Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19 августа 2021 года на вопрос от 12 августа 2021 года № 700318 (dialog.egov.kz) «Утверждение и использование операторами перечня открытого типа (содержащего формулировки относительно возможности сбора и обработки иных персональных данных, прямо не перечисленных в перечне) не допускается»

Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 19 августа 2021 года на вопрос от 12 августа 2021 года № 700318 (dialog.egov.kz)
 

Вопрос:  

Согласно подп.1 п.2 ст.25 закона Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее - Закон), оператор базы, содержащей персональные данные, обязан утвердить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых им задач.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей (п.4 ст.7 Закона).

При этом не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки (п.5 ст.7 Закона).

Таким образом, в каждой организации, перед тем как она начнет собирать и обрабатывать персональные данные, должен быть разработан и утвержден перечень персональных данных, которые будут собираться и обрабатываться этой организацией.

Однако неясно, означает ли вышеизложенное, что такой перечень должен быть исчерпывающим (то есть перечисляющим абсолютно все виды персональных данных, которые могут потребоваться организации, и не подлежащим расширению без дополнительного согласия субъекта персональных данных).

Между тем, на практике многие организации используют только открытые перечни персональных данных, в которых обычно указывается, что оператор может собирать и обрабатывать «иные персональные данные, которые могут потребоваться оператору для достижения целей и задач его деятельности».