Обзор законодательства Республики Казахстан в сфере информационной безопасности. Часть 2: Персональные данные и их защита
Законодательство Республики Казахстан о персональных данных и гарантии их защиты
Вопросы правового регулирования персональных данных, включая биометрические данные, их сбор, хранение, передачу, распространение и другие действия, методы защиты персональных данных регулируются в Казахстане законом Республики Казахстан «О персональных данных и их защите». Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.
- Оглавление (показать/скрыть)
- Часть 1: Общий обзор
Часть 2: Персональные данные и их защита
Часть 3: Государственные секреты
Часть 4: Доступ к информации
Часть 5: Служебная информация. Регулирование оборота служебной инфоомации
Часть 6: Иные тайны, установленные законодательством Республики Казахстан
Часть 7: Коммерческая тайна
Часть 8: Криптографическая защита информации
Часть 9: Техническая защита информации и информационной инфраструктуры
Часть 10: Электронная разведка/слежка/прослушка
Часть 11: Борьба с киберпреступностью
Закон определяет персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе; а биометрические данные как персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.
Закон разграничивает персональные данные по категории доступа к ним. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации и т.д. Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.
По общему правилу, сбор персональных данных осуществляется с согласия субъекта, которому принадлежат эти персональные данные, или его законного представителя. Однако закон устанавливает перечень случаев, когда сбор персональных данных осуществляется без согласия субъекта или его законного представителя:
1) осуществления деятельности правоохранительных органов и судов, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
10) в иных случаях, установленных законами Республики Казахстан.
Субъект, которому принадлежат персональные данные или его законный представитель дает ( или отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.
Лицо, которое осуществляет сбор, хранение, передачу, распространение или другие действия с персональными данными, в соответствии с Законом называется оператор персональных данных. В качестве оператора баз персональных данных может выступать государственный орган, физическое и (или) любое другое юридическое лицо, которые осуществляют сбор, обработку и защиту персональных данных.
Законом предусматриваются следующие действия (операции) по обработке персональных данных:
Действия (операции) по обработке персональных данных | Описание действий (операций) по обработке персональных данных |
Обработка персональных данных | Действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных |
Сбор персональных данных | Действия, направленные на получение персональных данных |
Блокирование персональных данных | Действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных |
Накопление персональных данных | Действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные |
Уничтожение персональных данных | Действия, в результате совершения которых невозможно восстановить персональные данные |
Обезличивание персональных данных | Действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно |
Использование персональных данных | Действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица |
Хранение персональных данных | Действия по обеспечению целостности, конфиденциальности и доступности персональных данных |
Распространение персональных данных | Действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом |
Трансграничная передача персональных данных | Передача персональных данных на территорию иностранных государств. |
Субъект, которому принадлежат персональные данные, наделен следующими правами:
1) вправе знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) отозвать согласие на сбор, обработку персональных данных, кроме случаев законом;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.
Собственник и (или) оператор баз персональных данных является обязанными лицами, и в соответствии с законом на них возлагаются следующие обязательства:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.
Гарантии защиты персональных данных— защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
По закону уполномоченный орган в сфере персональных данных является Правительство Республики Казахстан, которое наделено следующей компетенцией:
1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;
2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;
3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.
Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
Общий надзор за соблюдение законодательства о персональных данных и их защите осуществляют органы прокуратуры. За нарушение требований законодательства предусмотрена ответственность:
Виды правовой ответственности | Описание норм ответственности за нарушение требований законодательства о персональных данных и их защите |
Уголовная ответственность |
Статья 147 Уголовного Кодекса Республики Казахстан. Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите 1. Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц, — |
Административная ответственность |
Статья 79 Кодекса Республики Казахстан «Об административных правонарушениях». Нарушение законодательства Республики Казахстан о персональных данных и их защите 1. Незаконный сбор и (или) обработка персональных данных – |
Гражданско-правовая ответственность |
1.Оспаривание действия (бездействия) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленной главой 29 Гражданского процессуального Кодекса Республики Казахстан. 2. Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном Гражданским процессуальным Кодексом Республики Казахстан. |
Обзор подготовлен ОФ «Правовой медиа-центр Астана по заказу Digital.Report
Читать далее: Часть 3: Государственные секреты
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link