Ответственность за нарушение законодательства о персональных данных в Казахстане: сравнительный анализ с Россией и GDPR (Танжарыкова Айгерим, Юрист ТОО СП «Кока-Кола Алматы Боттлерс», Магистрант «Алматы Менеджмент Университет»)

Ответственность за нарушение законодательства о персональных данных в Казахстане: сравнительный анализ с Россией и GDPR

Танжарыкова Айгерим

Юрист ТОО СП «Кока-Кола Алматы Боттлерс»

Магистрант «Алматы Менеджмент Университет»

Алматы 03.12.2024 год

I. Введение

С развитием цифровых технологий защита персональных данных становится одним из ключевых вызовов современной юридической практики. Глобальная цифровизация порождает множество новых форм взаимодействия между государством, бизнесом и гражданами, но также создает риски утечки, несанкционированного использования и злоупотребления личной информацией. В современных реалиях защита персональных данных является одним из ключевых аспектов права на неприкосновенность частной жизни.

Казахстан, будучи государством с активно развивающейся цифровой инфраструктурой, уделяет значительное внимание вопросам защиты данных. Программы цифровизации, такие как «Цифровой Казахстан», способствуют ускоренному внедрению информационных технологий во всех сферах жизни, от электронного правительства до коммерческих сервисов. Однако, наряду с ростом объема обрабатываемой информации, увеличиваются и риски, связанные с ее защитой.

По данным Finprom.kz, в 2024 году количество административных правонарушений в данной сфере увеличилось на 76%, а уголовных — на 20%. Административные дела за первые семь месяцев года выросли почти в три раза по сравнению с аналогичным периодом 2023 года, что указывает на острую необходимость совершенствования системы защиты данных ^[1]

Эти цифры свидетельствуют о том, что текущая правовая база Казахстана в области защиты персональных данных нуждается в модернизации для обеспечения более жесткой ответственности за нарушения. В статье будет проведен анализ казахстанского законодательства с акцентом на вопросы ответственности и правоприменения. Особое внимание будет уделено сравнительному анализу с российским законодательством и GDPR Европейского Союза, что позволит выявить ключевые недостатки и предложить пути их устранения на основе передового международного опыта.

Такой подход позволит выявить недостатки казахстанской системы и предложить рекомендации по ее совершенствованию, опираясь на лучший международный опыт.

II. Ответственность собственника, оператора баз персональных данных.

1. Административная ответственность.

Основным нормативным правовым актом, регулирующим защиту персональных данных в Казахстане, является Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года (далее - «Закон о персональных данных»). Данный закон определяет принципы обработки данных, права субъектов персональных данных, а также обязанности собственников и операторов баз и третьих лиц. Несмотря на наличие казалось бы четких формулировок, реализация положений Закона о персональных данных на практике сталкивается с множеством препятствий и недостатков, включая недостаточно эффективные механизмы привлечения к ответственности за нарушение законодательства Республики Казахстан.

В Казахстане ответственность за нарушение законодательства о персональных данных возложена на широкий круг лиц, включая собственников^[1] и операторов^[2] баз персональных данных. В отношении нарушителей применяется административная либо уголовная ответственность. Основное различие между данными видами ответственности заключается в тяжести нарушения и видах санкций возлагаемых государством.

Для наглядности рассмотрим ответственность собственников и операторов баз персональных данных в соответствии с статьей 79 Кодекса Республики Казахстан об административных правонарушениях от 5 июля 2014 года (далее — «КоАП РК»). Согласно этой статье, за нарушения Закона о персональных данных, не содержащие признаков преступления, предусмотрены следующие санкции:

- незаконный сбор и (или) обработка персональных данных, совершенных собственником, оператором или третьим лицом с использованием его / ее служебного положения;

- несоблюдение собственником, оператором или третьей стороной мер по защите личных данных;

может повлечь за собой штраф на физическое / юридическое лицо в размере от 184 600 тенге до 738 400 тенге в зависимости от тяжести деяния.

Причем, в соответствии с позицией Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в качестве собственников и операторов баз персональных данных могут выступать также филиалы и представительства иностранных юридических лиц, зарегистрированных в Казахстане ^[2], соответственно к ним также применяются санкции за нарушение законодательства о защите персональных данных.

Если сравнивать с законодательством Российской Федерации (далее - «РФ»), штрафы, налагаемые на операторов, являющихся юридическими лицами, за нарушение требований о защите персональных данных в соответствии со статьей 13.11 Кодекса РФ об административных правонарушениях от 30 декабря 2001 года (КоАП РФ), варьируются от 300 000 рублей (1 485 000 тенге) до 700 000 рублей (3 465 000 тенге) в случаях отсутствия письменного согласия на обработку персональных данных. Эти суммы значительно выше, чем суммы штрафов предусмотренных в Казахстанском КОАП РК и могут достигать нескольких миллионов тенге, что подчеркивает серьезность санкций.

Кроме того, российское законодательство детализирует виды правонарушений, устанавливая более широкую классификацию действий, за которые предусмотрены соответствующие санкции, что позволяет точнее регулировать степень ответственности, а также значительно повышает уровень ответственности юридических лиц.

Такой подход демонстрирует стремление к усилению защиты прав субъектов персональных данных и созданию эффективных механизмов контроля. Это стимулирует компании строго соблюдать требования законодательства, снижая риск нарушений и обеспечивая более высокий уровень правовой защищенности граждан.

Если сравнивать с Европейским Союзом (GDPR), то регламент о защите персональных данных (General Data Protection Regulation, GDPR) устанавливает значительно более жесткие санкции за нарушение правил обработки данных. Согласно статье 83 GDPR, штрафы могут достигать 20 миллионов евро или 4% от годового мирового оборота компании, в зависимости от того, какая сумма больше. Например, за такие нарушения, как отсутствие надлежащего согласия на обработку данных или утечка персональных данных, крупные компании могут столкнуться с многомиллионными штрафами. Кроме того, GDPR предусматривает двухуровневую систему штрафов:

За менее серьезные нарушения, такие как неправильное ведение документации или отсутствие уведомлений о политике конфиденциальности, штрафы могут достигать 10 миллионов евро или 2% от годового оборота компании.

За более серьезные нарушения, например, обработку данных без согласия, штрафы составляют до 20 миллионов евро или 4% от годового оборота.

Сравнительный анализ показывает, что размеры штрафов в Казахстане значительно уступают штрафам в России и ЕС. В то время как в России максимальные штрафы для юридических лиц могут достигать несколько миллионов рублей, а в ЕС - десятков миллионов евро, казахстанское законодательство устанавливает значительно более низкие санкции. Это создает риск недостаточной мотивации для субъектов предпринимательства соблюдать нормы защиты персональных данных.

Для повышения эффективности защиты персональных данных в Казахстане целесообразно пересмотреть размеры административных штрафов, сделав их соразмерными потенциальному ущербу и международной практике. Усиление санкций будет способствовать повышению ответственности операторов данных и укреплению доверия граждан к системе защиты их персональной информации.

2. Уголовная ответственность.

Что касается уголовного наказания, то в соответствии со статьей 147 Уголовного кодекса Республики Казахстан от 03 июля 2014 г. (далее - «УК РК») предусмотрены наказания за нарушение неприкосновенности частной жизни и законодательства о персональных данных. Уголовная ответственность за эти правонарушения затрагивает несколько аспектов, включая нарушение мер защиты персональных данных, незаконное собирание или распространение информации о частной жизни, а также незаконный доступ к электронным информационным системам и передаваемой информации.

За нарушение мер защиты данных — установлены наказания, включая штрафы и лишение свободы до 2 лет. Однако важно отметить, что ответственность наступает только в случае, если это деяние нанесло существенный вред правам и законным интересам лиц.

Существенный вред включает в себя такие последствия, как нарушение конституционных прав, причинение значительного ущерба или возникновение трудной жизненной ситуации у потерпевшего. Это определение существенно влияет на правоприменение, так как доказать «существенный вред» может быть непросто, особенно в случаях, когда утечка данных не приводит к явным или измеримым последствиям для пострадавшего.

Незаконное собирание и распространение данных — действия, связанные с незаконным сбором и распространением персональных данных, могут быть наказаны лишением свободы на срок от 3 до 6 лет, а в случае особых обстоятельств (например, месть за служебную деятельность) наказание может быть увеличено до 7 лет. Важно, что законодательство учитывает роль публичных выступлений и массовых медиа в распространении данных, что имеет особую актуальность в эпоху цифровых технологий и социальных сетей.

В российском законодательстве предусмотрена уголовная ответственность за нарушение законодательства о персональных данных по статьям 137 и 138 Уголовного Кодекса РФ от 13 июня 1996 года, что аналогично казахстанскому законодательству, однако санкции могут варьироваться в зависимости от тяжести нарушения. В России также акцентируется внимание на защите данных в контексте использования служебного положения и нарушения конфиденциальности. Размеры штрафов и сроки лишения свободы могут быть выше, чем в Казахстане, что позволяет более строго контролировать соблюдение норм.

Общий регламент защиты данных Европейского Союза (GDPR) имеет более строгие требования, чем в Казахстане, и регулирует все аспекты защиты персональных данных, включая санкции. В GDPR предусмотрены упомянутые в статье штрафы до 20 миллионов евро или 4% от годового оборота компании, что значительно превышает санкции, установленные в Казахстане. Однако, в отличие от Казахстана, в ЕС фокус более на корпоративной ответственности за обработку данных и на обязательном уведомлении о нарушениях. Существенный вред в контексте GDPR чаще всего связан с возможными последствиями для субъекта данных, такими как утрата контроля над персональными данными или риски для прав и свобод граждан.

III. Заключение.

Для обеспечения эффективной защиты персональных данных в Казахстане необходимо комплексное реформирование законодательства и правоприменительной практики. Сравнительный анализ показывает, что действующая система защиты данных в стране нуждается в совершенствовании, особенно в части определения «существенного вреда» и ужесточения санкций за нарушения. Введение четких критериев оценки ущерба и повышение административных штрафов позволит усилить ответственность собственников и операторов баз данных и повысить уровень защиты прав граждан.

Международные стандарты, такие как GDPR, и опыт России могут служить ориентиром для этих реформ. Как отмечает Президент Казахстана господин Касым-Жомарт Токаев в своем Послании народу Казахстана, политика страны должна быть направлена на создание «Слышащего государства», для улучшения цифровой безопасности и защиты интересов граждан в условиях цифровизации. Эти меры не только устранят существующие пробелы, но и создадут современную и эффективную систему защиты персональных данных, соответствующую международным стандартам.

Источники:

1. Число киберпреступлений выросло в Казахстане https://www.inform.kz/ru/na-76-chashe-stala-narushatsya-zashita-personalnih-dannih-v-kazahstane-848a03;

2. Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797552 https://online.zakon.kz/Document/?doc_id=35736793;

3. Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите»;

4. Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года № 235-V;

5. Кодекс Российской Федерации об административных правонарушениях от 30 декабря 2001 года № 195-ФЗ;

6. Уголовный кодекс Республики Казахстан от 3 июля 2014 года № 226-V;

7. Уголовный кодекс Российской Федерации от 13 июня 1996 года № 63-ФЗ;

8. Порядка 300 жалоб по фактам нарушения прав на защиту персональных данных поступило в МЦРИАП https://ortcom.kz/en/novosti/1728987256;

9. Отчет за 2023 год о реализации Концепции цифровой трансформации, развития отрасли информационно-коммуникационных технологий и кибербезопасности на 2023 - 2029 годы https://www.gov.kz/memleket/entities/mdai/documents/details/645631?lang=ru;

10. Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (Text with EEA relevance) https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679;

11. GDPR https://gdpr.eu/?cn-reloaded=1

12. Послание Главы государства Касым-Жомарта Токаева народу Казахстана от 01 сентября 2020 г. https://www.akorda.kz/ru/addresses/addresses_of_president/poslanie-glavy-gosudarstva-kasym-zhomarta-tokaeva-narodu-kazahstana-1-sentyabrya-2020-g

^[1] В соответствии ч.9 ст.1. Закона о персональных данных: собственник базы - государственный орган, физическое и/или юридическое лицо, владеющее, пользующее и распоряжающееся базой содержащей персональные данные.

^[2] В соответствии ч.10 ст.1. Закона о персональных данных: оператор базы - государственный орган, физическое и/или юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.