Казахстан
Россия
European Union
+7 (775) 007-81-99
Заказать звонок

Сравнение AIFC DPR и Закона РК «О персональных данных и их защите» (часть 2)

Сравнение AIFC DPR и Закона РК «О персональных данных и их защите» (часть 2)

Права субъектов персональных данных

 

Ст.17 DPR предоставляет субъектам следующие права:

  • на получение информации о факте обработки персональных данных, целях обработки, категориях данных и получателях персональных данных при их передаче;

  • на передачу субъекту персональных данных в читаемой форме с указанием источника получения;

  • удаление, блокирование или исправление персональных данных в случае нарушения DPR.

 

Ст.18 DRP предусматривает право на несогласие с обработкой персональных данных, в том числе информирование о первой передаче данных третьему лицу для целей прямого маркетинга. В случае обоснованности несогласия субъекта, контроллер должен прекратить обработку персональных данных.

 

В несколько иной форме право на доступ содержится в ст.10 Закона, но Закон не раскрывает содержание права на доступ. Ст.13 Закона предусматривает право на изменение и дополнение персональных данных, основанием для чего может являться обращение субъекта.

 

Ч.2 ст.14 Закона содержит обязанность предоставлять персональные данные в случаях, установленных законом. Ч.1 указанной статьи более подробно права субъектов персональных данных:

1) знать о наличии своих персональных данных, а также получать информацию, содержащую:

  • подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

  • перечень персональных данных;

  • сроки обработки персональных данных, в том числе сроки их хранения;

2) требовать изменения и дополнения персональных данных при наличии оснований, подтвержденных соответствующими документами;

3) требовать блокирования персональных данных в случае наличия информации о нарушении условий сбора, обработки данных;

4) требовать уничтожения персональных данных, сбор и обработка которых произведены с нарушением законодательства;

5) отозвать согласие на обработку персональных данных, если это не противоречит закону или при наличии неисполненного обязательства;

6) дать или не давать согласие на распространение персональных данных в общедоступных источниках;

7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

8) на осуществление иных прав, предусмотренных законом.


Уведомления контролирующих органов

 

Согласно ст.19 DPR, контроллеры должны вести реестры обработки персональных данных и в установленных законом случаях должны уведомлять Комиссара об отдельных обстоятельствах обработки. Данные реестры должны включать:

- описание операций обработки персональных данных;

- объяснение целей обработки;

- личность субъекта или описание группы субъектов;

- описание категорий персональных данных;

- список иностранных юрисдикций, в которые могут передаваться данные.

 

В качестве примеров целей обработки приводятся следующие:

(a) бухгалтерский учет и аудит;

(b) исполнение правосудия;

(c) ведение реестра участников;

(d) собственная реклама, маркетинг и PR;

(e) реклама, маркетинг и PR для третьих лиц;

(f) администрирование льгот, грантов и кредитов;

(g) консалтинговые услуги;

(h) предоставление кредитных справок;

(i) управление долгами и факторинг;

(j) образование;

(k) управление информационными базами;

(l) администрирование страхования;

(m) юридические услуги;

(n) лицензирование и регистрация;

(o) попечение;

(p) управление пенсиями;

(q) полицейские функции;

(r) частное расследование;

(s) управление имуществом;

(t) предоставление финансовых услуг;

(u) исследования;

(v) управление персоналом.

 

Примерами категорий субъектов персональных данных являются:

(a) персонал, включая агентов, временных и случайных работников;

(b) клиенты и покупатели;

(c) поставщики;

(d) участники;

(e) отправители заявлений;

(f) родственники и знакомые субъекта;

(g) советники, консультанты и другие профессиональные эксперты.

 

В настоящее время обязанность по уведомлению Комиссара существует в отношении следующих операций:

(a) включающих обработку чувствительных данных;

(b) передачи данных в юрисдикции без адекватной защиты персональных данных.

 

К содержанию уведомления предъявляются следующие требования:

(a) общее описание операций по обработке персональных данных;

(b) объяснение цели операций по обработке персональных данных;

(c) идентификация субъектов данных, к которым относятся персональные данные, или описание данной категории субъектов данных;

(d) описание категории обрабатываемых данных;

(e) юрисдикции за пределами AIFC, в которые могут быть переданы данные.

 

Уведомление Комиссара осуществляется однократно не позднее 14 дней с даты начала обработки, и далее ежегодно. Уведомления об изменениях осуществляются на постоянной основе.

  

Подзаконные акты

 

Основным подзаконным актом, уточняющим требования DPR, являются Правила защиты данных МФЦА (AIFC Data Protection Rules 2018).

 

Для Закона список подзаконных актов более обширный:

- Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (утверждены постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909);

- Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (утверждены постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214);

- Правила сбора, обработки персональных данных, утвержденные Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ;

- отдельные отраслевые НПА.

   

Обязательные платежи и штрафы

 

На отдельные виды уведомлений согласно DPR установлены пошлины в размере от 10 до 1000 долларов. За выдачу разрешений Комиссара на обработку персональных данных согласно DPR установлены следующие пошлины:

- на обработку чувствительных данных – от 50 до 250 долларов;

- на передачу персональных данных в юрисдикцию без адекватной защиты – также от 50 до 250 долларов.

 

Для отдельных нарушений установлены предельные размеры штрафов:

- обработка чувствительных данных – до 10000 долларов;

- передача данных с юрисдикции без адекватной защиты – до 20000 долларов;

- отказ от исполнения предписания Комиссара – до 25000 долларов;

- отказ от исполнения утвержденного Комиссаром запроса субъекта – до 25000 долларов;

- предоставление ложной информации – до 5000 долларов.

 

Для определения размера штрафов за нарушение Закона в РК используется средний месячный показатель (МРП), на текущий момент равный 3450 тенге.

 

В случае нарушения Закона ответственность может наступить по следующим статьям КоАП РК:

Статья 79. Нарушение законодательства Республики Казахстан о персональных данных и их защите – максимальный штраф составляет 1000 МРП.

Статья 455. Нарушение законодательства Республики Казахстан о рекламе – максимальный штраф составляет 650 МРП.

Статья 641. Нарушение законодательства Республики Казахстан об информатизации – максимальный штраф составляет 200 МРП.

Также в случае серьезных нарушений ответственность может наступить по ст.147 УК РФ - нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите – в виде лишения свободы на срок до 2 лет.

 

Обращайтесь в DRC Kazakhstan на сайте https://kz.drc.law/, и мы поможем решить любые кейсы в области персональных данных в Казахстане и МФЦА.