Результаты общественного обсуждения поправок по вопросам защиты персональных данных

Введение

30 декабря 2021 года президентом РК был подписан Закон № 96-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности, развития биржевой торговли и защиты персональных данных».

Данный материал содержит общий анализ и результаты общественного обсуждения вышеуказанных поправок по вопросам защиты персональных данных (по состоянию на 01.07.2021 г.) участниками Экспертной группы по цифровым правам и Управлением по защите персональных данных Комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (КИБ МЦРИАП РК). Данная работа ссылается на объективные оценки и профессиональные рекомендации участников Экспертной группы по цифровым правам, а также отражает официальную позицию общественного фонда «Евразийский Цифровой Фонд» (Eurasian Digital Foundation) по отдельным правовым нормам и процедурам законопроекта. Кроме этого, работа содержит рекомендации Eurasian Digital Foundation по дальнейшему развитию института персональных данных в Казахстане.

Результаты общественного обсуждения законопроекта

Исключены следующие правовые процедуры и нормы:

  • уведомительный порядок о факте, начале или прекращении сбора и обработки персональных данных в порядке, установленном законодательством о разрешениях и уведомлениях;
  • ведение реестра операторов персональных данных;
  • обязательная интеграция и использование государственного сервиса контроля доступа к персональным данным операторами баз, содержащих персональные данные;
  • норма исключающая деятельность СМИ из перечня случаев, когда персональные данные собираются и обрабатываются без согласия.

Приняты следующие правовые процедуры и нормы:

  • негосударственный сервис контроля доступа к персональным данным;
  • расширение функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц;
  • переходные положения (отлагательная норма).

Далее — в подробностях о том, как обсуждались и принимались вышеописанные изменения.

Какие поправки предлагал проект закона?

19 марта 2021 года на портале Электронного правительства в разделе «Открытые НПА» для публичного обсуждения была размещена первая редакция проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных.

Разработчиком поправок является КИБ МЦРИАП РК. Согласно представленным обоснованиям, поправки направлены на повышение эффективности действующего законодательства в обеспечении законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.

Проектом закона, среди прочего, предлагались поправки в части:

  • наделения уполномоченного органа в сфере защиты персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлечённым в процесс сбора и обработки персональных данных;
  • определения «реестра операторов» — электронного информационного ресурса, содержащего сведения об операторах, обрабатываемых ими персональных данных и условиях сбора и обработки персональных данных;
  • закрепления требования о том, что «распространение персональных данных в общедоступных источниках, а также сбор, обработка и распространение персональных данных из общедоступных источников допускается при наличии согласия субъекта или его законного представителя»;
  • закрепления требования о том, что «сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа»;
  • закрепления требования о том, что «оператор до начала сбора, обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган», при этом «уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся собственником и (или) оператором в порядке, установленном законодательством о разрешениях и уведомлениях»;
  • полноценного функционирования Сервиса обеспечения безопасности персональных данных, в частности:
  1. предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;
  2. отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных;
  3. прием уведомлений о факте, начале или прекращении сбора и обработки персональных данных;
  4. ведение реестра операторов персональных данных;
  5. подача субъектами уполномоченному органу жалобы на действия (бездействия) операторов при реализации прав субъектов;
  6. предоставление субъекту информации о действиях с его персональными данными.
  • закрепления обязанности собственника и (или) оператора по регистрации и ведения учета всех действий, совершаемых с персональными данными;
  • закрепления обязанности собственника и (или) оператора «утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных, а также локальные акты, подтверждающие соблюдение обязательств, предусмотренных настоящим Законом» и «предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения собственником и (или) оператором требований настоящего Закона»;
  • наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах, а именно:
  1. осуществление государственного контроля за соблюдением законодательства РК о персональных данных и их защите;
  2. направление для исполнения предписания при выявлении нарушений требований законодательства РК о персональных данных и их защите;
  3. осуществление приема уведомлений от собственников и (или) операторов о факте, начале или прекращении сбора и обработки персональных данных, а также ведение государственного электронного реестра разрешений и уведомлений в соответствии с Законом РК «О разрешениях и уведомлениях»;
  4. ведение реестра операторов;
  5. создание консультативного совета по вопросам персональных данных и их защиты, а также определение порядка его формирования и деятельности;
  6. утверждение правил функционирования и использования Сервиса обеспечения защиты персональных данных.
  • наделения уполномоченного органа в сфере защиты персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных, а именно «Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме проверок и профилактического контроля в соответствии с Предпринимательским кодексом Республики Казахстан»;

Виды административных процедур и процессуальных действий

Рассматривая первые версии поправок, независимые эксперты, среди прочего, отметили большой объем регуляторного воздействия поправок на субъектов бизнеса. Эксперты Eurasian Digital Foundation проанализировали виды установленных в настоящем проекте административных процедур и процессуальных действий (инфографика 1 и 2). Исполнение указанных правоприменительных процедур стало бы проблемой для многих операторов персональных данных, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы.

Инфографика 1
Инфографика 2

Проведение независимой общественной экспертизы

Обеспечение реальных возможностей для проведения независимой общественной экспертизы проектов нормативных правовых актов, разработанных органами исполнительной власти, является важным условием обеспечения качества правового регулирования. Необходимо обратить внимание на то, как МЦРИАП, в рамках общественного обсуждения проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных, учитывало в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации независимых экспертов, членов Экспертной группы по цифровым правам, в которую входит представитель Eurasian Digital Foundation.

1 июля 2021 года на сайте МЦРИАП была опубликована 4 версия проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных. Четвёртая редакция поправок наглядно показала, сколько раз менялся текст проекта закона в рамках публичного обсуждения с гражданским обществом.

Так, четвёртая редакция поправок более не содержала следующих требований:

  • «сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа»;
  • «оператор до начала сбора, обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган».

Кроме этого, была исключена норма, предусматривающая ведение реестра операторов персональных данных. И наконец, в четвёртой редакции законопроекта не содержалось положения об обязательной интеграции и использовании государственного сервиса контроля доступа к персональным данным, кроме случаев когда обрабатываемые персональные данные содержатся в объектах информатизации государственных органов. В этой связи, важно отметить закреплённую законопроектом возможность субъектам персональных данных давать и отзывать согласие на сбор, обработку персональных данных посредством «негосударственного» сервиса контроля доступа к персональным данным.

Также на очередном мероприятии по публичному обсуждению поправок эксперты поддержали инициативу уполномоченного органа о дополнении функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц. В редакции от 09.04.2021 разработчик включил обязанность уведомления субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации «электронного правительства» через Сервис контроля доступа к персональным данным.

Следует приветствовать включение нормы о «переходных положениях», предложенной Eurasian Digital Foundation. Так называемая «отлагательная» норма была предусмотрена по аналогии с практикой Европейского Союза, а именно Общего регламента по защите персональных данных General Protection Regulation (GDPR). Учитывая, что поправки содержали ряд весьма обременительных для организаций обязательств, реализация которых потребует времени, разработчик предусмотрел норму о том, что интеграция собственных информационных систем, задействованных в процессах сбора и обработки персональных данных с государственным сервисом будет обеспечена собственниками и (или) операторами персональных данных в течение одного года со дня введения в действие настоящих поправок.

Также первые три редакции поправок предлагали принятие статьи 145 Гражданского Кодекса Республики Казахстан в новой редакции следующего содержания:

«Использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица, а после его смерти с согласия его детей и пережившего супруга, а при их отсутствии — с согласия родителей. Такое согласие не требуется, если:

1) изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

2) лицо позировало за плату;

3) это установлено законодательными актами.»

После долгих переговоров (в том числе, публичных) с членами Экспертной группы по цифровым правам в сравнительной таблице была хорошо сформулирована поправка, которая касалась права на использование собственного изображения. К сожалению, в итоговой версии поправок эта норма исчезла. Она подразумевала, что казахстанцам, не только журналистам, можно будет использовать фото человека без его согласия, если он а) находится в общественном месте; б) является госслужащим при исполнении им служебных обязанностей; и в) любой человек, при наличии подозрения, что он совершает правонарушение.

Отдельно следует отметить рекомендацию Экспертной группы по цифровым правам о необходимости создания в структуре МЦРИАП межведомственного совета, который объединит на своей площадке правозащитников и представителей ряда министерств.

Рассматриваемые поправки законодательно закрепили механизм обсуждения с гражданским обществом вопросов защиты персональных данных. В компетенцию уполномоченного органа включена функция по «созданию консультативного совета по вопросам персональных данных и их защиты, а также определения порядка его формирования и деятельности».

Безусловно, проведённая работа повысила качество и эффективность разработки законопроекта и сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.

Работа, проделанная Экспертной группой по цифровым правам, позволила сформировать общую позицию с разработчиком о необходимости исключить из законопроекта следующие правовые процедуры и нормы:

  • уведомительный порядок («сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа», при этом «уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся собственником и (или) оператором в порядке, установленном законодательством о разрешениях и уведомлениях»);
  • реестр операторов персональных данных (электронный информационный ресурс, содержащий сведения об операторах, обрабатываемых ими персональных данных и условиях сбора и обработки персональных данных»);
  • обязательная интеграция и использование государственного сервиса контроля доступа к персональным данным;
  • единственный сервис контроля доступа к персональным данным (включена возможность использования негосударственного сервиса контроля доступа к персональным данным («Негосударственный сервис контроля доступа к персональным данным — услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом при доступе к персональным данным, содержащимся в негосударственных объектах информатизации);
  • норма исключающая деятельность СМИ из перечня случаев, когда персональные данные собираются и обрабатываются без согласия;
  • требование по идентификации личности субъекта персональных данных при получении согласия («При интеграции обеспечивается доступ к сведениям необходимым для полноценного функционирования Сервиса обеспечения защиты персональных данных, в том числе о инициаторах запросов на доступ (сбор и обработку) к персональным данным»).

Правительство РК не поддержало инициативу наделения уполномоченного органа по защите персональных данных государственно-властными полномочиями по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных данных и исключило из текста соответствующие нормы и положения.

23-25 ноября 2021 года состоялись заседания рабочей группы Мажилиса Парламента по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных».

Как депутаты и эксперты обсуждали защиту персональных данных
23-25 ноября 2021 года в онлайн режиме состоялись заседания рабочей группы Мажилиса по рассмотрению законопроекта о персональных данных.

Помимо депутатов, в работе вышеуказанной рабочей группы в качестве экспертов принимали участие директор Общественного Фонда «Евразийский Цифровой Фонд» и автор этой статьи Руслан Дайырбеков, директор ОФ «Digital Paradigm» Елжан Кабышев, директор ОФ «Правовой Медиа-Центр» Диана Окремова, ОЮЛ «Ассоциация Цифровой Казахстан», а также представители центральных государственных органов и другие эксперты.

Заседания были проведены под председательством руководителя рабочей группы, депутата Мажилиса, члена Комитета по экономической реформе и региональному развитию Екатерины Смышляевой.

30 декабря 2021 года президентом РК был подписан закон № 96-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности, развития биржевой торговли и защиты персональных данных».

Поправками регламентируется работа государственного сервиса контроля доступа к персональным данным, обеспечивающего информационное взаимодействие собственников и операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам.

Революционными являются новеллы закона об уведомлении субъекта о действиях с его персональными данными, содержащимися в объектах информатизации государственных органов и представление субъекту сведений о собственниках и операторах, имеющих согласие на сбор и обработку его персональных данных посредством государственного сервиса контроля доступа к персональным данным.

Учёт разработчиком высказываемых представителями гражданского общества мнений и предложений при принятии законодательных решений, должен укрепить доверие и поддержку обществом деятельности уполномоченного органа по защите персональных данных.

Рекомендации

Несмотря на вышеуказанные позитивные изменения в законодательстве по вопросам защиты персональных данных, для добросовестного и эффективного использования цифровых технологий общество должно располагать современными и эффективными правовыми инструментами независимого контроля за соблюдением права человека на неприкосновенность личной жизни и конфиденциальность персональных данных государством и бизнесом.

  • Внедрить правовой механизм оценки рисков при обработке персональных данных Data Protection Impact Assessment (DPIA)

Развитие цифровой экономики, даже при всех ее благих целях, не должна иметь следствием отказ от защиты прав и свобод человека. Любая проводимая в настоящее время и предлагаемая бизнес практика должна предусматривать проведение оценок ее последствий для неприкосновенности частной жизни, с тем, чтобы была возможность для рассмотрения и представления информации о том, каким образом политика и технологии обеспечивают смягчение рисков для неприкосновенности частной жизни. По аналогии с европейским правом о защите персональных данных, отечественным законодателям следует рассмотреть возможность внедрения правового механизма оценки рисков Data Protection Impact Assessment (DPIA) Генерального регламента по защите персональных данных GDPR (General Data Protection Regulation). Следует отметить, что процедура оценки рисков DPIA используется не всегда, а только в случаях когда обработка данных сопряжена с высоким риском нарушения прав и законных интересов граждан.

Оценка воздействия на неприкосновенность частной жизни является частью концепции «проектируемой конфиденциальности», используемой для управления данными в государственных и коммерческих организациях. Процедура проведения DPIA обеспечивает соответствие правовым и регуляторным нормам неприкосновенности частной жизни посредством выявления потенциальных рисков и разработки стратегий смягчения этих рисков и управления ими. Права человека могут стать «обьединяющей целевой перспективой» (“unifying purposive perspective”) при определении отношения к различным технологиям, что предполагает анализ того, соответствует или не соответствует их использование фундаментальным правам человека, таким как достоинство, частная жизнь, равенство, свобода.

  • Разработать рекомендаций для бизнеса и государственных органов по работе с обезличенными данными

Обращаясь к созданному уполномоченному органу, следует рекомендовать ему разработать рекомендации для бизнеса и государственных органов для работы с обезличенными данными, используя при этом прогрессивные правовые решения европейских регуляторов на основе «золотого» стандарта GDPR.

В то время, когда становится возможным идентифицировать личность посредством установления корреляций между несколькими фрагментами данных, эффективность данного способа вызывает сомнения. Европейская рабочая группа во вопросам персональных данных пришла к выводу о том, что если анонимизированные данные являются обратимыми, то есть могут быть возвращены к исходному состоянию, то они относятся к категории информации, которая может косвенно определить лицо, а следовательно — являются персональными данными. При этом не важно, какой именно метод анонимизации данных использован. Любой идентификатор или любая информация об относительно уникальном качестве лица (например, информация о посещении любимых ресторанов) может служить основанием для «опознания» данного лица в различных базах данных. Риски деанонимизации (деобезличивания) в значительной степени увеличились в связи с появлением социальных сетей и иных веб-сайтов, где люди оставляют значительное количество информации о себе (к online идентификаторам можно отнести e-mail, IP и MAC адреса и т.д.). Кроме этого, технологические возможности по деобезличиванию таких данных, предоставляемые различными вычислительными мощностями также вызывают опасения.

Обезличивание данных, без дополнительных технических и правовых требований для защиты приватности граждан уже не может выполнять функцию эффективного средства защиты персональных данных в частности, и быть гарантом неприкосновенности частной жизни в целом.

  • Законодательно предусмотреть децентрализованную модель построения технологической архитектуры государственного сервиса контроля доступа к персональным данным

Благодаря использованию современных технологий по построению децентрализованной модели технологической архитектуры «государственного сервиса контроля доступа к персональным данным» персональные данные граждан будут более эффективно защищены от несанкционированного доступа, а надежное резервирование предотвратит их утрату.

Руслан Дайырбеков

Основатель Eurasian Digital Foundation, Директор Digital Rights Center Kazakhstan, Участник Экспертной группы по цифровым правам, Data Privacy Professional (GDPR DPP)