новостям

В наше время люди передают свои персональные данные множеству операторов: это и сайты, и программы лояльности в магазинах, и государственные органы. Однако законодательство Украины устанавливает нормы сбора, обработки и передачи персональных данных третьим лицам, а также ответственность за нарушение этих норм. Оно предусматривает санкции как в виде денежных штрафов, так и уголовной ответственности.

Какие данные считаются персональными по законодательству Украины?

Закон Украины «О защите персональных данных» определяет термин «персональные данные» как сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Также в законе приведено определение обезличивания персональных данных — удаление сведений, позволяющих прямо или косвенно идентифицировать лицо. Этот принцип применяется для минимизации объема хранения данных, оставляя только необходимые для цели сведения, что защищает их от утечек.

Как такового исчерпывающего перечня персональных данных не существует. Однако, как правило, к персональным относят следующие сведения: фамилия, имя и отчество; паспортные данные; место проживания; образование; семейное положение; национальность; этническое происхождение; дата и место рождения; информация о взглядах и убеждениях и прочее. Этот перечень не является окончательным, так как любая информация, по которой можно идентифицировать лицо, считается персональной.

Когда требуется согласие субъекта на передачу персональных данных?

Согласие субъекта необходимо до передачи его данных. Согласно вышеуказанному закону, в сфере электронной коммерции субъект выражает согласие во время регистрации в информационно-коммуникационной системе, проставляя отметку о разрешении на обработку персональных данных в соответствии с целью обработки. Согласие может быть оформлено письменно, во время заполнения анкеты или иным способом, указывающим на передачу данных. Следует отметить, что согласие должно быть соразмерным цели обработки. Во многих случаях без передачи данных третьим лицам их невозможно использовать по назначению, но важно понимать, кому и с какой целью передаются ваши данные.

Виды ответственности за незаконное разглашение или передачу данных

Ответственность за нарушение законодательства о персональных данных предусмотрена Кодексом об административных правонарушениях и Уголовным кодексом Украины. За административное правонарушение предусмотрен штраф от 1700 до 34 000 грн — в зависимости от совершённых действий и субъекта правонарушения. За уголовное правонарушение возможны различные санкции: штраф, исправительные работы, пробационный надзор, ограничение свободы или даже лишение свободы.

Административная ответственность: что предусматривает КУоАП?

Более подробно, Кодекс об административных правонарушениях предусматривает ответственность за непредоставление или несвоевременное предоставление информации Уполномоченному Верховной Рады Украины по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению, предоставление неполных или недостоверных сведений. Для граждан штраф составляет от 100 до 200 необлагаемых минимумов доходов граждан, для должностных лиц и субъектов предпринимательской деятельности — от 200 до 400.

За невыполнение законных требований или предписаний Уполномоченного или определенных им сотрудников его Секретариата, направленных на предотвращение или устранение нарушений закона, граждане могут быть оштрафованы на сумму от 200 до 300 минимумов, а должностные лица и предприниматели — от 300 до 1000.

Повторные нарушения в течение года влекут за собой штрафы: от 300 до 500 минимумов для граждан и от 500 до 2000 минимумов для должностных лиц и субъектов предпринимательства.

Если нарушение порядка защиты данных привело к незаконному доступу или нарушению прав субъекта персональных данных, гражданам грозит штраф от 100 до 500 минимумов, а должностным лицам и предпринимателям — от 300 до 1000. Повторное нарушение — от 1000 до 2000 минимумов для всех субъектов правонарушения.

Уголовная ответственность за незаконное использование персональных данных

В Уголовном кодексе Украины статья 182 предусматривает ответственность за нарушение неприкосновенности частной жизни. Объектом правонарушения указана конфиденциальная информация, а закон о персональных данных относит к ней и персональные данные.

За незаконный сбор, хранение, использование, уничтожение, распространение или изменение конфиденциальной информации предусмотрены следующие санкции: штраф от 500 до 1000 минимумов доходов граждан, исправительные работы до двух лет, пробационный надзор до трёх лет или ограничение свободы на тот же срок.

Если эти действия совершены повторно либо повлекли существенный ущерб правам и свободам лица, наказание — пробационный надзор от 3 до 5 лет, ограничение свободы от 3 до 5 лет или лишение свободы на тот же срок. Существенным ущербом признаются убытки более 151 400 грн.

Как бизнесу соблюдать требования законодательства при обработке данных?

Чтобы снизить риски нарушения украинского законодательства, бизнесу следует придерживаться следующих этапов:

Во-первых, определить, какая информация собирается. То есть: фамилия, имя, отчество, номер телефона, сведения о семейном положении и прочее. Также важно оценить, есть ли среди этих данных категории с повышенной защитой, такие как состояние здоровья, биометрические данные, политические или религиозные убеждения и т.п. Согласно Порядку уведомления, владельцы, осуществляющие обработку персональных данных, представляющих особый риск для прав и свобод субъектов, обязаны уведомлять Уполномоченного по правам человека о таких видах обработки. Основной критерий определения такого риска — именно категории персональных данных, которые обрабатываются.

Далее, необходимо определить и чётко понимать все детали, связанные с обработкой персональных данных. Должен быть детальный порядок способов сбора данных; условия и сроки хранения; условия и процедуры удаления персональных данных; перечень, причины и способы передачи данных третьим лицам; а также меры, применяемые для защиты данных и их эффективность.

Следующим этапом, перед сбором данных у лиц, важно разработать соответствующую документацию. Одним из ключевых документов будет «Политика конфиденциальности», в которой указана цель сбора данных, права и обязанности сторон и другие положения, определённые законом. Клиент должен ознакомиться с Политикой и понимать, кому и с какой целью он предоставляет свои личные данные. Другой основной документ — это внутренний порядок работы с персональной информацией, который включает круг сотрудников с доступом к информации, их полномочия и цели обработки. Также возможно принятие другой документации для максимальной защиты и безопасности персональных данных. Важно следить за обновлениями законодательства по данному вопросу, чтобы актуализировать вышеуказанные документы.

Заключительным этапом является назначение ответственного лица или группы лиц, которые будут следить за соблюдением законодательства и внутренних регламентов сотрудниками, при необходимости уведомлять Уполномоченного ВРУ и выполнять иные функции.

Какие риски несёт компания за нарушение правил обработки данных?

Чтобы напомнить указанную выше информацию об ответственности именно в контексте компании, стоит отметить, что при выявлении незначительных нарушений часто выдается предписание об устранении таких недостатков. Если не устранить требования, изложенные в предписании, только тогда может быть наложен штраф, но лишь в некоторых случаях. Штрафные санкции для бизнеса составляют от 5 100 до 17 000 грн, а при повторном нарушении в течение года — от 8 500 до 34 000 грн.

Однако за следующие нарушения ответственность наступает без предварительного предписания:

Непредоставление или несвоевременное предоставление Уполномоченному ВРУ по правам человека уведомления об обработке или изменении сведений, предоставление неполных или недостоверных данных — штраф для компании составит от 3 400 до 6 800 грн, а при повторном нарушении в течение года — от 8 500 до 34 000 грн.

Нарушение порядка защиты персональных данных, если это приведёт к незаконному доступу к ним или нарушению прав субъекта персональных данных — штраф составит от 5 100 до 17 000 грн, а при повторном нарушении — от 17 000 до 34 000 грн.

Нарушение, за которое предусмотрена уголовная ответственность, как упоминалось выше, сложно совершить ненамеренно. Исходя из этого, компаниям не стоит опасаться, если у сотрудников нет умысла незаконно получить конфиденциальную информацию.

Помощь адвоката в вопросах персональных данных

Помощь адвоката или юриста может понадобиться бизнесу на всех этапах работы с персональными данными. Сначала юрист может помочь определить необходимые и достаточные данные для целей компании, избегая при этом избыточного контроля и ответственности за хранение данных с повышенным риском для субъекта персональных данных. Также при разработке «Политики конфиденциальности» и внутренних регламентов по работе с персональными данными для сотрудников желательно, как минимум, проконсультироваться с юристами, а ещё лучше — доверить составление такой документации опытным специалистам. Юрист поможет точнее применить нормы права, грамотно сформулировать цели, права и обязанности сторон, чтобы в будущем не возникло проблем с законом, а клиент был уверен, для чего его данные собираются.

В случае выявления возможных правонарушений адвокат сможет установить, действительно ли такие действия были совершены компанией, или правоохранительный орган допустил ошибку. Обжалование штрафов и предписаний в суде, доказательство невиновности компании — во всём этом может помочь адвокат.

Подробнее