Содержание
Введение
11 декабря 2023 года Президент Республики Казахстан Касым-Жомарт Токаев подписал Закон № 44-VIII ЗРК “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов” [1].
Данный закон вносит изменения и дополнения в 14 нормативных правовых актов — 4 кодекса и 10 законов:
📋 Список нормативных правовых актов:
- Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 год;
- Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года;
- Трудовой кодекс Республики Казахстан от 23 ноября 2015 года;
- Кодекс Республики Казахстан “О здоровье народа и системе здравоохранения” от 7 июля 2020 года;
- Закон Республики Казахстан от 31 августа 1995 года “О банках и банковской деятельности в Республике Казахстан”;
- Закон Республики Казахстан от 18 декабря 2000 года “О страховой деятельности”;
- Закон Республики Казахстан от 2 июля 2003 года “О рынке ценных бумаг”;
- Закон Республики Казахстан от 6 июля 2004 года “О кредитных бюро и формировании кредитных историй в Республике Казахстан”;
- Закон Республики Казахстан от 22 июля 2011 года “О миграции населения”;
- Закон Республики Казахстан от 26 ноября 2012 года “О микрофинансовой деятельности”;
- Закон Республики Казахстан от 21 мая 2013 года “О персональных данных и их защите”;
- Закон Республики Казахстан от 24 ноября 2015 года “Об информатизации”;
- Закон Республики Казахстан от 26 июля 2016 года “О платежах и платежных системах”;
- Закон Республики Казахстан от 6 февраля 2023 года “О цифровых активах в Республике Казахстан”.
Почему этот закон важен?
Согласно данным [2] Бюро национальной статистики за февраль 2023 года, в Казахстане действует 2 163 361 юридических лиц и индивидуальных предпринимателей; операторов персональных данных, то есть компаний, которые каким-либо образом собирают и обрабатывают персональные данные, безусловно меньше, но в любом случае их количество велико. В целом на большое количество компаний будет распространяться действие данного закона в области сбора и обработки персональных данных, проведения государственного контроля, а также уведомления уполномоченного органа по защите персональных данных, которым является Министерство цифрового развития, инноваций и аэрокосмической промышленности, в случае утечки.
Так, Закон “О персональных данных и их защите” от 2013 года устанавливает следующие обязанности для операторов данных, то есть юридических лиц и индивидуальных предпринимателей, которые каким-либо образом собирают и обрабатывают персональные данные:
- утверждать перечень персональных данных, который необходим для бизнес-процессов;
- утверждать документы, определяющие политику в отношении сбора, обработки и защиты персональных данных;
- принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
- предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения требований закона;
- принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки;
- представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
- по обращению субъекта сообщать информацию, относящуюся к нему, в законные сроки; а в случае отказа в предоставлении информации предоставить мотивированный ответ.
- другие обязанности, установленные ст. 25 Закона.
Нарушение законодательства в сфере персональных данных влечет административную (ст. 79 КоАП РК), а в особо запущенных случаях и уголовную ответственность (ст. 147 УК РК).
Статья 79 КоАП РК. Нарушение законодательства Республики Казахстан о персональных данных и их защите
- Незаконные сбор и (или) обработка персональных данных, если эти деяния не содержат признаков уголовно наказуемого деяния, – влекут штраф на физических лиц в размере 10, на должностных лиц, частных нотариусов, частных судебных исполнителей, адвокатов, субъектов малого предпринимательства или некоммерческие организации – в размере 20, на субъектов среднего предпринимательства – в размере 30, на субъектов крупного предпринимательства – в размере 70 месячных расчетных показателей.
- Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность – влекут штраф на физических лиц в размере 50, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере 75, на субъектов среднего предпринимательства – в размере 100, на субъектов крупного предпринимательства – в размере 200 месячных расчетных показателей.
- Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, если это деяние не содержит признаков уголовно наказуемого деяния, – влечет штраф на физических лиц в размере 50, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере 100, на субъектов среднего предпринимательства – в размере 150, на субъектов крупного предпринимательства – в размере 200 месячных расчетных показателей.
- Деяние, предусмотренное частью третьей настоящей статьи, повлекшее утерю, незаконный сбор и (или) обработку персональных данных, если эти деяния не влекут установленную законом уголовную ответственность, – влечет штраф на физических лиц в размере 200, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере 500, на субъектов среднего предпринимательства – в размере 700, на субъектов крупного предпринимательства – в размере 1000 месячных расчетных показателей.
Новое понятие в законодательстве: нарушение безопасности персональных данных
Закон вводит новое понятие – “нарушение безопасности персональных данных”.
С 1 июля 2024 года оператор персональных данных будет обязан в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии) (абзац 6 пп. 8 п. 2 ст. 25 Закона “О персональных данных и их защите”).
Стоит отметить, что еще 4 мая 2022 года депутаты Мажилиса Парламента Республики Казахстан на пленарном заседании одобрили в первом чтении проект закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности» (далее — «проект закона»).
22 и 28 апреля 2022 года под председательством депутата Смышляевой Е. В. прошли заседания рабочей группы по проекту закона с участием в качестве приглашенных экспертов Руслана Дайырбекова, директора Евразийского Цифрового Фонда, и Елжана Кабышева, директора общественного фонда «Digital Paradigm».
Однако в то время норма закрепляла об уведомлении регулятора не в течении одного рабочего дня, а двух:
Аналогичная обязанность об уведомлении регулятора в течение одного рабочего дня установлена для следующих государственных органов:
- Оперативный центр информационной безопасности;
- Служба реагирования на инциденты информационной безопасности;
- Национальный координационный центр информационной безопасности;
- Отраслевой центр информационной безопасности;
- Национальная служба реагирования на компьютерные инциденты информационной безопасности;
- Государственный оперативный центр информационной безопасности.
В последующем государственный орган по защите персональных данных направляет оператору информационно-коммуникационной инфраструктуры “электронного правительства” информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов, в целях, предусмотренных настоящим Законом и иными нормативными правовыми актами Республики Казахстан (п. 6-2 ст. 27-1 данного закона).
Государственный контроль
Уполномоченный государственный орган в сфере защиты персональных данных будет компетентен осуществлять государственный контроль за соблюдением законодательства о персональных данных и их защите.
Ранее для возбуждения административного дела в сфере защиты персональных данных требовалось жалоба лица, то теперь основанием могут быть и выявленные нарушения в ходе плановой или внеплановой проверки.
Пункт 1 статьи 134 Предпринимательского кодекса дает общее понимание, что такое государственный контроль:
Государственный контроль может быть внутренним и внешним. Порядок проведения внутреннего контроля определяется Административным процедурно-процессуальным кодексом Республики Казахстан. А внешним контролем является контроль, осуществляемый органом контроля и надзора по проверке и наблюдению на предмет соответствия деятельности субъектов (объектов) контроля и надзора требованиям, указанным в пункте 2 статьи 132 и пункте 3 статьи 143 настоящего Кодекса.
По результатам внешнего контроля в случае выявления нарушений законодательства Республики Казахстан государственные органы в пределах своей компетенции возбуждают административное, дисциплинарное производство либо инициируют соответствующие исковые заявления в пределах своей компетенции и (или) принимают иные меры, предусмотренные законами Республики Казахстан.
Формы проверок
Уполномоченный орган по защите персональных данных проводит в форме проверки, которые делятся на периодические и внеплановые.
Периодические проверки
Периодические проверки в отношении субъектов контроля осуществляются согласно следующим источникам информации:
- результатам предыдущих проверок;
- результатам мониторинга отчетности и сведений;
- результатам анализа интернет-ресурсов государственных органов;
- сведениям государственной технической службы.
Периодические проверки проводятся с периодичностью не чаще одного раза в год в соответствии с планом проведения периодических проверок, утвержденным первым руководителем уполномоченного органа. План проведения периодических проверок утверждается не позднее 1 декабря и размещается на сайте регулятора не позднее 20 декабря, предшествующего году проверок.
План проведения периодических проверок включает:
- номер и дату утверждения плана;
- наименование государственного органа;
- наименование субъекта контроля;
- место нахождения субъекта (объекта) контроля;
- сроки проведения проверки;
- предмет проверки;
- подпись лица, уполномоченного подписывать план.
Внеплановые проверки
Внеплановая проверка назначается регулятором в случаях:
- наличия подтвержденных обращений на субъект контроля, поступивших от физических и юридических лиц, о нарушении требований законодательства о персональных данных и их защите;
- обращения физических и юридических лиц, права и законные интересы которых нарушены;
- требования прокурора по конкретным фактам причинения либо об угрозе причинения вреда правам и законным интересам физических и юридических лиц, государства;
- обращения государственных органов по конкретным фактам причинения вреда правам и законным интересам физических и юридических лиц, государства, а также по конкретным фактам нарушений требований законодательства, неустранение которых влечет причинение вреда правам и законным интересам физических и юридических лиц;
- повторной проверки, связанной с обращением субъекта контроля о несогласии с первоначальной проверкой;
- поручения органа уголовного преследования по основаниям, предусмотренным Уголовно-процессуальным кодексом;
- необходимости проведения контроля исполнения акта о результатах проверки.
Права и обязанности должностных лиц регулятора и субъектов контроля
Данный закон устанавливает права и обязанности должностных лиц уполномоченного государственного органа и субъектов контроля при проведении проверок.
Должностные лица уполномоченного государственного органа | Субъекты контроля |
Права при проведении проверок | |
|
|
Обязанности при проведении проверок | |
Должностные лица уполномоченного органа, прибывшие на объект для проверки, обязаны предъявить субъекту контроля:
|
|
В случае наличия замечаний и (или) возражений | |
Обязан рассмотреть замечания и (или) возражения субъекта контроля к акту о результатах проверки и в течение пятнадцати рабочих дней дать мотивированный ответ. | Имеет право в случае наличия замечаний и (или) возражений по результатам проверки субъект контроля излагает их в письменном виде. Замечания и (или) возражения прилагаются к акту о результатах проверки, о чем делается соответствующая отметка. |
Акт о назначении проверки
Проверка проводится на основании акта о назначении проверки. При проведении проверки уполномоченный орган обязан известить субъект контроля о начале проведения проверки не менее чем за сутки до ее начала с указанием предмета проведения проверки. Началом проведения проверки считается дата вручения субъекту контроля акта о назначении проверки.
Какие данные указываются в акте о назначении проверки
В акте о назначении проверки указываются:
- дата и номер акта;
- наименование государственного органа;
- фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), уполномоченного (уполномоченных) на проведение проверки;
- сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;
- наименование субъекта контроля, его место нахождения.
В случае проверки структурного подразделения государственного органа в акте о назначении проверки указываются его наименование и место нахождения;
- предмет проверки;
- вид проверки;
- срок проведения проверки;
- основания проведения проверки;
- проверяемый период;
- права и обязанности субъекта контроля;
- подпись руководителя субъекта контроля либо его уполномоченного лица о получении или об отказе в получении акта;
- подпись лица, уполномоченного подписывать акт.
Сроки проверок
Срок проведения проверки устанавливается с учетом предмета проверки, а также объема предстоящих работ и не должен превышать 10 рабочих дней. Срок проведения проверки может быть продлен решением руководителя уполномоченного органа только один раз не более чем на 15 рабочих дней.
Продление сроков проведения проверки оформляется дополнительным актом о продлении сроков проверки с уведомлением субъекта контроля, в котором указываются дата и номер приказа предыдущего акта о назначении проверки и причины продления.
Уведомление о продлении сроков проверки вручается субъекту контроля уполномоченным органом за 1 рабочий день до продления с уведомлением о вручении. По результатам проверки должностными лицами уполномоченного органа, осуществляющими проверку, составляется акт о результатах проверки.
Акт о результатах проверки
По результатам проверки должностными лицами уполномоченного органа, осуществляющими проверку, составляется акт о результатах проверки.
Какие данные указываются в акте о результатах проверки
В акте о результатах проверки указываются:
- дата, время и место составления акта;
- наименование государственного органа;
- номер и дата акта о назначении проверки (дополнительного акта о продлении срока при его наличии);
- фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), проводившего (проводивших) проверку;
- сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;
- наименование субъекта контроля, его место нахождения;
- предмет проверки;
- вид проверки;
- срок и период проведения проверки;
- сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;
- требования об устранении выявленных нарушений требований законодательства Республики Казахстан о персональных данных и их защите с указанием срока их исполнения;
- сведения об ознакомлении или отказе в ознакомлении с актом руководителя субъекта контроля либо его уполномоченного лица, а также лиц, присутствовавших при проведении проверки, их подписи или запись об отказе от подписи;
- подпись должностных лиц, проводивших проверку.
К акту о результатах проверки прилагаются документы, связанные с результатами проверки (при их наличии), и их копии.
Завершение проверки
Завершением срока проверки считается день вручения субъекту контроля акта о результатах проверки не позднее срока окончания проверки, указанного в акте о назначении проверки или дополнительном акте о продлении сроков проверки.
При определении сроков исполнения акта о результатах проверки учитываются:
- наличие у субъекта контроля организационных, технических возможностей по устранению нарушений;
- сроки получения в государственных органах обязательных заключений, согласований и других документов, установленных законами Республики Казахстан.
После того как субъект контроля исправит нарушения в указанный срок, он должен предоставить в орган контроля информацию об этом с документами, подтверждающими исправление. А в случае непредоставления информации об устранении выявленных нарушений уполномоченный орган вправе назначить внеплановую проверку.
Запрет на сбор бумажных копий документов и его икслючение
Закон устанавливает запрет на сбор бумажных копий документов. Статья 7 “Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников” Закона “О персональных данных и их защите” дополнен пунктом 10 следующего содержания:
Также указано исключение, когда действие запрета не распространяется на сбор и обработку копий документов на бумажном носителе.
Подробнее о сервисе цифровых документов можно ознакомиться здесь:
Наряду с этим в некоторые законы внесены изменения, какие организации вправе собирать копии документов, удостоверяющих личность; эти изменения касаются только иностранцев:
- Трудовой кодекс. Работодатель вправе собирать копии документов, удостоверяющих личность трудового иммигранта (пп. 14 п. 1 ст. 23 Трудового кодекса);
- Закон “О страховой деятельности”. Страховые организации вправе собирать копии документов, удостоверяющих личность нерезидентов, для целей, предусмотренных настоящим Законом (п. 3-2 ст. 11 Закона “О страховой деятельности”);
- Закон “О банках и банковской деятельности в Республике Казахстан”. Банки и организации, осуществляющие отдельные виды банковских операций, вправе собирать копии документов, удостоверяющих личность нерезидентов, для целей, предусмотренных настоящим Законом (п. 12-1 ст. 30 Закона “О банках и банковской деятельности в Республике Казахстан”);
- Закон “О рынке ценных бумаг”. Профессиональные участники рынка ценных бумаг вправе собирать копии документов, удостоверяющих личность нерезидентов, для целей, предусмотренных настоящим Законом (пп. 1 ст. 5 Закона “О рынке ценных бумаг”);
- Закон “О миграции населения”. Иммигранты представляют копии документов, удостоверяющих личность, для целей защиты национальных интересов и обеспечения национальной безопасности Республики Казахстан (пп. 3 п. 2 ст. 5 Закона “О миграции населения”);
- Закон “О микрофинансовой деятельности”. Микрофинансовые организации вправе собирать копии документов, удостоверяющих личность нерезидентов, для целей, предусмотренных настоящим Законом (п. 1-6 ст. 3 Закона “О микрофинансовой деятельности”);
- Закон “О платежах и платежных системах”. Поставщик платежных услуг вправе собирать копии документов, удостоверяющих личность нерезидентов, для целей, предусмотренных настоящим Законом (ч. 3 п. 14 ст. 13 Закона “О платежах и платежных системах”).
Связано это с тем, что еще 25 июня 2020 года были внесены изменения в законодательство в сфере персональных данных в части добавления сервиса обеспечения безопасности персональных данных.
30 декабря 2021 года сервис обеспечения безопасности персональных данных был переименован в сервис контроля доступа к персональным данным, разделенный на государственный и негосударственный.
В случае иностранных граждан, таких как трудовые иммигранты или лица, временно пребывающие в стране, важно иметь точные и достоверные данные об их личности и статусе пребывания для обеспечения миграционного контроля и соблюдения законодательства о миграции, а также при оказании им услуг, которые являются необходимыми, например как банковские услуги, страхование и т.д. С другой стороны, когда речь идет о гражданах Казахстана, у них уже есть удостоверяющие личность документы, выданные государством, и их личность и статус могут быть проверены через другие способы, такие как базы данных физических лиц. В связи с этим, требование предоставления копий документов удостоверяющих личность гражданам Казахстана может рассматриваться как лишнее, особенно с учетом потенциальных рисков связанных с хранением и обработкой такой чувствительной информации.
Заключение
Согласно данному закону, операторы персональных данных (компании и индивидуальные предприниматели, которые собирают и обрабатывают персональные данные) должны будут соблюдать новые требования по обеспечению безопасности и защите персональных данных. В случае утечки или нарушения безопасности персональных данных, операторы обязаны будут немедленно уведомлять уполномоченный орган и предпринимать меры по устранению последствий таких нарушений.
Для физических лиц, чьи персональные данные обрабатываются операторами, это может означать большую защиту и безопасность их персональной информации. Субъект могут ожидать более быстрого и эффективного реагирования на случаи утечки данных, а также большей прозрачности в отношении того, как их данные обрабатываются и защищаются.
🔗 Ссылки Web Archive:
[1] Закон № 44-VIII ЗРК “О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов”, ИПС НПА "Әділет", https://web.archive.org/web/20240122145143/https://adilet.zan.kz/rus/docs/Z2300000044
[2] Сайт Бюро национальной статистики, https://web.archive.org/web/20240122145229/https://stat.gov.kz/ru/industries/business-statistics/stat-org/publications/14836/