Редакция информационного агентства Kazakhstan Today попросила начальника юридического отдела группы компаний "ЩИТ" Петра Кодаша разъяснить нормы закона "О персональных данных и их защите", в частности, вопрос трансграничной передачи персональных данных.
Как подчеркнул специалист, трансграничная передача персональных требует строгого соблюдения законодательства и защиты прав собственника данные.
Компании должны быть прозрачными в отношении того, как и для чего используются предоставленные ПД, а граждане — осведомлены о своих правах и возможностях контроля над своими данными", — заявил он.
Эксперт пояснил, что понятие "трансграничная передача персональных данных" регламентировано Законом РК "О персональных данных и их защите", согласно которому — это процесс передачи данных о физических лицах между различными государствами, особенно когда данные передаются за пределы национальной юрисдикции.
По его словам, к персональные данные — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном или ином материальном носителе.
Таким образом, под персональными данными подразумеваются любые сведения о человеке, которые прямо или косвенно позволяют его идентифицировать, как например, ФИО, дата и место рождения, адрес и телефон, паспортные данные, информация о семейном, социальном и имущественном положении, образовании, профессии и занимаемой должности, сведения, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, физиологические данные — дактилоскопические данные, радужная оболочка глаз, голос, анализы ДНК и другие, изображение человека — фотография и видеозапись и тому подобное", — пояснил эксперт.
Специалист также привёл несколько примеров, когда передача данных будет квалифицироваться как трансграничная:
- передача данных работников: когда данные работников передаются зарубежным компаниям для организации командировок или обучения за пределами РК;
- исполнение контрактов или совершение нотариальных действий: данные гражданина передаются иностранным контрагентам для исполнения контрактных обязательств, оформление доверенностей или других правовых действий;
- обработка или хранение данных за рубежом: данные обрабатываются или хранятся с использованием сервисов, находящихся за рубежом. Например, через зарубежные облачные платформы.
- использование иностранными компаниями различного рода CRM-систем: когда данные передаются или используются в иностранные CRM-системы для ведения клиентских баз данных;
- доступ к базам данных, находящимся за рубежом: когда иностранному лицу предоставляется доступ к базам данных, находящимся на территории Казахстана, но содержащим персональные данные, или когда такие данные могут быть использованы иностранными сторонами.
Однако важно отметить, что не всегда использование персональных данных за пределами РК является трансграничной передачей. Например, если иностранная компания использует данные граждан Казахстана, но эти данные не передаются за границу, или доступ к данным предоставляется своему сотруднику, который находится за пределами РК, это не считается трансграничной передачей данных", — отметил Пётр Кодаш.
Таким образом, пояснил эксперт, для того чтобы передача перс граждан Казахстана квалифицировалась как трансграничная, должны быть выполнены два условия:
- передача данных должна быть осуществлена за пределы территории Казахстана;
- обработка данных должна происходить на территории другой страны.
Трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты данных", — подчеркнул он.
Кроме того, по словам Петра Кодаша, осуществление трансграничной передачи персональных данных на территорию иностранного государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
- наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
- предусмотренных международными договорами, ратифицированными Республикой Казахстан, Такие договоры обычно предусматривают, что данные будут защищены в той стране, куда они передаются;
- предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
- защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
По его словам, для трансграничной передачи передачи данных действующим законодательством РК не установлены какие-либо специальные требования. Соответственно, отметил эксперт, руководствоваться необходимо общими принципами и условиями, установленными законом о ПД:
- обработка данных в РК должна осуществляться на законной и справедливой основе;
- обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- не допускается обработка данных, несовместимая с целями их сбора;
- запрещается объединение баз данных, содержащих персональные данные, если их обработка осуществляется в целях, несовместимых между собой;
- при обработке данных необходимо обеспечивать их точность, достаточность и актуальность в отношении целей обработки.
Операторы, которые занимаются сбором и обработкой персональных данных, обязаны следить за тем, чтобы передача данных за границу происходила в рамках закона. Если организация передает данные за пределы страны, она должна уведомить пользователей и обеспечить надлежащий уровень защиты этих данных", — заявил Пётр Кодаш.
Он подчеркнул, что граждане должны быть уверены в том, что их персональные данные защищены и никуда "не утекут".
В Казахстане ответственность за нарушение законодательства о ПД возложена на широкий круг лиц, включая собственников и операторов баз ПД. В отношении нарушителей применяется административная либо уголовная ответственность.
Также спекаются рассказал в чем основное различие между данными видами ответственности заключается в тяжести нарушения и видах санкций, возлагаемых государством.
В частности, в соответствии со статьей 79 КоАП РК за нарушения закона о персональных данных, не содержащие признаков преступления, предусмотрены следующие санкции:
- незаконный сбор и (или) обработка персональных данных, совершенных собственником, оператором или третьим лицом с использованием его / её служебного положения;
- несоблюдение собственником, оператором или третьей стороной мер по защите личных данных;
- может повлечь за собой штраф на физическое / юридическое лицо в размере от 10 до 200 МРП в зависимости от тяжести деяния.
Что касается уголовного наказания, то в соответствии со статьей 147 УК РК предусмотрены наказания за нарушение неприкосновенности частной жизни и законодательства о персональных данных. Уголовная ответственность за эти правонарушения затрагивает несколько аспектов, включая нарушение мер защиты персональных данных, незаконное собирание или распространение информации о частной жизни, а также незаконный доступ к электронным информационным системам и передаваемой информации. За нарушение мер защиты данных — установлены наказания, включая штрафы и лишение свободы до 2 лет. Однако важно отметить, что ответственность наступает только в случае, если это деяние нанесло существенный вред правам и законным интересам лиц", — заявил эксперт.
Он пояснил, что существенный вред включает в себя такие последствия, как нарушение конституционных прав, причинение значительного ущерба или возникновение трудной жизненной ситуации у потерпевшего.
Это определение существенно влияет на правоприменение, так как доказать "существенный вред" может быть непросто, особенно в случаях, когда утечка данных не приводит к явным или измеримым последствиям для пострадавшего", — подчеркнул Пётр Кодаш.
