Для Казахстана, как для крупнейшего государства Центральной Азии, все дальше идущего по пути цифровизации и государства, и общества, более и более становятся актуальными вопросы сбора и защиты персональных данных граждан страны — причем как со стороны госорганов, так и со стороны интернет-компаний, собирающих и хранящих эти данные. При этом, защита цифровых прав пользователей соцсетей и онлайн-сервисов разного рода становится приоритетом первого порядка.
Чтобы достичь этой цели, недостаточно лишь изменять законы, регулирующие эту сферу (используя образцы, применяемые крупнейшими игроками в области сбора, хранения и использования личной информации — то есть Китаем, Россией и Европейским Союзом). Гораздо важнее повышать киберправовую грамотность и цифровую гигиену жителей Казахстана, объясняя и/или напоминая им о важности защиты персональных данных.
А сейчас — поговорим подробнее о том, как на законодательном уровне решаются вопросы персональных данных и их использования в Республике Казахстан. Начать следует с того, что страна не является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108. Тем не менее, подходы к регулированию рассматриваемой сферы вполне близки к принципам и положениям данного документа. Общая структура регулирования содержит минимально необходимый набор нормативных актов, включая основной закон о персональных данных и их защите и подзаконные акты в виде постановлений Правительства РК и приказов “профильного” Министерства цифрового развития, инноваций и аэрокосмической промышленности республики.
Этим “legal corpus” регулируются общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных безотносительно характера действий (как с использованием средств автоматизации, так и без таковых). Регулирование обработки и защиты персональных данных императивно вынесено за пределы действия закона в части отношений, касающихся:
● личных и семейных нужд;
● формирования, хранения и использования архивных документов;
● защиты государственных секретов; разведывательной, контрразведывательной, оперативно-розыскной деятельности;
● осуществления охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов.
Понятийный аппарат казахстанского закона о персональных данных, как отмечают эксперты, “является достаточно развитым и в целом соответствует положениям Конвенции от 28.01.1981 № 108”. Согласно закону от 21 мая 2013 года, персональные данные — это «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». Главной целью этого закона является «обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных» (ст. 2), при этом о хранении речи пока не идет.
Заметим, что указанное определение персональных данных вполне естественным образом порождает вопрос о юридическом статусе тех из них, которые сообщены устно или же с помощью средств голосовой связи.
Законодательство Казахстана опирается на базовый субинститут предоставления субъектом персональных данных своего явно выраженного согласия. При этом отсутствует указание на такие условия правомерности обработки персональных данных, как конклюдентные действия субъекта и на договорные отношения между субъектом и собственником (оператором). Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является правомерность обработки персональных данных в случае неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с действующими НПА.
Также в казахстанском законе о персональных данных де-факто отсутствует общий концепт оператора, роль которого выполняют «собственник базы, содержащей персональные данные» (лицо, реализующее в соответствии с законами право владения, пользования и распоряжения базой, содержащей персональные данные) и «оператор базы, содержащей персональные данные» (лицо, осуществляющее сбор, обработку и защиту персональных данных). Другой особенностью регулирования является отсутствие в определении собственника и оператора такого квалифицирующего признака как целеполагание обработки персональных данных. Тем самым, реализована схема из двух основных полномочий субъекта персональных данных – права на доступ к данным и права на обжалование действий или бездействия собственника (оператора).
В ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан «Об утверждении правил сбора, обработки персональных данных». Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных. Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем персональных данных, необходимом и достаточном для выполнения осуществляемых задач.
При этом перечень персональных данных определяется и утверждается в соответствии с правилами определения собственником или оператором перечня персональных данных. Сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем персональных данных, необходимом и достаточном для выполнения осуществляемых задач. При этом перечень персональных данных определяется и утверждается в соответствии с правилами определения собственником или оператором перечня персональных данных.
Отдельно говорится об обработке персональных данных в деятельности судов. Так, тексты судебных актов Верховного суда Казахстана, местных и других судов, за исключением текстов судебных актов, предусматривающих положения, которые содержат сведения, составляющие государственную или иную охраняемую законом тайну, а также судебные акты по делам, рассмотренным в закрытом судебном разбирательстве, размещаются на сервисах «Судебный кабинет», «Банк судебных актов» интернет-ресурса Верховного суда в полном объеме. Для обеспечения безопасности участников судебного процесса и защиты охраняемой законом тайны при сборе и использовании либо распространении третьими лицами судебных актов из них исключаются (обезличиваются) персональные данные. При этом третьи лица принимают на себя обязательства по обеспечению выполнения требований закона
Что касается вопросов безопасности персональных данных при их обработке, то следует отметить, что в действующем на сегодняшний день законодательстве Казахстана присутствует только лишь частичная регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.
Тем не менее, существуют отдельные императивные нормы о предотвращении несанкционированного доступа к персональным данным, о своевременном обнаружении фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить, и о минимизации неблагоприятных последствий несанкционированного доступа к персональным данным.
Трансграничная передача персональных данных определена как передача персональных данных на территорию иностранных государств безотносительно статуса получающей стороны. Иначе говоря, трансграничной будет признана передача персональных данных с территории Казахстана на территорию другого государства, даже в том случае, если такая передача производится внутри одной базы данных, собственником либо оператором которой является резидент РК. Особенностью является отсутствие субинститута получения предварительного разрешения уполномоченного органа для передачи персональных данных на территорию иностранного государства, если оно не обеспечивает удовлетворительный уровень защиты персональных данных. Кроме того, существует норма о «локализации» персональных данных, а именно: «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан».
30 декабря 2021 года Президентом РК Касым-Жомартом Токаевым был подписан Закон № 96-VII ЗРК, который вносит изменения в нынешнее законодательство о персональных данных. Поправки, среди прочего, закрепили обязанности собственника и оператора персональных данных:
● утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных,
● предоставлять по запросу уполномоченного органа по защите персональных данных в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и оператором требований законодательства о защите таких данных.
В настоящее время регулятор уделяет пристальное внимание нарушениям при обработке персональных данных в интернете. Неправильное оформление процессов обработки персональных данных может привести к нарушению казахстанского закона "О персональных данных и их защите" и европейского Регламента по защите данных, General Data Protection Regulation (в случае, если предприятие из Казахстана целенаправленно работает на рынок ЕС), и, как следствие, к достаточно высокому административному штрафу. Максимальный размер штрафа:
по национальному законодательству — до 306 300 тенге (ст.641 КоАП РК);
по европейскому законодательству — до 20 000 000 евро или до 4% от годового мирового оборота компании (ст.83 GDPR).
Все юридические лица Казахстана обязаны оповещать уполномоченный орган — Министерство цифрового развития, инноваций и аэрокосмической промышленности — об инцидентах в информационной безопасности, связанных с незаконным доступом к персональным данным. Кроме того, они обязаны предоставлять доступ Государственной технической службе по запросу последней для проведения обследования по обеспечению защищенности персональных данных.
DRC Group совсем недавно пришла на IT-рынок Казахстана, однако уже успела открыть свои представительства сначала в Алматы, а несколько дней назад — и в столице республики Нур-Султане. Юристы Digital Rights Center Qazaqstan оказывают всестороннюю защиту и помощь компаниям - операторам ПД, а также лицам, пострадавшим от утечки или незаконной обработки персональных данных в интернете. Мы готовы проверить вашу компанию, отдельные процессы, продукты и программные обеспечения на соответствие национальному законодательству Республики Казахстан и GDPR. В результате перед вами откроется полная картина работы с персональными данными внутри вашего бизнеса, что позволит устранить имеющиеся недочеты, продемонстрировать Privacy Compliance партнерам и надзорным органам.