Уведомление об утечке персональных данных: оценка и обсуждение

Цифровая приватность 20 янв. 2023 г.

Введение

В данном материале содержится информация об анализе регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан.

В соответствии с пунктом 1.5.5 Протокола совещания заседания Комиссии при Президенте Республики Казахстан по вопросам внедрения цифровизации в Республике Казахстан № 21-01-7.21 от 27 октября 2021 года Министерством цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее – МЦРИАП РК) проводятся работы по внесению законодательных изменений по усилению ответственности за утечку персональных данных граждан.

Проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности» предусматривается внесение поправок в законы Республики Казахстан, направленных на усиление защиты персональных данных и определение новых механизмов взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов, а также поправок, разработанных во исполнение Указа Главы государства от 13 апреля 2022 года № 872 «О мерах по дебюрократизации деятельности государственного аппарата».

Среди всего прочего, разработчиками законопроекта предлагается дополнить пункт 2 статьи 25 Закона Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите» новым подпунктом 3-2) следующего содержания:

«в течение одного рабочего дня с момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных».

В свою очередь, следует отметить, что Правительство Республики Казахстан, рассмотрев законопроект, вынесло заключение в отношении субъектов предпринимательства о том, что норма по уведомлению уполномоченного органа об утечке персональных данных должна носить обязательный характер.

Онлайн-обсуждение регуляторного инструмента

5 января 2023 года основатель Eurasian Digital Foundation Руслан Дайырбеков и директор ОФ «Digital Paradigm» Елжан Кабышев приняли участие в онлайн-обсуждении анализа регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан.

Онлайн обсуждение, 5 января 2023 года 

В мероприятии приняли участие более 60 представителей разных заинтересованных сторон под председательством руководителя Управления по защите персональных данных Комитета информационной безопасности МЦРИАП РК Кабдеш Адилетхана. Среди участников онлайн-обсуждения были представители НПП Атамекен, банковских и финансовых организаций, неправительственных организаций и экспертов.

Кабдеш Адилетхан проинформировал участников, что проект заключения Правительства по законопроекту согласован со всеми заинтересованными государственными органами и в настоящее время находится на рассмотрении Администрации Президента. Кроме этого, руководитель Управления отметил, что данная мера (уведомление по утечке данных) послужит эффективной мерой для сдерживания роста неправомерного поведения собственников и (или) операторов баз, содержащих персональные данные, а также для принятия мер по защите персональных данных, так как анализ правоприменительной практики в РК, подтверждающий наличие соответствующих проблем, свидетельствует о неэффективной действующей модели правового регулирования в данной сфере.

Руслан Дайырбеков концептуально поддержал инициативу законодательного закрепления процедуры уведомления уполномоченного органа в случае утечки персональных данных со стороны оператора и обратил внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных «документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».

Участники онлайн-обсуждения высказали опасения относительно предложенной редакции определения «нарушение безопасности персональных данных», так как существуют риски для субъектов бизнеса, связанные с широким определением этого понятия операторы персональных данных, осуществляющие их сбор и обработку, могут быть привлечены к ответственности за утечку персональных данных, к которой они не имеют никакого отношения.

Елжан Кабышев привел в пример определение данного понятия в GDRP:

(12) «Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним».

Отдельные руководства GDPR более подробно описывают случаи, при которых оператор персональных данных должен уведомить о нарушении безопасности персональных данных, как например: Guidelines on Personal data breach notification under Regulation 2016/679. Однако, к сожалению, учитывая особенности казахстанского законодательства о персональных данных и их защите, предложенное расширенное толкование может негативно повлиять на деятельность бизнеса.

Уведомление – это важная процедура, обеспечивающая возможность хотя бы минимизировать последствия нарушения законодательства, должным образом уведомить субъектов персональных данных об утечке, а также привить операторам ответственность за бережное обращение с персональными данными и безопасность их хранения.

Уведомление субъектов персональных данных о нарушении безопасности персональных данных

На сегодняшний день в стране установлены случаи утечки базы данных многих собственников и операторов, осуществляющих сбор и обработку персональных данных, таких как ЦИК, Яндекс.Еда, Казпочта, компания “Спортмастер” и т.д.

В связи с накоплением огромного количества данных, в том числе персональных данных, у собственников и (или) операторов возникают риски их утечки по каким-либо обстоятельствам (нарушение со стороны непризнанных лиц, человеческий фактор и т.д.).

Последствия утечки могут быть очень серьезными и незначительными. Однако следует понимать, что утечка персональных данных, прежде всего, наносит прямой ущерб субъекту этих данных.

Вышеуказанным проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности» предусматривается дополнить статью 13 Закона Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК «Об информатизации» подпунктом 13-1) следующего содержания:

«На основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства».

Оператор информационно-коммуникационной инфраструктуры «электронного правительства» – Акционерное общество «Национальные информационные технологии» – будет уполномочен уведомлять субъекты об утечках их персональных данных. Таким образом, будет усилена защита персональных данных и определены новые механизмы взаимодействия при обеспечении информационной безопасности объектов информатизации государственных органов.

Руслан Дайырбеков

Основатель Eurasian Digital Foundation, Директор Digital Rights Center Kazakhstan, Участник Экспертной группы по цифровым правам, Data Privacy Professional (GDPR DPP)