+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Казахстан
    6 октября 2022

    Казахстан

     

    ЗАКОНОДАТЕЛЬСТВО КАЗАХСТАНА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

     

    Система законодательства в области персональных данных

    Законодательство Республики Казахстан о персональных данных основывается на Конституции Республики Казахстан и состоит из Закона Республики Казахстан «О персональных данных» и иных  подзаконных актов – постановлений Правительства и приказов Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

    Статья 18 Конституции Республики Казахстан гарантирует право каждого на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства, право на тайну личных вкладов и сбережений, переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

    Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (далее – Закон) регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных. С 2015 года по 2021 год Закон совершенствуют и вносят актуальные положения, последние изменения внесены 30.12.2021.

    Кодекс Республики Казахстан об административных правонарушениях устанавливает административную ответственность за нарушение законодательства о персональных данных.

    Уголовный кодекс Республики Казахстан предусматривает уголовную ответственность за нарушение неприкосновенности частной жизни и законодательства о защите персональных данных.

    Материальное и территориальное действие законодательства о персональных данных

    Закон о персональных данных регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных как с использованием средств автоматизации, так и без таковых. Действие закона не распространяется на отношения касающиеся:

    • личных и семейных нужд;
    • осуществления охранных мероприятий по обеспечению безопасности охраняемых объектов и лиц;
    • защиты государственных секретов;
    • разведывательной, контрразведывательной, оперативно-розыскной деятельности;
    • формирования, хранения и использования архивных документов.

    Основные понятия, используемые в законодательстве о персональных данных:

    персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

    биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

    сбор персональных данных – действия, направленные на получение персональных данных;

    обработка персональных данных действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

    использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

    субъект персональных данных – физическое лицо, к которому относятся персональные данные;

    база, содержащая персональные данные – совокупность упорядоченных персональных данных;

    собственник базы, содержащей персональные данные – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

    оператор базы, содержащей персональные данные (далее — оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

    третье лицо лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;

    Уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.

    Виды персональных данных, условия их сбора и обработки

    Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

    Общедоступные персональные данные  – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, в том числе телефонные, адресные книги, средства массовой информации, биографические справочники, общедоступные электронные информационные ресурсы и т.д.

    Персональные данные ограниченного доступа  – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

    Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом,

    Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

    Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

    Законом установлен перечень случаев, когда сбор персональных данных допускается без согласия субъекта или его законного представителя:

    • осуществление деятельности правоохранительных органов и судов, исполнительного производства;
    • осуществление государственной статистической деятельности;
    • использование государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
    • реализация международных договоров, ратифицированных Республикой Казахстан;
    • защита конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
    • осуществление законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
    • опубликование персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
    • неисполнение субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
    • получение государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
    • в иных случаях, установленных законами Республики Казахстан.

    Согласие на обработку персональных данных

    Субъект персональные данных либо его законный представитель дает (или отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа или иным способом, позволяющим подтвердить получение согласия.

    При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

    Согласие на сбор и обработку персональных данных включает:

    • наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
    • фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
    • срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
    • сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
    • сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
    • сведения о распространении персональных данных в общедоступных источниках;
    • перечень собираемых данных, связанных с субъектом;
    • иные сведения, определяемые собственником и (или) оператором.

    Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

    Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым Правительством Республики Казахстан, обеспечивающие:

    • предотвращение несанкционированного доступа к персональным данным;
    • своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
    • минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;
    • предоставление доступа государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах в порядке, определяемом уполномоченным органом;
    • регистрацию и учет действий, предусмотренных Согласием субъекта на обработку ПД.

    Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

    Права субъекта персональных данных

    Субъект имеет право:

    • знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую: подтверждение факта, цели, источников, способов сбора и обработки персональных данных; перечень, сроки обработки, сроки хранения персональных данных;
    • требовать от собственника и (или) оператора изменения и дополнения, блокирования, уничтожения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
    • отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме предусмотренных законом случаев;
    • дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
    • на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда.

    Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

    Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан является уполномоченным органом по защите персональных данных.

    В случае выявления фактов незаконного разглашения персональных данных граждане могут обратиться в министерство и попросить провести специальную проверку. Министерство, в свою очередь, проводит проверку в отношении правонарушителя. Каждая проверка проходит регистрацию в комитете по правовой статистике и специальным учетам Генеральной прокуратуры РК и проводится в соответствии с Предпринимательским кодексом РК и КРКоАП в целях защиты прав предпринимателей.

    В случае подтверждения факта выносится решение о наложении административного взыскания.

    При этом уполномоченный орган вправе возбудить административное дело на субъектов малого бизнеса без проведения проверок, несмотря на принятый мораторий на проведение внеплановых проверок малого бизнеса до 1 января 2023 года. Главное, предоставить в полном объеме необходимые материалы, подтверждающие факт правонарушения.

    Трансграничная передача персональных данных

    Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.

    В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

    Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

    • наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
    • предусмотренных международными договорами, ратифицированными Республикой Казахстан;
    • предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
    • защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

    Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

    Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан «О связи».

    Ответственность за нарушение законодательства в сфере персональных данных

    Законодательство Республики Казахстан предусматривает административную и уголовную ответственность за нарушение законодательства о персональных данных и преступления в цифровой среде.

    Статья 79 Кодекса Республики Казахстан об административных правонарушениях предусматривает уголовную ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите, такие как:

    незаконные сбор и (или) обработка персональных данных неуполномоченными лицами и совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, несоблюдение собственником оператором или третьим лицом мер по защите персональных данных, если эти деяния не содержат признаков уголовно наказуемого деяния, влекут наложение штрафов от десяти до тысячи месячных расчетных показателей.

    Статья 147 Уголовного кодекса Республики Казахстан предусматривает уголовную ответственность за нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите, такие как:

    несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер;

    незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, в том числе в публичном выступлении, публично демонстрируемом произведении, в средствах массовой информации или с использованием сетей телекоммуникаций;

    те же деяния, совершенные лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации, передаваемой по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, или организаций.

    Перечисленные действия образуют состав преступлений, наказание за которые зависит от тяжести причиненного вреда. Минимальное наказание предусматривает наложение штрафа до трех тысяч месячных расчетных показателей, максимальное наказание – до семи лет лишения свободы.

    Кроме того, уголовная ответственность предусмотрена:

    Статьей 148 УК РК – незаконное нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений физических лиц – предусматривает наказание в виде штрафа в размере до двух тысяч месячных расчетных показателей до пяти лет лишения свободы.

    Статья 205 УК РК – неправомерный доступ к информации, в информационную систему или сеть телекоммуникаций, который в зависимости от тяжести последствий предусматривает наказание в виде штрафа в размере до ста шестидесяти месячных расчетных показателей до двух лет.

    Статья 206 УК РК – неправомерное уничтожение или модификация охраняемой законом информации, а равно ввод в информационную систему заведомо ложной информации, которое предусматривает минимальное наказание в виде штрафа в размере до двухсот месячных расчетных показателей, максимальное наказание в виде лишения свободы на срок до семи лет.

    Статья 213 УК РК – неправомерные изменения идентификационного кода абонентского устройства сотовой связи, устройства идентификации абонента, а также создание, использование, распространение программ для изменения идентификационного кода абонентского устройства. Указанные действия предусматривают минимальное наказание в виде штрафа в размере до ста шестидесяти месячных расчетных показателей, максимальное наказание в виде лишения свободы на срок до пяти лет.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство Республики Казахстан

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.