Утечки персональных данных: мировой и казахстанский аспекты

В Казахстане остро стоит проблема отсутствия в законодательстве мер по оперативному реагированию при утечке персональных данных
Утечки персональных данных: мировой и казахстанский аспекты

Содержание

Проблема утечек персональных данных

В Казахстане остро стоит проблема отсутствия в законодательстве мер по оперативному реагированию при утечке персональных данных. Эти меры крайне необходимы для минимизации последствий вреда для граждан, а также для установления ответственности компаний, допустивших утечку персональных данных.

В связи с актуальностью темы, 27 октября 2022 года было проведено онлайн-обсуждение «Утечки персональных данных: мировой и казахстанский аспекты», организованный Евразийским цифровым фондом при поддержке Фонда Евразия в рамках программы «Социальные инновации в Центральной Азии», финансируемой агентством США по международному развитию (USAID).

Основой для обсуждения стала презентация сравнительно-правового анализа казахстанского законодательства с европейским GDPR и законодательством Грузии по вопросам утечки персональных данных, который провели эксперты проекта «Развитие института защиты персональных данных в Казахстане».

На проведенном мероприятии при модераторстве медиаменеджера и продюсера Ержана Сулейменова приняли участие:

  • Екатерина Смышляева, депутат и член комитета по экономической реформе и региональному развитию Мажилиса парламента РК.
  • Аскар Кушкунбаев, эксперт по исследованиям и адвокации программы «Социальные инновации в Центральной Азии» (SICA), Фонд Евразия.
  • Руслан Абдикаликов, председатель комитета информационной безопасности МЦРИАП РК.
  • Саркис Дарбинян, кибердавокат, управляющий партнёр юридической фирмы Digital Rights Center, сооснователь Роскомсвободы.
  • Данила Бектурганов, директор ОФ «Гражданская экспертиза».
  • Руслан Дайырбеков, основатель ОФ «Eurasian Digital Foundation», эксперт проекта «Развитие института защиты персональных данных в Казахстане».
  • Елжан Кабышев, директор ОФ «Digital Paradigm», эксперт проекта «Развитие института защиты персональных данных в Казахстане».

Аскар Кушкунбаев приветствовал участников и зрителей онлайн-дискуссии от имени Фонда Евразия. Кушкунбаев отметил важность безопасности персональных данных, а также выразил надежду, что результаты исследования в виде сравнительно-правового анализа будут полезны при принятии определенных решений на высоком уровне.

Важно и кратко

Спикеры дискуссии дали важную и актуальную информацию о том, какая есть проблематика в области защиты персональных данных в Казахстане и в мире.

Депутат о персональных данных

Екатерина Смышляева сообщила, что создается новая регуляторная политика в сфере безопасности данных и актуальной эта тема становится в настоящее время в процессе распространения цифровых технологий и интенсивной цифровизации общества.

Постепенно вводится функция госконтроля Комитета информационной безопасности (КИБ), а также расширение этого функционала, так как КИБу достаточно сложно мониторить 30 000 объектов информатизации, включая критически важные объекты информационно-коммуникационной инфраструктуры (КВОИКИ).

Депутат также отметила обезличивание данных и следует выработать несколько универсальных и безопасных вариантов. В деле защиты персональных данных большое значение имеет информационная культура и гигиена.

Планы КИБа и цифры за 2022 год

Руслан Абдикаликов поделился планируемыми работами уполномоченного органа по защите персональных данных:

  1. ужесточение ответственности за нарушение законодательства в сфере защиты персональных данных;
  2. информирование граждан об утечке их персональных данных
  3. внедрение государственного контроля в сфере защиты персональных данных;
  4. повышение грамотности населения в вопросах защиты персональных данных

Также были приведены интересные цифры по деятельности КИБа за 2022 год:

  • 12 внеплановых проверок проведено;
  • 6 административных дел рассмотрено;
  • 4 должностных лица привлечены к ответственности;
  • 9 юридических лиц привлечены к ответственности;
  • 3 физических лица привлечены к ответственности.

Российский аспект утечек

Саркис Дарбинян поделился о кейсах утечек персональных данных в России. По его словам, что следует менять не только законодательство в области персональных данных, но и менять судебную практику в отношении взыскания компенсации в пользу человека, чьи персональные данные утекли.

В утечке от Яндекс.Еда содержались полные данные клиентов, с именами и фамилиями, номерами телефонов, адресами доставки и комментариями. В выгрузку попали заказы, сделанные с 19.06.2021 по 04.02.2022. В архиве оказалось в общей сложности 49 441 507 строк. Подсчёт уникальных номеров показал следующие результаты: 6 882 230 телефонных номеров из России (почти все регионы) и Казахстана, 206 725 номеров из Беларуси.

Биометрия

Данила Бектурганов дал информацию по мерам защиты от утечек биометрических данных в Национальной платформе цифровой биометрической идентификации в Казахстане. Эксперт отметил сильные и слабые стороны, а также возможности и угрозы.

Сравнительно-правовой анализ

Ответственность и инициативы

Елжан Кабышев представил часть сравнительно-правового анализа об ответственности в законодательстве Республики Казахстан в области персональных данных и сравнение с законодательством Грузии.

В Республике Казахстан предусмотрена административная и уголовная ответственности за нарушение законодательства о персональных данных и их защите. Статья 79 “Нарушение законодательства Республики Казахстан о персональных данных и их защите” Кодекса об административных правонарушений Республики Казахстан предусматривает ответственность, к которым должны привлекаться лица, нарушившие Закон Республики Казахстан “О персональных данных и их защите” от 21 мая 2013 года N 94-V.

По европейскому GDPR размеры штрафов заметно выше. Так, например, размер штрафа за нарушение пункта 4 статьи 84 GDPR (информационная безопасность, Risk assessment, Data breach notification и т.п. менее серьезные нарушения) может составлять 10 млн евро или до 2% от общего годового мирового оборота за предыдущий финансовый год, в зависимости от того, что выше. Штраф за нарушение пункта 5 данной статьи (нарушение принципов обработки, прав субъекта, трансграничной передачи и т.п. серьезные нарушения) может достигать 20 млн евро или до 4% от общего годового мирового оборота.

Также были представлены основные отличия между грузинским и казахстанским законодательными инициативами по утечкам персональным данных.

🇬🇪 В Грузинской законодательной инициативе планировалось:

1. Уведомление регулятора в течение 72 часов;

2. Уведомление регулятору должно содержать:

  • обстоятельства, вид и время происшествия;
  • категории и объем персональных данных, количество субъектов персональных данных;
  • предполагаемый ущерб, предпринятые меры;
  • план по уведомлению субъектов;
  • контактные данные.

3. Уведомление субъектов персональных данных

🇰🇿 В казахстанской законодательной инициативе, в свою очередь:

  1. Уведомление регулятора в течение двух рабочих дней;
  2. Уведомление должно содержать:
  • факт утечки персональных данных;
  • контактные данные лица, ответственного за организацию обработки персональных данных.

3. Уведомление субъектов персональных данных отсутствовало в проекте закона.

Заключительная часть

Руслан Дайырбеков в своей презентации акцентировал внимание на институте персональных данных в Казахстане и международные принципы его защиты, а также краткий таймлайн: какие изменения и дополнения были в национальном законодательстве с 2020 по 2022 годы.

7 июля 2020 года вступил в силу Кодекс «О здоровье народа и системе здравоохранения», где впервые использовано понятие «персональные медицинские данные» - это персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях.
С принятием Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий» от 25 июня 2020 года № 347-VI ЗРК был образован новый уполномоченный государственный орган в сфере защиты персональных данных - Управление по защите персональных данных, входящий в Комитет информационной безопасности при Министерстве цифрового развития, инноваций и аэрокосмической промышленности. Управление, как следует из названия, занимается вопросами защиты прав субъектов персональных данных.

Также эксперты проекта приняли участие в нескольких рабочих встречах в качестве приглашенных экспертов в области приватности. 22 и 28 апреля 2022 года под председательством депутата мажилиса парламента Смышляевой Е. В. прошли заседания рабочей группы по проекту закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам стимулирования инноваций, развития цифровизации и информационной безопасности».

В конце мероприятия Дайырбеков представил пять рекомендаций, указанные в сравнительно-правовом анализе, и их обоснования:

Рекомендация №1. Наделение полномочиями госконтроля за соблюдением законодательства о персональных данных и их защите.

Обоснование. У уполномоченного органа по защите персональных данных отсутствует возможность инициировать проверку на предмет законности сбора и обработки персональных данных.

Рекомендация №2. Определить и предусмотреть в Законе «О персональных данных и их защите» понятие «утечка персональных данных».

Обоснование. Предусмотренное законодательством понятие «утечка персональных данных» необходимо в целях:

  • правильного применения норм КоАП и УК в случае допущения утечки персональных данных со стороны оператора и (или) собственника;
  • реализации права субъекта персональных данных на возмещение материального или морального вреда в случае утечки персональных данных.

Рекомендация №3. Предусмотреть в законе порядок и процедуру уведомления регулятора в случае утечки персональных данных.

Обоснование. Необходимо в целях:

  • минимизации вреда субъектов персональных данных;
  • принятия оперативных мер по защите субъектов персональных данных со стороны регулятора.

Рекомендация №4. Предусмотреть обязанность собственников и (или) операторов об уведомлении регулятора в случае утечки персональных данных.

Обоснование. Предусмотренное статьей 25 Закона «О персональных данных и их защите» обязательство оператора и (или) собственника по уведомлению регулятора в случае утечки персональных данных. Нарушение обязательства должно содержать предусмотренную законодательством ответственность.

Рекомендация №5. ​Предусмотреть в законе порядок и процедуру уведомления субъектов персональных данных, чьи данные были незаконно распространены. Предусмотреть обязанность собственников и (или) операторов об уведомлении субъектов персональных данных, чьи данные были незаконно распространены.

Обоснование. Предусмотренное статьей 25 Закона «О персональных данных и их защите» обязательство оператора и (или) собственника по уведомлению субъектов персональных данных. Нарушение обязательства должно содержать предусмотренную законодательством ответственность.

Анализ в PDF

Ознакомиться полностью со Сравнительно-правовым анализом национального и зарубежного законодательства по оперативному реагированию при утечке персональных данных можно снизу в прикрепленных документах на казахском и русском языках.

Вам также может понравиться

Приватность в исламском праве