В Казахстане до конца 2021 года планируют принять поправки в Закон «О персональных данных и их защите».
В июне 2020 года в стране впервые определили уполномоченный орган в сфере защиты персональных данных – Комитет по информационной безопасности и появился новый вид страховой деятельности – «добровольное киберстрахование», механизм которого пока не ясно как будет работать, а также от кого и что будет страховать. Кроме этого были внесены штрафные и карательные изменения за незаконные сбор и/или обработку персональных данных. А также внесено право на забвение – удаление персональных данных из общедоступных источников.
Осенью 2021 года парламент рассмотрел вопрос о расширении полномочий Управления по защите персональных данных, включая право на привлечение к ответственности нарушителей законодательства о персональных данных.
Правительство считает, что такие меры способствуют защите частной информации и борьбе с вредоносными программами. Однако правозащитники считают, что это приведет к тотальной цензуре и к полному контролю над интернетом.
О том, что изменится в защите персональных данных казахстанцев, рассказывает Анна Гусарова, директор Центральноазиатского института стратегических исследований и Дана Мухамеджанова, заместитель директора Высшей школы права Университета КАЗГЮУ имени Нарикбаева.
Вносится поправка в статью 145 «Право на собственное изображение». В предлагаемой версии говорится, что использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица или его законных представителей, а после его смерти – с согласия его наследников.
Такое согласие не требуется, если:
— изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
— лицо позировало за плату;
— лицо совершило административное или уголовное правонарушение;
— государственный служащий или работник квазигосударственного сектора осуществляет служебные обязанности в рабочее время;
— это установлено законодательными актами.
Кроме того, добавлен пункт, что распространение персональных данных в общедоступных источниках, а также сбор, обработка и распространение персональных данных из общедоступных источников допускается при наличии согласия субъекта или его законного представителя. Такая формулировка перекладывает еще больше ответственности на граждан и бизнес, поскольку исключает государственные органы и их деятельность, а последние утечки персональных данных в Казахстане происходили именно из государственных баз данных.
Более подробно с предлагаемыми поправками можно ознакомиться на сайте «Открытые НПА».
Первый пакет поправок носил достаточно узкий характер, а сфера защиты персональных данных остается не до конца отрегулированной. Поэтому логично ожидать, что второй пакет поправок не станет последним. Новая сфера требует новых ответов, однако внесение поправок не всегда является лучшей стратегией, поскольку для начала важно, чтобы сам закон о персональных данных заработал, а пока что он пробуксовывает.
Большинство поправок ударит по малому и среднему бизнесу. Субъекты бизнеса будут обязаны «предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения ими необходимых мер по защите персональных данных». Таким образом, у Министерства цифрового развития появится легальная возможность проводить проверки и профилактический контроль по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.
Для граждан расширена возможность давать отзыв или согласие на использование их персональных данных, проверять, где хранятся их персональные данные. Кроме этого, в последнюю редакцию поправок включена обязанность уведомлять хозяина данных о том, кто инициировал запрос на доступ к его персональным данным, хранящимся в системе «электронного правительства».
Из позитивных изменений, связанных с поправками в Казахстане определен уполномоченный орган в сфере защиты персональных данных – Комитет по информационной безопасности.
Граждане, при обнаружении фактов незаконного сбора и утечки личных данных, могут обратиться в Министерство цифрового развития для проведения специальной проверки. Это можно сделать, написав на электронный адрес moap@mdai.gov.kz, либо через портал «электронного правительства» (раздел «Электронные обращения»), а также можно написать на личный блог министра.
Министерство также имеет полномочия провести проверку в отношении правонарушителя. Каждая проверка проходит регистрацию в Комитете по правовой статистике и специальным учетам Генеральной прокуратуры РК и проводится в соответствии с Предпринимательским кодексом РК и КоАП РК в целях защиты прав предпринимателей. В случае подтверждения факта, выносится решение о наложении административного взыскания.
При этом уполномоченный орган вправе возбудить административное дело и без проведения проверки в отношении субъектов малого бизнеса, несмотря на действующий мораторий по внеплановым проверкам малого бизнеса до 1 января 2023 года. Главное, чтобы были представлены все необходимые материалы, подтверждающие факт правонарушения.
Обращения должны содержать достаточные данные, указывающие на признаки административного правонарушения: это подтверждающие материалы, информация о субъекте правонарушения и сроки его совершения. Анонимные обращения не рассматриваются.
Также гражданам предоставлена возможность осуществления общественного контроля за государственным управлением, посредством портала «Открытые НПА», когда казахстанцы вовлекаются в процедуру формирования, обсуждения и принятия документов нормативно-правового характера.
Это электронный информационный ресурс, содержащий сведения об операторах, обрабатываемых ими персональных данных и условиях сбора. Нужен он государственным органам для упрощения работы и облегчения контроля над соблюдением закона о персональных данных. В этот реестр попадут абсолютно все, кто так или иначе работает с людьми, а значит их персональными данными.
Для начала важно понять, что лучшего вида не будет. Будет так, как пока это видит Комитет информационной безопасности, который является профильным органом в сфере защиты персональных данных. Вместе с тем, крайне важно разговаривать и вовлекать в процесс обсуждения гражданское общество, малый и средний бизнес.
Существует рабочая группа, в которую входят журналисты, юристы, технические специалисты, исследователи, которые привлекают внимание к остроте проблемы и дают свои заключения и предложения по поправкам в законы о защите персональных данных. Только посредством диалога возможно говорить, что поправки будут приниматься в более или менее понятном, прозрачном и не делающем хуже виде.
Таким же, как и раньше. Основной упор будет делаться на бизнес, а не на государственные органы, которые несут такую же ответственность за нарушение законодательства в сфере защиты персональных данных. Достаточно вспомнить последние утечки данных казахстанцев из государственных баз данных.
Простые примеры ежедневного нарушения закона о защите персональных данных это – работники коммунальных служб, КСК, ЖСК и ОСИ. Они размещают списки должников в подъездах, распространяют в чатах. Зачастую, эти списки содержат персональные данные: ФИО, адрес, телефоны владельцев. За незаконное распространение в чатах мессенджера WhatsApp персональных данных жильцов к административной ответственности были привлечены две управляющие организации столичных жилых комплексов и применено административное взыскание в размере 20 МРП или 134 долларов США.
Главное фото: newsbel.by