Содержание
Введение
В данном материале содержится информация об анализе регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан.
В соответствии с пунктом 1.5.5 Протокола совещания заседания Комиссии при Президенте Республики Казахстан по вопросам внедрения цифровизации в Республике Казахстан № 21-01-7.21 от 27 октября 2021 года Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – МЦРИАП РК) проводятся работы по внесению законодательных изменений по усилению ответственности за утечку персональных данных граждан.
Проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности» предусматривается внесение поправок в законы Республики Казахстан, направленных на усиление защиты персональных данных и определение новых механизмов взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов, а также поправок, разработанных во исполнение Указа Главы государства от 13 апреля 2022 года № 872 «О мерах по дебюрократизации деятельности государственного аппарата».
Среди всего прочего, разработчиками законопроекта предлагается дополнить пункт 2 статьи 25 Закона Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите» новым подпунктом 3-2) следующего содержания:
«в течение одного рабочего дня с момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных».
В свою очередь, следует отметить, что Правительство Республики Казахстан, рассмотрев законопроект, вынесло заключение в отношении субъектов предпринимательства о том, что норма по уведомлению уполномоченного органа об утечке персональных данных должна носить обязательный характер.
Онлайн-обсуждение регуляторного инструмента
5 января 2023 года основатель Eurasian Digital Foundation Руслан Дайырбеков и директор ОФ «Digital Paradigm» Елжан Кабышев приняли участие в онлайн-обсуждении анализа регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан.
В мероприятии приняли участие более 60 представителей разных заинтересованных сторон под председательством руководителя Управления по защите персональных данных Комитета информационной безопасности МЦРИАП РК Кабдеш Адилетхана. Среди участников онлайн-обсуждения были представители НПП Атамекен, банковских и финансовых организаций, неправительственных организаций и экспертов.
Кабдеш Адилетхан проинформировал участников, что проект заключения Правительства по законопроекту согласован со всеми заинтересованными государственными органами и в настоящее время находится на рассмотрении Администрации Президента. Кроме этого, руководитель Управления отметил, что данная мера (уведомление по утечке данных) послужит эффективной мерой для сдерживания роста неправомерного поведения собственников и (или) операторов баз, содержащих персональные данные, а также для принятия мер по защите персональных данных, так как анализ правоприменительной практики в РК, подтверждающий наличие соответствующих проблем, свидетельствует о неэффективной действующей модели правового регулирования в данной сфере.
Руслан Дайырбеков концептуально поддержал инициативу законодательного закрепления процедуры уведомления уполномоченного органа в случае утечки персональных данных со стороны оператора и обратил внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных «документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
Участники онлайн-обсуждения высказали опасения относительно предложенной редакции определения «нарушение безопасности персональных данных», так как существуют риски для субъектов бизнеса, связанные с широким определением этого понятия — операторы персональных данных, осуществляющие их сбор и обработку, могут быть привлечены к ответственности за утечку персональных данных, к которой они не имеют никакого отношения.
Елжан Кабышев привел в пример определение данного понятия в GDRP:
(12) «Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним».
Отдельные руководства GDPR более подробно описывают случаи, при которых оператор персональных данных должен уведомить о нарушении безопасности персональных данных, как например: Guidelines on Personal data breach notification under Regulation 2016/679. Однако, к сожалению, учитывая особенности казахстанского законодательства о персональных данных и их защите, предложенное расширенное толкование может негативно повлиять на деятельность бизнеса.
Уведомление – это важная процедура, обеспечивающая возможность хотя бы минимизировать последствия нарушения законодательства, должным образом уведомить субъектов персональных данных об утечке, а также привить операторам ответственность за бережное обращение с персональными данными и безопасность их хранения.
Уведомление субъектов персональных данных о нарушении безопасности персональных данных
На сегодняшний день в стране установлены случаи утечки базы данных многих собственников и операторов, осуществляющих сбор и обработку персональных данных, таких как ЦИК, Яндекс.Еда, Казпочта, компания “Спортмастер” и т.д.
В связи с накоплением огромного количества данных, в том числе персональных данных, у собственников и (или) операторов возникают риски их утечки по каким-либо обстоятельствам (нарушение со стороны непризнанных лиц, человеческий фактор и т.д.).
Последствия утечки могут быть очень серьезными и незначительными. Однако следует понимать, что утечка персональных данных, прежде всего, наносит прямой ущерб субъекту этих данных.
Вышеуказанным проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности» предусматривается дополнить статью 13 Закона Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК «Об информатизации» подпунктом 13-1) следующего содержания:
«На основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства».
Оператор информационно-коммуникационной инфраструктуры «электронного правительства» – Акционерное общество «Национальные информационные технологии» – будет уполномочен уведомлять субъекты об утечках их персональных данных. Таким образом, будет усилена защита персональных данных и определены новые механизмы взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов.