Цифровая приватность

Подходы к защите цифровой приватности в странах Центральной Азии

Защита персональных данных является одной из важнейших задач в условиях повсеместного проникновения интернета в странах Центральной Азии.
Елжан Кабышев Руслан Дайырбеков
Елжан Кабышев & Руслан Дайырбеков
21 мин на чтение
Подходы к защите цифровой приватности в странах Центральной Азии

Содержание

Введение

Защита персональных данных является одной из важнейших задач в настоящее время в условиях повсеместного проникновения интернета в странах Центральной Азии. Каждая страна имеет свои законы, которые регулируют сбор, хранение и использование персональных данных граждан. В данной статье мы сосредоточимся на сравнении законодательства по персональным данным в Центральной Азии, включая Казахстан, Кыргызстан, Узбекистан и Таджикистан. В данном материале авторы проанализируют основные положения законодательства, его достоинства и недостатки, а также сравним уровень защиты персональных данных в каждой из этих стран. Кроме того, мы также рассмотрим некоторые проблемы, связанные с защитой персональных данных в Центральной Азии и возможные пути их решения.

В странах Центральной Азии действуют специальные законы, регулирующие отношения, связанные со сбором и обработкой персональных данных.

Страна

Наименование закона

Дата принятия

Ссылка (webarchive)

Казахстан

“О персональных данных и их защите” N 94-V

21 мая 2013 года

https://web.archive.org/web/20230315110225/https://adilet.zan.kz/rus/docs/Z1300000094/z13094.htm

Кыргызстан

“Об информации персонального характера” №58

14 апреля 2008 года

https://web.archive.org/web/20230315110110/http://cbd.minjust.gov.kg/act/view/ru-ru/202269

Узбекистан

“О персональных данных” №ЗРУ-547

02 июля 2019 года

https://web.archive.org/web/20230315110408/https://lex.uz/docs/4396428

Таджикистан

“О защите персональных данных” №1537

03 августа 2018 года

https://web.archive.org/web/20230315110758/http://ncz.tj/content/%D0%BE-%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5-%D0%BF%D0%B5%D1%80%D1%81%D0%BE%D0%BD%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85-%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85

Персональные данные подпадают под более широкое понятие права на защиту частной жизни (приватность). По казахстанскому законодательству приватность относится к личным неимущественным благам (статья  115 ГК РК), также как и в Кыргызстане (статья 50 ГК КР), Таджикистане (статья 140 ГК РТ) и Узбекистане (статья 99 ГК РУ).

На уровне узбекистанского специального закона о персональных данных, законный представитель вправе распоряжаться персональными данными своего доверителя, в случае если субъект признан недееспособным или ограниченным в дееспособности. Однако данная формулировка противоречит атрибутам личных неимущественных прав, указанных в ГК РУ:
“Жизнь и здоровье, честь и достоинство личности, личная неприкосновенность, деловая репутация, неприкосновенность частной жизни, частная и семейная тайна, право на имя, право на изображение, право авторства, иные личные неимущественные права и другие нематериальные блага, принадлежащие гражданину от рождения или в силу закона, не отчуждаемы и не передаваемы иным способом. В случае и в порядке, предусмотренных законом, личные неимущественные права и другие нематериальные блага, принадлежавшие умершему, могут осуществляться и защищаться другими лицами, в том числе наследниками правообладателя”.

В таджикистанском законодательстве о персональных данных права субъектов персональных данных сужены до права на доступ к его персональным данным. Такие права как на предоставление согласие и его отзыв указаны как отдельные пункты общего раздела, связанных с процессом сбора, обработки и хранения персональных данных, а не непосредственно с правовым положением субъекта персональных данных.

Таблица сравнений основных понятий

Понятие

Казахстан

Кыргызстан

Узбекистан

Таджикистан

Персональные данные

персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе

информация персонального характера (персональные данные) – зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.


персональные данные – зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации

персональные данные – сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность

Субъект персональных данных

субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные

субъект персональных данных (субъект) – физическое лицо, к которому относятся соответствующие персональные данные

субъект персональных данных (субъект) – физическое лицо, к которому относятся персональные данные

субъект персональных данных – физическое лицо, к которому относятся соответствующие персональные данные

Оператор персональных данных

оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных

держатель (обладатель) массива персональных данных -- органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом

оператор базы персональных данных (оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющее обработку персональных данных

оператор базы данных – государственный орган, физическое и юридическое лицо, осуществляющие на основании законодательства Республики Таджикистан или договора с обладателем обработку и защиту персональных данных

Собственник или обладатель базы персональных данных

собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные

держатель (обладатель) массива персональных данных – органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом

собственник базы персональных данных (собственник) — государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных

обладатель базы данных – государственный орган, физическое и юридическое лицо, имеющие в соответствии с законодательством Республики Таджикистан право владения, пользования, распоряжения базой данных

Третье лицо

третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных

обработчик – физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора

третье лицо – любое лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними обстоятельствами или отношениями по обработке персональных данных

третье лицо – лицо, не являющееся субъектом, обладателем и оператором, но связанное с ними обстоятельствами или правоотношениями по персональным данным

База персональных данных

база, содержащая персональные данные – совокупность упорядоченных персональных данных

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

база персональных данных – база данных в виде информационной системы, содержащая в своем составе персональные данные

база персональных данных – совокупность упорядоченных персональных данных

Права и обязанности

В данной таблице указаны права и обязанности субъектов и операторов персональных данных.


Казахстан

Кыргызстан

Узбекистан

Таджикистан

Права субъектов ПД

1. Право доступа к ПД, включая подтверждение факта, цели, источников, способов сбора и обработки персональных данных; перечень ПД; сроки обработки и хранения ПД.

2. Требовать изменения, дополнения, блокирования, уничтожения ПД.

3. Давать и отзывать согласие на распространение, передачу ПД.

4. Право на обращение за защитой своих ПД.


1. Давать и отзывать согласие.

2. Не указывать причины отказа в предоставлении ПД.

2. Право доступа к ПД, в том числе

- подтверждение факта обработки ПД, правовые основания и цели обработки ПД;

- цели и применяемые способы обработки ПД;

- наименование и место нахождения держателя (обладателя) массива ПД, сведения о лицах, которым были переданы ПД, обрабатываемые ПД, источник их получения;

- сроки обработки и хранения ПД;

- порядок осуществления субъектом ПД своих прав, предусмотренных настоящим Законом;

- информацию об осуществленной или о предполагаемой трансграничной ПД;

- иные сведения.

1. Право доступа к ПД, включая знать о наличии своих ПД и их состав; требовать временного приостановления обработки ПД;

2. Давать и отзывать согласие на обработку ПД, в том числе на:

- передачу ПД, в том числе на трансграничную передачу ПД;

- распространение ПД;

3. Право на изменение;  дополнение, уничтожение, получение копий ПД;

4. Право на отказ в предоставлении ПД;

5. Право не указывать причину отказа в предоставлении ПД

6. Право на обращение за защитой своих ПД;

7. Не подвергаться принятию решения на основании исключительно автоматизированной обработки ПД, порождающей юридические последствия, за исключением случаев:

- наличия согласия;

- во исполнение договорных обязательств;

- предусмотренных законодательством.


1. Право доступа к ПД, включая факт сбора и обработки; основания и цели сбора; цель и применяемые способы; информация о передаче ПД, в т.ч. о трансграничной передаче ПД; сроки сбора, обработки и хранения ПД; порядок осуществления субъектом прав.

2. Право на уточнение, изменение, блокирование, уничтожение ПД;

3. Право на обращение за защитой своих ПД;

4. Давать и отзывать согласие на обработку ПД, в том числе на:

- распространение ПД;

- передачу ПД, в том числе на трансграничную передачу ПД 


Обязанности субъектов ПД

1. Предоставлять ПД в законных случаях

1. Право предоставления своих ПД держателям (обладателям) массивов ПД

2. Право доступа к своим ПД, внесения изменений в свои ПД, блокирования своих ПД.

3. К которым применена мера пресечения до предъявления обвинения в органах

Ограничение прав доступа субъекта к своим ПД, не предусмотренное выше, не допускается.

1. Предоставлять ПД в законных случаях

1. Предоставлять ПД в законных случаях

Права операторов ПД

1. Использовать ПД при наличии согласия субъекта ПД и только в целях ранее заявленным при сборе ПД и правам и обязанностям оператора ПД. Согласие может быть отсутствовать

2. Использовать ПД без согласия ПД в законных случаях.

1. Использовать ПД при наличии согласия субъекта ПД и только в целях ранее заявленным при сборе ПД и правам и обязанностям оператора ПД. Согласие может быть отсутствовать

2. Использовать ПД без согласия ПД в законных случаях.

1. Использовать ПД при наличии согласия субъекта ПД и только в целях ранее заявленным при сборе ПД и правам и обязанностям оператора ПД. Согласие может быть отсутствовать

2. Использовать ПД без согласия ПД в законных случаях.

1. Использовать ПД при наличии согласия субъекта ПД и только в заранее определенных, законных и конкретных целях.

2. Использовать ПД без согласия ПД в законных случаях.

Обязанности операторов ПД

1. Утверждать перечень ПД

2. утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты ПД

3. принимать и соблюдать меры по защите ПД

4. предоставлять информацию по запросу уполномоченного органа

5. принимать меры по уничтожению ПД

6. иметь представлять доказательство о получении согласия субъекта

7. предоставлять информацию субъекту по его запросу и исполнять законные требования, в том числе:

- изменить, дополнить, блокировать, уничтожить ПД,

- снять блокирование ПД

- предоставлять безвозмездно

8. Назначить ответственное лицо

1. Утверждать перечень ПД

2. Получать ПД непосредственно от субъекта, его доверенных лиц

3. Обеспечивать режим конфиденциальности

4. Предоставлять ПД в течение 7 дней после поступления запроса от субъекта

5. в случае отказа выдавать письменный мотивированный ответ в течение 7 дней

6. Представлять по запросам уполномоченного государственного органа или Омбудсмена (Акыйкатчы) в течение 7 дней информацию, необходимую для исполнения их полномочий

7. Принимать необходимые меры по защите персональных данных

1. Предоставлять информацию по запросу;

2. Утверждать перечень ПД;

3. Принимать меры по защите ПД;

4. Принимать меры по уничтожению ПД;

5. Обрабатывать ПД только в рамках заявленных целей;

6. Иметь и предоставлять доказательство о получении согласия со стороны субъекта ПД;

7. Уведомлять субъекта ПД о передаче ПД;

8. Осуществлять сбор, систематизацию и хранение ПД на территории страны;

9. Исполнять законные требования субъекта ПД, государственных органов, в том числе:

- изменить, дополнить, временно приостановить обработку ПД;

- уведомлять участников обработки ПД в случаях изменения, уничтожения ПД и ограничения доступа к ним;

- рассматривать возражение об отказе в автоматизированной обработке ПД

1. Утверждать перечень ПД;

2. Принимать меры по уничтожению ПД;

3. Иметь и предоставлять доказательство о получении согласия со стороны субъекта ПД;

4. Предоставлять информацию по запросу;

5. Принимать меры по защите ПД;

6. Обезличивать ПД в целях проведения статистических, социологических, научных исследований;

7. Уведомлять субъекта о передаче ПД;

8. Исполнять законные требования субъекта ПД, государственных органов

Ответственность за правонарушения, связанные с персональными данными

Ответственность за правонарушения, связанные с персональными данными, зависит от конкретных обстоятельств случая, а также от действующих в данной стране законодательных норм и правил.

Административные правонарушения

Отдельных статей за непосредственное нарушение законодательства о персональных данных в Кыргызстане и Таджикистане отсутствуют.

Уголовные преступления

🌐
В данном разделе термин “атимия” применяется для сокращения определения дополнительного наказания за уголовное преступление, выраженное в лишении права занимать определенную должность или заниматься определенной деятельностью.
Атимия (гр. atimia) – в Древней Греции полное или частичное лишение гражданских прав. Атимия происходила либо вследствие наказания, наложенного судом за определенные проступки и преступления, либо непосредственно вытекала из неисполнения определенных обязанностей по отношению к государству, Большой юридический словарь, дата: 27 сентября 2022 года.

Статья 147 Уголовного кодекса Республики Казахстан. Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите

1. Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц.

2. Незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и (или) обработки (за исключением распространения) иных персональных данных.

3. Деяния, предусмотренные частью второй настоящей статьи, совершенные лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации, передаваемой по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, или организаций, а равно в отношении лица или его близких в связи с осуществлением данным лицом служебной деятельности либо выполнением профессионального или общественного долга с целью воспрепятствования такой деятельности или из мести за нее.

4. Распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконного распространения иных персональных данных.

5. Совершение действий, предусмотренных частью четвертой настоящей статьи, в публичном выступлении, публично демонстрирующемся произведении, в средствах массовой информации или с использованием сетей телекоммуникаций, в том числе через Интернет, а равно в отношении лица или его близких в связи с осуществлением данным лицом служебной деятельности либо выполнением профессионального или общественного долга с целью воспрепятствования такой деятельности или из мести за нее.

Статья 190 Уголовного кодекса Кыргызской Республики. Нарушение неприкосновенности частной жизни

1. Незаконные сбор, хранение, использование и распространение конфиденциальной информации о частной жизни человека без его согласия, кроме случаев, установленных законом.

2. Незаконное использование либо распространение личной или семейной тайны в произведении, при выступлении в средствах массовой информации либо ином публичном выступлении, а равно совершенные лицом с использованием своего служебного положения.

Статья 144 Уголовного кодекса Республики Таджикистан. Незаконное собирание и распространение информации о частной жизни

1. Незаконное собирание или распространения сведений о частной жизни, составляющих личную или семейную тайну другого лица, без его согласия либо распространение таких сведений в публичном выступлении, произведении, средствах массовой информации или сети интернет если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам гражданина.

2. Те же деяния, совершенные лицом с использованием своего служебного положения.

Статья 141.2. Уголовного кодекса Республики Узбекистан. Нарушение законодательства о персональных данных

1. Незаконный сбор, систематизация, хранение, изменение, дополнение, использование, предоставление, распространение, передача, обезличивание и уничтожение персональных данных, а равно несоблюдение при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, требований по сбору, систематизации и хранению персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан, и в базах персональных данных, зарегистрированных в установленном порядке в Государственном реестре баз персональных данных, совершенное после применения административного взыскания за такие же действия.

2. Те же действия:

а) совершенные по предварительному сговору группой лиц;

б) совершенные повторно или опасным рецидивистом;

в) совершенные из корыстных или иных низменных побуждений;

г) совершенные с использованием служебного положения;

д) повлекшие тяжкие последствия.

Курс валют стран Центральной Азии с долларом США и соответствующие величины на 16 марта 2023 года:

Влияние законов о персональных данных на интернет-пространство

Казахстанский аспект

Специальный закон о персональных данных был принят в 2013 году. На то время он не оказал существенного влияния на интернет, в связи с тем, что практически отсутствовало применение на практике установленных норм закона, отсутствовал уполномоченный государственный орган, не было требования о локализации персональных данных.

Норма о локализации персональных данных была введена в 2016 году. Хоть и до этого не было прямого указания о локализации, однако чтобы провести законную процедуру трансграничной передачи персональных данных в любом случае оператору требуется согласие субъекта.

Интернет-ресурсы, имеющие казахстанские доменные имена .kz и .қаз, также обязаны размещаться на территории Казахстана. Нарушение этого требования влечет приостановление пользованием доменным именем.

Таким образом, государство обеспечивает меры по защите персональных данных в интернет-пространстве.

Однако наиболее эффективные изменения и дополнения в закон были внесены с 2020 года, среди которых существенными можно отметить:

  • появление регулятора;
  • сервисы контроля доступа к персональным данным;
  • информирование граждан об утечке их персональных данных.

Также планируются введение понятия утечек персональных данных и наделение функциями государственного контроля регулятора.

Кыргызстанский аспект

Специальный закон в Кыргызстане самый старый среди стран Центральной Азии, однако не было видно влияние закона на интернет-пространство из-за слабой правоприменительной практикой и отсутствия уполномоченного органа.

В январе 2022 года Фонд «Сорос-Кыргызстан» поделился информацией, что около 80% интернет-сайтов собирают личные данные кыргызстанцев без их согласия. Было изучено свыше 500 кыргызстанских сайтов.

По данным исследования, подавляющее большинство изученных компаний незаконно собирают личные данные и не знакомят пользователей с перечнем собираемых персональных данных (ФИО, адрес, номера банковских карточек и так далее), а также не говорят о целях сбора данных и обработке, их правах, сроках хранения и об их защите.

«Из 180 веб-сайтов, которые запрашивали персональные данные, только 35 заручаются согласием на сбор данных. Более того, 40% веб-сайтов находились за пределами страны. При этом только 6 компаний в форме согласия отобразили пункты о трансграничной передаче данных».

Таджикистанский аспект

Закон о персональных данных в Таджикистане был принят в 2018 году. Закон не ограничивает доступ к интернету, он устанавливает правила сбора, хранения, использования и распространения персональных данных в Таджикистане, в том числе в интернете.

Закон оказал влияние на интернет-пространство в Таджикистане, так как он требует от владельцев сайтов и онлайн-сервисов соблюдения правил и требований при обработке персональных данных пользователей. В частности, владельцы сайтов и сервисов должны получать согласие пользователей на обработку их персональных данных и уведомлять их об этом.

Закон обязывает владельцев сайтов и сервисов принимать меры по защите персональных данных пользователей. В законе указаны следующие меры по защите персональных данных:

  • предотвращение несанкционированного доступа к персональным данным;
  • своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • минимизация неблагоприятных последствий несанкционированного доступа к персональным данным.

Это может включать использование шифрования данных, установку механизмов аутентификации и контроля доступа, а также установку мер безопасности для защиты данных от вирусов, хакеров и других угроз.

Как указано в Законе РТ “О защите информации” от 2002 года, обязательной сертификации, то есть соответствующих государственных стандартов в области защиты информации, подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом,  а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной  сертификации, разрабатывается и утверждается государственным органом, координирующим деятельность системы сертификации средств защиты информации, – Главное управление по защите государственных секретов при Правительстве Республики Таджикистан.

Нарушение правил технической защиты информации, использование без соответствующего сертификата уполномоченного органа технических средств защиты информации, поступившей из-за границы; поставка (реализация) и использование технических средств защиты информации, не соответствующих требованиям стандартов влекут административную ответственность в виде штрафа до 232 $ (40 РПР, ст. 507 КоАП РТ).

Как отмечается в материале “Интернет и правонарушение” (Курбоншоев Х.), распространение изображения в интернете является одним из частых правонарушений, затрагивающей аспект персональных данных. Законодательство РТ запрещает использование фотографии других лиц. Согласно ст. 176 (право на изображение) Гражданского кодекса РТ:

  • Никто не имеет право использовать изображение какого-либо лица без его согласия, а в случае его смерти без согласия наследников.
  • Опубликование, воспроизведение и распространение изобразительного произведения (картина, фотография, кинофильм, и другие), в котором изображено другое лицо, допускается лишь с согласия изображенного, а после его смерти с согласия его детей, и пережившего супруга.
  • Такого согласия не требуется, если это установлено законом, либо изображенное лицо позировало за плату.

Исключение бывают в таких случаях:

  • если лицо является узнаваемым, публичным лицом (государственные деятели, знаменитости);
  • в государственных, общественных или иных публичных интересах;
  • при публичных мероприятиях (если определенное лицо, не является основным объектом).

Без разрешения родителей или законных представителей запрещается, распространять изображения несовершеннолетних.

Нормы об обязательной локализации базы персональных данных в законодательстве Таджикистана не указано.

Узбекистанский аспект

14 января 2021 года Закон РУ “О персональных данных” был дополнен статьей 27-1 “Особые условия обработки персональных данных граждан Республики Узбекистан”. Содержание статьи следующее:

“Собственник и (или) оператор при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети интернет, обязан обеспечить их сбор, систематизацию и хранение в базах персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан и зарегистрированных в установленном порядке в Государственном реестре баз персональных данных”.

С 16 апреля 2021 года все лица, которые осуществляют сбор и обработку персональных данных граждан Узбекистана, обязаны хранить персональные данные на серверах, которые физически расположены на территории страны.

12 мая 2021 года со стороны Государственной инспекции по контролю в сфере информатизации и телекоммуникаций Республики Узбекистан (Узкомназорат) направлены письма популярным платформам с требованием по соблюдению законодательства о защите персональных данных.

31 мая 2021 года Узкомназорат выдала предписания компаниям Mail.ru Group, Twitter Inc. и Tencent Inc. о принятии соответствующих мер по обеспечению соблюдения требований статьи 27-1 Закона РУ “О персональных данных”.

2 июля 2021 года госорган включил в реестр нарушителей законодательства о персональных данных социальные сети TikTok, VK, Twitter, Одноклассники, Skype, WeChat и заблокировал их работу с стране. Однако в настоящее время в данном реестре содержится лишь только TikTok.

Подробнее информация указана в статье “Особенности законодательства о персональных данных в Узбекистане”.

Функции государства по защите персональных данных

Казахстанский аспект

С принятием Закона РК “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий” от 25 июня 2020 года № 347-VI ЗРК был образован новый уполномоченный государственный орган в сфере защиты персональных данных – Управление по защите персональных данных, входящий в Комитет информационной безопасности при Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан. Компетенции уполномоченного органа указаны в статье 27-1 Закона РК “О персональных данных”.

Кыргызстанский аспект

Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики – это уполномоченный государственный орган по персональным данным. Осуществляет функции и полномочия по обеспечению соответствия обработки персональных данных требованиям законодательства в сфере защиты персональных данных, защите прав субъектов персональных данных, регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массивов персональных данных, другие задачи, функции и полномочия, предусмотренные законом.

Данный государственный орган создан на основании Указа президента Кыргызской Республики  от 5 мая 2021 года. Принято соответствующее положение агентства. В статье 29(1) Закона КР “Об информации персонального характера” указано, что на агенство возлагается обеспечение контроля за соответствием обработки персональных данных требованиям настоящего Закона, защитой прав субъектов персональных данных. Однако более подробная информация о деятельности регулятора можно найти в положении агентства.

Таджикистанский аспект

Уполномоченным государственным органом в сфере защиты персональных данных является Служба связи при Правительстве Республики Таджикистан.

Служба связи – центральный орган государственной исполнительной власти, осуществляет организацию управления, контроля, регулирования и предоставления услуг в отрасли электрической связи, почтовой связи и информатизации. Актуальной информации о финансировании государственного органа не имеется.

Узбекистанский аспект

Регулятором в сфере защиты персональных данных является Государственный центр персонализации при кабинете министров Республики Узбекистан. В отличии от других стран Центральной Азии, данный госорган обладает полномочиями государственного контроля, то есть для проведения проверки операторов на предмет нарушения законодательства о персональных данных заявление не требуется. Полный список компетенций госоргана указан в статье 8 Закона РУ “О персональных данных”.

Согласно Постановлению Президента Республики Узбекистан “О мерах по обеспечению исполнения Закона Республики Узбекистан «О государственном бюджете Республики Узбекистан на 2020 год»” от 30 декабря 2019 года бюджет регулятора на 2020 год составил в размере 8207,6 млн сум (около 862,4 тыс $ по курсу валют на 30 декабря 2019 года). Однако спустя время бюджет был снижен до 7569,2 млн сум.

На 2021 год бюджет регулятора составил 8566,7 млн сум (около 817,6 тыс $ по курсу валют на 30 декабря 2020 года).

Чувствительные персональные данные

Чувствительные персональные данные – это категория личных данных, которые относятся к наиболее личной и конфиденциальной информации о человеке. Они могут включать в себя такие сведения, как раса или этническое происхождение, политические убеждения, религиозные или философские убеждения, профессиональную принадлежность, медицинскую информацию, биометрические данные, данные о сексуальной ориентации, информацию о финансах и кредитной истории и так далее.

Данные этой категории персональных данных  требуют особой защиты и обработки, так как их раскрытие или использование может привести к дискриминации, стигматизации или другим негативным последствиям для человека.

Казахстанский аспект

Персональные данные подразделяются на общедоступные и ограниченного доступа. Операторы, обрабатывающие персональные данные ограниченного доступа, обязаны обеспечить конфиденциальность, а также:

  1. собирать минимальное количество персональных данных, необходимых только для достижения определенной цели (принцип минимизации);
  2. принять пакет документов, определяющий политику в отношении персональных данных;
  3. принимать необходимые меры защиты персональных данных;
  4. уничтожать персональные данные при достижении цели или в иных случаях;
  5. иметь в наличии доказательство о получении согласия субъекта и представлять его;
  6. предоставлять информацию на запрос госоргана по вопросам сбора и обработки персональных данных;
  7. отвечать на запросы субъекта и исполнять его законные требования, включая обеспечивать доступ к его персональным данным безвозмездно;
  8. назначить ответственное лицо.

По вопросам хранения персональных данных в базах данных, дата-центрах, доступа с помощью информационных систем, следует руководствоваться Законом РК “Об информатизации” от 24 ноября 2015 года.

Содержание понятий объектов информатизации, субъектов и объектов информатизации, собственников и владельцев объектов информатизации (где и собственно хранятся персональные данные) указаны в этом законе. Стоит упомянуть в этом контексте о понятии “Критически важном объекте информационно-коммуникационной инфраструктуры” (КВОИКИ) – объекте информатизации, нарушение или прекращение работы которого может привести к неблагпоприятным последствиям. Для КВОИКИ установлены отдельные правила и критерии относения к такого рода объектам информатизации.

Однако не все операторы являются КВОИКИ. Для этого нужно соответствовать критериям, которые указаны Постановлении правительства Республики Казахстан от 8 сентября 2016 года № 529.

Кыргызстанский аспект

В Законе КР “Об информации персонального характера” указаны специальные категории персональных данных: “Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются”.

Данный пункт может быть не применим если:

  1. субъект персональных данных дал свое согласие на сообщение и обработку таких данных;
  2. если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц и получение согласия субъекта персональных данных невозможно.

Таджикистанский аспект

Статья 9 Закона РТ “О защите персональных данных” разделяет персональные данные на общедоступные и ограниченного доступа. Главными атрибутами персональных данных ограниченного доступа являются:

  1. отсутствие согласия субъекта на распространение;
  2. обеспечение конфиденциальности лицами, которые получили доступ к такого рода персональным данным.

В Кодексе здравоохранения медицинский работник при получении доступа к медицинской информации пациента и оказании ему услуг обязуется не разглашать врачебную тайну. Более того, медработник обязан сохранять врачебную тайну и от самого больного в его же интересах.

Узбекистанский аспект

Закон РУ “О персональных данных” определяет, что лица, получившие доступ к персональным данным, обязаны обеспечить режим конфиденциальности в целях недопущения распространения без согласия субъектов.

В Узбекистане такого рода данные называются специальными персональным данными.

“Специальными персональными данными являются данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости”.

Обработка специальных персональных данных запрещается, однако указаны 15 случаев. Однако, некоторые пункты вводят в заблуждение, как например пункт 3 допустимого случая обработки специальных персональных данных указывает, что обработка допустима, если эти данные опубликованы субъектом в общедоступных источниках. Возникает вопрос, допустима ли обработка данных субъекта, если они были опубликованы не самим субъектом, а оператором, так как прямое действие (публикация), как указывает содержание этого пункта, должно быть осуществлено субъектом.

Другие пункты дублируют друг друга, например пункты 1 и 14.

Пункт 1

Пункт 14

в целях обеспечения государственной безопасности от внешних и внутренних угроз уполномоченным государственным органом

при обработке персональных данных в целях обеспечения государственной безопасности



Законная цель обработки специальных персональных данных указана дважды – обеспечение государственной безопасности. Не имеет смысла указывать дублирующие пункты, так как функциями обеспечения безопасности имеют исчерпывающий перечень государственных правоохранительных органов.

Отдельной категорией персональных данных, но подпадающей под определение специальных персональных данных, являются биометрические и генетические данные, неразрывно физически связанные с телом субъекта персональных данных. Эти данные должны обрабатываться и храниться только на материальных носителях, таким образом существует запрет хранения в облаке

5 октября 2022 года Постановлением кабинета министров Республики Узбекистан установлены специальные правила обработки и хранения биометрических и генетических данных.

Оператор при обработке и хранении таких данных обязан:

  1. соблюдать требования пожарной безопасности, санитарные правила, нормы и правила гигиены, обеспечение гарантии от затоплений;
  2. иметь надежные средства защиты, исключающие несанкционированный доступ;
  3. хранить информацию в сейфах, металлических полках или металлических стеллажах;
  4. хранить информацию в помещениях, оборудованных охранной сигнализацией и устройствами видеонаблюдения, входные двери и окна которых подключены к службе охраны;
  5. не превышать срок эксплуатации материального носителя, установленный заводом-изготовителем;
  6. обеспечить учет физических лиц, на которых хранятся эти данные;
  7. материальные объекты должны иметь гриф “конфиденциально” или “для использования в рамках оказания услуги”.
  8. если данные хранятся в электронном виде, то они должны быть зашифрованы;

Расходы, возникающие в связи с соблюдением требований постановления осуществляются за счет средств операторов.

Также это постановление устанавливает степени уровни защищенности персональных данных, требования к хранению данных в облаке.

Постановление вступило в силу 7 января 2023 года.

Реализация права доступа к персональным данным

Казахстанский аспект

Закон РК “О персональных данных и их защите” от 2013 года признает право доступа к персональным данным одним из основных прав субъектов персональных данных. Данное право позволяет субъектам получать информацию об их персональных данных, которые обрабатываются контролерами или обработчиками данных. Операторы обязаны предоставить запрошенную информацию, в том числе информацию о целях обработки, источниках данных и получателях данных. Физические лица также имеют право потребовать исправления своих данных, если они обнаружат какие-либо неточности, отозвать согласие на обработку, уничтожить персональные данные и т.д.

Кыргызстанский аспект

Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ. Полное содержание прав указано выше в таблице.

Предоставление информации производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, бесплатно. Плата взимается лишь в том случае, если такая информация предоставляется на материальных носителях (бумага, дискета и т.п.) в размере, не превышающем их стоимости. Информация о наличии персональных данных и сами персональные данные предоставляются в непревыщающий 7 дней с момента подачи заявления.

Таджикистанский аспект

Доступ к персональным данным определяется условиями согласия. Отношения между обладателем, оператором и третьим лицом относительно доступа к персональным данным регулируются Законом РТ “О праве на доступ к информации” от 18 июня 2008 года.

Право доступа к персональным данным указано в статье 22 закона. Субъект вправе узнать информацию, касающейся сбора и обработки персональных данных, а именно:

  1. подтверждение факта сбора и обработки;
  2. правовые основания и цели сбора и обработки;
  3. цель и применяемые способы сбора и обработки;
  4. наименование и место нахождения обладателя, оператора и третьего лица, сведения о лицах (за исключением работников обладателя, оператора и третьего лица), имеющих доступ к персональным данным, или которым могут быть раскрыты персональные данные;
  5. сроки сбора и обработки персональных данных, в том числе сроки их хранения;
  6. порядок осуществления субъектом прав;
  7. информацию об осуществленной или о предполагаемой трансграничной передаче данных.

Данное право не является абсолютным и может быть ограничено, перечень оснований указан в статье 14 Закона РТ “О праве на доступ к информации”. На запрос, поданный самим субъектом и касающийся непосредственного него самого, информация предоставляется безвозмездно.

Срок ответа на запрос 30 календарных дней, возможно продление до 45 дней.

Узбекистанский аспект

Закон РУ “О персональных данных” предоставляет возможность субъекту реализовать данное право. Соответствующее право указано в статье 22 закона. В целом, в статье указан достаточно ясный порядок предоставления информации на запрос субъекта, содержит перечень информации, которая может быть указана в запросе.

Предусмотрено освобождение от обязанности в предоставлении информации в случаях, если:

  • субъект ранее был уведомлен об осуществлении обработки его персональных данных;
  • персональные данные сделаны субъектом общедоступными или получены из общедоступного источника;
  • предоставление такой информации приведет к нарушению прав и законных интересов физических и юридических лиц.

Заключение

Формирование законодательства, комплексно обеспечивающее правовое регулирование отношений, связанных с защитой персональных данных, относится к числу наиболее сложных задач государства.

В настоящее время в в странах Центральной Азии активно развивается правовой институт защиты персональных данных, однако следует отметить, что  законодательно не урегулированы многие вопросы  в сфере защиты персональных данных граждан. К ним можно отнести отсутствие в национальных законодательствах положений о мерах оперативного реагирования при утечке персональных данных, необходимых для минимизации последствий такой утечки, а также отсутствие обязательства по уведомлению уполномоченного органа для собственника и (или) оператора.

Кроме этого, в настоящее время национальные законодательства не учитывают в полном объеме следующие права субъектов персональных данных, содержащиеся в международных стандартах:

  • Право на удаление данных;
  • Обязанность уведомления относительно изменения или уничтожения персональных данных или ограничения обработки;
  • Право на переносимость данных;
  • Право на защиту данных путем установления ограничений на рекламу, основанную на отслеживании и профилировании пользователей;
  • Право не подвергаться решению, которое может включать в себя конкретные меры, оценивающему характеристики личности, основанному исключительно на автоматизированной обработке и влекущему правовые последствия;
  • Право на получение информации о нарушении безопасности персональных данных (обязанность уведомления субъекта данных о нарушении безопасности персональных данных).

Обеспечение цифровой приватности — сложная проблема, затрагивающая права и законные интересы публичного и частного секторов. Необходим пересмотр законодательств Центральной Азии о защите персональных данных и внесении в него корректив, отражающих современные виды применения усовершенствованных технологий, таких как Big Data.

Развитие цифровой экономики, даже при всех ее благих целях, не должна иметь следствием отказ от защиты прав и свобод человека. Любая проводимая в настоящее время и предлагаемая бизнес практика должна предусматривать проведение оценок ее последствий для неприкосновенности частной жизни, с тем, чтобы была возможность для рассмотрения и представления информации о том, каким образом политика и технологии обеспечивают смягчение рисков для неприкосновенности частной жизни.

По аналогии с европейским правом о защите персональных данных, законодателям из стран Центральной Азии следует рассмотреть возможность внедрения правового механизма оценки рисков Data Protection Impact Assessment (DPIA) Генерального регламента по защите персональных данных GDPR (General Data Protection Regulation). Следует отметить, что процедура оценки рисков DPIA используется не всегда, а только в случаях когда обработка данных сопряжена с высоким риском нарушения прав и законных интересов граждан.

Для добросовестного и эффективного развития и использования технологий, общество должно располагать современными и эффективными правовыми инструментами независимого контроля за соблюдением права человека на неприкосновенность личной жизни и конфиденциальность персональных данных государством и бизнесом.

Правила игры на Data-рынке должны быть понятны и открыты для всех участников без исключения. В случае фактов утечки данных, деанонимизации обезличенных данных или злоупотребления в политических целях, компании и государственные органы могут понести крупные потери в виде репутационного ущерба, штрафов от надзорных органов и имущественных претензий со стороны обычных граждан.

Вам также может понравиться

Приватность в исламском праве

Приватность в исламском праве

Об особенностях исламского права и его источниках, а также о концепции защиты жилища и персональных данных в исламе.
Руслан Дайырбеков
4 мин на чтение 19-02-2024