Автор: Сауле Ахметова, партнер юридической фирмы «GRATA»
В настоящей статье рассмотрены некоторые вопросы правового регулирования и практики применения Закона РК №94-V от 21 мая 2013 года «О персональных данных и их защите» в сравнении с положениями европейского Общего Регламента по Защите Данных (GDPR). Выводы и мнения, изложенные в статье, не претендуют на их авторитетность в силу необходимости проведения более глубокого и широкого исследования.
Вопросы защиты персональных данных (или конфиденциальности) на протяжении нескольких лет привлекают все больше внимания со стороны правительств, бизнеса и населения. Тем не менее сложно сказать, что в Казахстане представители государственных и частных структур, а также население полностью «созрело» или всецело осознает, как важно с должным вниманием относиться к персональным данным, вопросам их сбора и обработки.
Европейский опыт показывает, насколько серьезно относится к защите персональных данных Европейский Союз, его регуляторные органы по защите персональных данных, частный сектор и, что немаловажно, само население. С 1970-х годов Европа планомерно и поступательно движется в совершенствовании законодательства и правоприменения в сфере защиты персональных данных. Коллизии национальных законов, трудности правоприменительной практики, в особенности применительно к международной передаче данных, привели к таким международным инструментам, как Руководящие принципы ОЭСР (OECD Guidelines[1]) и Конвенция 108 (Convention 108[2]). Данные международные акты стали одними из первых, определявших основные принципы и нормы в сфере защиты персональных данных в Европейском союзе. Основываясь на принципах указанных международных документов, в Европе была принята Директива о защите персональных данных 1995 года (Директива ЕС 1995 года[3]). Более чем 20-летняя практика правоприменения Директивы 1995 года и судебные решения Европейского суда сформулировали глобальный «золотой стандарт» в правовом регулировании защиты персональных данных — Общий Регламент ЕС о Защите Данных (GDPR[4]). Не секрет, что именно под влиянием Директивы ЕС 1995 года, а теперь и GDPR, неевропейские государства практически во всем мире «вынуждены» были принять или изменить свое законодательство в сфере защиты персональных данных, чтобы отвечать требованиям адекватного правового режима защиты персональных данных резидентов Европейского Союза. К слову, трудно сказать, что казахстанский режим полностью отвечает таким требованиям, а это может означать, что в нашей стране существуют риски для сбора и обработки персональных данных физических лиц Европейского Союза, до тех пор, пока не будет реализован соответствующий правовой режим.
Тем не менее, Казахстан также стремится идти в ногу со временем и мировым веянием. Наш Закон РК №94-V от 21 мая 2013 года «О персональных данных и их защите» (далее – Закон), продолжает развиваться и эволюционирует, и к слову сказать неплохо. Но, мы все еще далеки от мировых стандартов, исчерпывающей интерпретации и реализации правовых норм.
Принципы сбора и обработки персональных данных.
GDPR (статья 5) определяет 6 основных принципов обработки персональных данных:
· законности, справедливости и прозрачности
· целевого ограничения
· минимизации данных
· точности
· ограничения хранения
· целостности и конфиденциальности
Большинство практиков и ученых-правоведов указывают и на седьмой принцип – подотчетность контроллеров, операторов персональных данных.
В нашем Законе перечислено 5 принципов (статья 5), отличающихся от указанных в Европейском Регламенте, кроме принципа законности. Какое-то сходство с остальными принципами GDPR можно найти в положениях статей 7, 11-14 казахстанского Закона, однако интерпретация и правоприменительная практика европейского и казахстанского права может не совпадать, потому что в отличие от казахстанского закона в GDPR положения, касающиеся всех действий контроллеров, операторов и третьих лиц с персональными данными, а также их обязательства пронизаны указанными принципами.
Принцип законности, справедливости и прозрачности и согласие субъекта.
Рассмотрим некоторые европейские и казахстанские требования к согласию субъекта на сбор и обработку персональных данных.
В европейском законодательстве о защите данных согласие являлось и является одним из ключевых понятий и наиболее существенных условий фундаментального принципа защиты данных – законности. В соответствии со статьей 2 Директивы ЕС 1995 года согласие определялось как: «Любое свободно предоставленное конкретное и информированное указание на его пожелания, которым субъект данных выражает свое согласие на обработку персональных данных, касающихся его». Действующий GDPR (пункт 11) статьи 4) в определении согласия устанавливает обязательные условия для сбора и обработки персональных данных. Чтобы быть легитимным согласие должно быть свободно предоставленным, конкретным, информированным (осознанным) и недвусмысленным. Соответственно, при отсутствии этих обязательных признаков согласия в Европе сбор и обработка данных будут незаконными за некоторыми исключениями.
Казахстанский Закон (пункт 4 статья 8) и Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных» устанавливают, что должно содержаться в согласии, как оно может быть предоставлено и даже срок действия согласия (что кажется абсурдным и должно касаться больше информации о сроке хранения и использования персональных данных). Более того, наше законодательство предоставляет право контролеру и оператору данных определять в согласии субъекта иные сведения (персональные данные субъекта). Однако, в своем ответе МЦРИАП[5] уточнил, что «утверждение и использование операторами перечня открытого типа (содержащего формулировки относительно возможности сбора и обработки иных персональных данных, прямо не перечисленных в перечне) не допускается».
Таким образом, казахстанские нормы не содержат обязательных признаков, при которых согласие считается полученным и легитимным, к примеру, свободно предоставленное (то есть без какого-либо давления или «вынужденности» дать согласие) и информированное (осознанное). Стоит отметить, что обязательное информированное согласие лица (пациента) предусмотрено Кодексом Республики Казахстан от 7 июля 2020 года № 360-VI «О здоровье народа и системе здравоохранения» (с изменениями и дополнениями по состоянию на 26.02.2023 г.).
В отношении информированного согласия рассмотрим два примера сбора и обработки персональных данных, с которым на практике столкнулся гражданин – обращение к услугам фитнес-центра и оформление абонемента. В первом случае членство в фитнес-центре оформлялось сотрудником, который внес в базу ФИО лица, дату рождения, номер телефона. Далее, сотрудник фитнес-центра попросил посмотреть в камеру и выдал электронный браслет, сказав, что в нем хранятся все персональные данные, которые предоставляют доступ гражданину к услугам фитнес-центра согласно условиям членства. Другой пример, заключение договора с образовательным учреждением на образовательные услуги для школьника, когда учреждение образования собирает сведения о ребенке, его родителях, их образовании, социальном статусе, месте жительства и работы, контактные данные.
Ни одно действие сотрудников фитнес-центра и образовательного учреждения не сопровождалось ни запросом согласия на сбор и обработку персональных данных, ни предоставлением пояснений о данных, достаточных для оказания услуг фитнес-центра или образовательных услуг, о сроках и безопасности хранения персональных данных. И такое происходит повсеместно в силу отсутствия обязательств для собственников баз персональных данных и операторов, а также в связи с отсутствием информированности и правовой культуры среди населения и предпринимательства.
В отличие от казахстанских норм, статьи 13 и 14 GDPR устанавливают четкие требования к информации, которую контролер данных обязан предоставить субъекту на момент сбора персональных данных. В числе таких обязательных сведений при получении согласия от субъекта указаны контакты лица, ответственного за защиту персональных данных, цели обработки, условие о передаче данных третьим лицам с указанием наличия или отсутствия мер по защите персональных данных со стороны третьих лиц, срок или критерии определения срока хранения данных, указание на наличие автоматизированной обработки данных[6], включая профилирование, и др. Кроме того, на момент сбора персональных данных GDPR обязывает контролера данных проинформировать субъекта данных о его правах, в частности праве отозвать согласие в любой момент[7], праве на защиту в государственном органе по защите персональных данных, праве на доступ к своим персональным данным, внесение в них уточнений, праве на их стирание (удаление) и др.
Очевидно, что казахстанский Закон не содержит такого спектра информации, которая должна предоставляться собственниками баз персональных данных и их операторами, ни таких обязательств собственников баз и операторов при сборе персональных данных, то есть до получения согласия субъекта данных на сбор и обработку персональных данных. Дополнительно хотелось бы отметить, что наш Закон не содержит обязанность собственника базы персональных данных и оператора, аналогично статье 12 GDPR, в краткой, прямой, понятной и легкодоступной форме, с использованием ясного и простого языка предоставлять субъекту информацию, касающуюся обработки данных.
Как видно из вышеприведенных положений, европейские нормы о защите персональных данных устанавливают более конкретные обязательства для контролеров и операторов персональных данных, а также третьих лиц. Тем самым физические лица получают возможность контролировать действия в отношении своих персональных данных, имеют больше информации о том, как используются и защищаются их данные. В свою очередь, информированность повышает правовое сознание и правовую культуру в обществе, создает эффективность правоприменения.
Принцип ограниченных сбора, использования и хранения данных.
Обратимся к такой практике. Часто мы не задумываясь отправляем с помощью мобильных приложений фото личных и иных документов, не говоря о банковских картах и иной информации, по запросу сотрудников государственных органов и предпринимательства, знакомым и совсем не знакомым людям. Мы не задумываемся, что действительно нужно в конкретной ситуации, а что излишне, кому будет дальше передана информация и кто может иметь к ней доступ. Конечно, с целью быстрого получения какой-либо государственной услуги, товара или услуги в сфере бизнеса, люди не задумываются о последствиях. Чаще всего это происходит от незнания и неинформированности не только самих граждан, но и государственных служащих и бизнеса. А бизнес не задумывается, пока не придет проверка и не будет возбуждено дело об административном правонарушении.
В то же время, любой субъект бизнеса, организация и государственный орган могут быть отнесены к собственникам и операторам баз персональных данных, которые обязаны соблюдать условия сбора, обработки и хранения персональных данных. В частности, пунктами 8 и 9 статьи 7 Закона установлено, что обработка персональных данных должна быть совместима с целями сбора данных, а содержание и объем данных, подлежащих обработке, не должны быть избыточными по отношению к целям обработки. Казалось бы, что положения указанных норм позволяют получить (собрать) персональные данные больше, чем необходимо для целей обработки, но обрабатывать следует только те, которые совместимы с целью обработки. Однако, пункт 1 статьи 12 Закона не позволяет выполнять излишний сбор персональных данных, ограничивая только теми, которые необходимы и достаточны для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом. При этом, указанная статья 12 вызывает ряд вопросов. Во-первых, в ней законодатель использует формулировку «накопление, осуществляемое путем сбора», а в статье 1 Закона даются определения накопления[8] и сбора[9] персональных данных, которые могут запутать обычного человека, не обладающего достаточным уровнем компьютерной или информационной грамотности. Во-вторых, сбор ограничен не целями обработки, а «выполнением задач, осуществляемых собственником и (или) оператором, а также третьим лицом». Это положение уточняется Постановлением Правительства от 12 ноября 2013 года №1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Постановление устанавливает, что цели являются однозначными, законными и соответствуют осуществляемым собственником и (или) оператором задачам. Тем не менее, понимание этих формулировок остается не до конца ясным. В-третьих, учитывая, что пункт 8 статьи 7 Закона позволяет обработку персональных данных, совместимую с целями сбора, собственник и оператор, как лица, определяющие совместимость целям обработки, могут сформировать широкий перечень персональных данных.
Указанным Постановлением предусмотрена обязанность собственников, операторов провести анализ осуществляемых задач на предмет использования персональных данных. Проще говоря, собственники и операторы должны проанализировать свою деятельность и действия, которые они совершают с персональными данными, почему и для чего они их совершают (есть ли законные основания), какие именно персональные данные им для этого необходимы. По результатам такого анализа, который должен проводиться ежегодно, собственники и операторы утверждают перечень[10] персональных данных, необходимый и достаточный для выполнения осуществляемых задач и ежегодно его корректируют. Следовательно, в соответствии с данным перечнем от субъекта надлежит получить согласие с перечислением конкретных персональных данных (подпункт 7) пункта 4 статьи 8 Закона).
До того, как брать согласие Закон требует от собственников и операторов ясно знать, какие именно персональные данные, какой их минимум достаточен и для каких целей и задач нужны. На практике все происходит иначе. К примеру, при заключении договора на обучение ребенка в образовательном учреждении, достаточны ФИО ребенка, дата рождения, адрес, возможно свидетельство о рождении, ФИО родителей, номера их удостоверений личности и контакты, включая контакты по месту работы. Каким образом ИИН родителей связан с процессом оказания образовательных услуг ребенку? Присутствует ли в этом случае совместимость целям обработки? Образовательному учреждению достаточно сверить данные о родителях в свидетельстве о рождении и удостоверении личности. Будет ли сбор и хранение ИИН родителя образованием учреждения нарушать пункты 8 и 9 статьи 7 Закона? Обычному гражданину сложно понять хитросплетения законодательства в сфере защиты персональных данных и информационно-коммуникационных технологий.
Казахстанцы обеспокоены этими вопросами, стараются получить больше информации и повысить правовую грамотность. В Открытом диалоге eGov немало обращений граждан, касающихся сбора и обработки персональных данных в соответствии с условиями достаточности и соответствия целям обработки. Рассмотрим некоторые из них.
Женщина обратилась[11] к Министру труда и социальной защиты населения по поводу законности внедрения работодателем пропускной системы и идентификации путем снятия отпечатков пальцев, отнесения отпечатков пальцев к персональным данным. Министерство в ответе сослалось на необходимость соблюдения принципов Закона и получения согласия работника. Понятно, что ответ Министерства не дает полной информации относительно отнесения отпечатков пальцев к биометрическим персональным данным и органов, уполномоченных осуществлять сбор дактилоскопической информации. Кроме того, в зависимости от вида деятельности компании-работодателя сбор отпечатков пальцев для целей пропуска и идентификации сотрудников все-таки может нарушать условия о сборе и обработке персональных данных, необходимых и достаточных для целей обработки.
Несколько обращений граждан к министерствам касались видеонаблюдения и видеосъемки[12] в процессе трудовой деятельности и коммерческих отношений между физическими лицами и субъектами бизнеса. Ответы государственных органов ограничивались общими формулировками о необходимости соответствия сбора и обработки персональных данных требованиям законодательства, наличии уведомления о проведении видеонаблюдения и согласия субъекта. Возможно, в этих ответах скрыто послание о законности собирать и обрабатывать персональные данные посредством видеофиксации при условии, что изображение человека является необходимой и достаточной информацией для целей обработки (а именно, задач работодателя и субъекта бизнеса). Тем не менее, государственные органы в своих ответах гражданам не ставят акцент или не придают должного внимания степени необходимости и достаточности сбора и обработки персональных данных. Как уже отмечалось выше, отсутствие надлежащей информированности среди населения и бизнеса формирует правовую культуру и эффективное правоприменение в стране.
Перейдем к похожим положениям об ограничении сбора, обработки и хранения GDPR, а именно к важным принципам защиты персональных данных GDPR: целевого ограничения (статья 5.1(b)), минимизации данных (статья 5.1(c)) и ограничения хранения (статья 5.1(e)).
Принцип целевого ограничения означает, что персональные данные собираются для определенных, явных и законных целей и не обрабатываются в дальнейшем способом, несовместимым с этими целями.
Принцип минимизации данных требует, чтобы персональные данные были адекватными (достаточными), соответствующими (относящимися) и ограниченные тем, что необходимо в связи с целями обработки.
Принцип ограничения хранения означает, что персональные данные хранятся в форме, позволяющей идентифицировать субъектов данных, не дольше, чем это необходимо для целей, для которых обрабатываются персональные данные. При этом допускается последующее хранение персональных данных в течение более длительного периода исключительно для целей архивирования в общественных интересах, научных или исторических исследований или статистических при условии выполнения соответствующих технических и организационных мер для защиты прав и свобод субъекта данных.
Эти принципы имеют существенное и даже первостепенное значение для защиты персональных данных. Сформулированные в Европейском Регламенте именно как принципы (основополагающие положения), а не условия, они выполняют роль «проводника» для всех лиц, задействованных в правоотношениях по сбору, обработке и защите персональных данных. Эти основополагающие идеи прослеживаются в дальнейших нормах GDPR, касающихся прав и обязательств контролеров, операторов, третьих лиц, государственных органов и самих субъектов. Принципы закладывают фундамент всего законодательства и правоприменения и служат основой для любого правоотношения, прав и обязательств его сторон, действия, закрепленных в законодательстве сейчас или в будущем.
Стоит согласиться с мнением А.Гусаровой и С.Джаксылыкова, что в Казахстане «несмотря на наличие Закона о персональных данных, многие его элементы на практике пробуксовывают, а также отсутствует стратегическое видение движения в сторону принятия ключевых принципов европейского Общего регламента по защите данных GDPR»[13].
Проблемы осведомленности граждан о правах в сфере защиты персональных данных.
Важно отметить, что роль населения и органов по защите персональных данных в Европе имела значительную роль в формировании правового режима и правоприменительной практики. Некоторыми примерами служат известное не только в Европе дело Google Spain[14], впервые закрепившее the Right to be Forgotten (право на забвение), определившее роль поисковых систем при обработке персональных данных и вопрос о совместимости и чрезмерности обработки персональных данных целям сбора и обработки. В последние годы несколько обращений г-на Максимилиана Шремс в Европейский суд оказали влияние на вопросы адекватности защиты персональных данных.
Как и во всем мире, вопрос защиты персональных данных не безразличен и для казахстанцев. Серьезную озабоченность среди граждан проблемы защиты личной информации вызвали в период пандемии, особенно касательно приложения ASHYQ. В Открытом диалоге eGov задавались вопросы о сборе, обработке персональных данных, в частности ИИН лица, платформой ASHYQ. В своих ответах[15] МЦРИАП указал, что ИИН и статус лица в приложении ASHYQ не являются персональными данными, поскольку в отдельности от других дополнительных сведений о лице не позволяет его идентифицировать. Иными словами, в зависимости от ситуации ИИН сам по себе без дополнительных личных сведений не позволяет определить или сделать лицо определяемым.
Конечно, значительный рост использования интернета и предоставления персональных данных во время пандемии COVID-19, повлияли на культуру обращения с персональной информацией. К примеру, в 2019 году, в рамках исследования[16] был проведен опрос общественного мнения, который показал отсутствие знаний или поверхностные знания[17] пользователей интернет по защите личной информации и незнание[18] своих прав как субъектов персональных данных. Исследование А.Гусаровой и С.Джаксылыкова, проведенное в сентябре 2020 года, показало, что только 20% опрошенных хорошо осведомлены о защите персональных данных[19]. То есть наблюдается незначительная положительная динамика, хотя среди самых старших пользователей интернета, а также среди сельских жителей наблюдается наиболее низкий уровень знаний о защите персональных данных[20]. Следует заметить, что в том же 2020 году по данным Официального Информационного ресурса Премьер-Министра РК 78% населения осведомлены об угрозах кибербезопасности[21]. Возможно не совсем корректно сопоставлять данные исследования о защите персональных данных и кибербезопасности, тем не менее, это взаимосвязанные явления, и, скорее всего, официальные данные мало отражают действительное положение дел.
Несомненно, следует повышать осведомленность граждан об их правах на защиту персональных данных и прежде всего регулирующими эту сферу государственными органами путем предоставления и распространения простых и понятных печатных и видеоматериалов. Возможно следует перенять европейский опыт, который на уровне нормативного акта высокого уровня закрепил обязательства контролеров и операторов данных о предоставлении полной информации о перечне собираемых персональных данных и правах физического лица до получения согласия на сбор и обработку данных.
Некоторые аспекты уничтожения и обезличивания персональных данных.
С ростом совершения онлайн покупок и активного использования интернета в период пандемии, большинство граждан задумались о безопасности персональных данных в интернете из-за опасения стать жертвами мошенников. Так, по заявлению[22] представителя МЦРИАП ««Казахстанцы стали активнее пользоваться правом требовать удалить свои персональные данные, размещенные на различных сайтах в открытом доступе».
В Открытом диалоге eGov не мало запросов на удаление (уничтожение) персональных данных, однако реализация этого права гражданами, а точнее его выполнение государственными органами вызывает некоторые вопросы. Так в большинстве случаев госорганы отмечают[23], что, обращаясь с запросом на блог-платформу, пользователь соглашается «с условиями пользования, в которых закреплено, что персональные данные (ФИО) и текст обращения, включая всю информацию, содержащуюся в нем, будут доступны для публичного просмотра».
Хотя право на удаление персональных данных реализуется, тем не менее имена, а в некоторых случаях номера телефонов и ИИН, остаются доступными. Возможно, что некоторые обращения в Открытый диалог eGov имеют содержательную ценность для других граждан и общества, используются в судебных процессах, помогают разобраться в различных жизненных ситуациях и даже повысить правовую грамотность. В таких случаях, c целью защиты персональных данных приемлемым решением была бы «псевдонимизация» данных, как это предусмотрено Европейским регламентом (статья 4(5)). «Псевдонимизация» означает обработку персональных данных таким образом, что персональные данные больше не могут быть отнесены к конкретному лицу без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно и подлежит техническим и организационным мерам, обеспечивающим, чтобы персональные данные не относились к идентифицированному или идентифицируемому физическому лицу».
В нашем Законе не указана «псевдонимизация» персональных данных, но закреплено их обезличивание, помимо права на уничтожение (или удаление). Согласно статье 17 Закона, обезличивание данных применяется только в целях статистических, социологических, научных, маркетинговых исследований, а также в случае проведения аналитики данных при осуществлении деятельности государственными органами. Закон определяет обезличивание как действия, в результате совершения которых невозможно определить принадлежность персональных данных субъекту персональных данных (подпункт 7) ст.1 Закона), а Приказом уполномоченного органа также исключена возможность восстановления исходной персональной информации[24]. Обязанности контролеров, операторов данных и третьих лиц по защите персональных данных не применяются к обезличенным данным.
Европейский Регламент содержит аналогичные положения о понятии обезличенных данных и неприменимости к ним требований GDPR (пункт 26 Преамбулы). Но в отличие от казахстанского законодательства содержит более широкие положения об обработке персональных данных в целях статистических, социологических, научных, маркетинговых исследований, а также аналитики данных. К примеру, Европейский Регламент предусматривает следующие положения:
1) обработка для целей архивирования в общественных интересах, научных или исторических исследований или статистических целей рассматривается как законная обработка, совместимая с теми целями, на которые изначально получено согласие лица. Иными словами, если субъект оформил новостную подписку, то провайдер услуг по подписке вправе проводить обработку данных субъекта для статистических целей без отдельного согласия субъектов персональных данных (пункт 50 преамбулы). Однако, при этом контролер или оператор данных обязаны предпринять технические и организационные меры защиты данных;
2) при необходимости разрешается хранение данных контролером или оператором данных после их удаления в целях архивирования в общественных интересах, для целей научных или исторических исследований, статистический целей, или для установления, осуществления или защиты юридических требований (пункт 65 Преамбулы);
3) обработка данных в указанных целях должна осуществляться с обеспечением защиты прав и свобод физического лица, соблюдением принципа минимизации данных (пункт 156 Преамбулы);
4) в отличие от казахстанского законодательства Европейский регламент устанавливает, что его требования (а значит обязательства для контролеров, операторов и третьих лиц) применяются к обработке данных для статистических целей поскольку они не обезличены (пункт 26 Преамбулы).
Последнее, в сравнении с казахстанским законодательством, GDPR на уровне закона конкретизирует что такое статистические цели, устанавливает требования на уровне национальных законов закрепить статистическое содержание, контроль доступа, спецификации для обработки персональных данных в статистических целях и меры для защиты прав субъекта данных и обеспечения статистической конфиденциальности.
Таким образом, GDPR, в отличие от казахстанского законодательства, предусматривает такой вид обработки персональных данных как «псевдонимизация». В сравнении с казахстанскими нормами относительно обезличивания персональных данных европейский Регламент допускает идентификацию лица по псевдонимизированным данным, но с использованием дополнительной информации. Следовательно, псевдонимизированные данные рассматриваются как информация об идентифицируемом физическом лице, а то есть персональными данными, подлежащими защите, к которым применяются принципы защиты персональных данных. При этом, при определении возможности идентифицировать лицо, во внимание должны приниматься все разумно вероятные средства для прямой или косвенной идентификации (пункт 26 Преамбулы).
Важно отметить, что Европейский регламент предусматривает общую обязанность любых контролеров и операторов данных применять «псведонимизацию» данных как техническую и организационную меру по защите прав и свобод физических лиц в связи с обработкой персональных данных. Эта обязанность не ограничена какими-либо целями обработки.
Псевдонимизацию как меру защиты персональных данных следует предусмотреть и в нашем законодательстве. Как указывалось выше, имеющие содержательную ценность и полезность для общества ответы на запросы граждан в Открытом диалоге eGov могли быть подвергнуты псевдонимизации, тем самым обеспечивая баланс между доступом к информации и защитой персональных данных.
******
Настоящая статья затрагивает часть комплексного института защиты персональных данных. Многими авторами и сообществами затрагиваются и иные вопросы правоприменения и регулирования защиты личных данных, в том числе с активным обсуждением на уровне Правительства и Парламента. Наше законодательство в этой сфере будет продолжать развиваться вслед за развитием информационно-коммуникационных технологий и процессами глобализации экономики. Возможно будет перенят и европейский опыт.
Примечания:
[1] Рекомендация Совета ОЭСР относительно руководящих принципов, регулирующих защиту конфиденциальности и трансграничных потоков персональных данных от 23 сентября 1980 г., обновлены 11 июля 2013 года.
[2] Конвенция Совета Европы от 28 января 1981 года №108 «О защите лиц в связи с автоматизированной обработкой персональных данных»
[3] Директива Европейского Парламента и Совета ЕС 95/46/ЕС от 24 октября 1995 г. о защите физических лиц при обработке персональных данных и о свободном обращении таких данных
[4] Регламент (ЕС) 2016/679 Европейского Парламента и Совета от 27 апреля 2016 г. о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных, а также об отмене Директивы 95/46/ЕС (General Data Protection Regulation).
[5] https://dialog.egov.kz/blogs/all-questions/700318
[6] Следует отметить, что Закон РК «Об информатизации» в п.6 ст.36 предусматривает обязанность собственников и владельцев электронных информационных ресурсов, содержащих персональные данные, не использовать исключительно автоматизированную обработку данных в принятии решений без согласия субъекта, а также обязанность информировать об использовании автоматизированной обработки. При этом, в отличие от требований GDPR законодательством не конкретизируется, когда исполняется такое обязательство.
[7] Казахстанский Закон о персональных данных и их защите (пункт 2 статьи 8) устанавливает, что согласие может быть отозвано субъектом, если это противоречит законодательству или имеется неисполненное обязательство субъекта. С одной стороны, такая имеет формулировка содержит ограничительные условия, а с другой стороны, может иметь широкое толкование, ведь закон не уточняет, о каком именно неисполненном обязательстве идет речь, тем самым, позволяя собственнику базы отказывать в реализации отзыва согласия из-за любого неисполненного обязательства, например, сохранять конфиденциальность условий договора по его истечению.
[8] Накопление — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные (подпункт 4) статьи 1 Закона). Следует заметить, что большинство словарей переводят «накопление данных» на английский язык как «хранение данных» или «хранение информации» (data storage, information storage)
[9] Сбор персональных данных — действия, направленные на получение персональных данных (подпункт 5) статьи 1 Закона). Следует обратить внимание, что в GDPR используются формулировки collection of personal data (сбор персональных данных), obtaining data (получение данных).
[10] Форма в виде Приложения утверждена Постановлением Правительства от 12 ноября 2013 года №1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач».
[11] https://dialog.egov.kz/blogs/all-questions/727791
[12] https://dialog.egov.kz/blogs/all-questions/724888, https://dialog.egov.kz/blogs/all-questions/724882, https://dialog.egov.kz/blogs/all-questions/691916
[13] А.Гусарова, С.Джаксылыков «Защита персональных данных в Казахстане 2.0: Цифровой след Covid-19», 2021, стр.5, https://www.soros.kz/wp-content/uploads/2021/03/Personal-Data_Covid-Implications.pdf
[14] Google Spain v Agencia Española de Protección de Datos (AEPD) and González, Case C‐131/12, 13 May 2014, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:62012CJ0131. В GDPR «право на забвение» переименовано в «право на стирание». Тем не менее право в соответствии со статьями 17 и 18 GDPR на самом деле гораздо шире, чем право, изложенное в Google Spain, поскольку оно распространяется на всех контроллеров данных, включая социальные сети, новостные сайты и поставщиков облачных услуг.
[15] https://dialog.egov.kz/blogs/all-questions/715842, https://dialog.egov.kz/blogs/all-questions/719761, https://dialog.egov.kz/blogs/all-questions/684120
[16] А.Гусарова, С.Джаксылыков «Защита персональных данных в Казахстане: статус, риски и возможности», 2020, стр.33, https://www.soros.kz/wp-content/uploads/2020/04/Personal_data_report.pdf
[17] Там же, стр 35, 37
[18] Там же стр 36, 51
[19] А.Гусарова, С.Джаксылыков «Защита персональных данных в Казахстане 2.0: Цифровой след Covid-19», 2021, стр.61, https://www.soros.kz/wp-content/uploads/2021/03/Personal-Data_Covid-Implications.pdf
[20] А.Гусарова, С.Джаксылыков «Защита персональных данных в Казахстане 2.0: Цифровой след Covid-19», 2021, стр.61, https://www.soros.kz/wp-content/uploads/2021/03/Personal-Data_Covid-Implications.pdf
[22] Жанболат Мамышев, «Казахстанцы стали чаще удалять персональные данные из открытого доступа», 29.10.2021, Курсив, https://kz.kursiv.media/2021-10-29/kazakhstancy-stali-chasche-trebovat-udalit-personalnye-dannye-iz-otkrytogo/
[23] https://dialog.egov.kz/blogs/all-questions/755230, https://dialog.egov.kz/blogs/all-questions/751245, https://dialog.egov.kz/blogs/all-questions/750232, https://dialog.egov.kz/blogs/all-questions/750162,
[24] Пункт 21 Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных». Пункт 2 статьи 25 Закона возлагает на собственника и оператора обязанность по утверждению политик по сбору, обработке и защите персональных данных, в том числе документ по обезличиванию персональных данных. Документ должен содержать описание процедуры и действий по обезличиванию персональных данных, алгоритмов обезличивания, характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам (Пункт 22 указанного Приказа). Законодательство допускает, что у собственников и операторов кроме базы персональных данных может существовать база обезличенных данных, которые невозможно восстановить и идентифицировать лицо.
Читайте также:
Что нужно для развития юридической профессии в Казахстане?
Всегда ваш, KLR
