О персональных данных и их защите (Эльвира Хайруллина, Старший юрист Международная юридическая фирма Integrites, Казахстан)

Поставить закладку
Посмотреть закладки
Добавить комментарий

13.10.2014

О персональных данных и их защите

Эльвира Хайруллина

Старший юрист

Международная юридическая фирма Integrites,

Казахстан

Почти год назад вступил в силу Закон Республики Казахстан «О персональных данных и их защите». Законом регулируются отношения, связанные со сбором (т.е. получением), обработкой (то есть накоплением, использованием, хранением, изменением, дополнением, распространением, обезличиванием, блокированием и уничтожением персональных данных) и защитой персональных данных. При этом действие закона не распространяется на отношения, возникающие при сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан. Помимо указанного, закон не применим к отношениям, возникающим при:

· формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;

· сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан «О государственных секретах»; а также

· сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.

Ниже отмечу ключевые, на мой взгляд, положения закона.

· Закон разделяет персональные данные на две категории:

1. общедоступные персональные данные (биографические справочники, телефонные книги, адресные книги, информация в СМИ и т.д.); и

2. персональные данные ограниченного доступа (например, данные удостоверениия личности, индивидуальный идентификационный номер (ИИН), личные телефоны, адрес местожительства, национальность, место работы, условия трудового договора и т.д.);

· Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя. При этом в соответствии с законом указанное согласие не требуется в случаях:

-осуществления деятельности правоохранительных органов и судов, исполнительного производства;

-осуществления государственной статистической деятельности;

-использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;

-реализации международных договоров, ратифицированных Республикой Казахстан;

-защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;

-осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

-опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

-неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;

-получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;

-в иных случаях, установленных законами Республики Казахстан.

· Использование персональных данных может осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

· Распространение персональных данных согласно закону допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц. Однако в отношении персональных данных ограниченного доступа закон обязывает собственников и (или) операторов, а также третьих лиц, которые получают доступ к ним, обеспечить их конфиденциальность путем предотвращения распространения указанных данных без согласия субъекта или его законного представителя либо наличия иного законного основания.

· При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны их обезличить (закон трактует «обезличивание» как действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно).

· Срок хранения персональных данных определяется датой достижения целей их сбора и обработки. По истечении срока хранения персональные данные подлежат уничтожению. Другие случаи, в которых персональные данные должны быть уничтожены в обязательном порядке, включают прекращение правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом; вступление в законную силу решения суда; а также иные случаи, установленные законом.

· Закон предусматривает государственное регулирование в сфере персональных данных и их защиты. Так, закон, среди прочего, определяет, что органы прокуратуры от имени государства осуществляют высший надзор за точным и единообразным применением Закона РК «О защите персональных данных» и иных нормативных правовых актов Республики Казахстан в сфере персональных данных и их защиты.

· В соответствии с законом защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

-реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

-обеспечения их целостности и сохранности;

-соблюдения их конфиденциальности;

-реализации права на доступ к ним; а также

-предотвращения незаконного их сбора и обработки.

За несоблюдение положений, установленных законом, предусмотрена административная и уголовная ответственность. Так, административная ответственность установлена за следующие деяния: (i) незаконный сбор и обработка персональных данных; (ii) незаконный сбор и обработка персональных данных собственником, оператором базы данных или третьим лицом с использованием своего служебного положения; и (iii) несоблюдение собственником, оператором или третьим лицом мер по защите персональной данных. Максимальный административный штраф предусмотрен за деяние, указанное в пункте (iii) выше. Он установлен для лиц, являющихся субъектами крупного предпринимательства, и составляет 300 месячных расчетных показателей. Максимальная уголовная ответственность за нарушение неприкосновенности частной жизни и законодательства о персональных данных и их защите - лишение свободы сроком до 5 лет с конфискацией имущества.