Следите за новостями

Цифра дня

10,4 млрд — количество безналичных транзакций в РК в III квартале 2024

    Защита персональных данных граждан РК vs Европейского союза

    За последние несколько десятилетий вопросы защиты персональных данных стали особенно актуальными в условиях цифровой эпохи.

    2 августа 2023 15:41, Сатжан Мукатаев, Менеджер KPMG Law; Айдос Раимкулов Консультант KPMG Law, Profit.kz

    За последние несколько десятилетий вопросы защиты персональных данных стали особенно актуальными в условиях цифровой эпохи. Во всем мире стремительно растет объем персональных данных, которые собирают, обрабатывают и хранят организации и государственные учреждения. В этом контексте важно обратить внимание на законодательство и меры, принимаемые для защиты персональных данных, и сравнить подходы, принятые в Казахстане и в Европейском союзе.

    В Казахстане защита персональных данных, среди прочих, регулируется законом о персональных данных, принятым 21 мая 2013 года (далее — «Закон о персональных данных»). Закон устанавливает требования к сбору, обработке, хранению и передаче персональных данных. Он определяет права субъектов данных, обязанности организаций и государственных органов по обеспечению безопасности данных и механизмы контроля за соблюдением требований закона.

    Что касается стран Европы, то здесь необходимо упомянуть общий регламент по защите данных (General Data Protection Regulation) — это законодательный акт Европейского союза, который был введен в действие 25 мая 2018 года. Он устанавливает единые правила для обработки персональных данных во всех странах ЕС и имеет существенное влияние на глобальные компании, которые работают с европейскими гражданами.

    Основы защиты персональных данных в РК

    Закон о персональных данных ставит перед собой следующие принципы в процессе сбора, обработки и защиты персональных данных:

    1. Соблюдения конституционных прав и свобод человека и гражданина. Принцип означает, что сбор, обработка и защита персональных данных должны осуществляться в соответствии с конституционными правами и свободами каждого человека и гражданина. Он подчеркивает необходимость уважения и защиты прав на приватность, неприкосновенность личной жизни и других связанных прав и свобод.

    2. Законности. Закон о персональных данных требует, чтобы сбор, обработка и защита персональных данных осуществлялись в рамках законодательства, установленного в стране. Субъекты персональных данных должны соблюдать правовые нормы и требования, которые регулируют процесс обработки персональных данных, включая получение согласия субъекта данных, когда это необходимо, и соблюдение ограничений, установленных действующим законом.

    3. Конфиденциальности персональных данных ограниченного доступа. Согласно этому принципу, персональные данные должны обрабатываться и храниться с высоким уровнем конфиденциальности. Только уполномоченные лица, имеющие соответствующие полномочия и необходимую надлежащую подготовку, могут иметь доступ к этим данным. Такие лица должны соблюдать конфиденциальность и не разглашать или использовать данные без соответствующего разрешения.

    4. Равенства прав субъектов, собственников и операторов. Субъекты данных, владельцы персональных данных и операторы данных должны обладать равными правами и возможностями в отношении сбора, обработки и защиты персональных данных. Никто не должен быть дискриминирован или лишен своих прав на основе расы, национальности, пола, религии или других факторов.

    5. Обеспечения безопасности личности, общества и государства. В целях защиты персональных данных требуется принятие мер по обеспечению безопасности персональных данных, чтобы предотвратить несанкционированный доступ, утечку информации или злоупотребление данными. Защита персональных данных способствует предотвращению преступной деятельности, сохранению конфиденциальности личной информации и обеспечению стабильности общества и государства.

    Вышеуказанные принципы обеспечивают баланс между необходимостью использования персональных данных в различных сферах и защитой прав и свобод субъектов данных. Важно, чтобы операторы данных и организации соблюдали эти принципы и принимали соответствующие меры для обеспечения конфиденциальности, безопасности и соблюдения законодательства в области персональных данных

    Принципы защиты персональных данных в ЕС

    Основная цель GDPR — защита персональных данных граждан ЕС. Для достижения такой цели законодательный акт устанавливает следующие принципы:

    1. Законность, справедливость и прозрачность. Всякий раз, когда вы обрабатываете персональные данные, у вас должна быть веская причина для этого. GDPR определяет этот принцип как законный. Причины обработки данных могут включать:

    — пользователь дал согласие на такую обработку;
    — это необходимо для выполнения контрактных условий;
    — это необходимо для выполнения юридических обязательств;
    — для защиты жизненно важных интересов физического лица;
    — это общественная задача, выполняемая в общественных интересах.

    Концепция справедливости, изложенная в GDPR, идет рука об руку с законностью. Это означает, что компания не должна намеренно скрывать информацию о том, какие или почему собираются данные. Прозрачность по своей сути связана со справедливостью: быть ясным, открытым и честным с субъектами данных в отношении того, кем является компания, почему и как компания обрабатывает персональные данные — это определение прозрачности. Следуя ему, компания действует справедливо по отношению к субъектам данных пользователей.

    2. Конкретные цели. Второй принцип GDPR устанавливает границы использования данных только для определенных видов деятельности. Это ограничение цели означает, что данные «собираются только для определенных, явных и законных целей», как указано в GDPR.

    Цели обработки данных должны быть четко установлены. И они также должны быть четко доведены до сведения лиц посредством уведомления о конфиденциальности.

    3. Минимизация данных. компания должна собирать только наименьший объем данных, который понадобится для достижения указанных целей. Например, если компания хочет собрать клиентов для своей рассылки по электронной почте, компании следует запросить только информацию, необходимую для такой рассылки. Необходимо избегать сбора личных данных, таких как номера телефонов или домашние адреса, которые напрямую не связаны с целью сбора и обработки данных.

    4. Точность. Компания должна обеспечить точность данных, которые подлежат сбору и хранению. Для этого необходимо установить систему сдержек и противовесов для обновления или удаления поступающих неверных или неполных данных. Также необходимо проводить регулярные проверки на актуальность сохраненных данных.

    5. Ограничение по хранению. Согласно GDPR, компания должна обосновать продолжительность хранения каждой части данных, подлежащих хранению. В рамках этого принципа необходимо установить сроки хранения данных в соответствии с политикой ограничения объема хранения.

    6. Целостность и безопасность. GDPR требует, чтобы компания сохраняла целостность и конфиденциальность собираемых данных, по сути, защищая их от внутренних или внешних угроз. В связи с этим компания должна защищать данные от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения.

    7. Подотчетность. Регулирующие органы GDPR знают, что организация может утверждать, что она соблюдает все правила, на самом деле этого не делая. Вот почему они требуют определенного уровня подотчетности: у компании должны быть соответствующие меры и записи в качестве доказательства соблюдения принципов обработки данных, в том числе назначение должностного лица по защите данных.

    Территория применения

    Одной особенностью GDPR является принцип экстерриториальности, согласно которому существует два сценария, когда GDPR применяется за пределами ЕС. В частности, к ним относятся следующие моменты:

    1. Предложение товаров или услуг. Владелец интернет-магазина, зарегистрированного в Казахстане, предлагает свои товары для продажи клиентам по всему миру. Одним из его клиентов является, например, житель Испании. В процессе покупки клиент предоставляет свои персональные данные (такие как имя, адрес и данные кредитной карты) для осуществления оплаты и доставки товара. В этом случае интернет-магазин должен собирать и обрабатывать персональные данные гражданина Испании в соответствии с GDPR.

    2. Обработка данных от имени других лиц. Человек, проживающий, например, в Швейцарии, может воспользоваться веб-сайтом другой страны вне ЕС, чтобы заказать офисную мебель. Сайт попросит предоставить информацию, такую как персональные и контактные данные, адрес и информацию по кредитной карте. Эта информация будет использована веб-сайтом для доставки офисной мебели предполагаемому получателю. В этом сценарии компания, обрабатывающая данные, базируется в Казахстане, но делает это от имени кого-то другого. Таким образом, не имеет значения, находится ли компания в Швейцарии или где-либо еще. Проще говоря, если компания собирает данные и отслеживает поведение жителей ЕС, тогда она подпадает под требования GDPR.

    Также важно отметить, что из этого закона есть два основных исключения. Первое исключение — в том, что GDPR применяется только к компаниям, которые делают это по коммерческим и профессиональным причинам. Второе исключение распространяется на все компании с численностью сотрудников менее 250 человек. Однако это не означает, что все малые и средние предприятия подпадают под действие закона в связи с наличием иных исключений.

    К сожалению, законодательстве Казахстана не предусматривает подобный метод защиты персональных данных за исключением случаев распространения персональных данных в общедоступных источниках, а также их передача третьим лицам осуществляется при условии согласия субъекта (трансграничная передача).

    Ответственность за нарушение/несоблюдение требования законодательства по персональным данным

    Штрафы за несоблюдение правил защиты данных, содержащихся в GDPR, могут быть внушающими для бизнеса, достигая до 20 000 000 евро либо 4% от годового оборота компании. Основная масса случаев привлечения к ответственности замечена в отношении зарубежных компаний в рамках нарушений, связанных с информационной безопасностью, биометрией и периодом хранения. Также GDPR предусматривает возможность блокировки интернет-ресурса либо приложения, включая запрет деятельность дочерних компаний, расположенных в ЕС.

    На данный момент в рамках законодательства РК предусмотрена следующая ответственность в отношении юридических лиц:

    — незаконный сбор и (или) обработка персональных данных;
    — неосуществление или ненадлежащее осуществление мер по защите персональных данных;
    — распространение персональных и биометрических данных с нарушением требования законодательства РК в средствах массовой информации или по сетям телекоммуникаций;
    — использование электронных информационных ресурсов, содержащих персональные данные физических лиц, для причинения им имущественного и (или) морального вреда.

    Штрафы по вышеуказанным правонарушениям варьируются от 50 до 7 500 долларов, что кажется вполне незначительным для крупных корпораций.

    В заключение можно отметить, что защита персональных данных является важной проблемой, требующей серьезного внимания и регулирования. Казахстан и Европа принимают соответствующие меры для защиты персональных данных, но подходы и стандарты могут немного различаться. Казахстан активно движется в направлении улучшения своего законодательства в области защиты персональных данных. В последние годы в стране был принят ряд важных мер, направленных на соблюдение прав граждан на конфиденциальность и безопасность их персональных данных.

    Однако несмотря на эти положительные изменения необходимо также рассмотреть возможность адаптации экстерриториального принципа. В современном цифровом мире данные могут легко перемещаться через границы, и защита персональных данных должна быть глобальной. Внедрение экстерриториального принципа позволит Казахстану расширить свою юрисдикцию и преследовать нарушителей правил обработки персональных данных, даже если они находятся за пределами страны.

    Кроме того, следует уделить внимание ужесточению штрафов за правонарушения в области персональных данных. Эффективная система санкций может стать серьезным стимулом для компаний и организаций соблюдать требования по защите персональных данных. Повышение штрафных санкций может значительно снизить вероятность нарушений и способствовать улучшению практик обработки персональных данных в Казахстане.

    В целом, Казахстан уже проделал значительную работу в области защиты персональных данных, однако еще предстоит сделать многое. Важно продолжать улучшать законодательство, принимать новые меры и учитывать международные стандарты, такие как GDPR, чтобы обеспечить эффективную защиту персональных данных граждан и обеспечить их права на приватность и безопасность в цифровой эпохе.

    Подписывайтесь на каналы Profit.kz в Facebook и Telegram.