Февраль 3, 2022

Защита персональных данных по законодательству Республики Казахстан (с внесенными изменениями и дополнениями на январь 2021 года)

 

 Введение

  1. Права субъекта и обязанности оператора при обработке персональных данных
  2. Согласие на сбор и обработку персональных данных
  3. Меры по защите персональных данных
  4. Взаимодействие с государственными органами. Ответственность за нарушение законодательства о защите персональных данных.

 Введение

Современное общество все чаще встречается с информационным обменом в своей повседневной жизни. Каждый из нас регулярно сообщает о себе информацию, позволяющую напрямую или косвенно определить и идентифицировать нас. Действующие законодательство Республики Казахстан такую информацию относит к персональным данным, а к некоторым из них требует соблюдения конфиденциальности.

Согласно определению, содержащемуся  в Законе Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее — Закон) персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан (например, дактилоскопическая и геномная информация, медицинская, страховая, налоговая и иная информация).

Лица, которые осуществляют сбор, обработку и защиту персональных данных, включая накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных являются операторы баз. В свою очередь владеть пользоваться и распоряжаться базой персональных данных вправе собственники персональных баз. Ими является государственные органы, физические и (или) юридические лица (например, работодатели).

Исходя из этого, в целях обеспечения выполнения наших законных интересов и защиты нашей личной жизни необходимо знать и контролировать выполнение обязанностей, возложенных на оператора персональных данных.

1. Права субъекта и обязанности оператора при обработке персональных данных.

Права субъекта перечислены в пункте 1 статьи 24 Закона, который содержит следующие права:

1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

— подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

— перечень персональных данных;

— сроки обработки персональных данных, в том числе сроки их хранения;

2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 Закона;

6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

8) на осуществление иных прав, предусмотренных Законом и иными законами Республики Казахстан.

В случае если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Закона или иным образом нарушает его права и свободы, субъекта персональных данных имеет право обжаловать в порядке досудебного обжалования (в соответствующий уполномоченный орган), а затем в порядке административного судопроизводства.

Обязанности оператора установлены в статье 25 Закона, причем эти же обязанности относятся и к собственнику.

Так, перед началом сбора информации о персональных данных собственник и (или) оператор должен утвердить перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач по специальной утвержденной Постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214 форме.

В целях защиты персональных данным оператор обязан принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические в соответствии с законодательством Республики Казахстан.

При достижении цели обработки персональных данных оператор обязан принять меры по уничтожению персональных данных.

Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных возлагается на оператора.

В случае если субъект обратиться к оператору и (или) собственнику, последние в свою очередь обязаны сообщить информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя. В противном случае, оператор обязан представить мотивированный ответ в те же сроки.

Более жесткие сроки, в течение одного рабочего дня установлены в случае изменения и (или) дополнения персональных данных, блокирования, уничтожения на основании представленных документов, а также наличия факта их сбора, обработки с нарушением законодательства Республики Казахстан.

Согласно внесенным изменениям и дополнениям в закон о персональных данных и их защите от 2 января 2021 года, обязанности оператора также как и собственника были дополнены следующим. Теперь оператор и (или) собственник обязаны проводить  регистрацию и учет срока или периода, в течение которого действует согласие на сбор, обработку персональных данных, сведений о возможности оператора или ее отсутствии передавать персональные данные третьим лицам, сведений о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки, сведений о распространении персональных данных в общедоступных источниках.

Кроме того, оператор и (или) собственник обязаны утвердить документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных и предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований закона.

Касательно хранение персональных данных то, оно должно осуществляться собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан. Следовательно, если собственник и (или) оператор являются нерезидентами, они обязаны либо взять в аренду либо приобрести в собственность сервер для хранения персональных данных на территории Республики Казахстан.

2. Согласие на сбор и обработку персональных данных.

Субъект или его законный представитель дает согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан (например, согласие может выражаться путем передачи одноразового пароля или путем отправления короткого текстового сообщения на абонентский номер, путем  клика, проставлением «галочки» и др.)

Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

Согласие на сбор и обработку персональных данных включает:

1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;

2) фамилию, имя, отчество (если оно указано в документе, удосоверяющем личность) субъекта;

3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;

5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

6) сведения о распространении персональных данных в общедоступных источниках;

7) перечень собираемых данных, связанных с субъектом;

8) иные сведения, определяемые собственником и (или) оператором.

3. Меры по защите персональных данных

Для обеспечения защиты персональных данных необходимо:

— выделение бизнес-процессов, содержащих персональные данные;

— разделение персональных данных на общедоступные и ограниченного доступа;

— определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;

— установление порядка доступа к персональным данным.

Кроме того, оператор и (или) собственник обязан назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Аналогичная должность «Data Protection Officer» (DPO) была введена в 2018 году в Европе.

4. Взаимодействие с государственными органами. Ответственность за нарушение законодательства о защите персональных данных.

Теперь  юридические лица обязаны оповещать Министерство цифрового развития, инноваций и аэрокосмической промышленности об инцидентах в информационной безопасности, связанных с незаконным доступом к персональным данным.

Кроем того, введена новая функция Государственной технической службы по обследованию обеспечения защищенности персональных данных. Юридические лица обязаны предоставлять доступ Государственной технической службе для проведения обследования по их запросу.

За нарушение законодательства Республики Казахстан «О персональных данных и их защите» влечет за собой как административную, так и уголовную ответственность, в соответствии с законодательством Республики Казахстан.

В соответствии со ст. 79 КоАП РК, закреплены следующие нарушения закона о защите персональных данных (в случае, если у деяния отсутствуют признаки преступления):

  • незаконный сбор и (или) обработка персональных данных, совершенных собственником, оператором или третьим лицом с использованием его / ее служебного положения;
  • несоблюдение собственником, оператором или третьей стороной мер по защите личных данных;

может повлечь за собой штрафные санкции в размере от 20 до 1000 мрп в зависимости от категории субъекта предпринимательства и квалифицирующих признаков состава административного правонарушения.

Статья 147 Уголовного кодекса предусматривает уголовную ответственность за нарушение закона о защите данных, если такое деяние нанесло существенный ущерб правам и законным интересам физических лиц. Таким образом, на лицо, которое должно принять меры для защиты персональных данных, может быть наложен штраф или он может быть направлен на исправительные работы или тюремное заключение на срок до двух лет с возможным лишением права занимать определенные должности или заниматься определенной деятельностью сроком до трех лет.