Юридический онлайн-сервис
WhatsApp
Главная Контакты
Регистрация Вход

ТОП - 5 вопросов по защите персональных данных


Дата публикации: 11.10.2020
4433



Право каждого гражданина на неприкосновенность частной жизни, личную и семейную тайну закреплено в Конституции Республики Казахстан. <статья 18>

С развитием документооборота и информационных технологий возрастает актуальность и значимость защиты личной информации граждан от неправомерного использования и распространения. Сегодня, имея определенные сведения о человеке, можно не только получить достаточно большой объем информации об его частной жизни, но и совершить от его имени определенные юридические и фактические действия с использованием государственных и негосударственных электронных информационных ресурсов.

За последние годы большое развитие получили автоматизированные системы учета государственных органов, платежные системы, интернет-магазины, онлайн-платформы и сервисы дистанционного обучения, социальные сети, а также другие интернет-ресурсы, использующие личную информацию физического лица в целях его персонализации (идентификации). Такие действия, как покупки через интернет-ресурсы, платежи с использованием мобильных приложений, освещение значимых событий своей жизни в социальных сетях стали нормой в повседневной жизни практически каждого человека.

В этой связи, защита частной информации требует повышенного внимания не только со стороны государства, но и со стороны владельцев информационных ресурсов.

Впервые Закон Республики Казахстан "О персональных данных и их защите" (далее - Закон), устанавливающий основные требования к этой сфере правоотношений, был принят в 2013 году. После чего, в него неоднократно вносились изменения, однако до настоящего времени остаются отдельные вопросы, которые имеют неоднозначное понимание как у субъектов предпринимательства, так и самих граждан.

В этой статье мы постараемся раскрыть ключевые темы, касающиеся сбора, обработки и защиты персональных данных.

Что понимается под персональными данными?

Закон обязывает собственников и операторов утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. <пункт 2 статьи 25 Закона>

В этой связи возникает вопрос, какие именно сведения следует включать в перечень? 

В соответствии с Законом под персональными данными понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Поскольку Законом не определен исчерпывающий перечень таких сведений, на наш взгляд это может быть абсолютно любая информация о физическом лице, позволяющая установить или идентифицировать его личность, если она зафиксирована на каком-либо материальном носителе.

Перечень или виды материальных носителей Законом также не определены. Соответственно к ним могут относиться любые документы в бумажной форме,  серверы, компьютеры, съемные носители (флеш-память, оптический диск, внешний жесткий диск и другие).

Условно личную информацию о субъекте можно разделить на две основные категории:

Общая информация: фамилия, имя, отчество; дата рождения, место рождения; национальность; пол; семейное положение; гражданство, ИИН, контакты (телефон, адрес электронной почты), место работы, сведения об образовании, уровне доходов, состоянии здоровья и другие.

Биометрические данные: сведения, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность.

Состав (перечень) биометрических данных не определен нормативными правовыми актами. Исходя из приведенной выше формулировки и общеприменительной практики это могут быть, например: вес, рост, ДНК, отпечатки пальцев, фото- и видео изображения, характеристики биологических жидкостей и продуктов жизнедеятельности человека.

Резюмируя вышесказанное, в вопросе об определении перечня персональных данных предлагаем ориентироваться на Постановление Правительства РК от 26 февраля 2016 года № 117 и соответствующие перечни, утверждаемые уполномоченными государственными органами, с которыми Вы можете ознакомиться в Информационно-правовой системе нормативных правовых актов Казахстана "Әділет".

Отличия персональных данных ограниченного доступа от общедоступных?

В соответствии со статьей 6 Закона, персональные данные по доступности подразделяются на общедоступные (на которые в соответствии с законодательством не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта) и ограниченного доступа (доступ к которым ограничен законодательством). В целях информационного обеспечения населения используются общедоступные источники (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

То есть, Закон не дает четкого и однозначного понимания в этом вопросе, приводя лишь примеры общедоступных источников и отсылая правоприменителя на другие нормативные правовые акты. Более того, информация, предоставляемая справочниками, телефонными, адресными книгами может отличаться по своему составу и объему, поскольку эта сфера деятельности также не урегулирована на нормативном уровне. В отсутствие исчерпывающего перечня общедоступных персональных данных, есть основание полагать, что к ним могут относиться Ф.И.О., адрес, контактные телефоны субъекта.

В соответствии с Постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214 "Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач", отнесение сведений к общедоступным или ограниченного доступа осуществляется собственником и (или) оператором в соответствии с законодательством Республики Казахстан.

Согласно статье 28 Предпринимательского кодекса РК, к общедоступной информации субъекта предпринимательства относятся:

1) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) или наименование индивидуального предпринимателя;

2) наименование и дата регистрации юридического лица;

3) идентификационный номер;

4) юридический адрес (место нахождения);

5) вид деятельности;

6) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) руководителя.

Вместе с тем, указанная статья определяет общедоступную информацию лица, являющегося субъектом предпринимательства. Соответственно аналогичная информация частного лица, не осуществляющего предпринимательскую деятельность, вероятно уже не имеет статус общедоступной.

Кто является субъектом?

С точки зрения Закона под субъектом понимается физическое лицо, к которому относятся персональные данные. В указанном определении отсутствуют какие-либо исключения или ограничения. Соответственно субъектом является любой человек, вне зависимости от пола, возраста, национальности, гражданства, профессии и других характеристик.

Применительно к каждой конкретной организации субъектный состав может отличаться в зависимости от ее отраслевой принадлежности и специфики деятельности. Например, организации могут осуществлять сбор и обработку личной информации:

  • соискателей, претендующих на занятие вакантных должностей;
  • работников, состоящих с организацией в трудовых отношениях и непосредственно выполняющих работу по трудовым договорам;
  • контрагентов, состоящих с организацией в договорных отношениях;
  • посетителей (пользователей) интернет-ресурса организации.

На кого распространяются требования по обеспечению защиты персональных данных?

В соответствии с Законом такая обязанность возлагается на собственника и/ или оператора базы, содержащей персональные данные.

При этом, под "собственником" понимается государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Под "оператором" понимается государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.

Таким образом, понятию "оператор" будет соответствовать каждый субъект предпринимательства, который имеет в штате работников либо оказывает услуги населению, поскольку в процессе своей деятельности он так или иначе осуществляет сбор и обработку личной информации физических лиц.

Закон не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц.

В этой связи, полагаем, что требования по обеспечению защиты личной информации должны распространяться на собственников и операторов, являющихся:

  • резидентами РК;
  • нерезидентами, находящимися на территории РК;
  • иностранными юридическими лицами, действующими в РК через свои структурные подразделения (филиалы и представительства).

Если говорить о трудовых отношениях, все работодатели без исключения соответствуют определению термина "оператор" и обязаны осуществлять сбор, обработку и защиту персональных данных работника в соответствии с законодательством в этой сфере. <подпункт 24) пункта 2 статьи 23 Трудового кодекса>

Например, для заключения трудового договора работник предоставляет работодателю документы, содержащие персональные данные, в том числе: документ, удостоверяющий личность; диплом об образовании; документы, подтверждающие трудовую деятельность и другие. Дополнительно могут предоставляться документы, подтверждающие квалификацию, наличие специальных знаний или профессиональной подготовки, опыта работы.

Как при приеме на работу, так и в последующем, работодатель получает и обрабатывает определенные сведения, касающиеся частной жизни работника. Примером могут служить такие процедуры, как заполнение личной карточки (форма Т-2), предоставление льгот, компенсаций, материальной помощи и ряд других, которые предполагают предоставление сведений о сотруднике и членах его семьи либо об обстоятельствах, послуживших основанием для предоставления льгот и компенсаций. 

Права и обязанности собственников и операторов закреплены статьей 25 Закона. В качестве основных можно выделить следующие:

  • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
  • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
  • соблюдать законодательство Республики Казахстан о персональных данных и их защите.

Операторы - юридические лица помимо выполнения прочих условий обязаны назначить лицо, ответственное за организацию обработки персональных данных, функции которого также определены в статье 25.

Что касается применяемых мер по защите персональных данных, законодатель не определяет их конкретный перечень, оставляя этот вопрос на усмотрение оператора. Нормативными правовыми актами закреплены лишь цели защиты и общие требования к результату.

В качестве целей защиты персональных данных определены -  реализация прав на неприкосновенность частной жизни, личную и семейную тайну; обеспечение их целостности и сохранности; соблюдение их конфиденциальности; реализация права на доступ к ним; предотвращение незаконного их сбора и обработки. <статья 21 Закона>

В качестве общих требований к результатам мер по защите персональных данных определены: предотвращение несанкционированного доступа к ним; своевременное обнаружение фактов несанкционированного доступа, если такой несанкционированный доступ не удалось предотвратить; минимизацию неблагоприятных последствий несанкционированного доступа. <статья 22 Закона>

Немаловажным условием является то, что обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента их сбора и действуют до момента их уничтожения либо обезличивания.

Что понимается под обработкой?

Равно как и любая другая информация, персональные данные подлежат обработке, под которой понимаются действия, направленные на их накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение. 

Если рассматривать этот вопрос с точки зрения работодателя, можно сказать, что такая обработка информации является закономерным, регулярно повторяющимся процессом. В качестве примеров можно привести следующие.

При ведении электронных баз информации (например, 1 С Предприятие) работодатель осуществляет сбор, накопление, хранение, изменение, дополнение персональных данных. Практически во всех случаях в 1 С Предприятие вносятся такие сведения как Ф.И.О. работника, ИИН, занимаемая должность, размер заработной платы, номер банковского счета. В ряде случаев, в зависимости от специфики применяемых в организации систем оплаты труда, отражается стаж работы и другие критерии, влияющие на размер оплаты труда. 

Изначально ответственное должностное лицо (бухгалтер или HR-менеджер) получает необходимые документы у работника, тем самым осуществляя сбор данных. Далее происходит их систематизация путем внесения в базу, что определяется как накопление. В течение всего периода хранения информации в базе она подлежат изменению и дополнению при необходимости, например если сотрудник изменил фамилию или у него изменился стаж работы.

В целях перечисления заработной платы на банковские счета работников работодатель также осуществляет обработку персональных данных, поскольку в этом случае происходит их передача в банк (Ф.И.О., ИИН, банковский счет).

Размещение информации о персонале на своем интернет-ресурсе в информационных, маркетинговых и иных целях также предполагает обработку персональных данных, поскольку в этом случае происходит их передача через средства массовой информации (интернет-ресурс).

Отдельно следует остановиться на требованиях к хранению. В соответствии со статьей 12 Закона, хранение персональных данных (действия по обеспечению их целостности, конфиденциальности и доступности) осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан.

Под "базой" понимается совокупность упорядоченных персональных данных. Как видим, это достаточно широкая формулировка. Следовательно, фактически в качестве базы может выступать любое место хранения, как например электронные информационные ресурсы, компьютерное оборудование, съемные носители информации, офис компании, предметы офисной мебели и оборудования (шкафы, сейфы) и другие. То есть, согласно Закону любые материальные носители с персональными данными должны физически находиться на территории Казахстана.

Что касается интернет-ресурсов, полагаем, что под территорией Республики Казахстан следует понимать пространство казахстанского сегмента Интернета - совокупность интернет-ресурсов, размещаемых на аппаратно-программных комплексах, расположенных на территории Республики Казахстан. <Приказ Министра оборонной и аэрокосмической промышленности Республики Казахстан от 13 марта 2018 года № 38/НҚ>

Из этого следует, что аппаратно-программные комплексы (оборудование), на которых располагаются такие интернет-ресурсы, также должны находиться на территории Казахстана.

В завершение считаем необходимым отметить, что за нарушение законодательства о персональных данных и их защите предусматривается административная и уголовная ответственность.

Административная ответственность предусматривается в виде штрафа, размер которого составляет от 10 до 100 МРП и учетом субъекта, к которому применяется мера ответственности, и некоторых других обстоятельств. <статья 79 Кодекса РК "Об административных правонарушениях>

Уголовная ответственность предусматривается в виде штрафа, исправительных работ, привлечения к общественным работам, ограничения либо лишения свободы в зависимости от тяжести совершенного преступления. Максимальная ответственность предусматривается в виде лишения свободы на срок до 7 лет.


Данный материал отражает личную точку зрения автора и носит рекомендательный характер. Материал основан на нормативных правовых актах, действующих на дату публикации.


Получите развернутый ответ на Ваш вопрос в короткие сроки

Задайте интересующий Вас вопрос и получите консультации профессиональных юристов

Задать вопрос
Часто задаваемые вопросы в категории "Персональные данные"
  • Имеет ли право сотрудник частной охранной организации требовать от сотрудника предприятия его персональные данные?
    Добрый день. Имеет ли право сотрудник частной охранной организации требовать от сотрудника предприятия его персональные данные ФИО, адрес проживания, ИИН, на недобровольной основе и без объяснения цели сбора подобной информации?
    В соответствии со ст.8 Закона РК «О персональных данных и их защите», субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных (далее - ПД) письменно, посредством государственного сервиса, негосудар...
  • В каких случаях не требуется согласия на сбор персональных данных?
    В государственный орган обратились по вопросу привлечения торговой организации к административной ответственности. Государственный орган направляет заявление со всеми персональными данными заявителя (ФИО, ИИН, адрес, телефон) в эту организацию. Вопрос: является ли это распространением персональных данных заявителя? Согласия на предоставление персональных данных торговой организации не давалось.
    В соответствии с пунктом 1 статьи 9 Закона РК «О персональных данных и их защите»,  при осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об...
  • Биометрические данные по законодательству Казахстана
    Что понимается под биометрическими данными по законодательству РК?
    В соответствии с Законом Республики Казахстан "О персональных данных и их защите", биометрические данные это сведения, которые характеризуют физиологические и биологические особенности субъекта, на основе которых можно установить его личность. Конкрет...
  • Ответственность за нарушение законодательства о персональных данных
    Какие виды ответственности применяются за нарушение законодательства о персонльных данных в Казахстане?
    В Республике Казахстан за нарушение законодательства о персональных данных и их защите предусматривается гражданско-правовая, административная и уголовная ответственность. В соответствии со статьей 9 Гражданского кодекса РК, лицо, право которого нару...
Полезные статьи

Смотреть также:

Telegram-канал Pravosite.kz

Актуальные вопросы корпоративного и трудового права.

Подписаться на канал