Что такое международные стандарты защиты персональных данных, и соблюдаются ли они в Казахстане?

Автор На чтение 8 мин Опубликовано

Редакция Factcheck.kz ранее рассказывала о случаях утечки персональных данных в Казахстане и о том, какими могут быть последствия этих утечек. Прежде всего, это нарушение права на конфиденциальность и угроза банковской информации. Кроме того, такая ситуация вызывает значительные юридические проблемы для компаний, которые допустили утечку (1, 2).

Для того чтобы обеспечить соблюдение цифровых прав существуют международные стандарты защиты персональных данных. В этом материале мы рассказываем, что это за стандарты, в чём их особенности и требования, и в какой степени эти стандарты соблюдаются в Казахстане.

Содержание

Международные документы и акты

Сегодня цифровые права считаются фундаментальными правами человека. В 2013 году Генеральная Ассамблея ООН приняла резолюцию, призывающую все страны принять меры для прекращения действий, нарушающих право на неприкосновенность частной жизни. В этом документе впервые указано, что права людей онлайн должны защищаться так же, как и офлайн.

Путь к этой резолюции начался несколько десятков лет назад.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных

28 января 1981 года в Страсбурге была подготовлена к подписанию первый обязательный международный документ, направленный на защиту персональных данных, — Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Государства, ратифицировавшие Конвенцию, были обязаны принять меры для обеспечения реализации основных принципов защиты данных в национальном законодательстве.

Среди прочего, Конвенцией устанавливается, что персональные данные, подвергающиеся автоматизированной обработке, должны быть «адекватными, относящимися к делу и не чрезмерными для целей их хранения», хранятся для определённых целей и не используются иным образом (ст.5), а также, что персональные данные, касающиеся расовой принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни и судимости не подлежат автоматизированной обработке (ст. 6).

Государства участники должны принять соответствующие меры для обеспечения безопасности персональных данных и предотвращения их незаконного распространения (ст. 7). И, что немаловажно, документом также закреплено право каждого человека «знать о существовании автоматизированной базы персональных данных, знать его основные цели, а также название и место нахождения контролера базы данных» (ст. 8)

К Конвенции могут присоединиться не только члены Совета Европы. По состоянию на 2021 год, в ней участвуют 55 стран с четырёх континентов, а ещё 20 стран задействованы в её работе. Конвенция стала предшественником первой директивы Европейского Союза о защите данных.

Общий регламент по защите данных (GDPR)

В 1995 году была принята директива Европейского парламента и Совета Европы о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных. В 2018 году срок действия этого соглашения истёк, и его заменил Общий регламент по защите данных, более известный по аббревиатуре GDPR.

GDPR называется самым строгим в мире законом о конфиденциальности. Хотя он был разработан и принят Европейским Союзом, его положения могут распространяться на организации в странах за пределами ЕС, которые собирают данные о физических лицах из ЕС, на основании «экстерриториального действия».

Например, если у казахстанской компании есть клиенты из Евросоюза, она должна стремиться соответствовать требованиям GDPR. Такие же требования предъявляются казахстанскому сайту, который использует файлы cookie или веб-инструменты, позволяющие отслеживать IP-адреса людей, посещающих сайт с территории ЕС.

Компания, не соблюдающая GDPR, подвергается значительным штрафам. Нарушения требований делятся на два типа тяжести: лёгкие и серьёзные.

Лёгкие нарушения включают неспособность должным образом защитить данные организациями, которые собирают и контролируют данные; предвзятую оценку со стороны органов, ответственных за сертификацию организаций; а также предвзятость со стороны органов мониторинга.

В случае незначительных нарушений налагаются штрафы в размере до 10 миллионов евро или 2% годового глобального дохода компании (в зависимости от того, какая сумма больше).

К серьёзным нарушениям относятся: нарушение базовых принципов обработки данных; нарушение условий согласия; нарушение прав субъектов данных (физических лиц — ред.); передача персональных данных в международные организации или третьи страны без проверки Европейской комиссии этих организаций и стран на предмет обеспечения адекватного уровня защиты.

За тяжёлые нарушения налагается штраф в размере до 20 миллионов евро или 4% от годового глобального дохода компании (в зависимости от того, какая сумма больше).

Стандарты Ranking Digital Rights (RDR)

Помимо вышеупомянутых юридически обязательных документов, существуют также неправительственные организации, способствующие развитию международных стандартов. Например, Ranking Digital Rights (RDR) предоставляет международным и местным компаниям рекомендации и стандарты по защите персональных данных.

Кроме того, RDR регулярно публикует рейтинг крупных технологических и телекоммуникационных компаний на предмет соблюдения этих стандартов. Для этого команда RDR оценивает три основные категории по 58 индикаторам. Основными категориями являются управление, свобода мысли и информации, а также политика конфиденциальности.

  • Категория «Управление» предназначена для демонстрации наличия в компании эффективных управленческих процессов, обеспечивающих соблюдение прав на свободу слова, доступ к информации и неприкосновенность частной жизни. Эти процессы касаются как онлайн, так и офлайн жизни. Чтобы компания показала хорошие результаты в этой категории, она должна предоставить данные, соответствующие требованиям Руководящих принципов ООН по бизнесу и правам человека, и даже превосходить их. В том числе рассматриваются категории соблюдения прав человека, управления и надзора, а также предоставления правовой помощи.
  • Категория «Свобода мысли и информации» показывает, насколько компания уважает права на свободу слова и информации, упомянутые во Всеобщей декларации прав человека и других международных документах по правам человека. Политики и практики, раскрытые компанией, демонстрируют её позицию в отношении свободы мысли. В эту категорию входят такие аспекты, как политика использования алгоритмических систем; правила и меры по использованию рекламного контента.
  • Категория «Конфиденциальность» демонстрирует конкретные способы уважения права пользователей на неприкосновенность частной жизни, как это указано в международных документах по правам человека. Политики и практики, раскрытые компанией, показывают, что она делает для защиты цифровой безопасности пользователей и какие принципы при этом применяет. В эту категорию входят такие аспекты, как сбор и обработка информации о пользователях, а также обеспечение её безопасности.

Более подробно о методологии и стандартах RDR можно прочитать по этой ссылке.

Интересно, что в 2022 году среди крупных технологических компаний, наиболее соответствующих этим требованиям, была Twitter (ныне X). За ней следовали Yahoo и Microsoft.

Что такое международные стандарты защиты персональных данных, и соблюдаются ли они в Казахстане?

Существует и аналогичный рейтинг телекоммуникационных компаний.

Ситуация в Казахстане

Методология рейтинга RDR, включающая 22 показателя, впервые была применена в 2022 году для оценки ситуации в Центральной Азии, выявив значительные пробелы в прозрачности изученных компаний. В случае с Казахстаном для анализа были выбраны следующие крупные игроки: Kcell, KaR-Tel (Beeline), OLX Group и Kaspi Bank.

Авторы исследования — Общественный фонд «Гражданская инициатива интернет политики» — отмечают, что, хотя некоторые из рассмотренных 16 компаний в пяти странах Центральноазиатского региона показали более высокие результаты, чем другие, в целом есть большое пространство для совершенствования. Проанализированные политики недостаточно продуманы и не соответствуют руководящим принципам предпринимательской деятельности в аспекте прав человека.

Авторы приходят к следующим выводам:

  • За исключением Beeline в Казахстане и Узбекистане, компании не раскрывают информации о совете директоров и руководителях.
  • Ни одна из компаний не публикует отчёты о прозрачности в Интернете.
  • Ни одна из компаний не позволяет пользователям зарегистрироваться анонимно.
  • Все компании раскрывают информацию о пользователях государственным органам по запросу и без решения суда под предлогом борьбы с мошенничеством и антитеррористической деятельностью.
  • Все рассмотренные телекоммуникационные компании имеют опыт фильтрации веб-сайтов и даже полного отключения Интернета.
  • Ни одна из компаний не раскрыла, как они обращаются с персональными данными в плане их обработки и хранения, а также что происходит с данными пользователя после закрытия его учётной записи.
  • Все компании передают некоторые данные третьим лицам, независимо от того, как эти данные могут быть использованы.
  • Компании не обязуются уведомлять пользователей об изменениях в собственной политике.
  • И политика конфиденциальности компаний, и условия обслуживания обычно представляют собой длинные и сложные юридические документы, которые обычный пользователь вряд ли будет читать внимательно.

С учётом перечисленного, компаниям даются соответствующие рекомендации для улучшения прозрачности и повышения стандартов соблюдения цифровых прав пользователей.

  • Открыто заявить о приверженности правам человека, в частности праву на неприкосновенность частной жизни и свободу выражения мнений и информации.
  • Обеспечить прозрачность в отношении состава совета директоров и руководящего персонала.
  • Публиковать ежегодный отчёт о прозрачности, в котором будет указано количество полученных правительственных запросов на предоставление пользовательских данных, количество запросов, которые компания выполнила, а также количество запросов на удаление контента или учетных записей.
  • Перенимать лучшие практики материнской компании, а также иметь комплаенс политику.
  • Создать горячую линию, по которой пользователи смогут получить помощь при подаче жалоб на услуги компаний.
  • Раскрыть порядок рассмотрения обращений государственных органов и частных лиц, затрагивающих пользователей.
  • Разработать и опубликовать улучшенные, доступные и понятные пользовательские соглашения (в том числе политику конфиденциальности).
  • Разрешить пользователям контролировать использование их данных в целевой рекламе, предоставив им возможность отказаться от отслеживания.
  • Позволить пользователям отслеживать изменения в политике конфиденциальности (через архивы).
  • Раскрыть подробную информацию о типе и пользовательских данных, которые компания собирает, методе сбора, продолжительности хранения и порядке уничтожения данных, упростить для пользователей процесс запроса и получения копии личных данных, а также немедленно уведомлять пользователей в случае утечки данных.
  • Опубликовать практические материалы, обучающие пользователей тому, как защитить себя от киберугроз, связанных с продуктами или услугами компании.
  • Раскрывать, как телекоммуникационные компании и поставщики интернет-услуг проводят юридическую проверку запросов на ограничение доступа к информации.
  • В случаях, когда пользователь пытается получить доступ к информации, которая была заблокирована на основании законного запроса физического лица или государственного органа, компания должна предоставить пользователю объяснение о причинах, лежащих в основе решения о блокировке информации.
Вместе за здравый смысл Поддержите Factcheck.kz
Думан Терликбаев

Журналист-фактчекер, Factcheck.kz сайтының авторы әрі шығарушы редакторы. Organised Crime and Corruption Reporting Project ұйымында тағылымдамадан өткен.

Factcheck.kz