Workspace Digital Awards 2025 — успейте номинировать кейсы по льготной цене до 1 декабря. Принять участие!
Назад
#Законодательство

Персональные данные в Республике Казахстан: все что нужно знать бизнесу

500 
 

Начиная работать на зарубежном рынке и запуская сайт для своего бизнеса, вы обязательно столкнетесь с обработкой персональных данных. Как собирать такие данные, где их хранить и какими законами это регулируется, отличаются ли правила разных стран? Эти вопросы возникают практически сразу, и мы по опыту можем сказать, что знание ответов на них сильно облегчит жизнь бизнеса. Именно поэтому мы запускаем цикл материалов о персональных данных в странах, являющихся привлекательными для российского IT.

О том на что обратить внимание в Казахстане и как не получить штраф или более весомое наказание, в этой статье подробно рассказывает юрист-специалист i-legal Полина Гаврюшина.

Чем регулируется сбор персональных данных в Казахстане

Все вопросы, связанные с персональными данными, в том числе порядок их обработки и хранения, на территории Республики Казахстан регулируются Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон). Многие положения Закона схожи с положениями законодательства Российской Федерации в отношении защиты данных.

Информация, представленная в данной статье, актуальна на сентябрь 2024 года.

Под персональными данными, как и в Российской Федерации, понимаются сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном или ином материальном носителе.

Кто осуществляет сбор и обработку персональных данных

Следует отметить, что в законодательстве Республики Казахстан отсутствует общее понятие оператора персональных данных. Его функции исполняют:

  • собственник базы, содержащей персональные данные (далее – собственник) – физические лица и компании, реализующие право владения, пользования и распоряжения базой;
  • оператор базы, содержащей персональные данные (далее – оператор) – физические лица и компании, осуществляющие сбор, обработку и защиту персональных данных.

Кроме того, Закон вводит понятие третьего лица, которое не является субъектом, собственником или оператором базы, но связано с ним(и) обстоятельствами или правоотношениями по сбору, обработке и защите данных. Можно предположить, что к третьим лицам относятся лица, осуществляющие сбор, обработку и защиту данных по поручению собственника или оператора, однако на данный момент законодатель не уточняет, кто именно может являться таким третьим лицом.

Что нужно учитывать при сборе и обработке персональных данных

Сбор и обработка осуществляются только с согласия субъекта персональных данных или его законного представителя (ст. 7 Закона).

При этом под обработкой понимаются действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

Согласно ст. 8 Закона согласие на сбор, обработку данных предоставляется субъектом или его представителем письменно, посредством государственного или негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия. Однако в Законе не приводится исчерпывающий перечень того, что может относиться к «иным способам». К примеру, Закон Республики Казахстан «Об информатизации» допускает получение согласия с использованием информационных систем, в том числе через Интернет.

Важно, что в Республике Казахстан имеются положения о локализации, то есть хранение данных осуществляется собственником и оператором, а также третьим лицом в базе персональных данных, которая размещена на территории Республики Казахстан.

В связи с отсутствием перечня лиц, данные которых должны быть локализованы, следует понимать, что речь идёт о любых лицах (вне зависимости от гражданства), персональные данные которых собираются и обрабатываются на территории Республики Казахстан.

Следовательно, для правомерного хранения персональных данных оператору и собственнику необходимо иметь свою базу или заключить договор с третьим лицом, которое будет осуществлять хранение данных и иметь базу для такого хранения на территории Казахстана.

Как правильно получить согласие на сбор и обработку персональных данных

Как было указано ранее, согласие получается в письменной форме. Оно должно обязательно включать (ст. 8 Закона):

  • наименование (ФИО), БИН (ИНН) оператора базы;
  • ФИО субъекта;
  • срок, в течение которого действует согласие;
  • сведения о возможности или её отсутствии передавать персональные данные третьим лицам;
  • сведения о наличии либо отсутствии трансграничной передачи данных;
  • сведения о распространении персональных данных в общедоступных источниках;
  • перечень собираемых данных, связанных с субъектом.

Не подлежат обработке данные, содержание и объём которых являются избыточными по отношению к целям их обработки (ст. 7 Закона). Например, в случае обработки cookie-файлов в согласии не нужно указывать ФИО субъекта, поскольку такие данные будут избыточными. 

Кроме того, согласно ст. 14 Закона использование данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора. В связи с этим рекомендуем указать в согласии:

  • цели обработки персональных данных;
  • перечень действий с персональными данными, на совершение которых даётся согласие, или описание способов обработки (например, передача персональных данных третьим лицам и другие способы использования).

Стоит помнить, что трансграничная передача данных возможна, если государство, которому передаются персональные данные, способно обеспечить их защиту, в том числе присоединилось к Конвенции о защите физических лиц при автоматизированной обработке персональных данных.

Если персональные данные передаются на территорию государства, которое не в состоянии гарантировать адекватную защиту, необходимо получить отдельное согласие субъекта на такую операцию.

Несмотря на то, что Российская Федерация с 2022 года не является участником указанной выше Конвенции, со стороны Республики Казахстан не заявлялось, что в России не обеспечивается адекватный уровень защиты данных. Соответственно, получение отдельного согласия на трансграничную передачу в таком случае не является необходимым.

Какие обязанности предусмотрены для собственника или оператора

Сбор и обработка персональных данных должны осуществляться только в случае обеспечения их защиты (ст. 20 Закона). Для исполнения этой обязанности собственник или оператор должны, например, разработать политику сбора и обработки персональных данных.

Важно! Собственник или оператор обязаны утвердить перечень данных, необходимый и достаточный для выполнения осуществляемых ими задач (ст. 25 Закона).

Такой перечень должен включать в себя1:

  •  наименование задачи, в рамках которой осуществляется сбор и обработка данных;
  • цели сбора и обработки в рамках осуществляемой задачи;
  • перечень данных для определённой цели;
  • упоминание документов или НПА, имеющих прямые указания на осуществляемые собственником или оператором задачи.

Разместите
тендер бесплатно

Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.

Заполнить заявку 12168 тендеров
проведено за восемь лет работы нашего сайта.


Также необходимо принимать правовые, организационные и технические меры для защиты данных. К таким мерам относятся, помимо прочего: определение перечня лиц, осуществляющих сбор и обработку данных, разделение данных на общедоступные и ограниченного доступа, назначение лица, ответственного за организацию обработки данных (если собственник или оператор – компания)2.

Если собственник или оператор передают персональные данные третьим лицам, они в течение 10 рабочих дней обязаны уведомить об этом субъекта персональных данных (ст. 19 Закона).

Собственник или оператор также обязаны обеспечивать своевременное обнаружение фактов несанкционированного доступа к данным и минимизацию неблагоприятных последствий (ст. 22 Закона). Аналогично положениям законодательства Российской Федерации, выявление случая нарушения безопасности данных сопровождается уведомлением в течение 1 рабочего дня государственного органа, а именно – Министерства цифрового развития, инноваций и аэрокосмической промышленности.

Какая ответственность предусмотрена за нарушения в области персональных данных

Помимо права субъекта данных взыскать в судебном порядке с правонарушителя причинённые убытки, в том числе моральный ущерб, законодательством Республики Казахстан предусмотрена административная и уголовная ответственность за нарушения в области персональных данных.

Несоблюдение собственником, оператором или третьим лицом мер по защите данных формирует состав административного правонарушения, за которое предусматривается штраф от 50 МРП3 до 200 МРП в зависимости от статуса нарушителя (физическое лицо, субъекты малого или крупного предпринимательства).

Если в действиях усматривается наличие «существенного вреда» правам и законным интересам лиц, то образуется состав уголовного преступления. Санкции в данном случае весьма обширные: штраф до 3 000 МРП либо исправительные работы в том же размере, либо привлечение к общественным работам на срок до 600 часов, либо ограничение или лишение свободы на срок до 2 лет. Лишение свободы может сопровождаться лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет (ст. 147 Уголовного кодекса Республики Казахстан).

С более подробной информацией об административной ответственности можно ознакомиться здесь, уголовной ответственности – здесь.

Подводя итог, следует отметить, что при осуществлении предпринимательской деятельности на территории Республики Казахстан необходимо внимательно относиться к условиям и ограничениям сбора, обработки и защиты персональных данных, поскольку законодательство этой страны устанавливает множество требований по работе с ними. Вы можете самостоятельно разобраться в нормах и предписаниях, касающихся персональных данных в Казахстане, опираясь на нашу статью. Но если вы ограничены во времени и не имеете квалифицированных специалистов, эксперты i-legal готовы помочь вам соблюсти все требования закона и эффективно влиться в местную бизнес-среду.

1 Приказ Председателя Агентства по стратегическому планированию и реформам Республики Казахстан от 24 июня 2022 года № 3. Зарегистрирован в Министерстве юстиции Республики Казахстан 27 июня 2022 года № 28625.2 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ.  3 МРП — это коэффициент для исчисления пособий и иных социальных выплат, а также для применения штрафных санкций, налогов и других платежей в соответствии с законодательством Республики Казахстан. С 01 января 2024 г. этот коэффициент составил 3 692 тенге.  

-      упоминание документов или НПА, имеющих прямые указания на осуществляемые собственником или оператором задачи.

Также необходимо принимать правовые, организационные и технические меры для защиты данных. К таким мерам относятся, помимо прочего: определение перечня лиц, осуществляющих сбор и обработку данных, разделение данных на общедоступные и ограниченного доступа, назначение лица, ответственного за организацию обработки данных (если собственник или оператор – компания)2.

Если собственник или оператор передают персональные данные третьим лицам, они в течение 10 рабочих дней обязаны уведомить об этом субъекта персональных данных (ст. 19 Закона).

Собственник или оператор также обязаны обеспечивать своевременное обнаружение фактов несанкционированного доступа к данным и минимизацию неблагоприятных последствий (ст. 22 Закона). Аналогично положениям законодательства Российской Федерации, выявление случая нарушения безопасности данных сопровождается уведомлением в течение 1 рабочего дня государственного органа, а именно – Министерства цифрового развития, инноваций и аэрокосмической промышленности.

Какая ответственность предусмотрена за нарушения в области персональных данных

Помимо права субъекта данных взыскать в судебном порядке с правонарушителя причинённые убытки, в том числе моральный ущерб, законодательством Республики Казахстан предусмотрена административная и уголовная ответственность за нарушения в области персональных данных.

Несоблюдение собственником, оператором или третьим лицом мер по защите данных формирует состав административного правонарушения, за которое предусматривается штраф от 50 МРП3 до 200 МРП в зависимости от статуса нарушителя (физическое лицо, субъекты малого или крупного предпринимательства).

Если в действиях усматривается наличие «существенного вреда» правам и законным интересам лиц, то образуется состав уголовного преступления. Санкции в данном случае весьма обширные: штраф до 3 000 МРП либо исправительные работы в том же размере, либо привлечение к общественным работам на срок до 600 часов, либо ограничение или лишение свободы на срок до 2 лет. Лишение свободы может сопровождаться лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет (ст. 147 Уголовного кодекса Республики Казахстан).

С более подробной информацией об административной ответственности можно ознакомиться здесь, уголовной ответственности – здесь.

Подводя итог, следует отметить, что при осуществлении предпринимательской деятельности на территории Республики Казахстан необходимо внимательно относиться к условиям и ограничениям сбора, обработки и защиты персональных данных, поскольку законодательство этой страны устанавливает множество требований по работе с ними. Вы можете самостоятельно разобраться в нормах и предписаниях, касающихся персональных данных в Казахстане, опираясь на нашу статью. Но если вы ограничены во времени и не имеете квалифицированных специалистов, эксперты i-legal готовы помочь вам соблюсти все требования закона и эффективно влиться в местную бизнес-среду.

1 Приказ Председателя Агентства по стратегическому планированию и реформам Республики Казахстан от 24 июня 2022 года № 3. Зарегистрирован в Министерстве юстиции Республики Казахстан 27 июня 2022 года № 28625.

2 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ.

3 МРП — это коэффициент для исчисления пособий и иных социальных выплат, а также для применения штрафных санкций, налогов и других платежей в соответствии с законодательством Республики Казахстан. С 01 января 2024 г. этот коэффициент составил 3 692 тенге.





Выскажите мнение
Авторизуйтесь, чтобы добавить свой комментарий.




519

Лучшие статьи

Поделиться: 0 0 0