Для Казахстана, который проходит процесс массовой цифровизации с целью интеграции в глобальные информационные и экономические процессы, помимо законодательных и других инициатив, необходимых для регулирования этой сферы, важно сконцентрировать усилия на повышении осведомленности о важности защиты персональных данных и продвижении культуры цифровых прав посредством цифровой грамотности и кибергигиены. Очевидно, что Казахстану достаточно сложно балансировать между тремя основными игроками – ЕС, РФ и КНР – в поиске и разработке собственного подхода к защите персональных данных на практике.

Хранение и использование персональных данных, которые предоставляют пользователи социальных сетей и различных онлайн сервисов, привлекает к себе все больше внимания. В последнее время можно наблюдать споры между правительствами стран и интернет-компаниями, которые собирают, хранят и используют персональные данные своих пользователей. Но если в демократических открытых обществах широко обсуждаются вопросы «справедливого» налогообложения интернет-компаний, гарантий тайны персональных данных, то для Казахстана более актуальными являются вопросы доступа государственных органов к персональным данным, собираемым и хранящимся интернет-компаниями, а также вопросы соблюдения прав граждан (в том числе — и цифровых).

Начать следует с того, что Республика Казахстан не является участником Конвенции о защите физических лиц при автоматизированной обработке персональных данных ETS от 28.01.1981 № 108. Тем не менее, подходы к регулированию рассматриваемой сферы вполне близки к принципам и положениям данного документа. Общая структура регулирования является компактной и содержит минимально необходимый набор нормативных актов, включая основной закон о персональных данных и их защите и подзаконные акты в виде постановлений Правительства РК и приказов Министерства цифрового развития, инноваций и аэрокосмической промышленности республики.

Этим “legal corpus” регулируются общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных безотносительно характера действий (как с использованием средств автоматизации, так и без таковых). Регулирование обработки и защиты персональных данных императивно вынесено за пределы действия закона  в части отношений, касающихся: 

• личных и семейных нужд; 

• формирования, хранения и использования архивных документов; 

• защиты государственных секретов; разведывательной, контрразведывательной, оперативно-розыскной деятельности; 

• осуществления охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов.

Понятийный аппарат казахского закона о персональных данных, как отмечают эксперты, “является достаточно развитым и в целом соответствует положениям Конвенции от 28.01.1981 № 108”. Согласно закону от 21 мая 2013 года, персональные данные — это «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». Главной целью этого закона является «обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных» (ст. 2), при этом о хранении речи пока не идет.

Заметим, что указанное определение персональных данных вполне естественным образом порождает вопрос о юридическом статусе тех из них, которые сообщены устно или же с помощью средств голосовой связи. 

Законодательство Казахстана опирается на базовый субинститут предоставления субъектом персональных данных своего явно выраженного согласия. При этом отсутствует указание на такие условия правомерности обработки персональных данных, как конклюдентные действия субъекта и на договорные отношения между субъектом и собственником (оператором). Законодатель также фиксирует возможность обработки персональных данных в иных установленных законодательством случаях. Особенностью является правомерность обработки персональных данных в случае неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с действующими НПА.

Также в казахском законе о персональных данных де-факто отсутствует общий концепт оператора, роль которого выполняют «собственник базы, содержащей персональные данные» (лицо, реализующее в соответствии с законами право владения, пользования и распоряжения базой, содержащей персональные данные) и «оператор базы, содержащей персональные данные» (лицо, осуществляющее сбор, обработку и защиту персональных данных). Другой особенностью регулирования является отсутствие в определении собственника и оператора такого квалифицирующего признака как целеполагание обработки персональных данных. Тем самым, реализована схема из двух основных полномочий субъекта персональных данных – права на доступ к данным и права на обжалование действий или бездействия собственника (оператора). 

В ноябре 2020 года вступил в силу приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан «Об утверждении правил сбора, обработки персональных данных». Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных. Согласно документу, сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем персональных данных, необходимом и достаточном для выполнения осуществляемых задач.

При этом перечень персональных данных определяется и утверждается в соответствии с правилами определения собственником или оператором перечня персональных данных. Сбор и обработка собственником или оператором персональных данных допускается в объеме, определенном перечнем персональных данных, необходимом и достаточном для выполнения осуществляемых задач. При этом перечень персональных данных определяется и утверждается в соответствии с правилами определения собственником или оператором перечня персональных данных.

Отдельно говорится об обработке персональных данных в деятельности судов. Так, тексты судебных актов Верховного суда Казахстана, местных и других судов, за исключением текстов судебных актов, предусматривающих положения, которые содержат сведения, составляющие государственную или иную охраняемую законом тайну, а также судебные акты по делам, рассмотренным в закрытом судебном разбирательстве, размещаются на сервисах «Судебный кабинет», «Банк судебных актов» интернет-ресурса Верховного суда в полном объеме. Для обеспечения безопасности участников судебного процесса и защиты охраняемой законом тайны при сборе и использовании либо распространении третьими лицами судебных актов из них исключаются (обезличиваются) персональные данные. При этом третьи лица принимают на себя обязательства по обеспечению выполнения требований закона

Что касается вопросов безопасности персональных данных при их обработке, то следует отметить, что в действующем на сегодняшний день законодательстве Казахстана присутствует только лишь частичная регламентация необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий. 

Тем не менее, существуют отдельные императивные нормы о предотвращении несанкционированного доступа к персональным данным, о своевременном обнаружении фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить, и о минимизации неблагоприятных последствий несанкционированного доступа к персональным данным.

Трансграничная передача персональных данных определена как передача персональных данных на территорию иностранных государств безотносительно статуса получающей стороны. Иначе говоря, трансграничной будет признана передача персональных данных с территории Казахстана на территорию другого государства, даже в том случае, если такая передача производится внутри одной базы данных, собственником либо оператором которой является резидент РК. Особенностью является отсутствие субинститута получения предварительного разрешения уполномоченного органа для передачи персональных данных на территорию иностранного государства, если оно не обеспечивает удовлетворительный уровень защиты персональных данных. Кроме того, существует норма о «локализации» персональных данных, а именно: «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан».

30 декабря 2021 года Президентом РК Касым-Жомартом Токаевым был подписан Закон № 96-VII ЗРК, который вносит изменения в нынешнее законодательство о персональных данных. Поправки, среди прочего, закрепили обязанности собственника и оператора персональных данных:

• утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных,

• предоставлять по запросу уполномоченного органа по защите персональных данных в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и оператором требований законодательства о защите таких данных.

В настоящее время регулятор уделяет пристальное внимание нарушениям при обработке персональных данных в интернете. Неправильное оформление процессов обработки  персональных данных может привести к нарушению казахстанского закона "О персональных данных и их защите" и европейского Регламента по защите данных, General Data Protection Regulation (в случае, если предприятие из Казахстана целенаправленно работает на рынок ЕС), и, как следствие, к достаточно высокому административному штрафу. Максимальный размер штрафа:

• по национальному законодательству — до 306 300 тенге (ст.641 КоАП РК);

• по европейскому законодательству — до 20 000 000 евро или до 4% от годового мирового оборота компании (ст.83 GDPR).

Тем не менее, несмотря на позитивные шаги по “европейскому пути” обработки  персональных данных на принципах GDPR, нельзя не отметить и целого ряда проблем в этой сфере. Во-первых, согласно данным, приведенным на сайте Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, «вопросы защиты оставлены на усмотрение собственников и операторов персональных данных (владельцы интернет-ресурсов, интернет-магазины, кредитные бюро, микрофинансовые, организации и др.)». При этом технические требования по защите информации в информационных системах, содержащих персональные данные, установлены только для государственного сектора. 

Во-вторых, в стране (так же, как и в РФ) отсутствует профильный орган по защите персональных данных (по типу европейского Data Protection Agency): органы прокуратуры Республики Казахстан осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты. 

Закончить этот разговор хотелось бы цитатой эксперта Анны Гусаровой, мнение которой мы полностью разделяем: “Казахстан, безусловно, нуждается в том, чтобы сделать интернет более безопасным, особенно учитывая растущее использование сектора e-commerce и повышение уровня цифровизации личной информации граждан через платформу электронного правительства (e-gov). Однако используемые методы и большое количество граждан, которые невольно совершали интернет-преступления или были наказаны за свою политическую активность, сигнализируют о приоритете обеспечения безопасности в отношении индивидуальных свобод и персональных данных”

DRC Group совсем недавно пришла на IT-рынок Казахстана, однако уже успела открыть свои представительства сначала в Алматы, а несколько дней назад — и в столице республики Нур-Султане. Юристы Digital Rights Center Qazaqstan оказывают всестороннюю защиту и помощь компаниям - операторам ПД, а также лицам, пострадавшим от утечки или незаконной обработки персональных данных в интернете. Мы готовы проверить вашу компанию, отдельные процессы, продукты и программные обеспечения на соответствие национальному законодательству Республики Казахстан и GDPR. В результате перед вами откроется полная картина работы с персональными данными внутри вашего бизнеса, что позволит устранить имеющиеся недочеты, продемонстрировать Privacy Compliance партнерам и надзорным органам.