• 27 сентября 2022

    Пакистан

     

    ЗАКОНОДАТЕЛЬСТВО ПАКИСТАНА В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства в области персональных данных. Основные нормативно-правовые акты

    В настоящее время в законодательстве Пакистана не содержится специального нормативного правого акта, регулирующего защиту и обработку персональных данных. Однако работа по его созданию активно ведется, и в августе 2021 уже был вынесен на общественное обсуждение проект Закона о защите персональных данных (pdf) (Personal data protection bill 2021, consultation draft: V. 25.08.2021).

    Конституция Пакистана  предусматривает право на неприкосновенность частной жизни. Данная норма имеет верховенство над положениями иных законодательных актов в случае возникновения противоречия. В то же время предусмотрено ограничение данного права в целях вооруженных сил и полиции.

    Пакистан подписал несколько международных и региональных документов, касающихся конфиденциальности, в том числе:

    • Международный пакт о гражданских и политических правах (International Covenant on Civil and Political Rights, подписан в апреле 2008 года, ратифицирован в июне 2010 года), согласно которому «никто не может подвергаться произвольному или незаконному вмешательству в его частную жизнь, семью или переписку». Указанный документ предусматривает обязанность обеспечивать защиту других прав, основанных на защите частной жизни, таких как свобода выражения мнений и свобода объединений.
    • Каирская декларация прав человека в исламе (Cairo Declaration on Human Rights in Islam, подписана в августе 1990 года). Согласно декларации, каждый имеет право жить в безопасности, имеет право на неприкосновенность частной жизни в его личных делах, в его доме, в его семье, в отношении его имущества и его отношений. Не разрешается шпионить за ним, ставить его под наблюдение или порочить его доброе имя. Государство защищает его от произвольного вмешательства. Частное жилище неприкосновенно во всех случаях. В него нельзя проникнуть без разрешения его жильцов или каким-либо незаконным образом, оно не может быть снесено или конфисковано, а его обитатели выселены.
    • Конвенция о правах ребенка (Convention on the Rights of the Child, ратифицирована в ноябре 1990 года), в соответствии с которой «ни один ребенок не должен подвергаться произвольному или незаконному вмешательству в его личную жизнь, семью, жилище или переписку, а также незаконным посягательствам на его или ее честь и репутацию. Каждый ребенок имеет право на защиту закона от такого вмешательства или посягательств».

    Территориальное действие законодательства о персональных данных

    Законопроект предусматривает экстерриториальное действие и направлен на регулирование деятельности по обработке персональных данных контролером или обработчиком, которые:

    • зарегистрированы на территории Пакистана;
    • ведут свою коммерческую или некоммерческую деятельность на территории Пакистана (вне зависимости от того, в онлайн или офлайн среде), при этом не имеет значение, зарегистрирован ли контролер или обработчик на территории Пакистана;
    • не зарегистрированы на территории Пакистана, но обработка персональных данных осуществляется в соответствии с применимым правом Пакистана;
    • обрабатывают персональные данные любых субъектов персональных данных, находящихся на территории Пакистана.

    Основные понятия

    Персональные данные

    Означают любую информацию, которая прямо или косвенно относится к данным субъекта, который идентифицируется или может быть идентифицирован по этой информации или по другой информации, которой владеет контролер данных и/или обработчик данных, включая любые чувствительные персональные данные.

    При этом анонимизированные или псевдоанонимизированные данные, по которым не может быть идентифицировано физическое лицо, не являются персональными данными.

    Кроме того, законопроект выделяет такую категорию персональных данных, как «критические персональные данные», которые включают данные, относящиеся к поставщикам государственных услуг, операции, осуществляемые посредством электронной коммерции, и любые данные, связанные с международными обязательствами.

    Чувствительные персональные данные

    • контроль доступа (имя пользователя и/или пароль);

    • финансовая информация (банковский счет, кредитная карта, дебетовая карта или другие платежные инструменты);

    • компьютеризированное национальное удостоверение личности;

    • паспорт;

    • биометрические данные;

    • медицинские записи;

    • этническая принадлежность;

    • религиозные и политические убеждения;

    • физическое идентифицируемое местонахождение;

    • сведения о путешествии;

    • изобразительное или графическое изображение походки (жестов);

    • IP-адрес и онлайн-идентификатор.

    Основаниями обработки чувствительных персональных данных являются:

    • согласие субъекта персональных данных при условии, что это согласие не ограничено каким-либо другим применимым законодательством;

    • обработка необходима в рамках исполнения законодательно предусмотренных обязательств при трудоустройстве;

    • в целях защиты жизненно важных интересов субъекта персональных данных или другого лица в случае, когда согласие не может быть дано субъектом или от его имени; или же нельзя разумно ожидать, что контролер данных получит согласие субъекта персональных данных;

    • в целях защиты жизненно важных интересов другого лица;

    • в медицинских целях и осуществляется медицинским работником или же лицом, которое в данных обстоятельствах обязано соблюдать конфиденциальность;

    • в целях или в связи с любым судебным разбирательством;

    • с целью получения юридической консультации при обеспечении ее сохранности и секретности;

    • в целях установления, осуществления или защиты законных прав;

    • для осуществления любых функций, возложенных на какое-либо лицо любым законом;

    • если информация, содержащая персональные данные, стала общедоступной в результате действий субъекта персональных данных.

    Комиссия может своим распоряжением исключить применение отдельных из указанных выше пунктов.

    Трансграничная передача персональных данных

    Допускается в случае, если в стране, в которую передаются персональные данные, применяются правовой режим защиты персональных данных не ниже уровня, предусмотренного законодательством Пакистана, а также на основании согласия субъекта персональных данных.

    Персональные данные, кроме тех, которые относятся к категории критических персональных данных, могут передаваться за пределы территории Пакистана в соответствии с условиями, которые будут разработаны Комиссией. Также должны быть разработаны механизмы сохранения некоторых типов чувствительных персональных данных, связанных с публичными интересами или национальной безопасностью, в Пакистане.

    Самостоятельного определения биометрических данных законопроект не предусматривает. Как следует из определения чувствительных данных, биометрические персональные данные входят в их состав. 

    Персональные данные несовершеннолетних

    Законопроект не регулирует обработку персональных данных несовершеннолетних, однако в определениях заложено, что от имени несовершеннолетних действуют его законные представители.

    Оператор и обработчик (понятие обработчика, оформление отношений с обработчиком, полномочия)

    Контролер данных (оператор) – физическое или юридическое лицо или правительство, которое либо единолично, либо совместно имеет полномочия принимать решение о сборе, получении, использовании или раскрытии персональных данных.

    Обработчик данных – физическое или юридическое лицо или правительство, которое самостоятельно или в сотрудничестве с другими обработчиками обрабатывает данные от имени контролера.

    По общему правилу обработка персональных данных допускается только при наличии согласия субъекта персональных данных. При этом согласие субъекта должно быть получено для каждой цели их обработки.

    Без согласия субъекта персональных данных, контролер данных может обрабатывать персональные данные в следующих случаях:

    • для исполнения договора, стороной которого является субъект персональных данных;
    • для исполнения контролером любого юридического обязательства, вытекающего не из договора;
    • в целях защиты жизненно важных интересов субъекта персональных данных;
    • для осуществления правосудия;
    • в целях законных интересов контролера;
    • для выполнения любых функций, возложенных на любое лицо любым законом или в соответствии с ним.

    Персональные данные могут обрабатываться только в законных целях, непосредственно связанных с деятельностью контролера, а также, если:

    • обработка персональных данных необходима для этой цели или непосредственно связана с ней;
    • персональные данные являются адекватными, но не чрезмерными по отношению к этой цели.

    Контролер должен письменно уведомить субъекта персональных данных:

    • о том, что персональные данные субъекта собираются контролером или от его имени, а также предоставить перечень собираемых персональных данных;
    • о правовом основании для обработки персональных данных и сроке, в течение которого данные, вероятнее всего, будут обрабатываться и храниться после этого; о цели, для которых персональные данные собираются или подлежат сбору и дальнейшей обработке;
    • об источнике персональных данных;
    • о праве субъекта данных запрашивать доступ к личным данным и требовать их исправления.
    • о данных контролера и способе связи по любым запросам или жалобам в отношении персональных данных;
    • о типе третьих лиц, которым контролер раскрывает или может раскрыть

    персональные данные;

    • о праве субъекта персональных данных на ограничение обработки его персональных данных, а также персональных данных, относящихся к иным лицам, которые могут быть идентифицированы по его персональным данным;
    • о том, обрабатываются персональные данные на основании норм законодательства или на основании согласия на обработку персональных данных;
    • о последствиях отказа субъекта персональных данных предоставить персональные данные.

    Указанное уведомление контролера должно предоставляться субъекту персональных данных:

    • когда контролер данных впервые просит субъекта персональных данных предоставить свои персональные данные;
    • когда контролер данных впервые собирает персональные данные субъекта;
    • в любом другом случае, когда контролер использует персональные данные субъекта в целях, отличных от целей, в которых они были собраны;
    • раскрывает персональные данные третьим лицам.

    Уведомление должно быть на национальном и/или английском языках, предусматривать четкие и понятные инструкции для принятия решения субъектом персональных данных.

    Контролер или обработчик данных при сборе или обработке персональных данных должны принимать практические меры по защите персональных данных, принимая во внимание характер персональных данных и вред, который может возникнуть в результате их потери, неправильного использования, модификации, несанкционированного или случайного доступа, или раскрытия, изменения или разрушения, а также меры защиты:

    1. Места хранения персональных данных;
    2. Оборудования, в котором хранятся персональные данные;
    3. В отношении надежности, добросовестности и компетентности персонала, имеющего доступ к персональным данным;
    4. Безопасной передачи персональных данных.

    Если обработка персональных данных осуществляется обработчиком от имени контролера, контролер должен также гарантировать, что обработчик данных примет международные стандарты технической и организационной безопасности при обработке персональных данных в порядке, установленном Национальной комиссией по защите персональных данных (надзорный орган, далее — Комиссия).

    Обработчик обязан самостоятельно принять меры для обеспечения соблюдения требований безопасности.

    Обязанностью контролера является также принятие всех разумных мер для обеспечения уничтожения персональных данных по достижении цели их обработки, для обеспечения точности, полноты и актуальности персональных данных в соответствии с целью их обработки, для предоставления доступа субъекта персональных данных к его данным и уточнения. Законом могут быть предусмотрены случаи ограничения доступа к персональным данным.

    Контролер должен хранить и вести учет каждой заявки, уведомления, запроса или любой иной информации, относящейся к персональным данным, которые были или находятся в процессе их обработки. Контролер должен регулярно информировать Комиссию о типе данных, которые он собирает и обрабатывает, за исключением случаев минимального количества собираемых персональных данных и когда риск нарушения прав и свобод субъекта персональных данных минимален.

    Контролер должен ответить на запрос субъекта персональных данных не позднее 30 дней с даты его получения, в противном случае до истечения указанного срока он обязан уведомить субъекта в письменной форме о причинах переноса срока. В любом случае ответ на запрос должен быть направлен не позднее 14 дней после истечения первоначального 30-дневного срока.

    В то же время законопроект предусматривает основания, когда контролер может отказать субъекту персональных данных в доступе к его персональным данным. К ним относятся:

    • контролеру не представлена информация, позволяющая идентифицировать личность обратившегося с запросом.
    • контролеру не предоставлена информация, подтверждающая участие субъекта персональных данных в отношениях с данным контролером.
    • контролер не может выполнить запрос на доступ к данным, не раскрывая личные данные, относящиеся к другому лицу, которое может быть идентифицировано по этой информации, если нет согласия такого лица;
    • предоставление доступа может представлять собой нарушение судебного приказа;
    • предоставление доступа может раскрыть конфиденциальную информацию, касающуюся бизнеса контролера;
    • такой доступ к персональным данным регулируется иным законом.

    В случае утечки персональных данных контролер должен в разумный срок, но не позднее 72 часов после того, как стало известно об утечке персональных данных, уведомить Комиссию и субъекта персональных данных об утечке, кроме случаев, когда угроза нарушения прав и свобод субъекта персональных данных минимальна.

    Уведомление об утечке персональных данных должно содержать как минимум следующую информацию:

    • описание характера утечки персональных данных, включая по возможности категории и приблизительное количество заинтересованных субъектов данных, а также категории и приблизительное количество соответствующих записей персональных данных;
    • имя и контактные данные уполномоченного по защите данных или другого контактного лица;
    • возможные последствия утечки персональных данных;
    • меры, принятые контролером для решения последствий утечки данных, включая, при необходимости, меры по смягчению возможного неблагоприятного последствия этого.

    Контролер должен вести учет всех утечек персональных данных, включая последствия и принятые меры по исправлению положения.

    Обработчик данных также должен соблюдать требования об уведомлении в случае утечки персональных данных.

    Права субъекта персональных данных (отзыв согласия, требование о прекращении обработки)

    Субъект персональных данных — это физическое лицо, являющееся субъектом персональных данных.

    Законопроект также выделяет понятие «иностранный субъект данных», которое означает субъекта персональных данных, который не является гражданином Пакистана.

    Кроме того, в рамках законопроекта применяется термин «заявитель» для обозначения любого, кто направляет запрос в соответствии с Законопроектом по любому вопросу, связанному с ним.

    Субъекту должен быть обеспечен доступ к его персональным данным, хранящимся у контролера, а также право на исправление, уточнение, переносимость, право не подвергаться решению, основанному исключительно на автоматизированной обработке, в том числе в результате профилирования.

    Субъект персональных данных может отозвать свое согласие на обработку персональных данных, направив контролеру письменное уведомление, в любое время. После этого контролер обязан прекратить обработку персональных данных. Отзыв согласия не влияет на законность обработки до его отзыва.

    В случае нарушения данного права субъекта персональных данных на контролера может быть наложен штраф в размере до 5 млн рупий.

    Иностранный субъект персональных данных имеет все права, предусмотренные законом.

    Общее регулирование согласия на обработку персональных данных

    Правовые основания применения согласия. Требования к согласию

    Согласие субъекта персональных данных означает любое свободно данное, конкретное, информированное и недвусмысленное указание на пожелания субъекта персональных данных, выраженное путем заявления или явным утвердительным действием согласие на сбор, получение и обработку его персональных данных.

    Законный интерес

    Законный интерес означает все, что разрешено законодательством, является одним из правовых оснований для обработки персональных данных контролером без согласия субъекта персональных данных.

    Отраслевое регулирование в области персональных данных

    Закон о расследовании (pdf) в целях справедливого судебного разбирательства (2013 год) разрешает доступ к данным, электронной почте, телефонным звонкам и любым формам компьютерной или мобильной связи при условии судебного ордера. Однако ордер может быть запрошен всякий раз, когда у должностного лица есть «причины полагать», что гражданин является или может быть «связан» или даже «начинает планировать» преступление в соответствии с пакистанским законодательством.

    Закон о предотвращении электронных преступлений (2016 год) предусматривает право на сбор и запись информации, имеющейся у поставщика или передаваемой через него с разрешения суда по согласованию с органами следствия в целях уголовного расследования. Данным законом предусмотрено, что правительство может направлять иностранному правительству любую информацию, полученную в результате его собственных расследований, если оно считает, что раскрытие такой информации может помочь другому правительству, агентству или организации.

    Управлению электросвязи Пакистана предоставляется право блокировать или удалять доступ к информации, «если оно считает это необходимым в интересах славы ислама или целостности, безопасности или обороны Пакистана или любой его части, дружественных отношений с иностранными государствами, общественного порядка, порядочности или морали».

    Управление электросвязи Пакистана издало акт (pdf) (15.03.2010), согласно которому каждый поставщик услуг междугородной и международной связи обязан установить систему, позволяющую осуществлять мониторинг и запись трафика в его сетях в режиме реального времени. Провайдеры обязаны хранить данные связи в качестве условия своей операционной лицензии и обязаны выполнять запросы на перехват и доступ к сетевым данным в качестве условия предоставления Управлением операционных лицензий телефонным компаниям.

    Локализация (положения, требования, ответственность)

    Закон предусматривает единственное требование, согласно которому критические персональные данные должны обрабатываться только на сервере или в центре обработки данных, расположенных в Пакистане.

    Ответственность за нарушения в сфере персональных данных

    Законом предусмотрена административная ответственность за правонарушения в сфере персональных данных.

    Ответственность за незаконную обработку персональных данных:

    • Обработка, распространение или раскрытие персональных данных в нарушение любого из положений Закона наказываются штрафом в размере до 15 млн рупий, а в случае последующей неправомерной обработки персональных данных штраф может быть увеличен до 25 млн рупий.

    В случае, если вышеуказанное правонарушение связано с конфиденциальными данными, правонарушитель может быть наказан штрафом до 25 млн рупий.

    Ответственность за непринятие мер по обеспечению безопасности персональных данных:

    • непринятие мер безопасности, необходимых для обеспечения безопасности персональных данных, когда такая обязанность предусмотрена Законом, а также в нарушение установленных правил, наказывается штрафом в размере до 5 млн рупий.

    Ответственность за неисполнение решений Комиссии или суда:

    • наказывается штрафом в размере 2,5 млн рупий.

    Если контролер и/или обработчик нарушает какое-либо положение Закона или правила и постановления, изданные в соответствии с ним, или политику, изданную федеральным правительством, или любые предписания Комиссии, или требования по регистрации, Комиссия может в течение 15 дней направить письменное уведомление контролеру и (или) обработчику с запросом о причинах нарушения. В уведомлении должен быть указан характер правонарушения и действия, которые должен предпринять контролер и/или обработчик для устранения нарушения.

    Если адресат уведомления не исполнит какое-либо из указанных действий:

    • не ответит в письменной форме на уведомление,
    • не предоставит Комиссии соответствующие пояснения по нарушению;
    • не исправит нарушение в течение срока, установленного Комиссией,
    • на него налагается штраф в размере до 250 млн рупий или же приостанавливается деятельность, или прекращается регистрация и устанавливаются дополнительные требования.

    Юридическое лицо несет ответственность за неисполнение, совершенное по его указанию или в его пользу, или за отсутствие необходимого надзора со стороны любого лица, действующего самостоятельно или в составе группы кампаний, наказывается штрафом в размере до 1% от его годового валового дохода в Пакистане или в размере 30 млн рупий, в зависимости от того, что больше. При этом такое наказание не освобождает от ответственности лицо, занимающее руководящее положение и имеющее полномочия принимать решения от имени юридического лица или полномочия на осуществление контроля внутри него.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    Любое физическое лицо может подать жалобу в Комиссию против любого нарушения прав на защиту персональных данных обработчиком или оператором.

    Жалоба может быть подана в свободной форме на бумажном носителе либо по форме, утвержденной Комиссией. Одновременно заявитель должен подтвердить, что он не обращался с указанной жалобой в суд или иной уполномоченный орган. За подачу и рассмотрение жалобы Комиссия взимает плату.

    В течение 3 рабочих дней Комиссия уведомляет о получении жалобы и обязана ее рассмотреть в течение 30 дней с момента получения, если Комиссия обоснованно не продлит этот срок.

    В целях рассмотрения жалобы Комиссия вправе:

    а) запросить объяснения у контролера или обработчика, против которого подана жалоба, предоставив ему разумный срок;

    b) связаться, при необходимости, с заявителем для получения дополнительной информации или комментариев к ответу контролера или обработчика.

    По результатам рассмотрения жалобы Комиссия может издать распоряжение о прекращении нарушения прав на защиту данных субъекта без предварительного получения комментариев от соответствующего обработчика и контролера, в зависимости от обстоятельств.

    Комиссия может использовать электронные средства связи для рассмотрения жалоб.

    В случае неспособности контролера или обработчика, в зависимости от обстоятельств, ответить на запрос Комиссии или выполнить ее распоряжения, Комиссия может инициировать принудительное исполнение по правилам, установленным Законом.

    Решение Комиссии может быть обжаловано. Апелляция на решение Комиссии должна быть передана в Верховный суд или любой другой суд, учрежденный федеральным правительством, в котором решение должно быть принято в течение 90 дней.

    Лицо, пострадавшее от любого решения или приказа любого должностного лица Комиссии может в течение 30 дней с момента получения решения или приказа, обжаловать в установленном порядке в Комиссию такие действия члена Комиссии. Комиссия принимает решение по такой апелляции в течение тридцати дней.

    Надзорный орган в сфере персональных данных, его полномочия

    Надзорным органом является Национальная комиссия по защите персональных данных.

    Комиссия несет ответственность за защиту интересов субъекта персональных данных и обеспечение ее соблюдения, предотвращение любого неправомерного использования персональных данных, повышение осведомленности о персональных данных и их защиты и рассматривает жалобы в соответствии с Законом.

    Комиссия, в частности, выполняет следующие функции:

    • прием и рассмотрение жалоб в отношении нарушения персональных данных, включая нарушение любого положения Закона;
    • изучение различных законов, правил, политик, подзаконных актов, положений или инструкций в отношении

    защиты персональных данных в целях законодательного совершенствования;

    • принятие мер по информированию общественности о правах на защиту персональных данных и правах на жалобы на нарушение этих прав в соответствии с Законом;
    • привлечение, поддержка, руководство, содействие и обучение контролеров, обработчиков;
    • обеспечение точности и прозрачности принимаемых Комиссией решений;
    • мониторинг и обеспечение применения положений Закона;
    • принятие незамедлительных и надлежащих мер в ответ на нарушение безопасности персональных данных в соответствии с Законом;
    • мониторинг трансграничной передачи персональных данных в соответствии с Законом;
    • мониторинг технологических разработок и коммерческой практики, которые могут повлиять на защиту персональных данных и поощрение проведения исследований с целью инноваций в области защиты персональных данных;
    • консультирование федерального правительства и любого другого установленного законом органа о мерах, которые должны быть приняты для обеспечения защиты персональных данных и обеспечения согласованности применения и исполнения Закона;
    • Комиссия имеет право использовать профессиональный опыт частных или государственных организаций в целях исполнения своих функций;
    • давать рекомендации федеральному правительству по политике в отношении защиты персональных данных в соответствии с передовой международной практикой и национальными требованиями;
    • исполнять другие функции, которые федеральное правительство может поручить ей.

    К полномочиям Комиссии относятся, в том числе:

    • принятие решений по жалобам, издание приказов в этой связи Комиссия наделяется полномочиями гражданского суда;
    • формулирование, утверждение и внедрение политики, процедуры и положений для своей внутренней деятельности;
    • определение контролеров/обработчиков больших данных наряду с другими категориями, и определение специальных мер по соблюдению положений Закона;
    • определение правил регистрации контролеров и обработчиков;
    • принятие незамедлительных и надлежащих действий в ответ на нарушение безопасности данных в соответствии с Законом;
    • полномочия на обыск и выемку в соответствии с процедурами комплаенса;
    • установление стоимости и порядка оплаты за подачу жалобы и ее формата;
    • запрос информации у контролеров в отношении обработки персональных данных и наложение штрафов за несоблюдение правил безопасности данных и несоблюдение положений Закона;
    • предписание контролерам данных принять такие разумные действия, которые Комиссия может счесть необходимыми для возмещения заявителю любого нарушения Закона;
    • вызов и обеспечение явки свидетелей и принуждение их к даче устных и письменных показаний под присягой.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство Исламской Республики Пакистан

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.