|
|
|
Защита персональных данных в Республике Казахстан. Их действие на территории РК и за ее пределами
Белозерова Екатерина, юрист юридической фирмы ETERNA LAW
21 мая 2013 года в Казахстане был принят Закон «О персональных данных и их защите». С тех пор вокруг него не утихают споры и разногласия касательно сфер и областей его применения, определения самих персональных данных и что под этим понимают государственные структуры, субъекты рынка и сами граждане. В силу широкого применения и использования на сегодняшний день электронных и иных информационных систем (от платежных до систем учета государственных органов), использующих (запрашивающих) в целях персонализации (идентификации) личные данные физического лица - пользователя той или иной системой, остро возникает вопрос защиты персональных данных.
Международная защита персональных данных
Стоит отметить, что на международном уровне этот вопрос регулируется рядом Конвенций и международных соглашений. Одним из основных документов, регламентирующих данную сферу международных отношений является 108-я Конвенция Совета Европы - «о защите физических лиц при автоматизированной обработке персональных данных» принятая в Страсбурге, 28 января 1981 года, к которой были приняты дополнения от 15 июня 1999 г. Данную Конвенцию подписало 63, а ратифицировало 47 Стран. Кроме того, в рамках СНГ был разработан Модельный закон «О персональных данных» (принят на четырнадцатом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, постановлением от 16 октября 1999 года № 14-19), в основу которого положен европейский опыт в области защиты персональных данных.
Понятие Персональных данных
В соответствии с подпунктом 2 статьи 1 ЗРК «О персональных данных и их защите», персональные данные - это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Субъектом персональных данных, с точки зрения Закона (пп.16 п.1 ст.1), является физическое лицо, к которому относятся персональные данные. Таким образом, - перечень сведений, которые признаются персональными данными, Законом четко не регламентирован. На практике, под персональными данными понимаются такие сведения как: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа удостоверяющего личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее, - т.е., теоретически это могут быть любые сведения о человеке. Любая передача/сбор и обработка любых персональных данных (даже просто ФИО) в соответствии с Законом должна и может производиться только с согласия субъекта. Главный принцип Закона заключается в том, что для сбора и обработки любых персональных данных (на бумажных или иных, - в том числе электронных носителях) требуется согласие субъекта персональных данных или его законного представителя. Такое согласие может выражаться в письменной форме, или в форме какого-либо действия (например нажатие определенной кнопки подтверждает согласие на запись разговора). Кроме того, собранные персональные данные могут быть использованы только для тех целей, для которых они собирались (в соответствии с основным видом деятельности оператора, к примеру). В отношении некоторых персональных данных (имеющих ограниченный доступ) распространяется режим конфиденциальности. Во избежание нарушений законодательства в области защиты персональных данных, установлена ответственность (более подробно о которой говорится в конце настоящей статьи).
Передача и использование биометрических данных
Кроме вышеуказанного, ст.1 Закона, предусмотрено понятие «биометрические данные» - это персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность. Поскольку закон не дает более глубокого и детализированного понятия биометрических данных, можно полагать, что к таким данным (помимо отпечатков пальцев) могут относиться любые материалы, содержащие идентифицирующие данные о конкретном человеке (в том числе частицы его ДНК), такие как: кровь, частицы кожи, любые иные жидкости, продукты жизнедеятельности и материалы, используемые, например для проведения анализов. Согласно п.3 ст.11 Закона, Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан. Из ранее приведенной (выше) нормы Кодекса «О здоровье народа», на наш взгляд, следует что конфиденциальность таких биометрических также находится под защитой законодательства. Следовательно, для такой передачи данных также потребуется Согласие субъектов информации, но со следующей формулировкой: «на трансграничную передачу биометрических персональных данных». Таким образом, сбор и обработка персональных данных в Республике Казахстан регламентируется как нормами международных соглашений, которые Казахстан ратифицировал, так и нормами внутреннего законодательства, такими как специализированный Закон «О персональных данных и их защите», и иные нормативно правовые акты. Как видно из вышеизложенных норм, законодатель четко регламентирует порядок сбора персональных данных (получается, что в отсутствие согласия человека у него нельзя получить и тем более использовать его идентификационные данные, - такой сбор и использование будут являться незаконными), а также строго ограничивает их использование целями их сбора. Кроме того, порядок сбора и обработки информации электронным способом регламентируется, помимо указанного, специализированным Законом «Об информатизации». Также в нормативно - правовые акты регламентирующие различные виды деятельности, внесены соответствующие дополнения касательно порядка сбора и обработки персональных данных и их защиты, в ходе их использования в тех или иных видах деятельности. В случае нарушения норм действующего законодательства о защите персональных данных, законом предусмотрены различные виды ответственности для юридических и физических лиц: гражданская (в виде компенсации всех причиненных убытков), административная (в виде штрафов) и уголовная (вплоть до заключения сроком до семи лет).
Доступ к документам и консультации
от ведущих специалистов |