ТОП - 5 вопросов по защите персональных данных

Право каждого гражданина на неприкосновенность частной жизни, личную и семейную тайну закреплено в Конституции Республики Казахстан. <статья 18>

С развитием документооборота и информационных технологий возрастает актуальность и значимость защиты личной информации граждан от неправомерного использования и распространения. Сегодня, имея определенные сведения о человеке, можно не только получить достаточно большой объем информации об его частной жизни, но и совершить от его имени определенные юридические и фактические действия с использованием государственных и негосударственных электронных информационных ресурсов.

За последние годы большое развитие получили автоматизированные системы учета государственных органов, платежные системы, интернет-магазины, онлайн-платформы и сервисы дистанционного обучения, социальные сети, а также другие интернет-ресурсы, использующие личную информацию физического лица в целях его персонализации (идентификации). Такие действия, как покупки через интернет-ресурсы, платежи с использованием мобильных приложений, освещение значимых событий своей жизни в социальных сетях стали нормой в повседневной жизни практически каждого человека.

В этой связи, защита частной информации требует повышенного внимания не только со стороны государства, но и со стороны владельцев информационных ресурсов.

Впервые Закон Республики Казахстан "О персональных данных и их защите" (далее - Закон), устанавливающий основные требования к этой сфере правоотношений, был принят в 2013 году. После чего, в него неоднократно вносились изменения, однако до настоящего времени остаются отдельные вопросы, которые имеют неоднозначное понимание как у субъектов предпринимательства, так и самих граждан.

В этой статье мы постараемся раскрыть ключевые темы, касающиеся сбора, обработки и защиты персональных данных.

Что понимается под персональными данными?

Закон обязывает собственников и операторов утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. <пункт 2 статьи 25 Закона>

В этой связи возникает вопрос, какие именно сведения следует включать в перечень? 

В соответствии с Законом под персональными данными понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Поскольку Законом не определен исчерпывающий перечень таких сведений, на наш взгляд это может быть абсолютно любая информация о физическом лице, позволяющая установить или идентифицировать его личность, если она зафиксирована на каком-либо материальном носителе.

Перечень или виды материальных носителей Законом также не определены. Соответственно к ним могут относиться любые документы в бумажной форме,  серверы, компьютеры, съемные носители (флеш-память, оптический диск, внешний жесткий диск и другие).

Условно личную информацию о субъекте можно разделить на две основные категории:

Общая информация: фамилия, имя, отчество; дата рождения, место рождения; национальность; пол; семейное положение; гражданство, ИИН, контакты (телефон, адрес электронной почты), место работы, сведения об образовании, уровне доходов, состоянии здоровья и другие.

Биометрические данные: сведения, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность.

Состав (перечень) биометрических данных не определен нормативными правовыми актами. Исходя из приведенной выше формулировки и общеприменительной практики это могут быть, например: вес, рост, ДНК, отпечатки пальцев, фото- и видео изображения, характеристики биологических жидкостей и продуктов жизнедеятельности человека.

Резюмируя вышесказанное, в вопросе об определении перечня персональных данных предлагаем ориентироваться на Постановление Правительства РК от 26 февраля 2016 года № 117 и соответствующие перечни, утверждаемые уполномоченными государственными органами, с которыми Вы можете ознакомиться в Информационно-правовой системе нормативных правовых актов Казахстана "Әділет".

Отличия персональных данных ограниченного доступа от общедоступных?

В соответствии со статьей 6 Закона, персональные данные по доступности подразделяются на общедоступные (на которые в соответствии с законодательством не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта) и ограниченного доступа (доступ к которым ограничен законодательством). В целях информационного обеспечения населения используются общедоступные источники (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

То есть, Закон не дает четкого и однозначного понимания в этом вопросе, приводя лишь примеры общедоступных источников и отсылая правоприменителя на другие нормативные правовые акты. Более того, информация, предоставляемая справочниками, телефонными, адресными книгами может отличаться по своему составу и объему, поскольку эта сфера деятельности также не урегулирована на нормативном уровне. В отсутствие исчерпывающего перечня общедоступных персональных данных, есть основание полагать, что к ним могут относиться Ф.И.О., адрес, контактные телефоны субъекта.

В соответствии с Постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214 "Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач", отнесение сведений к общедоступным или ограниченного доступа осуществляется собственником и (или) оператором в соответствии с законодательством Республики Казахстан.

Согласно статье 28 Предпринимательского кодекса РК, к общедоступной информации субъекта предпринимательства относятся:

1) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) или наименование индивидуального предпринимателя;

2) наименование и дата регистрации юридического лица;

3) идентификационный номер;

4) юридический адрес (место нахождения);

5) вид деятельности;

6) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) руководителя.

Вместе с тем, указанная статья определяет общедоступную информацию лица, являющегося субъектом предпринимательства. Соответственно аналогичная информация частного лица, не осуществляющего предпринимательскую деятельность, вероятно уже не имеет статус общедоступной.

Кто является субъектом?

С точки зрения Закона под субъектом понимается физическое лицо, к которому относятся персональные данные. В указанном определении отсутствуют какие-либо исключения или ограничения. Соответственно субъектом является любой человек, вне зависимости от пола, возраста, национальности, гражданства, профессии и других характеристик.

Применительно к каждой конкретной организации субъектный состав может отличаться в зависимости от ее отраслевой принадлежности и специфики деятельности. Например, организации могут осуществлять сбор и обработку личной информации:

• соискателей, претендующих на занятие вакантных должностей;
• работников, состоящих с организацией в трудовых отношениях и непосредственно выполняющих работу по трудовым договорам;
• контрагентов, состоящих с организацией в договорных отношениях;
• посетителей (пользователей) интернет-ресурса организации.

На кого распространяются требования по обеспечению защиты персональных данных?

В соответствии с Законом такая обязанность возлагается на собственника и/ или оператора базы, содержащей персональные данные.

При этом, под "собственником" понимается государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Под "оператором" понимается государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.

Таким образом, понятию "оператор" будет соответствовать каждый субъект предпринимательства, который имеет в штате работников либо оказывает услуги населению, поскольку в процессе своей деятельности он так или иначе осуществляет сбор и обработку личной информации физических лиц.

Закон не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц.

В этой связи, полагаем, что требования по обеспечению защиты личной информации должны распространяться на собственников и операторов, являющихся:

• резидентами РК;
• нерезидентами, находящимися на территории РК;
• иностранными юридическими лицами, действующими в РК через свои структурные подразделения (филиалы и представительства).

Если говорить о трудовых отношениях, все работодатели без исключения соответствуют определению термина "оператор" и обязаны осуществлять сбор, обработку и защиту персональных данных работника в соответствии с законодательством в этой сфере. <подпункт 24) пункта 2 статьи 23 Трудового кодекса>

Например, для заключения трудового договора работник предоставляет работодателю документы, содержащие персональные данные, в том числе: документ, удостоверяющий личность; диплом об образовании; документы, подтверждающие трудовую деятельность и другие. Дополнительно могут предоставляться документы, подтверждающие квалификацию, наличие специальных знаний или профессиональной подготовки, опыта работы.

Как при приеме на работу, так и в последующем, работодатель получает и обрабатывает определенные сведения, касающиеся частной жизни работника. Примером могут служить такие процедуры, как заполнение личной карточки (форма Т-2), предоставление льгот, компенсаций, материальной помощи и ряд других, которые предполагают предоставление сведений о сотруднике и членах его семьи либо об обстоятельствах, послуживших основанием для предоставления льгот и компенсаций. 

Права и обязанности собственников и операторов закреплены статьей 25 Закона. В качестве основных можно выделить следующие:

• утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
• принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
• соблюдать законодательство Республики Казахстан о персональных данных и их защите.

Операторы - юридические лица помимо выполнения прочих условий обязаны назначить лицо, ответственное за организацию обработки персональных данных, функции которого также определены в статье 25.

Что касается применяемых мер по защите персональных данных, законодатель не определяет их конкретный перечень, оставляя этот вопрос на усмотрение оператора. Нормативными правовыми актами закреплены лишь цели защиты и общие требования к результату.

В качестве целей защиты персональных данных определены -  реализация прав на неприкосновенность частной жизни, личную и семейную тайну; обеспечение их целостности и сохранности; соблюдение их конфиденциальности; реализация права на доступ к ним; предотвращение незаконного их сбора и обработки. <статья 21 Закона>

В качестве общих требований к результатам мер по защите персональных данных определены: предотвращение несанкционированного доступа к ним; своевременное обнаружение фактов несанкционированного доступа, если такой несанкционированный доступ не удалось предотвратить; минимизацию неблагоприятных последствий несанкционированного доступа. <статья 22 Закона>

Немаловажным условием является то, что обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента их сбора и действуют до момента их уничтожения либо обезличивания.

Что понимается под обработкой?

Равно как и любая другая информация, персональные данные подлежат обработке, под которой понимаются действия, направленные на их накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение. 

Если рассматривать этот вопрос с точки зрения работодателя, можно сказать, что такая обработка информации является закономерным, регулярно повторяющимся процессом. В качестве примеров можно привести следующие.

При ведении электронных баз информации (например, 1 С Предприятие) работодатель осуществляет сбор, накопление, хранение, изменение, дополнение персональных данных. Практически во всех случаях в 1 С Предприятие вносятся такие сведения как Ф.И.О. работника, ИИН, занимаемая должность, размер заработной платы, номер банковского счета. В ряде случаев, в зависимости от специфики применяемых в организации систем оплаты труда, отражается стаж работы и другие критерии, влияющие на размер оплаты труда. 

Изначально ответственное должностное лицо (бухгалтер или HR-менеджер) получает необходимые документы у работника, тем самым осуществляя сбор данных. Далее происходит их систематизация путем внесения в базу, что определяется как накопление. В течение всего периода хранения информации в базе она подлежат изменению и дополнению при необходимости, например если сотрудник изменил фамилию или у него изменился стаж работы.

В целях перечисления заработной платы на банковские счета работников работодатель также осуществляет обработку персональных данных, поскольку в этом случае происходит их передача в банк (Ф.И.О., ИИН, банковский счет).

Размещение информации о персонале на своем интернет-ресурсе в информационных, маркетинговых и иных целях также предполагает обработку персональных данных, поскольку в этом случае происходит их передача через средства массовой информации (интернет-ресурс).

Отдельно следует остановиться на требованиях к хранению. В соответствии со статьей 12 Закона, хранение персональных данных (действия по обеспечению их целостности, конфиденциальности и доступности) осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан.

Под "базой" понимается совокупность упорядоченных персональных данных. Как видим, это достаточно широкая формулировка. Следовательно, фактически в качестве базы может выступать любое место хранения, как например электронные информационные ресурсы, компьютерное оборудование, съемные носители информации, офис компании, предметы офисной мебели и оборудования (шкафы, сейфы) и другие. То есть, согласно Закону любые материальные носители с персональными данными должны физически находиться на территории Казахстана.

Что касается интернет-ресурсов, полагаем, что под территорией Республики Казахстан следует понимать пространство казахстанского сегмента Интернета - совокупность интернет-ресурсов, размещаемых на аппаратно-программных комплексах, расположенных на территории Республики Казахстан. <Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 13 марта 2018 года № 38/НҚ>

Из этого следует, что аппаратно-программные комплексы (оборудование), на которых располагаются такие интернет-ресурсы, также должны находиться на территории Казахстана.

В завершение считаем необходимым отметить, что за нарушение законодательства о персональных данных и их защите предусматривается административная и уголовная ответственность.

Административная ответственность предусматривается в виде штрафа, размер которого составляет от 10 до 100 МРП и учетом субъекта, к которому применяется мера ответственности, и некоторых других обстоятельств. <статья 79 Кодекса РК "Об административных правонарушениях>

Уголовная ответственность предусматривается в виде штрафа, исправительных работ, привлечения к общественным работам, ограничения либо лишения свободы в зависимости от тяжести совершенного преступления. Максимальная ответственность предусматривается в виде лишения свободы на срок до 7 лет.