Закон о защите персональных данных в казахстан

Содержание:

КАЗАХСТАН > Защита персональных данных

Саломат Шоматова

21 мая 2013 года президентом подписаны Закон «О персональных данных и их защите» (далее – «Закон») и Закон «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защиты» (далее – «Закон об изменениях и дополнениях»).

В первую очередь необходимо отметить, что эти законы являются новшествами в казахстанском законодательстве. За исключением статьи 18 Конституции, закрепляющей право каждого человека на личную и семейную тайну, и главы 5 Трудового Кодекса относительно защиты персональных данных работника вопросы защиты персональных данных до сих пор не регламентировались.

На международном уровне аспекты защиты персональных данных граждан урегулированы, прежде всего, Конвенцией о защите физических лиц при автоматизированной обработке персональных данных (Страсбург, 28 января 1981 года), рядом соответствующих директив Европарламента и Совета Европейского союза, а также Модельным законом, подписанным на Межпарламентской Ассамблее государств-участниц СНГ 16 декабря 1999 года.

Необходимо упомянуть, что к 2013 году Казахстан отказался от отдельных идентификационных номеров налогоплательщика, социального кода и пр. и внедрил систему единых идентификационных номеров (ИИН и БИН), упростив, таким образом, процессы получения многих государственных услуг, страхования, кредитования и налогообложения, и, вместе с тем, создал единую базу, позволяющую государственным органам, учреждениям получать информацию о любом гражданине. Подписанные законы призваны создать правовые основы для обеспечения защиты прав и свободы человека и гражданина при обработке его персональных данных, в том числе для защиты прав на неприкосновенность частной жизни, личную и семейную тайну. При этом действие данных законов распространяется не только на государственные органы и учреждения, но и на частных лиц, в том числе работодателей, и организации (банки, страховые организации, почта, связь, СМИ, Интернет), которые по роду своей деятельности получают информацию о гражданах.

Под персональными данными понимаются фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют её установить. Отсутствие законодательной основы защиты данных может создать предпосылки для незаконного использования этих данных в личных или коммерческих целях, а также распространения порочащей или конфиденциальной информации.

В Законе выделяются две категории держателей персональных данных: собственник и оператор базы данных, содержащей персональные данные (далее «База»). Собственники Базы – это государственные органы, физическое и (или) юридическое лицо, обладающие правами владения, пользования и распоряжения базой, к примеру: органы юстиции, органы внутренних дел, осуществляющие регистрацию граждан и прописку. Оператор Базы – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.

Общее правило, которое установлено Законом, определяет, что сбор и обработка персональных данных осуществляется собственником и оператором с согласия гражданина или его законного представителя. Согласие гражданина оформляется письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путём соблюдения требований не допускать их распространения без согласия гражданина либо наличия иного законного основания.

Закон предусматривает ряд исключений из общего правила, когда сбор и обработка персональных данных могут осуществляться без согласия гражданина или его законного представителя, в частности в ходе деятельности государственных правоохранительных органов, органов статистики (с условием обезличивания), реализации международных договоров; для защиты конституционных прав и свобод человека и гражданина, осуществления законной профессиональной деятельности журналиста и (или) СМИ либо научной, литературной или иной творческой деятельности; иной законной деятельности.

Законом об изменениях и дополнениях внесены изменения в Гражданский Кодекс, Уголовный Кодекс, Кодекс об административных правонарушениях и ряд других законов и кодексов. Таким образом, предусматривается гражданско-правовая (субъект персональных данных вправе требовать защиты своих прав и законных интересов, а также требовать возмещения морального и материального вреда), административная (за нарушение требований законодательства о персональных данных в виде штрафов) и уголовная (за нарушение неприкосновенности частной жизни и законодательства о персональных данных и их защите) ответственность. Согласно поправкам, внесённым в Гражданский Кодекс, гражданин вправе требовать запрещения использования его имени, когда это сделано без его согласия, кроме случаев, предусмотренных законами.

В Кодекс «О здоровье народа и системе здравоохранения» внесены положения, направленные на обеспечение защиты персональных данных пациентов. Доступ медицинского персонала к электронным информационным ресурсам, содержащим персональные данные пациентов, должен быть разрешён только в целях оказания медицинской помощи пациенту.

В Трудовой Кодекс вместо ранее существовавших общих требований к обработке персональных данных работника внесены конкретные положения относительно обязанностей работодателя по сбору, обработке и защите персональных данных. В частности, работодатель обязан принять акт, устанавливающий порядок сбора, обработки и защиты персональных данных, и довести его до сведения работников.

Что касается предоставления доступа к персональным данным работников, работодатель обязан его ограничить и назначить уполномоченных лиц. При этом указанные лица получат доступ лишь к тем персональным данным работника, которые необходимы для выполнения конкретных функций, при условии соблюдения режима конфиденциальности.

Вышеуказанные законы вступают в силу с 26 ноября 2013 года. Собственники и операторы базы персональных данных обязаны в течение трёх месяцев, то есть до 25 февраля 2014 года привести свои документы относительно сбора и обработки персональных данных в соответствие с требованиями Закона. В частности, работодателям рекомендуется утвердить внутренние положения о конфиденциальной информации, порядке использования персональных данных работника, в том числе включить соответствующие пункты в трудовые договоры.

ЗАКОН РЕСПУБЛИКИ КАЗАХСТАН

от 21 мая 2013 года №94-V ЗРК

О персональных данных и их защите

(В редакции Законов Республики Казахстан от 17.11.2015 г. №408-V ЗРК (вступил в силу 01.03.2016), 24.11.2015 г. №419-V ЗРК, 11.07.2017 г. №91-VI ЗРК, 28.12.2017 г. №128-VI ЗРК)

Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Глава 1. Общие положения


Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

1) биометрические данные — персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

2) персональные данные — сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

3) блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

4) накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

5) сбор персональных данных — действия, направленные на получение персональных данных;

6) уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные;

7) обезличивание персональных данных — действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

8) база, содержащая персональные данные (далее — база), — совокупность упорядоченных персональных данных;

9) собственник базы, содержащей персональные данные (далее — собственник),государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

10) оператор базы, содержащей персональные данные (далее — оператор),государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

11) защита персональных данных — комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;

12) обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

13) использование персональных данных — действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

14) хранение персональных данных — действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

15) распространение персональных данных — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

16) субъект персональных данных (далее — субъект) — физическое лицо, к которому относятся персональные данные;

Полный текст доступен после регистрации и оплаты доступа.

Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Постановление Правительства Республики Казахстан от 12 ноября 2013 года № 1214.

Примечание РЦПИ!
Порядок введения в действие см. п. 2.

В соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Правила
определения собственником и (или) оператором перечня
персональных данных, необходимого и достаточного для
выполнения осуществляемых ими задач
1. Общие положения

1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

2. В настоящих Правилах используются следующие основные понятия:

1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

2) сбор персональных данных – действия, направленные на получение персональных данных;

3) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

4) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и(или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

5) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

6) субъект персональных данных – физическое лицо, к которому относятся персональные данные;

7) общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности;

8) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

2. Порядок определения собственником и (или) оператором
перечня персональных данных, необходимого и достаточного
для выполнения осуществляемых ими задач

3. Собственник и (или) оператор осуществляют сбор, обработку персональных данных в порядке, установленном Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон) и иными нормативными правовыми актами Республики Казахстан.

4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или в электронной форме либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

5. Перечень персональных данных определяется только для целей, непосредственно связанных с осуществлением функций, полномочий, обязанностей и задач собственника и (или) оператора, кроме случаев, предусмотренных в пункте 3 статьи 3 Закона.

6. Отнесение сведений, указанных в перечне персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, к общедоступным или ограниченного доступа осуществляется собственником и (или) оператором в соответствии с законодательством Республики Казахстан.

При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться следующими принципами сбора, обработки и защиты персональных данных:

1) соблюдения конституционных прав и свобод человека и гражданина;

3) конфиденциальности персональных данных ограниченного доступа;

4) равенства прав субъектов, собственников и операторов;

5) обеспечения безопасности личности, общества и государства.

7. Собственник и (или) оператор в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, назначает ответственных лиц (далее – ответственное лицо) за организацию работы по определению перечня персональных данных. Назначение ответственного лица оформляется соответствующим документом.

Ответственное лицо анализирует осуществляемые задачи собственника и (или) оператора, после чего готовит предложение об определении перечня персональных данных.

Собственник и (или) оператор рассматривают предложение ответственного лица и принимают решение об утверждении перечня персональных данных или возвращают на доработку ответственному лицу.

Срок подготовки предложений, с момента назначения ответственных лиц, не должен превышать тридцати календарных дней.

В случае возврата на доработку, перечень персональных данных дорабатывается ответственным лицом в течение пяти рабочих дней и повторно вносится на утверждение собственнику и (или) оператору.

8. По результатам текущей деятельности собственником и (или) оператором могут быть внесены изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.

Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения в действие.

9. Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, должно осуществляться только для ранее заявленных целей их сбора.

10. Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач, в соответствии с законодательством Республики Казахстан.

Закон о защите персональных данных в казахстан

Закон о персональных данных: первые итоги

юрист Dentons Kazakhstan,

патентный поверенный РК

Развитие производства или услуг без контакта с потребителями невозможно, но особенно в последнее время участились случаи сбора, обработки и распространения персональных данных без разрешения на то владельцев этих данных.

Практически каждый сталкивался с тем, что получал рекламу на сотовый телефон или звонок от компании, которая предлагала какие-то товары или услуги. При этом свой номер телефона данной компании мы не оставляли, либо оставляли, но совсем не для получения рекламы. Это один из типичных примеров неправомерного использования персональных данных.

Закон Республики Казахстан «О персональных данных и их защите» вступил в силу 25 ноября 2013 года. Закон устанавливает механизмы, препятствующие неправомерному использованию персональной информации, а также регламентирует процедуры сбора, обработки, хранения персональных данных с разрешения граждан.

Несмотря на то, что закон действует меньше года, уже можно подвести некоторые итоги. Эта статья, с одной стороны, напомнит о принципах сбора и обработки персональных данных, закрепленных законодательством, а с другой — даст представление о том, с какими сложностями столкнулись компании, применяя вышеназванный закон.

Напомним об основных принципах

До введения закона в действие регулирование правоотношений в сфере сбора и обработки персональных данных было хаотичным, отсутствовало определение основных терминов, одно и то же понятие могло иметь разное значение в различных нормативных актах. Это, естественно, усложняло применение нормативных актов в рассматриваемой деятельности. Сейчас понятие «персональные данные» единое для всех отраслей права. Персональными данными являются любые сведения о человеке, на основе которых можно определить конкретного субъекта персональных данных, зафиксированные на любом носителе.

Закон восполнил ряд существенных пробелов, однако не изменил принципы сбора и обработки персональных данных. Посмотрим, как эти принципы отражаются на делопроизводстве компаний.

Согласие субъекта на передачу и обработку персональных данных. Сбор и обработка персональных данных с согласия их владельца — это принцип, который запрещает собирать персональные сведения без ведома лица, которому они принадлежат, даже если такие данные можно обнаружить в общедоступных источниках. Этот принцип [Наталия: может быть так лучше, если нет, не возражаю против того, чтобы убрать слово «этот»] тесно связан с принципом использования персональных данных исключительно для достижения целей, заявленных при их сборе. Например, персональные данные, которые можно найти в адресной книге (адрес, телефон), нельзя использовать для адресной рассылки рекламы, поскольку субъект персональных данных не давал согласие на использование их с этой целью.

Владелец базы данных, которая включает персональные данные субъектов, должен иметь доказательства того, что используемая информация была передана непосредственно ее владельцем. Обычно этот факт подтверждается согласием, которое дает субъект персональных данных.

Нужно отметить, что закон о персональных данных не указывает, что должно содержать письмо-согласие. Однако, исходя из принципов сбора и обработки персональных данных, для включения в письмо-согласие можно рекомендовать следующую информацию:

1) перечень персональных данных, на обработку которых дается согласие субъекта (это может быть также определение круга данных, которые собираются);

2) цели обработки персональных данных;

3) перечень действий с персональными данными, на совершение которых дается согласие, или описание способов обработки персональных данных, например, передача персональных данных третьим лицам и другие способы использования;

4) срок, в течение которого действует согласие субъекта персональных данных.

Письмо-согласие, конечно, должно идентифицировать субъекта персональных данных, т.е. содержать графы для указания имени, фамилии, контактных данных субъекта.

Что касается формы письма-согласия, то здесь закон о персональных данных, с одной стороны, дает определенную свободу предпринимателям, с другой стороны, не дает полной ясности, приемлемо ли, например, собирать согласие на сбор и обработку персональных данных посредством сети интернет, где субъект выполняет определенные действия, потом нажимает кнопку «согласен» или «принять условия».

Цели обработки персональных данных. Письмо-согласие должно содержать указание на цели использования персональных данных.

Здесь показательной является ситуация с общедоступными персональными данными. Тот факт, что некоторые персональные данные считаются общедоступными, не означает, что эти данные могут использоваться компаниями для достижения любых целей. Например, если данные субъекта из адресного или телефонного справочника компания собирается использовать в целях, отличных чем просто получение информации о месте проживания лица, то на такие действия необходимо получить разрешение субъекта персональных данных.

Передача данных третьим лицам. В большинстве случаев обработка персональных данных не обходится без передачи их компаниям внутри группы или лицам, которые оказывают компании различные услуги. По договору с собственником базы данных третьи лица оказывают услуги по систематизации, классификации, хранению персональных данных и другие. Составляя письмо-согласие, необходимо убедиться в том, что оно содержит разрешение на передачу персональных данных субъекта третьим лицам.

Для определенного бизнеса характерны некоторые особенности сбора персональных данных. Например, для бизнеса, который базируется на сетевом маркетинге. Здесь обычной является ситуация, когда персональные данные собираются у клиентов дистрибьюторами компании, потом такие данные передаются компании для обработки. В такой ситуации дистрибьютор может стать собственником базы данных, содержащей персональные данные, если в договор с дистрибьютором не будет включено поручение по сбору персональных данных от имени компании. Сама форма письма-согласия должна указывать на компанию, которой передаются персональные данные, сведения о лице, к которому субъект персональных данных может адресовать просьбы относительно исправления персональных данных и иные.

Конфиденциальность персональных данных . Правильно организованная процедура сбора согласия на обработку персональных данных и правильно составленная форма для сбора персональных данных — это уже половина дела в вопросе приведения деятельности компании в соответствие с требованиями законодательства о персональных данных. Закон, однако, не ограничивается исключительно требованиями к получению согласия на обработку персональных данных у владельцев таких данных. Собственник базы данных, содержащей персональные сведения, несет ответственность перед субъектом персональных данных за конфиденциальность такой информации. Конфиденциальность должна обеспечиваться различными организационными, правовыми и юридическими мерами.

В этом вопросе закон не содержит детального регулирования, например, какие именно действия должен совершать собственник базы данных для выполнения требований по обеспечению конфиденциальности. С одной стороны, отсутствие излишнего регулирования — это хорошо, поскольку законодательство дает свободу предпринимателям в выборе конкретных мер обеспечения конфиденциальности. С другой стороны, такие обязательства могут по-разному толковаться органами, осуществляющими контроль над соблюдением законодательства о персональных данных. Должны ли владельцы базы данных обеспечивать все меры защиты (и правовые, и организационные, и технические) или это могут быть, например, только организационные и технические меры?

В этом отношении можно рекомендовать следующее — меры обеспечения конфиденциальности могут быть выбраны компанией самостоятельно, однако они должны быть достаточными для неразглашения и сохранности персональных данных субъектов.

Приведем примеры правовых, организационных и технических мер. К правовым мерам можно отнести выработку собственником базы, содержащей персональные данные определенной политики в отношении их обработки (эта мера также может быть и организационной), заключение договоров конфиденциальности с лицами, которые имеют доступ к персональным данным, а также с компаниями, которым передаются персональные данные (например, при оказании услуг хранения).

К организационным мерам относятся назначение ответственного лица за организацию сбора и обработки персональных данных, осуществление внутреннего аудита за деятельностью по обработке данных, ознакомление сотрудников с политикой сбора и обработки персональных данных.

К техническим мерам можно отнести различные программы, которые блокируют доступ к персональным данным, обезличивают данные, когда срок хранения и использования таковых истек.

Таким образом, мы постепенно подошли к вопросу о том, с какими сложностями компании сталкиваются или могут столкнуться в процессе применения закона. Чтобы обеспечить однородность практики применения закона, некоторые его нормы требуют внесения изменений.

Есть куда развиваться!

Уже сейчас можно отметить некоторые недостатки закона, которые могут привести к тому, что практика применения нормативного материала не будет однородной и понимание норм права у субъектов гражданского оборота и государственных органов может быть разным.

Остановимся на некоторых вопросах, регулирование которых в законе неоднозначно, и которые, как нам видится, требуют внесения изменений:

1) разграничение общедоступных персональных данных и данных ограниченного доступа;

2) вопрос представительства в вопросах выдачи согласия и отзыва согласия на сбор и обработку персональных данных;

3) форма согласия на сбор и обработку персональных данных;

4) срок хранения персональных данных.

Общедоступные данные и данные ограниченного доступа . Закон различает общедоступные персональные данные и данные ограниченного доступа. Однако он приводит лишь примеры источников общедоступных данных, но не перечисляет такие данные. К источникам общедоступных данных отнесены библиографические справочники, телефонные и адресные книги и т.п. Можно полагать, что к общедоступным данным относятся, в частности, имя, фамилия, адрес, номер стационарного телефона. При этом нужно отметить, что объем информации, который предоставляют справочники и адресные книги, может разниться. Сами субъекты персональных данных могут быть против включения той или иной информации в адресные книги и справочники.

Практический совет для компаний в данной ситуации. В отсутствие исчерпывающего перечня общедоступных персональных данных и однозначного регулирования относительно того, каким образом общедоступные персональные данные могут использоваться в законодательстве Казахстана, рекомендуем получать согласие субъектов на обработку и данных, которые потенциально могут считаться общедоступными персональными данными. В том числе и потому, что цели, для достижения которых персональные данные были сделаны общедоступными, могут не совпадать с целями компании, для которых данные собираются.

Представительство в вопросах сбора и обработки персональных данных . Следует учитывать, что разрешение на сбор и обработку персональных данных может дать только сам владелец этих данных. Это касается и отзыва такого согласия. Закон не предоставляет возможность третьим лицам осуществлять эти действия по доверенности. Такое право дается только законному представителю — то есть лицу, которое представляет интересы субъекта перед государственными органами, организациями, гражданами в силу того, что опекаемый не может самостоятельно осуществлять свои права и выполнять обязанности по причине малолетства или физического состояния. Предпринимателям следует учитывать эту особенность закона при сборе персональных данных.

Форма письма-согласия . Большинство правоотношений постепенно переходит в информационно-коммуникационную среду, поэтому уже не редкость сделки, заключаемые посредством интернета. При заключении сделки используется тот или иной набор персональных данных, начиная с фамилии и имени, заканчивая реквизитами банковского счета и т.д. В связи с этим вопрос разрешенной формы письма-согласия на сбор и обработку персональных данных является очень важным.

Закон о персональных данных не обходит стороной форму выражения согласия на сбор и обработку персональных данных со стороны их владельца. Субъект дает (отзывает) согласие на сбор, обработку персональных данных письменно либо в форме электронного документа, либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

Сделка, совершаемая в письменной форме, должна быть подписана сторонами или их представителями, если иное не вытекает из обычаев делового оборота. Если же субъект персональных данных передает и дает разрешение на обработку персональных данных, например, в электронной форме посредством сети интернет, то следует оценить, насколько заключение сделки в электронной форме, принятие каких-либо обязательств и (или) получение прав является обычаем делового оборота в той или иной сфере деятельности.

В настоящий момент в Казахстане вполне приемлемо получение согласия на обработку персональных данных в электронном виде через интернет, учитывая широко распространенную практику приобретения авиабилетов, товаров народного потребления, бронирования гостиниц посредством сети. Однако некоторые риски в связи с получением согласия через интернет сохраняются, пока закон однозначно не предусмотрит такую возможность.

Что касается согласия в форме электронного документа, такая форма, по нашему мнению, будет мало востребована, т.к. электронный документ, в соответствии с отечественным законодательством, требует удостоверения посредством электронной цифровой подписи. Процедура же получения и обновления ЭЦП достаточно сложная и сделки, удостоверенные таким образом, большой популярностью не пользуются.

Что касается «иного способа с применением элементов защитных действий», то ни закон о персональных данных, ни иные нормативные акты Республики Казахстан не дают объяснения, что это могут быть за способы получения согласия на сбор и обработку персональных данных. Однако мы полагаем, что «иные способы с применением элементов защитных действий» не исключают возможность получения письма-согласия от субъектов персональных данных в электронном виде посредством сети интернет. Другими словами, предусмотренные «иные способы» получения согласия субъекта персональных данных — еще один аргумент в пользу того, что письмо-согласие на сбор и обработку персональных данных в электронном виде через интернет можно считать формой, приравненной к письменной в силу обычаев делового оборота.

В этом отношении, например, российский закон о персональных данных дает большую определенность — он указывает, что любая форма будет достаточной, если она позволяет подтвердить факт получения разрешения на сбор и обработку персональных данных от субъекта данных.

Таким образом, для минимизации рисков в случае, если для получения согласия был выбран интернет, следует обеспечить наличие однозначных доказательств такого согласия от конкретного субъекта персональных данных.

Срок хранения персональных данных. Закон о персональных данных не имеет, по нашему мнению, четкого регулирования и в отношении сроков хранения персональных данных. Закон определяет, что уничтожение персональных данных должно иметь место при прекращении правоотношений между субъектом персональных данных и собственником или оператором базы данных, содержащей персональные данные. В случае, если правоотношения не прекращаются, то срок хранения определяется датой достижения целей сбора и обработки персональных данных. Однако вопрос, какой момент в конкретных правоотношениях можно считать достижением цели, в некоторых ситуациях может быть достаточно сложным. В связи с этим мы рекомендуем определять срок хранения персональных данных в письме-согласии, которое подписывается субъектом персональных данных.

Хотелось бы отметить также, что закон не требует регистрации или уведомлений о базе данных, содержащей персональные данные. Законодательством Казахстана предусмотрена диспозитивная процедура учета (по желанию собственника базы данных) негосударственных информационных систем, в том числе содержащих персональные данные.

Полагаем, что сказанное выше будет полезным компаниям, чтобы начать работу по организации документооборота с персональными данными, если такая работа еще не велась.

Законодательство Казахстана о персональных данных в ряде существенных вопросов, как показывает анализ, требует изменений. Надеемся, что данная статья может служить некоторым вкладом в совершенствование законодательства о персональных данных Республики Казахстан. Практика же применения закона, скорее всего, выявит и иные недочеты и (или) пробелы правового регулирования.

Обзор законодательства Республики Казахстан: Персональные данные и их защита

Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 2: Персональные данные и их защита

Законодательство Республики Казахстан о персональных данных и гарантии их защиты

Вопросы правового регулирования персональных данных, включая биометрические данные, их сбор, хранение, передачу, распространение и другие действия, методы защиты персональных данных регулируются в Казахстане законом Республики Казахстан «О персональных данных и их защите». Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Закон определяет персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе; а биометрические данные как персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.

Закон разграничивает персональные данные по категории доступа к ним. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации и т.д. Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

По общему правилу, сбор персональных данных осуществляется с согласия субъекта, которому принадлежат эти персональные данные, или его законного представителя. Однако закон устанавливает перечень случаев, когда сбор персональных данных осуществляется без согласия субъекта или его законного представителя:

1) осуществления деятельности правоохранительных органов и судов, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
10) в иных случаях, установленных законами Республики Казахстан.

Субъект, которому принадлежат персональные данные или его законный представитель дает ( или отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Лицо, которое осуществляет сбор, хранение, передачу, распространение или другие действия с персональными данными, в соответствии с Законом называется оператор персональных данных. В качестве оператора баз персональных данных может выступать государственный орган, физическое и (или) любое другое юридическое лицо, которые осуществляют сбор, обработку и защиту персональных данных.

Законом предусматриваются следующие действия (операции) по обработке персональных данных:

Субъект, которому принадлежат персональные данные, наделен следующими правами:

1) вправе знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) отозвать согласие на сбор, обработку персональных данных, кроме случаев законом;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

Собственник и (или) оператор баз персональных данных является обязанными лицами, и в соответствии с законом на них возлагаются следующие обязательства:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Гарантии защиты персональных данных– защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.

По закону уполномоченный орган в сфере персональных данных является Правительство Республики Казахстан, которое наделено следующей компетенцией:
1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;
2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;
3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.

Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Общий надзор за соблюдение законодательства о персональных данных и их защите осуществляют органы прокуратуры. За нарушение требований законодательства предусмотрена ответственность:

Статья 147 Уголовного Кодекса Республики Казахстан. Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите

1. Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц, –
наказывается штрафом в размере до трех тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до двух лет, либо лишением свободы на тот же срок с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. Незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и (или) обработки иных персональных данных –
наказывается штрафом в размере до пяти тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до трех лет, либо лишением свободы на тот же срок.
3. Деяния, предусмотренные частью второй настоящей статьи, совершенные лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации, передаваемой по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, или организаций –
наказываются лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет или без такового.
4. Распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконного сбора и (или) обработки иных персональных данных –
наказывается лишением свободы на срок до пяти лет.
5. Распространение сведений, указанных в части четвертой настоящей статьи, в публичном выступлении, публично демонстрирующемся произведении, в средствах массовой информации или с использованием сетей телекоммуникаций –
наказывается лишением свободы на срок до семи лет.

Статья 79 Кодекса Республики Казахстан «Об административных правонарушениях». Нарушение законодательства Республики Казахстан о персональных данных и их защите

1. Незаконный сбор и (или) обработка персональных данных –
влекут штраф на физических лиц в размере двадцати, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере тридцати, на субъектов среднего предпринимательства – в размере пятидесяти, на субъектов крупного предпринимательства – в размере ста месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой.
2. Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность –
влекут штраф на физических лиц в размере пятидесяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере семидесяти пяти, на субъектов среднего предпринимательства – в размере ста, на субъектов крупного предпринимательства – в размере двухсот месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой.
3. Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных –
влечет штраф на физических лиц в размере ста, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере ста пятидесяти, на субъектов среднего предпринимательства – в размере двухсот, на субъектов крупного предпринимательства – в размере трехсот месячных расчетных показателей.
4. Деяние, предусмотренное частью третьей настоящей статьи, повлекшее утерю, незаконный сбор и (или) обработку персональных данных, если эти деяния не влекут установленную законом уголовную ответственность, –
влечет штраф на физических лиц в размере двухсот, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятисот, на субъектов среднего предпринимательства – в размере семисот, на субъектов крупного предпринимательства – в размере тысячи месячных расчетных показателей.

1.Оспаривание действия (бездействия) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленной главой 29 Гражданского процессуального Кодекса Республики Казахстан.

2. Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном Гражданским процессуальным Кодексом Республики Казахстан.

Еще по теме:

  • Статья 213 фз 127 Минэкономразвития совместно с Минюстом расписали процедуру правоприменения статьи 213 Федерального закона «О несостоятельности (банкротстве)» Вячеслав Володин: Необходимо обсудить совершенствование системы профессионального образования с […]
  • Ч 1 ст 325 ук Уголовный кодекс Украины (УК Украины) с комментариями к статьям ГОРЯЧАЯ ЛИНИЯ БЕСПЛАТНОЙ ЮРИДИЧЕСКОЙ КОНСУЛЬТАЦИИ (495) 662-98-20: 441 Стаття 325. Порушення санітарних правил і норм щодо запобігання інфекційним захворюванням та масовим […]
  • Законом рф о защите прав потребителей зозпп Закон о защите прав потребителей Российская Федерация О защите прав потребителей (с изменениями и дополнениями от 2 июня 1993 г., 9 января 1996 г., 17 декабря 1999 г., 30 декабря 2001 г., 22 августа, 2 ноября, 21 декабря 2004 г., 27 […]
  • Потребительский закон о гарантии Гарантийный срок, срок годности, срок службы - ЗАКОНЫ РФ РОССИЙСКАЯ ФЕДЕРАЦИЯ О ЗАЩИТЕ ПРАВ ПОТРЕБИТЕЛЕЙ (с изменениями и дополнениями от 2 июня 1993 г., 9 января 1996 г., 17 декабря 1999 г., 30 декабря 2001 г., 22 августа, 2 ноября, 21 […]
  • 256-фз материнский капитал с изменениями Закон 256 фз с изменениями Федеральный закон от 29 декабря 2006 г. N 256-ФЗ «О дополнительных мерах государственной поддержки семей, имеющих детей» (с изменениями и дополнениями) Федеральный закон от 29 декабря 2006 г. N 256-ФЗ«О […]
  • Ст 112 федерального закона об исполнительном производстве Статья 112. Исполнительский сбор Статья 112. Исполнительский сбор См. Энциклопедии и другие комментарии к статье 112 настоящего Федерального закона 1. Исполнительский сбор является денежным взысканием, налагаемым на должника в случае […]
  • Крупный размер по статье 228 ук рф Проверка следствия. Продлить арест станет сложнее. 12 октября 2017 года 28 сентября 2017 года 13 июля 2017 года 20 июня 2017 года 28 апреля 2017 года 23 апреля 2017 года 22 марта 2017 года 21 марта 2017 года 29 декабря 2016 года 5 […]
  • Статья 14 федерального закона о трудовых пенсиях в рф Федеральный закон от 17 декабря 2001 г. N 173-ФЗ "О трудовых пенсиях в Российской Федерации" Федеральный закон от 17 декабря 2001 г. N 173-ФЗ"О трудовых пенсиях в Российской Федерации" С изменениями и дополнениями от: 25 июля, 31 декабря […]