Защита персональных данных в Казахстане: механизмы регулирования и их применение

Автор На чтение 8 мин Опубликовано

Ранее редакция Factcheck.kz рассказывала о международных стандартах защиты персональных данных и о том, соблюдаются ли они в Казахстане. Исследование по методологии рейтинга RDR показало, что политики ряда компаний в недостаточной степени руководствуются правами человека. В частности, были зафиксированы нарушения и отсутствие прозрачности в работе с персональными данными. В этом материале мы разбираемся, какие законы в Казахстане регулируют процессы, связанные с персональными данными, и насколько они применимы на практике.

Содержание

Законодательные акты

Конституция Республики Казахстан гарантирует гражданам право на неприкосновенность частной жизни.

  • Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
  • Каждый имеет право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничения этого права допускаются только в случаях и в порядке, прямо установленных законом.
  • Государственные органы, общественные объединения, должностные лица и средства массовой информации обязаны обеспечить каждому гражданину возможность ознакомиться с затрагивающими его права и интересы документами, решениями и источниками информации.
Конституция Республики Казахстан, статья 18

Также в статье 126 Гражданского кодекса и статье 28 Предпринимательского кодекса содержатся положения о защите коммерческой и служебной тайны. 

  • Гражданским законодательством защищается информация, составляющая служебную или коммерческую тайну, в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.
  • Лица, незаконными методами получившие такую информацию, а также служащие вопреки трудовому договору или контрагенты вопреки гражданско-правовому договору, разгласившие служебную или коммерческую тайну, обязаны возместить причиненный ущерб.
Гражданский кодекс, статья 126

Основной нормативный правовой акт, регулирующий сферу персональных данных — Закон «О  персональных данных и их защите», но помимо него действует целый список секторальных законов:

  • Закон Республики Казахстан «О банках и банковской деятельности в Республике Казахстан» от 31 августа 1995 года № 2444
  • Закон Республики Казахстан от 18 декабря 2000 года № 126 «О страховой деятельности»
  • Закон Республики Казахстан от 10 июля 2023 года № 18-VIII ЗРК «Об онлайн-платформах и онлайн-рекламе»
  • Закон Республики Казахстан от 26 ноября 2012 года № 56-V «О микрофинансовой деятельности»
  • Кодекс от 7 июля 2020 г. № 360-VI «О здоровье народа и системе здравоохранения»
  • Закон Республики Казахстан от 5 июля 2004 года № 567 «О связи»
  • Трудовой кодекс Республики Казахстан от 23 ноября 2015 года № 414-V ЗРК
  • Закон РК от 30 декабря 2016 года «О дактилоскопической и геномной регистрации»
  • Закон Республики Казахстан от 15 сентября 1994 года «Об оперативно-розыскной деятельности»
  • Закон Республики Казахстан от 6 января 2011 года «О правоохранительной службе»

Основной регулирующий орган — Министерство цифрового развития инноваций и аэрокосмической промышленности Республики Казахстан, поэтому в области применимы и Приказы МЦРИАП.

Что регулирует и для кого применим Закон РК о персональных данных

Согласно Закону «О персональных данных и их защите», персональные данные определяются как «сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». Существует также понятие биометрические данные.

Биометрические данные — персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.

Закон «О персональных данных и их защите», статья 1

Как следует из статьи 6 Закона, персональные данные могут быть общедоступными и ограниченного доступа. Общедоступными являются сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.

Информация с ограниченным доступом — информация, отнесенная к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и (или) иным охраняемым законом тайнам, персональные данные ограниченного доступа, а также служебная информация с пометкой «Для служебного пользования»

Закон «О доступе к информации», пункт 8 статьи 1

Категория «личная тайна» часто вызывает вопросы, поэтому важно пояснить, что согласно определению в Гражданском кодексе, личной тайной являются переписки, телефонные переговоры, дневники, заметки, записки и так далее. ФИО, дата и место рождения и другие подобные сведения не относятся к «личной тайне».

Комплекс законодательных актов направлен на следующие действия в отношении персональных данных:

  • сбор;
  • хранение;
  • обработка;
  • накопление;
  • распространение;
  • уничтожение;
  • использование;
  • блокировка;
  • защита.

Закон применим как к резидентам Казахстана, так и к иностранным резидентам, юридическим лицам, представительствам и филиалам иностранных юридических лиц, зарегистрированным в Казахстане, если указанные субъекты осуществляют сбор и обработку персональных данных на территории Казахстана. 

Принципы сбора, обработки и защиты персональных данных

В предыдущих публикациях мы рассказывали о международных стандартах защиты персональных данных, в частности Общем регламенте по защите данных (GDPR). Само постановление принято Европейским Союзом, но при этом действует по принципу экстерриториальности, т.е. при некоторых сценариях работает и за пределами ЕС. Кроме того, это один из самых обширных и подробных нормативных сводов, направленных на защиту персональных данных граждан, который служит руководством и примером для других стран.

В статье 5 Общего регламента определены семь принципов по работе с персональными данными:

  • законность, справедливость и прозрачность;
  • ограничение цели;
  • минимизация данных;
  • точность;
  • ограничение хранения;
  • целостность и конфиденциальность;
  • подотчётность.

Казахстанский Закон предусматривает пять принципов, и они имеют более размытую формулировку, что может усложнить понимание как со стороны субъектов, так и со стороны собственников и операторов.

Сбор, обработка и защиты персональных данных в Казахстане основывается на принципах: 

  • соблюдения конституционных прав и свобод человека и гражданина;
  • законности;
  • конфиденциальности персональных данных ограниченного доступа;
  • равенства прав субъектов, собственников и операторов;
  • обеспечения безопасности личности, общества и государства.
Закон «О персональных данных и их защите», статья 5

Как видим, обозначенные пункты отличаются от стандартов GDPR. В частности, отсутствуют такие важные категории как «подотчётность» и «минимизация данных». В тексте Закона содержится положение об ограничении сбора данных, однако формулировка и реализация этого пункта вызывают вопросы.

Накопление персональных данных производится путём сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

Закон «О персональных данных и их защите», пункт 1 статьи 12

Здесь примечательно то, что сбор ограничен «выполнением задач, осуществляемых собственником и (или) оператором, а также третьим лицом». А, согласно Постановлению Правительства от 12 ноября 2013 года №1214, задачи и информацию, необходимую для их выполнения, определяют сами собственник и операторы. Постановление предписывает им проанализировать свою деятельность и действия, которые они совершают с персональными данными и определиться, какие именно сведения необходимы. Неизвестно, проводится ли такая работа, однако зачастую операторы и собственники не руководствуются принципом минимизации и запрашивают слишком широкий спектр информации.

Согласие

Статья 7 Закона «О персональных данных и их защите» указывает на необходимость получения Согласия субъекта на сбор и обработку его данных. Содержание документа должно соответствовать перечисленному в статье 8 Закона.

Согласие на сбор и обработку персональных данных включает:

  • наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
  • фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
  • срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
  • сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
  • сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
  • сведения о распространении персональных данных в общедоступных источниках
  • перечень собираемых данных, связанных с субъектом;
  • иные сведения, определяемые собственником и (или) оператором.
Закон «О персональных данных и их защите», пункт 4 статьи 8

С одной стороны, перечень довольно обширен, однако он всё же не соответствует тем же требованиям об информированности GDPR. Так в пункте 2 статьи 13 GDPR говорится о том, что в момент получения персональных данных субъект должен быть проинформирован о своих правах на доступ к информации, исправление, удаление, отзыв Согласия, подачу жалобы в надзорный орган и так далее.

Мы изучили Согласия на сбор и обработку персональных данных нескольких казахстанских банков, мобильных операторов и фитнес-клубов, находящихся в открытом доступе, и пришли к выводу, что операторы сообщают о возможности отозвать документ, однако все остальные подробности, обозначенные GDPR, как правило, остаются без внимания. 

Ответственность за нарушения

В случае выявления нарушений при работе с персональными данными казахстанское законодательство предусматривает возможность наказать виновных. В соответствии со статьёй 692 Кодекса об административных правонарушениях, дела по об административных правонарушениях в области защиты персональных данных (статьи 164250464637 части 1, 2, 3, 4, 5, 6, 7, 11, 12,14, 15 и часть 1 статьи 638) рассматривает МЦРИАП. Штрафы и наказания предусмотрены статьёй 79 Кодекса об административных правонарушениях и статьёй 147 Уголовного кодекса.

Вместе за здравый смысл Поддержите Factcheck.kz
Валерия Бучельникова

Журналист, сценарист. Изучала политическую журналистику.

Factcheck.kz