Определение персональных данных
DPR содержит широкое определение данных, которое включает любую информацию, обрабатываемую автоматическими устройствами согласно заданным инструкциям, или записанную с целью последующей автоматической обработки, или записанную в составе относимой файловой системы либо с целью последующего включения в относимую файловую систему.
Под относимой файловой системой понимается любой набор информации в отношении определяемого физического лица в той степени, в которой даже в случае отсутствия обработки информации автоматическим устройством набор информации является структурированным, как через отсылку к физическим лицам, так и через отсылку к критериям, относящимся к физическим лицам, таким образом, что конкретная информация, относящаяся к отдельному физическому лицу является легкодоступной.
Персональными данными являются данные, относящиеся к определяемому физическому лицу. При этом к чувствительным персональным данным относятся персональные данные, прямо или косвенно раскрывающие или касающиеся расового или этнического происхождения, социального происхождения, политических связей или мнений, религиозных или философских взглядов, уголовного преследования, членства в профсоюзах, здоровье или сексуальной жизни.
В отличие от DPR, Закон не содержит термина «чувствительные персональные данные» и в принципе не выделяет аналогичные категории персональных данных, обеспечивая любым персональным данным равную защиту. Само определение персональных данных отличается незначительно. Согласно Закону, к персональным данным относятся «сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе». Несмотря на видимые различия, данные определения практически идентичны в части круга субъектов, которые в случае Закона должны быть определенными или определяемыми, а в DPR должны быть только определяемыми. При этом очевидно, что любой определенный субъект является одновременно определяемым, но не любой определяемый субъект является определенным.
Согласно DPR, определяемым физическим лицом является физическое лицо, которое может быть определено, прямо или косвенно, в частности, путем отсылки к идентификационному номеру или одному или более факторам, специфическим для биологических, физических, биометрических, физиологических, ментальных, экономических, культурных или социальных аспектов личности. Субъектом данных в отношении персональных данных является физическое лицо, к которому относятся персональные данные. В Законе субъект определяется аналогично – как физическое лицо, к которому относятся персональные данные.
В вопросе определения персональных данных Закон демонстрирует более прозрачное регулирование, поскольку избегает использования излишних терминов «данные» и «определяемое физическое лицо», функция которых неотделима от понятий «персональные данные» и «субъект персональных данных» соответственно.
Контролеры, операторы и иные лица
Согласно DPR, контролер данных означает любое лицо в МФЦА, которое независимо или совместно с другими лицами определяет цели и способы обработки персональных данных. Обработчиком данных является любое лицо, которое обрабатывает персональные данные от имени контролера. Получателем в отношении Персональных данных, является любое лицо, которому передаются персональные данные (являющееся или не являющееся третьим лицом), за исключением регулятора, полиции или иного государственного агентства из любой юрисдикции, если агентство получается персональные данные в ходе отдельного запроса. Третьим лицом в отношении персональных данных является любое лицо, не являющееся субъектом данных, контролером, обработчиком или лицо, которое уполномочено обрабатывать персональные данные под прямым контролем контролера или обработчика. При этом под лицом понимается любое физическое лицо, а также учрежденное или неучрежденное юридическое лицо, включая компанию, партнерство, неучрежденную ассоциацию, правительство или государство.
DPR и Закон содержат сходство в части наличия термина «третье лицо», которое в Законе определено как «лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных». Несмотря на видимые различия двух определений, их объединяет отсутствие четкого правового статуса и наличие лишь абстрактного критерия связанности «обстоятельствами или правоотношениями» в случае Закона, и в случае DPR – подразумеваемыми обстоятельствами или правоотношениями, которые привели к обработке персональных данных под прямым контролем контролера или обработчика.
В отличие от Закона, DPR не содержит термина «собственник базы, содержащей персональные данные», которым, согласно Закону, является «государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные». В данном случае DPR демонстрирует более высокий уровень регулирования, поскольку избегает использования термина, в значительной части дублирующего роли контролера.
В отличие от DPR, Закон не использует термины «контролер» или «обработчик», заменяя их терминами «собственник» и «оператор», которые имеют практически идентичные права и обязанности.
Основания обработки персональных данных
DPR содержит разные основания обработки персональных данных контролерами и обработчиками. Основаниями для обработчика являются (ст.9 DPR):
1. Согласие в письменной форме.
2. Исполнение договора с субъектом или заключение договора с субъектом по инициативе субъекта.
3. Выполнение законной обязанности контролера.
4. Выполнение задач в интересах МФЦА или выполнение порученных функций структур МФЦА.
5. Законный интерес.
Большой интерес представляет тот факт, что в DPR основания для обработчика установлены в отношении любых персональных данных, в то время как для контролеров установлены основания обработки только чувствительных данных (ст.10 DPR):
1. Согласие в письменной форме.
2. Необходимость выполнения обязанностей и реализации конкретных прав контролером.
3. Необходимость защиты жизненных интересов субъекта или иного лица при физической или юридической невозможности субъекта предоставить согласие.
4. При одновременном соблюдении следующих условий: (i) обработка осуществляется фондом, ассоциацией или иной некоммерческой организацией в ходе законной деятельности с соответствующими гарантиями; (ii) обработка относится только к членам организации или к лицам, состоящим с ней постоянном контакте в связи с её целями; (iii) персональные данные не раскрываются третьим лицам без согласия в письменной форме.
5. Обработка относится к персональным данным, открыто опубликованным субъектом, или необходима для установления, реализации или защите юридических требований.
6. Обработка необходима для соблюдения любой законной обязанности субъекта или контролера.
7. Обработка необходима для защиты законных интересов контролера в области международных финансовых рынков, если интересы преследуются в соответствии с международными финансовыми стандартами, и такие интересы не действуют вопреки непреодолимым законным интересам субъекта в конкретной ситуации.
8. Обработка необходима для соблюдения любых применимых к контролеру требований - регуляторных, аудиторских, требований по противодействию отмыванию денежных средств или финансирования терроризма, или требований в отношении предупреждения и выявления преступлений.
9. Обработка необходима профессиональному члену медицинского сообщества для целей превентивной медицины, медицинской диагностике, предоставления ухода или лечения или медицинских услуг, с обязательством хранения профессиональной тайны, согласно национальным законам или подзаконным актам национальных уполномоченных органов, или иному лицу, имеющему аналогичные обязанность по сохранению тайны.
10. Обработка необходима для защиты членов общества от:
(i) финансовых потерь в результате нечестных, недобросовестных или иных значительно ненадлежащих действий, или непригодности или некомпетентности лиц при оказании банковских, страховых, инвестиционных, управленческо-консультационных услуг, услуг в сфере IT, учета или иных коммерческих активностей (прямо или косвенно с использованием аутсорсинга); или
(ii) нечестных, недобросовестных или иных значительно ненадлежащих действий, или непригодности или некомпетентности лиц при оказании банковских, страховых, инвестиционных, финансовых или иных услуг.
11. При наличии разрешения, выданного Комиссаром по защите данных.
Список оснований обработки персональных данных для собственников и операторов без получения согласия, согласно Закону, распространяется на все категории персональных данных и включает следующие основания (ст.9 Закона):
1. Осуществление деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства.
2. Осуществление государственной статистической деятельности;
3. Использование государственными органами персональных данных для статистических целей с обязательным условием их обезличивания.
4. Реализация международных договоров, ратифицированных Республикой Казахстан.
5. Защита конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
6. Осуществление законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина.
7. Опубликование персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности.
8. Неисполнение субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан.
9. Получение государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан.
10. Получение органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан.
11. Передача на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан.
12. Использование персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан.
13. Использование персональных данных гражданина Республики Казахстан со дня подачи заявления о применении процедуры внесудебного или судебного банкротства в соответствии с Законом Республики Казахстан "О восстановлении платежеспособности и банкротстве граждан Республики Казахстан", а также за период до трех лет, предшествующих применению процедуры внесудебного или судебного банкротства.
14. В иных случаях, установленных законами Республики Казахстан.
Отсутствие для контролера оснований обработки иных персональных данных, помимо чувствительных, не является единственным отличие между DRP и Законом. Другим ключевым отличием является отсутствие в Законе такого основания обработки, как исполнение договора с субъектом или заключение договора с субъектом по инициативе субъекта. Отсутствие данного основания создает значительные неудобства в случаях, когда без обработки персональных данных заключение и исполнение договора невозможно. Однако отчасти это компенсируется тем, что согласно Закону (ч.2 ст.8 Закона), субъект не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
Требования к согласию
Требование о наличии письменного согласия в DPR означает в отношении документа - любую форму, сохраняющую запись информации, которую возможно неоднократно воспроизвести в материальной форме, в том числе электронной. В отношении сообщения письменная форма означает любой способ коммуникации, который сохраняет запись передаваемой информации, которую возможно неоднократно воспроизвести в материальной форме, в том числе электронной. В Законе письменная форма не содержит самостоятельного определения и является одной из возможных форм получения согласия. Сам перечень способов получения согласий в Законе является открытым, и единственным требованием к форме согласия является возможность подтвердить его получение (ч.1 ст.8 Закона).
DPR не содержит требований к содержанию согласия, в то время как Закон содержит обязательный перечень сведений, включаемых в согласие, которые на практике часто являются излишними или представляющими значительную трудность в получении (ч.4 ст.8 Закона):
1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
6) сведения о распространении персональных данных в общедоступных источниках;
7) перечень собираемых данных, связанных с субъектом;
8) иные сведения, определяемые собственником и (или) оператором.
Трансграничная передача
Ст.11 и 12 DPR устанавливает правила, согласно которым лицо вправе передавать персональные данные получателю в юрисдикции за пределами МФЦА в следующих случаях:
1. Передача в юрисдикцию с адекватным уровнем защиты персональных данных. В настоящее время перечень юрисдикций установлен Правилами защиты данных МФЦА (AIFC Rules No.1 of 2018, далее – «Правила»). Согласно данному перечню, Республика Казахстан не входит в число юрисдикций с адекватным уровнем защиты персональных данных.
2. Передача допускается разрешением Комиссара по защите данных.
3. Субъект дал письменное согласие на передачу.
4. Передача необходима для исполнения договора с субъектом или для заключения договора по инициативе субъекта.
5. Передача необходима для заключения или исполнения договора, заключенного в интересах субъекта между контролером и третьим лицом.
6. Передача необходима или требуется в силу закона на важных основаниях в интересах МФЦА, или необходима для установления, реализации или защиты юридических требований.
7. Передача необходима для защиты жизненных интересов субъекта.
8. Персональные данные были получены согласно законодательству МФЦА из реестра, установленного и поддерживаемого по законодательству МФЦА, которые является доступным неограниченному кругу лиц или любому лицу, которое может продемонстрировать законный интерес к доступу.
9. Передача необходима для соблюдения любой законной обязанности контролера, или передача осуществляется по указанию регулятора, полиции или иного государственного агентства любой юрисдикции.
10. Передача необходима для защиты законных интересов контролера в области международных финансовых рынков, если интересы преследуются в соответствии с международными финансовыми стандартами, и такие интересы не действуют вопреки непреодолимым законным интересам субъекта в конкретной ситуации.
11. Передача необходима для соблюдения любых применимых к контролеру требований - регуляторных, аудиторских, требований по противодействию отмыванию денежных средств или финансирования терроризма, или требований в отношении предупреждения и выявления преступлений.
Согласно ст.16 Закона, трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств. Трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;
3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
В отличие от Закона, DPR содержит большое количество механизмов правомерной трансграничной передачи персональных данных, что значительно упрощает использование персональных данных в международной деятельности участников МФЦА.
Локализация и безопасность персональных данных
Согласно ст.12 Закона, хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан. DPR напрямую не содержит аналогичных требований, однако необходимость хранить персональные данные в юрисдикции МФЦА может иметь место при отсутствии законных оснований трансграничной передачи персональных данных.
Ст. 20, 21, 22, 23 и 23-1 Закона, а также ряд норм Закона РК «Об информатизации». устанавливают общие требования к защите персональных данных. Более конкретное требование использования средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" содержится в Правилах осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденных Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ.
При этом DPR не содержит конкретных требований или стандартов защиты персональных данных. Ст.16 DPR устанавливает общие требования к защите персональных данных в МФЦА с особым акцентом на обработку чувствительных персональных данных и трансграничную передачу персональных данных. Также данная норма устанавливает ответственность контролеров за защиту данных при выборе обработчиков, а также обязанность по уведомлению Комиссара по защите данных в случае инцидентов с базами персональных данных.
Продолжение обзора ожидайте в наших социальных сетях.
© Владимир Ожерельев, юрист DRC Qazaqstan, 2023