Обзор законодательства Республики Казахстан: Персональные данные и их защита.

Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 2: Персональные данные и их защита

Законодательство Республики Казахстан о персональных данных и гарантии их защиты

Вопросы правового регулирования персональных данных, включая биометрические данные, их сбор, хранение, передачу, распространение и другие действия, методы защиты персональных данных регулируются в Казахстане законом Республики Казахстан «О персональных данных и их защите». Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Оглавление (показать/скрыть): Часть 1: Общий обзор
Часть 2: Персональные данные и их защита
Часть 3: Государственные секреты
Часть 4: Доступ к информации
Часть 5: Служебная информация. Регулирование оборота служебной инфоомации
Часть 6: Иные тайны, установленные законодательством Республики Казахстан
Часть 7: Коммерческая тайна
Часть 8: Криптографическая защита информации
Часть 9: Техническая защита информации и информационной инфраструктуры
Часть 10: Электронная разведка/слежка/прослушка
Часть 11: Борьба с киберпреступностью

Закон определяет персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе; а биометрические данные как персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.

Закон разграничивает персональные данные по категории доступа к ним. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации и т.д. Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

По общему правилу, сбор персональных данных осуществляется с согласия субъекта, которому принадлежат эти персональные данные, или его законного представителя. Однако закон устанавливает перечень случаев, когда сбор персональных данных осуществляется без согласия субъекта или его законного представителя:

1) осуществления деятельности правоохранительных органов и судов, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
10) в иных случаях, установленных законами Республики Казахстан.

Субъект, которому принадлежат персональные данные или его законный представитель дает ( или отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Лицо, которое осуществляет сбор, хранение, передачу, распространение или другие действия с персональными данными, в соответствии с Законом называется оператор персональных данных. В качестве оператора баз персональных данных может выступать государственный орган, физическое и (или) любое другое юридическое лицо, которые осуществляют сбор, обработку и защиту персональных данных.

Законом предусматриваются следующие действия (операции) по обработке персональных данных:

*Действия (операции) по обработке персональных данных*	*Описание действий (операций) по обработке персональных данных*
Обработка персональных данных	Действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных
Сбор персональных данных	Действия, направленные на получение персональных данных
Блокирование персональных данных	Действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных
Накопление персональных данных	Действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные
Уничтожение персональных данных	Действия, в результате совершения которых невозможно восстановить персональные данные
Обезличивание персональных данных	Действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно
Использование персональных данных	Действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица
Хранение персональных данных	Действия по обеспечению целостности, конфиденциальности и доступности персональных данных
Распространение персональных данных	Действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранных государств.

Субъект, которому принадлежат персональные данные, наделен следующими правами:

1) вправе знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) отозвать согласие на сбор, обработку персональных данных, кроме случаев законом;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

Собственник и (или) оператор баз персональных данных является обязанными лицами, и в соответствии с законом на них возлагаются следующие обязательства:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Гарантии защиты персональных данных— защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.

По закону уполномоченный орган в сфере персональных данных является Правительство Республики Казахстан, которое наделено следующей компетенцией:
1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;
2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;
3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.

Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Общий надзор за соблюдение законодательства о персональных данных и их защите осуществляют органы прокуратуры. За нарушение требований законодательства предусмотрена ответственность:

*Виды правовой ответственности*	*Описание норм ответственности за нарушение требований законодательства о персональных данных и их защите*
Уголовная ответственность	Статья 147 Уголовного Кодекса Республики Казахстан. Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите 1. Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц, — наказывается штрафом в размере до трех тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до двух лет, либо лишением свободы на тот же срок с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 2. Незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и (или) обработки иных персональных данных – наказывается штрафом в размере до пяти тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до трех лет, либо лишением свободы на тот же срок. 3. Деяния, предусмотренные частью второй настоящей статьи, совершенные лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации, передаваемой по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, или организаций – наказываются лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет или без такового. 4. Распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконного сбора и (или) обработки иных персональных данных – наказывается лишением свободы на срок до пяти лет. 5. Распространение сведений, указанных в части четвертой настоящей статьи, в публичном выступлении, публично демонстрирующемся произведении, в средствах массовой информации или с использованием сетей телекоммуникаций – наказывается лишением свободы на срок до семи лет.
Административная ответственность	Статья 79 Кодекса Республики Казахстан «Об административных правонарушениях». Нарушение законодательства Республики Казахстан о персональных данных и их защите 1. Незаконный сбор и (или) обработка персональных данных – влекут штраф на физических лиц в размере двадцати, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере тридцати, на субъектов среднего предпринимательства – в размере пятидесяти, на субъектов крупного предпринимательства – в размере ста месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой. 2. Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность – влекут штраф на физических лиц в размере пятидесяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере семидесяти пяти, на субъектов среднего предпринимательства – в размере ста, на субъектов крупного предпринимательства – в размере двухсот месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой. 3. Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных – влечет штраф на физических лиц в размере ста, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере ста пятидесяти, на субъектов среднего предпринимательства – в размере двухсот, на субъектов крупного предпринимательства – в размере трехсот месячных расчетных показателей. 4. Деяние, предусмотренное частью третьей настоящей статьи, повлекшее утерю, незаконный сбор и (или) обработку персональных данных, если эти деяния не влекут установленную законом уголовную ответственность, – влечет штраф на физических лиц в размере двухсот, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятисот, на субъектов среднего предпринимательства – в размере семисот, на субъектов крупного предпринимательства – в размере тысячи месячных расчетных показателей.
Гражданско-правовая ответственность	1.Оспаривание действия (бездействия) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленной главой 29 Гражданского процессуального Кодекса Республики Казахстан. 2. Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном Гражданским процессуальным Кодексом Республики Казахстан.