19.05.2022
Дата публикации
Данный материал содержит общий анализ и результаты общественного обсуждения вышеуказанных поправок по вопросам защиты персональных данных участниками Экспертной группы по цифровым правам и Управлением по защите персональных данных КИБ МЦРИАП РК.
Введение
30 декабря 2021 года президентом РК был подписан Закон № 96-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности, развития биржевой торговли и защиты персональных данных».
Данный материал содержит общий анализ и результаты общественного обсуждения вышеуказанных поправок по вопросам защиты персональных данных (по состоянию на 01.07.2021 г.) участниками Экспертной группы по цифровым правам и Управлением по защите персональных данных Комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (КИБ МЦРИАП РК). Данная работа ссылается на объективные оценки и профессиональные рекомендации участников Экспертной группы по цифровым правам, а также отражает официальную позицию общественного фонда «Евразийский Цифровой Фонд» (Eurasian Digital Foundation) по отдельным правовым нормам и процедурам законопроекта. Кроме этого, работа содержит рекомендации Eurasian Digital Foundation по дальнейшему развитию института персональных данных в Казахстане.
30 декабря 2021 года президентом РК был подписан Закон № 96-VII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности, развития биржевой торговли и защиты персональных данных».
Данный материал содержит общий анализ и результаты общественного обсуждения вышеуказанных поправок по вопросам защиты персональных данных (по состоянию на 01.07.2021 г.) участниками Экспертной группы по цифровым правам и Управлением по защите персональных данных Комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (КИБ МЦРИАП РК). Данная работа ссылается на объективные оценки и профессиональные рекомендации участников Экспертной группы по цифровым правам, а также отражает официальную позицию общественного фонда «Евразийский Цифровой Фонд» (Eurasian Digital Foundation) по отдельным правовым нормам и процедурам законопроекта. Кроме этого, работа содержит рекомендации Eurasian Digital Foundation по дальнейшему развитию института персональных данных в Казахстане.
Результаты общественного обсуждения законопроекта
Исключены следующие правовые процедуры и нормы:
негосударственный сервис контроля доступа к персональным данным;
расширение функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц;
переходные положения (отлагательная норма).
Исключены следующие правовые процедуры и нормы:
- уведомительный порядок о факте, начале или прекращении сбора и обработки персональных данных в порядке, установленном законодательством о разрешениях и уведомлениях;
- ведение реестра операторов персональных данных;
- обязательная интеграция и использование государственного сервиса контроля доступа к персональным данным операторами баз, содержащих персональные данные;
- норма исключающая деятельность СМИ из перечня случаев, когда персональные данные собираются и обрабатываются без согласия.
негосударственный сервис контроля доступа к персональным данным;
расширение функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц;
переходные положения (отлагательная норма).
Далее — в подробностях о том, как обсуждались и принимались вышеописанные изменения.
Какие поправки предлагал проект закона?
19 марта 2021 года на портале Электронного правительства в разделе «Открытые НПА» для публичного обсуждения была размещена первая редакция проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных.
Разработчиком поправок является КИБ МЦРИАП РК. Согласно представленным обоснованиям, поправки направлены на повышение эффективности действующего законодательства в обеспечении законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.
19 марта 2021 года на портале Электронного правительства в разделе «Открытые НПА» для публичного обсуждения была размещена первая редакция проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных.
Разработчиком поправок является КИБ МЦРИАП РК. Согласно представленным обоснованиям, поправки направлены на повышение эффективности действующего законодательства в обеспечении законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.
Проектом закона, среди прочего, предлагались поправки в части:
2. отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных;
3. прием уведомлений о факте, начале или прекращении сбора и обработки персональных данных;
4. ведение реестра операторов персональных данных;
5. подача субъектами уполномоченному органу жалобы на действия (бездействия) операторов при реализации прав субъектов;
6. предоставление субъекту информации о действиях с его персональными данными.
- наделения уполномоченного органа в сфере защиты персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлечённым в процесс сбора и обработки персональных данных;
- определения «реестра операторов» — электронного информационного ресурса, содержащего сведения об операторах, обрабатываемых ими персональных данных и условиях сбора и обработки персональных данных;
- закрепления требования о том, что «распространение персональных данных в общедоступных источниках, а также сбор, обработка и распространение персональных данных из общедоступных источников допускается при наличии согласия субъекта или его законного представителя»;
- закрепления требования о том, что «сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа»;
- закрепления требования о том, что «оператор до начала сбора, обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган», при этом «уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся собственником и (или) оператором в порядке, установленном законодательством о разрешениях и уведомлениях»;
- полноценного функционирования Сервиса обеспечения безопасности персональных данных, в частности:
2. отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных;
3. прием уведомлений о факте, начале или прекращении сбора и обработки персональных данных;
4. ведение реестра операторов персональных данных;
5. подача субъектами уполномоченному органу жалобы на действия (бездействия) операторов при реализации прав субъектов;
6. предоставление субъекту информации о действиях с его персональными данными.
-
закрепления обязанности собственника и (или) оператора по регистрации и ведения учета всех действий, совершаемых с персональными данными;
-
закрепления обязанности собственника и (или) оператора «утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных, а также локальные акты, подтверждающие соблюдение обязательств, предусмотренных настоящим Законом» и «предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения собственником и (или) оператором требований настоящего Закона»;
-
наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах, а именно:
2. направление для исполнения предписания при выявлении нарушений требований законодательства РК о персональных данных и их защите;
3. осуществление приема уведомлений от собственников и (или) операторов о факте, начале или прекращении сбора и обработки персональных данных, а также ведение государственного электронного реестра разрешений и уведомлений в соответствии с Законом РК «О разрешениях и уведомлениях»;
4. ведение реестра операторов;
5. создание консультативного совета по вопросам персональных данных и их защиты, а также определение порядка его формирования и деятельности;
6. утверждение правил функционирования и использования Сервиса обеспечения защиты персональных данных.
3. осуществление приема уведомлений от собственников и (или) операторов о факте, начале или прекращении сбора и обработки персональных данных, а также ведение государственного электронного реестра разрешений и уведомлений в соответствии с Законом РК «О разрешениях и уведомлениях»;
4. ведение реестра операторов;
5. создание консультативного совета по вопросам персональных данных и их защиты, а также определение порядка его формирования и деятельности;
6. утверждение правил функционирования и использования Сервиса обеспечения защиты персональных данных.
- наделения уполномоченного органа в сфере защиты персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных, а именно «Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме проверок и профилактического контроля в соответствии с Предпринимательским кодексом Республики Казахстан»;
Виды административных процедур и процессуальных действий
Рассматривая первые версии поправок, независимые эксперты, среди прочего, отметили большой объем регуляторного воздействия поправок на субъектов бизнеса. Эксперты Eurasian Digital Foundation проанализировали виды установленных в настоящем проекте административных процедур и процессуальных действий. Исполнение указанных правоприменительных процедур стало бы проблемой для многих операторов персональных данных, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы.
Проведение независимой общественной экспертизы
Обеспечение реальных возможностей для проведения независимой общественной экспертизы проектов нормативных правовых актов, разработанных органами исполнительной власти, является важным условием обеспечения качества правового регулирования. Необходимо обратить внимание на то, как МЦРИАП, в рамках общественного обсуждения проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных, учитывало в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации независимых экспертов, членов Экспертной группы по цифровым правам, в которую входит представитель Eurasian Digital Foundation.
1 июля 2021 года на сайте МЦРИАП была опубликована 4 версия проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных. Четвёртая редакция поправок наглядно показала, сколько раз менялся текст проекта закона в рамках публичного обсуждения с гражданским обществом.
Обеспечение реальных возможностей для проведения независимой общественной экспертизы проектов нормативных правовых актов, разработанных органами исполнительной власти, является важным условием обеспечения качества правового регулирования. Необходимо обратить внимание на то, как МЦРИАП, в рамках общественного обсуждения проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных, учитывало в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации независимых экспертов, членов Экспертной группы по цифровым правам, в которую входит представитель Eurasian Digital Foundation.
1 июля 2021 года на сайте МЦРИАП была опубликована 4 версия проекта закона по внесению изменений в законодательные акты РК по вопросам защиты персональных данных. Четвёртая редакция поправок наглядно показала, сколько раз менялся текст проекта закона в рамках публичного обсуждения с гражданским обществом.
Так, четвёртая редакция поправок более не содержала следующих требований:
Также на очередном мероприятии по публичному обсуждению поправок эксперты поддержали инициативу уполномоченного органа о дополнении функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц. В редакции от 09.04.2021 разработчик включил обязанность уведомления субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации «электронного правительства» через Сервис контроля доступа к персональным данным.
Следует приветствовать включение нормы о «переходных положениях», предложенной Eurasian Digital Foundation. Так называемая «отлагательная» норма была предусмотрена по аналогии с практикой Европейского Союза, а именно Общего регламента по защите персональных данных General Protection Regulation (GDPR). Учитывая, что поправки содержали ряд весьма обременительных для организаций обязательств, реализация которых потребует времени, разработчик предусмотрел норму о том, что интеграция собственных информационных систем, задействованных в процессах сбора и обработки персональных данных с государственным сервисом будет обеспечена собственниками и (или) операторами персональных данных в течение одного года со дня введения в действие настоящих поправок.
Также первые три редакции поправок предлагали принятие статьи 145 Гражданского Кодекса Республики Казахстан в новой редакции следующего содержания:
«Использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица, а после его смерти с согласия его детей и пережившего супруга, а при их отсутствии — с согласия родителей. Такое согласие не требуется, если:
1) изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
2) лицо позировало за плату;
3) это установлено законодательными актами.»
После долгих переговоров (в том числе, публичных) с членами Экспертной группы по цифровым правам в сравнительной таблице была хорошо сформулирована поправка, которая касалась права на использование собственного изображения. К сожалению, в итоговой версии поправок эта норма исчезла. Она подразумевала, что казахстанцам, не только журналистам, можно будет использовать фото человека без его согласия, если он а) находится в общественном месте; б) является госслужащим при исполнении им служебных обязанностей; и в) любой человек, при наличии подозрения, что он совершает правонарушение.
Отдельно следует отметить рекомендацию Экспертной группы по цифровым правам о необходимости создания в структуре МЦРИАП межведомственного совета, который объединит на своей площадке правозащитников и представителей ряда министерств.
Рассматриваемые поправки законодательно закрепили механизм обсуждения с гражданским обществом вопросов защиты персональных данных. В компетенцию уполномоченного органа включена функция по «созданию консультативного совета по вопросам персональных данных и их защиты, а также определения порядка его формирования и деятельности».
Безусловно, проведённая работа повысила качество и эффективность разработки законопроекта и сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
- «сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа»;
- «оператор до начала сбора, обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган».
Также на очередном мероприятии по публичному обсуждению поправок эксперты поддержали инициативу уполномоченного органа о дополнении функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц. В редакции от 09.04.2021 разработчик включил обязанность уведомления субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации «электронного правительства» через Сервис контроля доступа к персональным данным.
Следует приветствовать включение нормы о «переходных положениях», предложенной Eurasian Digital Foundation. Так называемая «отлагательная» норма была предусмотрена по аналогии с практикой Европейского Союза, а именно Общего регламента по защите персональных данных General Protection Regulation (GDPR). Учитывая, что поправки содержали ряд весьма обременительных для организаций обязательств, реализация которых потребует времени, разработчик предусмотрел норму о том, что интеграция собственных информационных систем, задействованных в процессах сбора и обработки персональных данных с государственным сервисом будет обеспечена собственниками и (или) операторами персональных данных в течение одного года со дня введения в действие настоящих поправок.
Также первые три редакции поправок предлагали принятие статьи 145 Гражданского Кодекса Республики Казахстан в новой редакции следующего содержания:
«Использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица, а после его смерти с согласия его детей и пережившего супруга, а при их отсутствии — с согласия родителей. Такое согласие не требуется, если:
1) изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;
2) лицо позировало за плату;
3) это установлено законодательными актами.»
После долгих переговоров (в том числе, публичных) с членами Экспертной группы по цифровым правам в сравнительной таблице была хорошо сформулирована поправка, которая касалась права на использование собственного изображения. К сожалению, в итоговой версии поправок эта норма исчезла. Она подразумевала, что казахстанцам, не только журналистам, можно будет использовать фото человека без его согласия, если он а) находится в общественном месте; б) является госслужащим при исполнении им служебных обязанностей; и в) любой человек, при наличии подозрения, что он совершает правонарушение.
Отдельно следует отметить рекомендацию Экспертной группы по цифровым правам о необходимости создания в структуре МЦРИАП межведомственного совета, который объединит на своей площадке правозащитников и представителей ряда министерств.
Рассматриваемые поправки законодательно закрепили механизм обсуждения с гражданским обществом вопросов защиты персональных данных. В компетенцию уполномоченного органа включена функция по «созданию консультативного совета по вопросам персональных данных и их защиты, а также определения порядка его формирования и деятельности».
Безусловно, проведённая работа повысила качество и эффективность разработки законопроекта и сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
Работа, проделанная Экспертной группой по цифровым правам, позволила сформировать общую позицию с разработчиком о необходимости исключить из законопроекта следующие правовые процедуры и нормы:
23-25 ноября 2021 года состоялись заседания рабочей группы Мажилиса Парламента по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных».
- уведомительный порядок («сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа», при этом «уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся собственником и (или) оператором в порядке, установленном законодательством о разрешениях и уведомлениях»);
- реестр операторов персональных данных (электронный информационный ресурс, содержащий сведения об операторах, обрабатываемых ими персональных данных и условиях сбора и обработки персональных данных»);
- обязательная интеграция и использование государственного сервиса контроля доступа к персональным данным;
- единственный сервис контроля доступа к персональным данным (включена возможность использования негосударственного сервиса контроля доступа к персональным данным («Негосударственный сервис контроля доступа к персональным данным — услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом при доступе к персональным данным, содержащимся в негосударственных объектах информатизации);
- норма исключающая деятельность СМИ из перечня случаев, когда персональные данные собираются и обрабатываются без согласия;
- требование по идентификации личности субъекта персональных данных при получении согласия («При интеграции обеспечивается доступ к сведениям необходимым для полноценного функционирования Сервиса обеспечения защиты персональных данных, в том числе о инициаторах запросов на доступ (сбор и обработку) к персональным данным»).
23-25 ноября 2021 года состоялись заседания рабочей группы Мажилиса Парламента по рассмотрению проекта Закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам торговой деятельности и развития биржевой торговли, защиты персональных данных».
Директор юридической фирмы DRCQ, руководитель ОФ «Eurasian Digital Foundation» Руслан Дайырбеков. Оригинал статьи.
