Предисловие
Становление практики защиты личной информации о физическом лице относится к середине ХХ века – периоду, когда в ООН активно утверждались различные международные акты, касающиеся прав человека: Всеобщая декларация прав человека, международные пакты о правах и др. Именно тогда цивилизованные страны всерьез задумались о гарантиях неприкосновенности частной жизни.
Само же понятие «персональные данные» сформировалось ближе к концу прошлого столетия. Связано это было с новым витком в развитии информационных технологий, в результате которого появились компьютерные средства сбора, хранения и обработки сведений о жизни человека. Подобная информация нуждалась в особой защите от несанкционированного доступа , что, в свою очередь, требовало соответствующего правового регулирования. Поэтому сначала в странах Европейского Союза, а потом и в других странах мира массово стали издаваться нормативные акты, регламентирующие вопросы защиты персональных данных физических лиц. Обратите внимание, именно физлица (граждане, иностранцы и лица без гражданства), а ни кто-либо другой, являются субъектами (носителями) персональных данных.
В вопросе защиты персональных данных не стала исключением и Республика Казахстан (далее – РК), которая еще в 1995 году в своей Конституции закрепила постулат о том, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну (ст. 18).
Что следует понимать под персональными данными?
В соответствии со ст. 1 Закона РК «О персональных данных и их защите» (далее – Закон) персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Исчерпывающего перечня персональных данных в Законе нет. Однако несколькими подзаконными нормативными правовыми актами во главе с постановлением Правительства РК от 12.11.2013 № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач», был в свое время установлен базовый перечень персональных данных. Поскольку их количество достаточно большое, указанное постановление содержит ссылку на специальные перечни, где с ними можно ознакомиться.
Итак, персональными данными человека, кроме прочего, считаются: ФИО, пол, дата и место рождения, гражданство, индивидуальный идентификационный номер, адресные сведения о месте жительства, семейное положение, имущественное состояние и другая информация, идентифицирующая конкретного человека либо относящаяся к нему.
Кто оперирует нашими персональными данными? Как это происходит?
Все персональные данные формируют базу — совокупность упорядоченных персональных данных. Субъект (а им может быть госорган, физическое или юридическое лицо), который на праве собственности владеет, пользуется и распоряжается базой персональных данных, именуется собственником. Субъект, осуществляющий сбор, обработку и защиту персональных данных, – это оператор.
Так вот, эти две категории субъектов могут накапливать, хранить, изменять, дополнять, использовать, распространять, обезличивать, блокировать и уничтожать персональные данные, а также передавать их третьим лицам.
Но для осуществления всех перечисленных действий им обязательно нужно получать согласие субъектов персональных данных, за исключением случаев, предусмотренных ст. 9 Закона. Согласие может быть предоставлено физическим лицом или его законным представителем письменно, в форме электронного документа или другим способом с применением элементов защитных действий, не противоречащих законодательству.
Важно помнить, что субъект персональных данных может в любой момент отозвать ранее предоставленное им согласие на сбор и обработку персональных данных.
Что собой представляет защита персональных данных?
В современной жизни мы постоянно вынуждены передавать свои персональные данные собственникам (операторам) – устраиваясь, скажем, на работу, оформляя кредит в банке, получая субсидию и т.д. Таким образом, мы несем определенный риск, связанный, например, с тем, что наша личная информация может попасть в руки злоумышленников или стать достоянием общественности. Чтобы этот риск нивелировать, государство гарантирует защиту персональных данных. Так, согласно ст. 22 Закона собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие:
•\tпредотвращение несанкционированного доступа к персональным данным;
•\tсвоевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой доступ не удалось предотвратить;
•\tминимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Кстати, с принятием Закона, в ряд других нормативных документов РК были внесены весьма значимые с точки зрения гарантий защиты персональных данных поправки, с которыми можно ознакомиться, открыв Закон РК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защиты».
Тем не менее, без наличия четкого механизма привлечения субъектов, посягающих на персональные данные, к ответственности – меры, направленные на их защиту, все равно не дадут желаемого результата.
Чем грозит нарушение законодательства о персональных данных?
Итак, что делать, если те, кому мы вверили наши персональные данные, не справились с обязанностью по их защите или иным образом нарушили законодательство о персональных данных – к примеру, произвели их незаконный сбор и (или) обработку, распространили сведения о частной жизни?
В первую очередь, субъект персональных данных может обратиться в суд для защиты своих нарушенных прав.
Так, в порядке гражданского судопроизводства можно предъявить иск к виновному лицу о запрете использования без согласия субъекта персональных данных его имени и (или) иной информации (о месте жительства и др.), а также потребовать компенсации убытков и морального вреда, причиненных нарушением неприкосновенности его персональных данных.
Кроме того, законодательство РК предусматривает привлечение нарушителей к одному из таких видов юридической ответственности:
а) административная ответственность (ст. 79 и ст. 641 Кодекса РК об административных правонарушениях) наступает в случае следующих деяний:
— незаконный сбор и (или) обработка персональных данных (влекут наказание в виде штрафа в размере от 20 до 100 месячных расчетных показателей (далее – МРП) с конфискацией предметов административного правонарушения;
— незаконный сбор и (или) обработка персональных данных совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если не влекут уголовную ответственность (штраф от 50 до 200 МРП с конфискацией предметов административного правонарушения);
— несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных (штраф в размере от 100 до 300 МРП);
— несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, повлекшее утерю, незаконный сбор и (или) обработку персональных данных (если не влекут уголовную ответственность, штраф в размере от 200 до 1000 МРП);
— неосуществление или ненадлежащее осуществление собственником или владельцем мер по защите информационных систем, содержащих персональные данные (штраф в размере от 10 до 100 МРП);
— использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения им имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами РК (штраф в размере от 10 до 200 МРП).
б) уголовная ответственность (ст. 147 и ст. 211 Уголовного кодекса РК) наступает в случае следующих деяний:
— Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц (штраф в размере до 3000 МРП, либо исправительные работы, ограничение или лишение свободы на срок до двух лет с лишением права занимать определенную должность или заниматься определенной деятельностью на срок до трех лет);
— Незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и (или) обработки иных персональных данных (штраф в размере до 5000 МРП, либо исправительные работы, либо ограничение или лишение свободы на срок до трех лет);
— Незаконное собирание сведений о частной жизни лица с использованием своего служебного положения или специальных технических средств, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, организаций (лишение свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет);
— Распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконного сбора и (или) обработки иных персональных данных (лишение свободы на срок до пяти лет);
— Неправомерное распространение электронных информационных ресурсов, содержащих персональные данные граждан или иные сведения, доступ к которым ограничен законами РК или их собственником или владельцем (штраф в размере до 200 МРП либо исправительные работы, либо привлечение к общественным работам на срок до 180 часов, либо арест на срок до 60 суток, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет);
— Неправомерное распространение электронных информационных ресурсов, содержащих персональные данные граждан или иные сведения, доступ к которым ограничен, совершенное группой лиц по предварительному сговору, из корыстных побуждений, лицом с использованием своего служебного положения (ограничение или лишение свободы на срок до пяти лет, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет);
— Неправомерное распространение электронных информационных ресурсов, содержащих персональные данные граждан или иные сведения, доступ к которым ограничен, совершенное преступной группой и повлекшие тяжкие последствия (лишение свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет).
Вывод
Институт защиты персональных данных является одним из важнейших институтов гражданского общества. В нашей стране он достаточно молодой, и еще должным образом не изучен, поэтому в одной статье охватить все ключевые аспекты правового регулирования операций с персональными данными просто нереально.
Особенно актуальными сейчас являются нюансы сбора, обработки и защиты персональных данных работодателем при приеме на работу наемных работников, тонкости обмена персональными данными во время заключения договоров, защита личных данных в сети Интернет, а также вопросы хранения и уничтожения персональных данных.
В связи с этим, мы обязательно вернемся к проблематике практической реализации казахстанского законодательства, регулирующего общественные отношения в сфере защиты персональных данных, в наших следующих публикациях. Будьте с нами!
Информация, содержащаяся в настоящем Обзоре, общего характера и не может быть использована как юридическая консультация или рекомендация. Пожалуйста, имейте в виду, что Казахстан является развивающейся экономикой, и законодательство и правовая система находятся в постоянном развитии. В случае возникновения каких-либо вопросов в отношении информации, изложенной в настоящем Обзоре, пожалуйста, обращайтесь.