Персональные данные в Республике Казахстан

Компания Интеркомп Казахстан напоминает, что общественные отношения в сфере персональных данных, а также принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных в Республике Казахстан, регулируется Законом Республики Казахстан «О персональных данных и их защите» от 21.05.2013 №94-V (далее по тексту – Закон). 

Особенности сбора, обработки и защиты персональных данных могут регулироваться и иными законами и актами Президента Республики Казахстан. 

Целью законодательства о персональных данных, является обеспечение защиты прав и свобод человека и гражданина при сборе, обработке и защите его персональных данных. 

В соответствии с подпунктом 2 статьи 1 Закона, персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. 

Перечень сведений, которые признаются персональными данными, Законом не установлен. На практике, под персональными данными понимаются следующие категории сведений: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа удостоверяющего личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее. 

Кроме того, согласно статьи 6 Закона, персональные данные разделены на две категории: общедоступные (биографические справочники, телефонные книги, информация в СМИ и т.д.) и имеющие ограниченный доступ (данные удостоверения личности, индивидуальные идентификационные номера, личные телефоны, адрес местожительства, национальность, место работы, условия трудового договора и т.д.). 

Физическое лицо, к которому относятся или принадлежат персональные данные, именуется субъектом персональных данных. Персональные данные комплектуются в базы, в зависимости от целей их назначения и использования. Государственные органы, физические и (или) юридические лица, которые на праве собственности владеют, пользуются и распоряжаются базами, содержащими персональные данные, называются собственниками. 

Государственный орган, физическое и (или) юридическое лицо, осуществляющее функции по сбору, обработке и защите персональных данных, именуется оператором базы персональных данных. 

Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, за исключением случаев, таких как: 

  • осуществления деятельности правоохранительных органов (в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности), судов, исполнительного производства, а также при осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан; 
  • осуществления государственной статистической деятельности, использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания; 
  • осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина; 
  • в иных случаях, установленных законами Республики Казахстан. 

Основная информация: 

В силу требований пункта 1 статьи 8 Закона, дача согласия субъекта на сбор, обработку персональных данных, осуществляется в письменной форме или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. 

Сбор, обработка и защита персональных данных могут быть переданы третьему лицу, если третье лицо связано с субъектом, собственником и/или оператором обстоятельствами или правоотношениями (пп.17 ст.1 Закона). 

Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания. 

Таким образом, передача данных собственником или оператором третьему лицу должна сопровождаться соответствующим договором и согласием субъекта. 

Статьёй 16 Закона, предусмотрена трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств. Трансграничная передача персональных данных может осуществляться в случае обеспечения этими государствами защиты персональных данных в соответствии с Конвенцией «о защите физических лиц при автоматизированной обработке персональных данных» (Страсбург 28.01.1981), а также в иных случаях, предусмотренных законодательством. 

При этом, пунктом 3 вышеуказанной статьи Закона установлено, что трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться, в том числе, в случаях: - наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных; - предусмотренных международными договорами, ратифицированными Республикой Казахстан. К примеру, США не являются участниками Конвенции (Страсбург 28.01.1981), поэтому передача из Казахстана в США персональных данных, должно сопровождаться соответствующим согласием субъекта. 

Вместе с тем, трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан. 

Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора. 

При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны их обезличить. 

Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом. Хранение персональных данных осуществляется в базе. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан (ст.12 Закона). 

Вместе с тем, с «01» января 2016 года, вступила в силу статья 12 Закона в измененной редакции, дополненная оговоркой, что хранение персональных данных осуществляется в базе, которая хранится на территории Республики Казахстан. Тем самым, законодатель в императивном порядке устанавливает место хранения персональных данных - Республика Казахстан. 

Обращаем внимание, что Законом не определен круг лиц, персональные данные которых должны храниться в базе персональных данных в Республике Казахстан. Поэтому следует понимать, что речь идет о лицах (вне зависимости от гражданства, национальности и т.п.) персональные данные которых собирались и обрабатываются на территории Республики Казахстан, на основании и в соответствии с Законом. Иными словами, нахождение персональных данных за пределами Республики, которые одновременно не находятся в базе данных в Казахстане, недопустимо. 

Дополнительная информация: 

Действий по уведомлению, извещению уполномоченных органов, наличия и предоставления документов разрешительного характера, лицензий, справок и т.п., при обработке персональных данных не требуется. 

Обращаем внимание на то, что органы прокуратуры от имени государства осуществляют высший надзор за точным и единообразным применением Закона РК "О защите персональных данных" и иных нормативных правовых актов Республики Казахстан в сфере персональных данных и их защиты. 

При этом, какие-либо ревизии/проверки со стороны уполномоченного органа, их частота и регулярность законодательством не оговариваются. На практике, основанием для таких проверок могут послужить жалоба или поступление иной информации негативного характера в уполномоченные органы, о нарушении законодательства в области защиты персональных данных. 

Наличие специальных локальных актов, политик, и иных положений о защите персональных данных, не является обязательно необходимым требованием для Работодателя. 

Ответственность: 

Гражданско-правовая ответственность 

Субъект персональных данных вправе требовать защиты своих прав и законных интересов (ст.9 Гражданского кодекса РК), а также требовать возмещения морального и материального вреда. 

Административная ответственность 

В соответствии со статьей 79 кодекса Республики Казахстан от 30 января 2001 года № 155 «Об административных правонарушениях» предусматривает ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите, максимальный размер наказания - влечет штраф на физических лиц в размере ста, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации - в размере ста пятидесяти, на субъектов среднего предпринимательства - в размере двухсот, на субъектов крупного предпринимательства - в размере трехсот месячных расчетных показателей. 

Месячный расчетный показатель (МРП) - это коэффициент для исчисления пособий и иных социальных выплат, а также для применения штрафных санкций, налогов и других платежей в соответствии с законодательством Республики Казахстан. С «01» января 2016 года размер месячного МРП составляет 2 121 тенге.

К административной ответственности в Республике Казахстан, в случае нарушения законодательства юридическим лицом, могут привлекаться юридическое лицо и/или должностные лица организации. 

Уголовная ответственность 

Статьей 147. Уголовного кодекса Республики Казахстан (далее – УК РК), предусматривается ответственность за нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите. Самый тяжелый состав наказания - лишение свободы на срок до семи лет. 

К уголовной ответственности привлекаются должностные лица организации. 

Примечание: В настоящее время в статью 147 УК РК вносятся изменения, в новой редакции статья вступит в силу с «01» января 2016 года, в силу Закона Республики Казахстан от 24 ноября 2015 года № 419-V «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информатизации» (не введен в действие). 

Пункт 3 статьи, в новой редакции будет изменен, путем внесения уточнений и добавлением двух дополнительных статьей 4 и 5 с утяжелением состава наказания – лишение свободы на срок до семи лет. 

Заключение: 

  • Основной регулятор отношений в сфере персональных данных - Закон Республики Казахстан «О персональных данных и их защите» от 21.05.2013 №94-V. 
  • Сбор, обработка и защита персональных данных осуществляется на основании письменного согласия субъекта персональных данных. 
  • Передача собственником и/или оператором персональных данных третьему лицу, сопровождается соответствующим договором и письменным согласием субъекта. 
  • Отсутствует императивное требование, в том числе, для работодателей, о наличии локальных актов, политик и иных положений о защите персональных данных. 
  • С 2016 года хранение персональных данных, осуществляется на территории Республики Казахстан. 
  • Нарушение законодательства о персональных данных, может повлечь гражданско-правовую, административную и уголовную ответственность. 


РЕКОМЕНДАЦИИ 

В целях соблюдения требований закона о персональных данных рекомендуется: 

  • провести аудит систем, связанных с обработкой персональных данных; 
  • организовать деятельность компании и ее работников по обработке персональных данных в соответствии с требованиями законодательства. 

Специалисты департамента юридических услуг компании Интеркомп Казахстан будут рады ответить на любые Ваши вопросы, связанные с локализацией персональных данных, а также помочь организовать деятельность компании и ее работников по обработке персональных данных в соответствии с требованиями законодательства. 

Для получения дополнительной информации об услуге Вы можете заполнить форму запроса на нашем сайте или позвонить по телефону: +7 727 334-0657. 

Содержание данной публикации не может заменить юридической консультации, для качественного предоставления которой всегда используются актуальные и конкретные данные о ситуации клиента.