Требование локального хранения персональных данных, установленное Законом Республики Казахстан «О персональных данных и их защите» (Айбек Камбалиев, Старший Юрист Unicase)

Требование локального хранения персональных данных, установленное Законом Республики Казахстан «О персональных данных и их защите»

Айбек Камбалиев

Старший Юрист Unicase

В современном мире коммерческие отношения сложны и всегда сопровождаются обменом данными между деловыми партнерами. Например, такие данные часто включают информацию о гражданине конкретного государства и требуют от юридических лиц соблюдения местного законодательства о защите данных.

Защита персональных данных является новеллой в законодательстве Казахстана и всегда представлялась проблемным аспектом для иностранных инвесторов и работодателей. Тем не менее, в свете недавних событий и широкого интереса к требованиям Закона о персональных данных и их защите № 94-V от 21 мая 2013 г. (далее - «Закон ») данный вопрос приобрел всемирное значение.

Необходимо отметить, что рентабельная структура бизнеса, а также гибкость, обусловленная быстрорастущими технологиями, приводят к новому формату отношений. На практике некоторые иностранные компании ведут бизнес в Казахстане без юридического присутствия, то есть без образования филиала/представительства или регистрации юридического лица (что в некоторых случаях не запрещено). В связи с этим, используя экологически приемлемые технологии хранения информации в виде облачного решения, такие иностранные компании сталкиваются с практическими проблемами применения требований Закона о персональных данных. В частности, требование о локальном хранении, установленное статьей 12 Закона.

Поэтому очень важно владеть информацией о том, несет ли ответственность иностранная компания, какая ответственность предусмотрена за нарушение закона и в каких случаях на практике применяется такая ответственность.

Несет ли иностранная компания ответственность

В соответствии с Законом, существуют следующие термины в отношении обработки персональных данных:

·         субъект персональных данных - физическое лицо, персональные данные которого обрабатываются.

·         собственник базы, содержащей персональные данные - это юридическое или физическое лицо, которое имеет право владеть, использовать и распоряжаться базами данных, где обрабатываются личные данные.

·         оператор базы, содержащей персональные данные - юридическое или физическое лицо, которое собирает, обрабатывает и защищает персональные данные.

·         третье лицо - лицо, которое занимается обработкой данных и не квалифицируется как собственник базы данных или оператор.

В зависимости от обстоятельств на практике компания может быть квалифицирована как собственник базы, содержащей персональные данные или третье лицо.

Как уже упоминалось ранее, одной из основных особенностей Закона является требование локального хранения. В соответствии со ст.12 Закона: собственник базы, содержащей персональные данные, оператор и третье лицо должны обеспечить хранение персональных данных в базе данных, расположенной на территории Казахстана.

Таким образом, формально, независимо от того, рассматривается ли компания как собственник базы, содержащей персональные данные, оператор или третье лицо, данное требование будет применяться. Необходимо отметить, что это требование не мешает компаниям обслуживать несколько баз данных / серверов (включая базы данных, находящиеся за пределами Казахстана). Однако, по крайней мере, одна из этих баз данных должна находиться в Казахстане.

Но что, если у компании нет филиала или представительства в Казахстане?

В соответствии с п.1 ст.48 Закона «О правовых актах»: Действие нормативных правовых актов Республики Казахстан распространяется на граждан и юридических лиц Республики Казахстан, а также находящихся на ее территории иностранцев и лиц без гражданства, юридических лиц иностранных государств, их филиалов и представительств, за исключением случаев, предусмотренных законодательными актами и международными договорами, ратифицированными Республикой Казахстан. Что касается Закона о персональных данных, то его применение не относится к компетенции данной статьи.

С одной стороны, компания, не зарегистрированная на территории Казахстана, то есть действующая в Казахстане без образования филиала/ представительства или без регистрации юридического лица считается нерезидентом. Следовательно, закон не будет применяться к таким организациям. С другой стороны, принимая во внимание консервативный подход государственных органов Казахстана к применению Закона о персональных данных, мы считаем, что Закон о персональных данных применяется к юридическим лицам - нерезидентам, если они обрабатывают персональные данные физических лиц-резидентов Казахстана в ходе своей коммерческой деятельности, ориентированной на казахстанский рынок.

Какая ответственность предусмотрена за нарушение закона

Нарушение законодательства Республики Казахстан «О персональных данных и их защите» влечет за собой как административную, так и уголовную ответственность, в соответствии с законодательством Республики Казахстан.

В соответствии со ст. 79 КоАП РК, закреплены следующие нарушения закона о защите персональных данных (в случае, если у деяния отсутствуют признаки преступления):

·         незаконный сбор и (или) обработка персональных данных, совершенных собственником, оператором или третьим лицом с использованием его / ее служебного положения;

·         несоблюдение собственником, оператором или третьей стороной мер по защите личных данных;

может повлечь за собой штраф на физическое / юридическое лицо в размере от 75 до 7000 долларов США в зависимости от тяжести деяния.

Статья 147 Уголовного кодекса предусматривает уголовную ответственность за нарушение закона о защите данных, если такое деяние нанесло существенный ущерб правам и законным интересам физических лиц. Таким образом, на лицо, которое должно принять меры для защиты персональных данных, может быть наложен штраф в размере до 21 000 долларов США или он может быть направлен на исправительные работы или тюремное заключение на срок до двух лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью сроком до трех лет.

Является ли ответственность обязательной

Принимая во внимание вышесказанное, мы считаем, что иностранная компания обязана соблюдать требования казахстанского законодательства о локальном хранении персональных данных, не взирая на свое местоположение. С теоретической точки зрения несоблюдение этого требования может привести к вышеуказанным последствиям. Однако на практике крайне сложно привлечь к ответственности иностранную компанию, которая является нерезидентом.