|
|
|
О некоторых проблемах законодательства Республики Казахстан о персональных данных и их защите Турысбекулы Мади
Предисловие. В настоящей публикации я постарался затронуть только часть проблем, имеющих место в законодательстве Республики Казахстан в области персональных данных и их защиты. Среди тем, не вошедших в данную публикацию, но, немаловажных для меня, значатся – трансграничная передача, содержание (наполнение) согласия на сбор и обработку персональных данных, биометрические данные, а также иное. К сожалению, отразить все проблемы в рамках одной публикации видится проблематичным ввиду объемности материала, а также нежеланием утруждать читателей, не готовых к подробному анализу, но, проявляющих интерес к данной тематике. В связи с чем я приношу свои извинения за возможную сумбурность и отсутствие структурированности, в которых изложена настоящая публикация. Массовое развитие информационных технологий, а также цифровая трансформация, значительно упрощают и улучшают не только рабочие процессы, но, также затрагивают наши досуг и область развлечений. Современный человек практически с рождения сталкивается с Интернетом вещей (Internet of things, IoT): к интернету подключены наши бытовые приборы, оргтехника, а также более сложные оборудования и техника. Тенденция, направленная на вовлечение все большего числа людей и их «вещей» в это цифровое «зазеркалье», будет продолжаться. Следующим этапом такой трансформации станет возможность обмена информацией «Интернет вещей». Не менее впечатляющим выглядит развитие таких технологий, как дополненная реальность (augmented reality), виртуальная реальность (virtual reality), машинное обучение (machine learning) и искусственный интеллект (artificial intelligence). Несомненно, все эти цифровые технологии важны и необходимы. Но они же требуют особого подхода, а также нуждаются, в первую очередь, в государственном регулировании и участии: путем разработки и принятия новых, а также доработки действующих нормативных правовых актов, распределения функций и задач между уполномоченными органами, определением, выявлением потенциальных угроз и рисков (как внешних, так и внутренних), в том числе, в целях обеспечения национальной безопасности и противодействия терроризму. Отсутствие должной законодательной базы либо ее слабость, неспособность отвечать новым вызовам и реалиям, влечет за собой не только риски для государства, но, и повышает вероятность нарушения прав человека, а также создает благоприятную почву для черного рынка данных. Это особо актуально в свете защиты данных о гражданах – пользователях[1], оборот которых происходит в цифровом пространстве. Наиболее ценные данные о пользователях зачастую относятся к персональным и в руках злоумышленников становятся инструментом, при помощи которого пользователям причиняют материальный ущерб, лишая их имущества и денег. Следует помнить и о том, что законопослушные участники цифрового рынка, являющиеся владельцами баз данных, получают свою долю выгод с оборота данных о пользователях, приобретая или продавая информацию практически о каждом из нас. При том, что часть таких выгод изначально могла быть неизвестна лицам, собирающим данные о пользователях. Либо предполагалась, но, итоговая выгода не соответствует изначальным целям, которые были ранее доведены до сведения пользователей. Как следствие, мы рискуем получить цифровой рынок, в котором тот, кто владеет большим объемом данных о пользователях, может диктовать свои условия и правила, если государство не возьмет инициативу в свои руки и не станет регулятором, т.е. тем лицом, которое контролирует порядок, следит за работой всех участников и пресекает любые попытки злоупотреблений и нарушений с любой стороны. Чтобы было проще понять, чем это может обернуться, в качестве примера приведу фильм «100 вещей и ничего лишнего». В начале фильма зрителю показана идеальная «дружба» между искусственным интеллектом и Паулем – одним из главных героев. Однако немного позднее, зритель понимает, что «друг» собирал о Пауле все сведения о его привычках, предпочтениях и образе жизни, впоследствии вынуждая совершать его бесконтрольные покупки. С момента принятия Закона Республики Казахстан «О персональных данных и их защите» (далее – Закон) в 2013 году в сфере персональных данных и их оборота произошли существенные изменения, которые, к сожалению, не нашли своего отражения в действующей редакции Закона. Конечно, это не означает, что нужно вводить строгие ограничения и запреты в данной сфере. Это не сработает на 100%, поскольку большую часть информации о субъектах данных предоставляют сами пользователи, когда приобретают, используют те или иные товары, работы или услуги: будь то подключение к сети оператора услуг мобильной связи или банковских услуг, или же обращение в медицинские учреждения, либо органы власти. Т.е. владельцы баз данных собирают и обрабатывают информацию, зачастую, на законных основаниях. Нарушение прав субъектов данных, как правило, происходит в ситуациях, когда данные обрабатываются в целях, на которые согласие субъекта данных не было получено, или обработка происходит в отношении данных, которые фактически являются персональными, но согласно Закону, таковыми не являются из-за его несовершенства, а также когда владельцы баз данных осуществляют сбор и обработку избыточных данных о субъекте данных. Исходя из чего, полагаю, что необходимо запретить несанкционированные сбор и обработку данных о пользователях, а также внести ясность в отношении тех данных, которые должны быть отнесены к персональным и, соответственно, подлежать защите. В частности, раскрывая содержание термина «персональные данные» (сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе), ни Закон, ни Правила сбора и обработки персональных данных[2] (далее – Правила) не указывают, что такие сведения могут относиться к субъекту персональных данных не только прямо (ФИО, ИИН и т.п.), но и косвенно (возраст, должность, место работы, место рождения и т.п.)[3]. К числу таких сведений можно отнести любые сведения, которые прямо не указывают на их принадлежность к конкретному субъекту, но в сочетании с другими сведениями о субъекте, позволяют его идентифицировать, с учетом существующих технологий, разумных временных затрат и финансов. К примеру, информация о том, что возраст определяемого субъекта составляет 50 лет, не позволяет нам идентифицировать человека. Однако, если к этой информации прибавить сведения о его должности, месте работы и месте рождения, то такие сведения уже могут быть признаны персональными данными, при условии, что такой набор данных позволяет идентифицировать одного человека, а не нескольких. Аналогичным образом можно говорить и о файлах cookies («куки»). Общеизвестно, что файлы cookies – это небольшие фрагменты данных, хранящиеся на компьютерах и устройствах (мобильные телефоны, планшеты и т.п.), передаваемые в браузер с сайта, который открывает пользователь. К числу таких данных относятся: - технические параметры (масштаб, шрифт, языки, валюта); - предпочтения о товарах (данные о просмотренной рекламе, приобретенных товарах, услугах); - данные личного характера (включая местоположение, IP-адрес устройства); - комментарии и реакции («лайки»); - тип операционной системы. Сами файлы cookies не относятся к персональным данным поскольку не позволяют идентифицировать субъекта. Также невозможно идентифицировать человека за одно посещение конкретного веб-ресурса. Однако, существующие технологии позволяют с помощью cookies производить, для начала, идентификацию используемого устройства (компьютер, мобильный телефон, планшет или иное), и в последующем, в совокупности с информацией, получаемой на протяжении определенного периода времени, когда пользователь заходит на веб-ресурсы ежедневно в течение, к примеру, месяца, составить профиль привычек владельца устройства. А при наличии иных данных о пользователе (имя, возраст и т.п.) заинтересованное лицо может идентифицировать субъекта. Еще одной проблемой является отсутствие в Законе и Правилах такой категории данных, как генетические. Да, в Законе Республики Казахстан «О дактилоскопической и геномной регистрации», а также Правилах проведения дактилоскопической и геномной регистрации, дается определение терминам «геномная информация»[4] и «генетический профиль»[5]. В то же время, следует учитывать, что указанные нормативные правовые акты регулируют отношения, связанные с деятельностью уполномоченных государственных органов. То есть, в роли собственника или оператора базы данных выступают только уполномоченные государственные органы, что исключает возможность применения положений названных нормативных правовых актов, в отношении негосударственных юридических и физических лиц, осуществляющих сбор и обработку генетических данных. О необходимости правового регулирования сбора и обработки генетических данных в рамках Закона говорят некоторые факты, акцент на которых делает Рабочая группа по защите персональных данных: - генетические данные содержат информацию личного характера (включая, состояние здоровья, этническое происхождение), актуальную на протяжении всей жизни человека, и представляют особую ценность с точки зрения науки и медицины; - генетические данные могут раскрывать информацию и оказывать значительное влияние не только на самого субъекта, но, и на членов его семьи, причем на протяжении нескольких поколений, а в некоторых случаях, на всю группу кровных родственников (так называемая «биологическая группа» в число которых входят не только члены семьи, но, и другие лица, например, доноры репродуктивных клеток или суррогатная мать), к которой принадлежит идентифицируемый субъект; - генетический материал, как данные о субъекте, может быть получен тайно, без ведома самого субъекта, т.е. без его согласия и в последующем использоваться в том числе для проведения тестов на отцовство/материнство или иных родственных связей; - обработка генетических данных в сфере страхования может привести к тому, что потенциальный или действительный страхователь, а также члены его семьи, могут подвергнуться дискриминации на основании их генетического профиля. В некоторых случаях страхователь или члены его семьи, на основании результатов генетического теста, могут быть вынуждены заплатить необоснованно высокие суммы страховых премий либо им может быть отказано в страховании, даже если они никогда не заболеют болезнью, предрасположенность к которой была выявлена на основании генетического теста[6]. Следующая проблема связана с обработкой, точнее, с той трактовкой, которую дает Закон термину «обработка персональных данных». Согласно подпункту 12 статьи 1 Закона под обработкой персональных данных понимается ограниченный перечень действий. При этом следует понимать, что это не полный перечень процессов и действий, какие можно совершать в отношении персональных данных. В их число входят: запись, организация, структурирование, адаптация, загрузка, просмотр, доступ, а также другое. Фактически, часть процессов и действий, совершаемых собственниками и операторами баз данных в отношении персональных данных, выведены из зоны действия Закона, что, несомненно, вызывает определенные вопросы, поскольку совершение обработки в любой форме должно быть обосновано наличием соответствующего согласия субъекта. Разумным было бы не ограничиваться перечислением определенного числа действий, а указать, что перечисленные действия, не являются исчерпывающими и могут включать любые иные операции в отношении персональных данных. В этом смысле удачное решение, на мой взгляд, было найдено в Европейском союзе, что нашло отражение в тексте GDPR, в котором к обработке отнесены любые действия (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение[7]. И еще одна проблема, которую хотелось бы затронуть в настоящей публикации, касается немного неудачного, по моему мнению, термина «собственник базы, содержащей персональные данные» (далее – Собственник). В соответствии с подпунктом 9 статьи 1 Закона, Собственником признается государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. В самом термине Собственник нет ничего неудачного, но, в то же время, термин не охватывает круг лиц, которые определяют цели и средства обработки персональных данных. При том что база, содержащая персональные данные, может принадлежать таким лицам не на праве собственности, а на ином законом основании, включая право хозяйственного ведения и оперативного управления[8]. Или же базы, находящиеся на суббалансе филиалов и представительств иностранных компаний или международных организаций. Здесь следует отметить, что действующая редакция Закона не имеет принципа экстерриториальности при осуществлении сбора и обработки персональных данных, за исключением трансграничной передачи. Как следствие, иностранные юридические лица и международные организации, имеющие свои филиалы и представительства на территории Казахстана, и по сути, являющиеся фактическими собственниками баз, содержащих персональные данные, не подпадают под термин «Собственник». Что в свою очередь, снимает с них всякую ответственность за возможные нарушения положений Закона, при осуществлении сбора и обработки персональных данных граждан и иных лиц, находящихся на территории Казахстана. Принцип экстерриториальности интегрирован в законодательство не только стран-участниц ЕС, в рамках GDPR, но, также в таких странах, как Турция, Япония, КНР. Очевидно, что здесь важным является не то обстоятельство, на основании которого лицо реализует свои права в отношении базы, содержащей персональные данные, а то обстоятельство, что такое лицо может единолично или совместно с другим лицом/другими лицами определять цели, ради которых осуществляется сбор и обработка персональных данных, а также средства, с помощью которых осуществляется такой сбор и обработка. И вновь, можно обратиться к опыту европейских законодателей, которые в GDPR термину «Контролер» (аналог казахстанскому «Собственник») дали следующее определение: «…любое физическое или юридическое лицо, государственный орган, учреждение или другой орган, который самостоятельно или совместно с другими определяет цели и средства обработки персональных данных»[9]. О корректности («удачности») данного определения говорит один из примеров, приведенных Британским надзорным органом: «организация использует облачный сервис для хранения и анализа персональных данных. В данном случае организация является контролером, а поставщик облачных услуг является ее процессором»[10] (аналог казахстанскому «оператор базы данных»). Как видим, казахстанское законодательство в области персональных данных и их защиты требует усовершенствования и доработки. Такой шаг позволит обеспечить максимальную защиту прав субъектов персональных данных и гарантирует государству, а также иным участникам данного рынка, оптимальные, четкие и ясные правила игры, отражающие законные интересы каждого. Это тем более важно в свете того обстоятельства, что между Казахстаном и ЕС было подписано Соглашение о расширенном партнерстве и сотрудничестве, в статье 237 которого сказано, что «Стороны сотрудничают для обеспечения высокого уровня защиты персональных данных посредством обмена передовым опытом и практикой, принимая во внимание европейские и международные правовые документы и стандарты. Это может включать, где целесообразно и при соблюдении применяемых процедур, присоединение Республики Казахстан к Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и Дополнительному протоколу к ней и ее выполнение Республикой Казахстан»[11].
[1] В настоящей публикации термины «пользователь» и «субъект данных» применяются в отношении одних и тех же лиц. [2] Утверждены Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ. [3] Такой подход применяется в Общем регламенте по защите данных (General Data Protection Regulation, GDPR) на территории ЕС, а также в Законе РФ «О персональных данных». [4] В соответствии с подпунктом 3) статьи 1 Закона РК «О дактилоскопической и геномной регистрации», к геномной информацией относится «кодированная информация об определенных фрагментах дезоксирибонуклеиновой кислоты человека или неопознанного трупа, позволяющая установить его личность, и персональные данные (при наличии) в соответствии с требованиями настоящего Закона». [5] Подпункт 2) пункта 2 Правил проведения дактилоскопической и геномной регистрации определяет геномный профиль, как кодированную информацию «об определенных фрагментах ДНК человека или неопознанного трупа, позволяющая установить его личность. [6] (EN) Article 29 Working Party, Working Document on Genetic Data, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2004/wp91_en.pdf [7] Статья 4 (2) GDPR, https://gdpr-text.com/ru/ [8] Как указывал О. Иоффе в своей рецензии на статью Ю. Басина «К вопросу о понятии права собственности»: «…Обладатель права хозяйственного ведения тоже хозяин, но, не собственник. То же самое можно сказать о понятии права оперативного управления, которого собственником не назовешь, хотя он и есть хозяин…». https://online.zakon.kz/Document/?doc_id=31455581&mode=p&page=20 [9] Статья 4 (7) GDPR, https://gdpr-text.com/ru/ [10] https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/contracts-and-liabilities-between-controllers-and-processors-multi/when-is-a-contract-needed-and-why-is-it-important/#4 [11] Соглашение о расширенном партнерстве и сотрудничестве между Европейским Союзом и его государствами-членами, с одной стороны, и Республикой Казахстан, с другой стороны (Астана, 21 декабря 2015 года) https://online.zakon.kz/Document/?doc_id=37496546&pos=2;-106#pos=2;-106
Доступ к документам и консультации
от ведущих специалистов |