Содержание
Уведомление уполномоченного органа
4 мая 2022 года депутаты Мажилиса Парламента Республики Казахстан на пленарном заседании одобрили в первом чтении проект закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности» (далее — «проект закона»).
22 и 28 апреля 2022 года под председательством депутата Смышляевой Е. В. прошли заседания рабочей группы по проекту закона с участием в качестве приглашенных экспертов Руслана Дайырбекова, директора Евразийского Цифрового Фонда, и Елжана Кабышева, директора общественного фонда «Digital Paradigm».
В связи с тем, что в настоящее время законодательно не урегулированы вопросы оперативного реагирования при утечке персональных данных, необходимые для минимизации последствий такой утечки, а также понимая важность проведения комплексной работы в этих случаях, авторы проекта закона предложили установить для собственника и (или) оператора обязательства по уведомлению уполномоченного органа.
В рамках обсуждения проекта закона Управлением по защите персональных данных Комитета информационной безопасности (КИБ) Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП) было инициировано дополнение в статью 25 Закона РК от 21 мая 2013 года «О персональных данных и их защите», в следующей редакции:
«11) в течение двух рабочих дней уведомить уполномоченный орган об утечке персональных данных с указанием контактных данных лица, ответственного за организацию обработки персональных данных.»
В свою очередь, эксперты Евразийского цифрового фонда и Digital Paradigm, концептуально поддержав вышеуказанную новеллу, обратили внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных — «задокументировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
В соответствии с вышеуказанной статьей GDPR, уведомление уполномоченного органа должно по меньшей мере:
- описывать характер нарушения безопасности персональных данных, в том числе, по возможности, указывать категории и приблизительное количество пострадавших субъектов данных, а также категории и приблизительное количество затронутых записей персональных данных;
- содержать имя и контактные данные инспектора по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;
- описывать возможные последствия нарушения безопасности персональных данных;
- описывать меры, предпринятые или предлагаемые контролёром, для устранения нарушения безопасности персональных данных, в том числе, если уместно, меры, направленные на минимизацию её возможных негативных последствий.
В связи с тем, что в национальном понятийном аппарате отсутствует определение «утечки», депутаты вернули данную норму на доработку. На последующем заседании рабочей группы, после согласования с соответствующими государственными органами, депутатам на обсуждение представили доработанную редакцию дополнения в статью 25, в которой слово «утечка» было заменено на «нарушения защиты персональных данных», в следующей редакции:
«11) в течение двух рабочих дней уведомить уполномоченный орган о выявленных нарушениях защиты персональных данных с указанием контактных данных лица, ответственного за организацию обработки персональных данных.».
Однако эксперты обратили внимание на пункт 11) статьи 1 Закона РК «О персональных данных и их защите» от 21 мая 2013 года, который определяет «защиту персональных данных как комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом». Таким образом, согласно смыслу предлагаемой редакции, любое нарушение вышеуказанных мер предполагает уведомление уполномоченного органа, что является обременительной и избыточной мерой.
В этой связи, эксперты поддержали определение «утечки», предложенное Управлением по защите персональных данных КИБ МЦРИАП, а именно:
«утечка персональных данных – нарушение безопасности персональных данных, влекущих к случайному или незаконному распространению , изменению, дополнению, использованию, обезличиванию, блокированию и уничтожению или доступу к персональным данным».
Наделение полномочиями госконтроля за соблюдением законодательства о персональных данных и их защите
В связи с тем, что на сегодняшний день у уполномоченного органа по защите персональных данных отсутствует возможность инициировать проверку на предмет законности сбора и обработки персональных данных, депутатом Смышляевой Е.В. была инициирована поправка, наделяющая МЦРИАП РК полномочием по осуществлению государственного контроля за соблюдением законодательства РК о персональных данных и их защите в соответствии с Предпринимательским кодексом РК.
КИБ МЦРИАП РК вправе принимать меры исключительно при обращениях и жалобах и по уже совершившимся правонарушениям: когда персональные данные незаконно попали третьим лицам, распространены неопределенному кругу лиц и т.д.
Вместе с тем ранее органы прокуратуры привлекали правонарушителей к ответственности в соответствии со статьей 79 КоАП РК при нарушении законодательства РК о персональных данных и их защите, а также до настоящего времени осуществляют надзор в этой сфере.
При этом для органов прокуратуры не требуется наличие в Предпринимательском кодексе РК функции государственного контроля для проведения внеплановых проверок, в свою очередь такая функция государственного контроля необходима для уполномоченного органа (КИБ МЦРИАП).
Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.
Благодаря законопроекту, по словам министра цифрового развития, инноваций и аэрокосмической промышленности Багдата Мусина:
появится возможность для проведения комплексного анализа курируемых отраслей, актуализации данных в государственных базах, принятия обоснованных и эффективных управленческих решений в режиме онлайн. Одновременно для обеспечения защиты персональных данных будут ужесточаться требования к применению информационно-коммуникационных технологий. Для этого законопроектом предлагается признать информационные системы, осуществляющие сбор, обработку и хранение персональных данных, критически важными объектами информационно-коммуникационной инфраструктуры и повысить требования к их защищенности.
Автор данного дополнения, Смышляева Е.В, в сравнительной таблице обосновала необходимость поправки тем фактом, что до определения уполномоченного органа в сфере защиты персональных данных органами прокуратуры по статье 79 КоАП РК с 2016 по 2018 годы рассмотрено 0 административных дел и в 2019 году рассмотрено 3 административных дела. Наряду с этим, с момента определения (июнь 2020 года) МЦРИАП уполномоченным органом в сфере защиты персональных данных по настоящее время рассмотрено более 210 жалоб субъектов персональных данных, то есть граждан (публикация персональных данных общедоступными интернет-ресурсами, такими как adata.kz, fa-fa.kz, kompra.kz; незаконное распространение персональных данных в различных группах мессенджеров и социальных сетей; использование персональных данных без согласия их субъектов и несовместимых их целям сбора и т.д.), 157 из которых удовлетворены.
Однако в связи с наличием противоречий в законодательстве и отсутствием функции государственного контроля в сфере защиты персональных данных более 50 жалоб остались без удовлетворения.
Image from Adobe Stock
