Итоги рабочей группы Мажилиса по работе над поправками по вопросам защиты персональных данных

Введение

23-25 ноября 2021 года в онлайн режиме состоялись заседания рабочей группы Мажилиса Парламента по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных».

Помимо депутатов, в работе вышеуказанной рабочей группы в качестве экспертов принимали участие директор Общественного Фонда «Евразийский Цифровой Фонд» и автор этой статьи Руслан Дайырбеков, директор ОФ «Digital Paradigm» Елжан Кабышев, директор ОФ «Правовой Медиа-Центр» Диана Окремова, ОЮЛ «Ассоциация Цифровой Казахстан», а также представители центральных государственных органов и другие эксперты.

Заседания были проведены под председательством руководителя рабочей группы, депутата Мажилиса, члена Комитета по экономической реформе и региональному развитию Екатерины Смышляевой.

Онлайн-заседание по законопроекту

Как проходило обсуждение

Первое заседание

Председателем Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности (КИБ МЦРИАП) Русланом Абдикаликовым были презентованы поправки в законодательные акты по вопросам защиты персональных данных, которые были дополнительно включены в проект закона по вопросам торговой деятельности и развития биржевой торговли от имени Екатерины Смышляевой.

Следует уточнить, что речь идёт о проекте закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных, первая редакция которого была размещена 19 марта 2021 года на портале Электронного правительства в разделе «Открытые НПА» для публичного обсуждения. Разработчиком поправок является КИБ МЦРИАП. Кроме этого, следует напомнить о результатах общественного обсуждения данного проекта закона (по состоянию на 01.07.2021 г.) с участниками Экспертной группы по цифровым правам и Управлением по защите персональных данных КИБ МЦРИАП. Уполномоченный орган по вопросам защиты персональных данных (КИБ МЦРИАП) учитывал в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации экспертов неправительственных организаций, представленных в настоящей рабочей группе Мажилиса. Таким образом, проделанная работа позволила сформировать общую позицию с разработчиком о необходимости исключения следующих правовых процедур и норм:

  • уведомительный порядок о факте, начале или прекращении сбора и обработки персональных данных в порядке, установленном законодательством о разрешениях и уведомлениях;
  • ведение реестра операторов персональных данных;
  • обязательная интеграция и использование государственного сервиса контроля доступа к персональным данным операторами баз, содержащих персональные данные;
  • норма, исключающая деятельность СМИ из перечня случаев, когда персональные данные собираются и обрабатываются без согласия.

Эксперты также поддержали инициативу уполномоченного органа о принятии следующих правовых процедур и норм:

  • негосударственный сервис контроля доступа к персональным данным;
  • расширение функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц;
  • переходные положения (отлагательная норма).

Второе заседание

Депутаты выразили озабоченность относительно дополнения в пункт 9) статьи 9 Закона «О персональных данных и их защите» от 21 мая 2013 года, предложенного Агентством по регулированию и развитию финансового рынка (АРРФР). Государственный орган предложил изложить пункт 9) статьи 9 данного закона в следующей редакции:

«9) получения и передачи информации третьим лицам государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан».

В свою очередь, Евразийским цифровым фондом было представлено следующее экспертное мнение относительно вышеуказанного дополнения:

Анализируя дополнение в пункт 9) статьи 9, следует отметить, что в Казахстане 7 июля 2020 года вступили в силу изменения и дополнения по вопросам регулирования цифровых технологий. Так, в Законе Республики Казахстан «О персональных данных и их защите» закреплён международный принцип «ограничения обработки заранее определенной целью». Закон предусмотрел случаи, при которых, согласие на «вторичную» обработку не требуется в случаях использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания. В то же время, предлагаемое дополнение о «передаче информации третьим лицам» является нарушением вышеуказанного принципа, так как предлагаемая «передача третьим лицам» явно не ограничивается передачей лишь государственным органам, а может передаваться, по сути, «неограниченному кругу лиц».

В этой связи Евразийский цифровой фонд предложил убрать из редакции дополнение «передача третьим лицам» и оставить действующую норму без изменений.

Третье заседание

После согласования с соответствующими государственными органами КИБ МЦРИАП представил на обсуждение следующую доработанную редакцию пункта 9) статьи 9:

«9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан и передачи информации третьим лицам, при условии соблюдения ими требований настоящего Закона».

Однако и здесь Евразийский цифровой фонд не согласился с данной юридической конструкцией, так как факт «передачи третьим лицам» остался:

Вторично передавать/обрабатывать можно только для статистических целей и при условии обезличивания или при наличии отдельного согласия субъекта персональных данных. Уточнение «при условии соблюдения ими требований настоящего закона», по сути, ссылается на вышеуказанные требования действующего закона и концептуально не меняет содержание предлагаемого дополнения.

В результате обсуждений депутаты не поддержали дополнение в пункт 9) статьи 9, предложенное АРРФР, и оставили норму в действующей редакции.

Итоги

По результатам заседаний рабочей группы Мажилиса по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных», следует отметить, что основные концептуальные положения по защите персональных данных, презентованные уполномоченным органом, были поддержаны депутатами и приняты большинством голосов.

24 ноября 2021 года на пленарном заседании под председательством спикера Мажилиса Нурлана Нигматулина депутаты палаты одобрили в первом чтении законодательные поправки по вопросам развития и совершенствования биржевой торговли.


Photo from Adobe Stock

Дайырбеков Руслан

Основатель Eurasian Digital Foundation, Директор Digital Rights Center Kazakhstan, Участник Экспертной группы по цифровым правам, Data Privacy Professional (GDPR DPP)