Защита персональных данных по законодательству Республики Казахстан
Ботагоз Омарова, Юрист ТОО «Юридическая фирма «Азизов и Партнеры» Ведущий научный сотрудник Института законодательства и правовой информации Республики Казахстан кандидат юридических наук
Введение Современное общество все чаще встречается с информационным обменом в своей повседневной жизни. Каждый из нас регулярно сообщает о себе информацию, позволяющую напрямую или косвенно определить и идентифицировать нас. Действующие законодательство Республики Казахстан такую информацию относит к персональным данным, а к некоторым из них требует соблюдения конфиденциальности. Согласно определению, содержащемуся в Законе Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее - Закон) персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан (например, дактилоскопическая и геномная информация, медицинская, страховая, налоговая и иная информация). Но нужно отметить, что и те и другие подлежат защите мерами, установленными законодательством Республики Казахстан. Лица, которые осуществляют сбор, обработку и защиту персональных данных, включая накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных являются операторы баз. В свою очередь владеть пользоваться и распоряжаться базой персональных данных вправе собственники персональных баз. Ими является государственные органы, физические и (или) юридические лица (например, работодатели). Исходя из этого, в целях обеспечения выполнения наших законных интересов и защиты нашей личной жизни необходимо знать и контролировать выполнение обязанностей, возложенных на оператора персональных данных.
Права субъекта и обязанности оператора при обработке персональных данных Права субъекта перечислены в пункте 1 статьи 24 Закона, который содержит следующие права: 1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую: - подтверждение факта, цели, источников, способов сбора и обработки персональных данных; - перечень персональных данных; - сроки обработки персональных данных, в том числе сроки их хранения; 2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами; 3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных; 4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан; 5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 Закона; 6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных; 7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда; 8) на осуществление иных прав, предусмотренных Законом и иными законами Республики Казахстан. В случае если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъекта персональных данных имеет право обжаловать в порядке досудебного обжалования (в соответствующий уполномоченный орган), а затем в порядке административного судопроизводства.
Обязанности оператора установлены в статье 25 Закона, причем эти же обязанности относятся и к собственнику Так, перед началом сбора информации о персональных данных собственник и (или) оператор должен утвердить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач по специальной утвержденной Постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214 форме. В целях защиты персональных данным оператор обязан принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические в соответствии с законодательством Республики Казахстан. При достижении цели обработки персональных данных оператор обязан принять меры по уничтожению персональных данных. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора. В случае если субъект обратиться к оператору и (или) собственнику, последние в свою очередь обязаны сообщить информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя. В противном случае, оператор обязан представить мотивированный ответ в те же сроки. Более жесткие сроки, в течение одного рабочего дня установлены в случае изменения и (или) дополнения персональных данных, блокирования, уничтожения на основании представленных документов, а также наличия факта их сбора, обработки с нарушением законодательства Республики Казахстан. Кроме того, с 2 марта 2022 года, согласно Закону Республики Казахстан от 30 декабря 2021 года № 96-VII об изменениях и дополнениях, собственник и (или) оператор, а также третье лица обязан производить регистрацию и учет срока или периода, в течение которого действует согласие на сбор, обработку персональных данных; сведений о возможности оператора или ее отсутствии передавать персональные данные третьим лицам; сведений о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки; сведений о распространении персональных данных в общедоступных источниках. Собственник также обязан утвердить документ, определяющий политику оператора в отношении сбора, обработки и защиты персональных данных. В случае совершения действий с персональными данными, таких как просмотр, изменение, дополнение, передача, блокирование, уничтожение, собственник и (или) оператор обязан уведомлять субъекта об этом. В случае если собственник, оператор, имея предварительное согласие субъекта на доступ третьих лиц к его персональным данным, то в случае предоставления такого доступа обязан уведомить об этом субъекта. Касательно хранения персональных данных, то оно должно осуществляться на территории Республики Казахстан. Например, если оператор является иностранное юридическое лицо и серверы находятся за пределами Республики Казахстан, то копии персональных данных должны храниться в арендуемом (приобретенном) сервере на территории Республики Казахстан.
Согласие на сбор и обработку персональных данных. Субъект или его законный представитель дает согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан (например, согласие может выражаться путем передачи одноразового пароля или путем отправления короткого текстового сообщения на абонентский номер, путем клика, проставлением «галочки» и др.) Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора; 2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта; 3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных; 4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам; 5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки; 6) сведения о распространении персональных данных в общедоступных источниках; 7) перечень собираемых данных, связанных с субъектом; 8) иные сведения, определяемые собственником и (или) оператором.
Меры по защите персональных данных. Для обеспечения защиты персональных данных необходимо: - выделение бизнес-процессов, содержащих персональные данные; - разделение персональных данных на общедоступные и ограниченного доступа; - определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ; - установление порядка доступа к персональным данным. Кроме того, оператор и (или) собственник обязан назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Аналогичная должность «Data Protection Officer» (DPO) была введена в 2018 году в Европе.
Взаимодействие с государственными органами. Ответственность за нарушение законодательства о защите персональных данных Юридические лица обязаны оповещать Министерство цифрового развития, инноваций и аэрокосмической промышленности об инцидентах в информационной безопасности, связанных с незаконным доступом к персональным данным. Юридические лица обязаны предоставлять доступ Государственной технической службе (Акционерное общество, созданное по решению Правительства Республики Казахстан) к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах. За нарушение законодательства Республики Казахстан «О персональных данных и их защите» влечет за собой как административную, так и уголовную ответственность, в соответствии с законодательством Республики Казахстан. В соответствии со ст. 79 КоАП РК, закреплены следующие нарушения закона о защите персональных данных (в случае, если у деяния отсутствуют признаки преступления): · незаконный сбор и (или) обработка персональных данных, совершенных собственником, оператором или третьим лицом с использованием его / ее служебного положения; · несоблюдение собственником, оператором или третьей стороной мер по защите личных данных; может повлечь за собой штрафные санкции в размере от 20 до 1000 МРП в зависимости от категории субъекта предпринимательства и квалифицирующих признаков состава административного правонарушения. Статья 147 Уголовного кодекса предусматривает уголовную ответственность за нарушение закона о защите данных, если такое деяние нанесло существенный ущерб правам и законным интересам физических лиц. Таким образом, на лицо, которое должно принять меры для защиты персональных данных, может быть наложен штраф или он может быть направлен на исправительные работы, ограничение свободы, лишение свободы сроком до 3 лет.
Доступ к документам и консультации
от ведущих специалистов |