13.10.2014
О персональных данных и их защите
Эльвира Хайруллина
Старший юрист
Международная юридическая фирма Integrites,
Казахстан
Почти год назад вступил в силу Закон Республики Казахстан «О персональных данных и их защите». Законом регулируются отношения, связанные со сбором (т.е. получением), обработкой (то есть накоплением, использованием, хранением, изменением, дополнением, распространением, обезличиванием, блокированием и уничтожением персональных данных) и защитой персональных данных. При этом действие закона не распространяется на отношения, возникающие при сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан. Помимо указанного, закон не применим к отношениям, возникающим при:
· формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;
· сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан «О государственных секретах»; а также
· сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.
Ниже отмечу ключевые, на мой взгляд, положения закона.
· Закон разделяет персональные данные на две категории:
1. общедоступные персональные данные (биографические справочники, телефонные книги, адресные книги, информация в СМИ и т.д.); и
2. персональные данные ограниченного доступа (например, данные удостоверениия личности, индивидуальный идентификационный номер (ИИН), личные телефоны, адрес местожительства, национальность, место работы, условия трудового договора и т.д.);
· Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя. При этом в соответствии с законом указанное согласие не требуется в случаях:
-осуществления деятельности правоохранительных органов и судов, исполнительного производства;
-осуществления государственной статистической деятельности;
-использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
-реализации международных договоров, ратифицированных Республикой Казахстан;
-защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
-осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
-опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
-неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
-получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
-в иных случаях, установленных законами Республики Казахстан.
· Использование персональных данных может осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.
· Распространение персональных данных согласно закону допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц. Однако в отношении персональных данных ограниченного доступа закон обязывает собственников и (или) операторов, а также третьих лиц, которые получают доступ к ним, обеспечить их конфиденциальность путем предотвращения распространения указанных данных без согласия субъекта или его законного представителя либо наличия иного законного основания.
· При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны их обезличить (закон трактует «обезличивание» как действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно).
· Срок хранения персональных данных определяется датой достижения целей их сбора и обработки. По истечении срока хранения персональные данные подлежат уничтожению. Другие случаи, в которых персональные данные должны быть уничтожены в обязательном порядке, включают прекращение правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом; вступление в законную силу решения суда; а также иные случаи, установленные законом.
· Закон предусматривает государственное регулирование в сфере персональных данных и их защиты. Так, закон, среди прочего, определяет, что органы прокуратуры от имени государства осуществляют высший надзор за точным и единообразным применением Закона РК «О защите персональных данных» и иных нормативных правовых актов Республики Казахстан в сфере персональных данных и их защиты.
· В соответствии с законом защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
-реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
-обеспечения их целостности и сохранности;
-соблюдения их конфиденциальности;
-реализации права на доступ к ним; а также
-предотвращения незаконного их сбора и обработки.
За несоблюдение положений, установленных законом, предусмотрена административная и уголовная ответственность. Так, административная ответственность установлена за следующие деяния: (i) незаконный сбор и обработка персональных данных; (ii) незаконный сбор и обработка персональных данных собственником, оператором базы данных или третьим лицом с использованием своего служебного положения; и (iii) несоблюдение собственником, оператором или третьим лицом мер по защите персональной данных. Максимальный административный штраф предусмотрен за деяние, указанное в пункте (iii) выше. Он установлен для лиц, являющихся субъектами крупного предпринимательства, и составляет 300 месячных расчетных показателей. Максимальная уголовная ответственность за нарушение неприкосновенности частной жизни и законодательства о персональных данных и их защите - лишение свободы сроком до 5 лет с конфискацией имущества.