Начиная работать на зарубежном рынке и запуская сайт для своего бизнеса, вы обязательно столкнетесь с обработкой персональных данных. Как собирать такие данные, где их хранить и какими законами это регулируется, отличаются ли правила разных стран? Эти вопросы возникают практически сразу, и мы по опыту можем сказать, что знание ответов на них сильно облегчит жизнь бизнеса. Именно поэтому мы запускаем цикл материалов о персональных данных в странах, являющихся привлекательными для российского IT.
О том на что обратить внимание в Казахстане и как не получить штраф или более весомое наказание, в этой статье подробно рассказывает юрист-специалист i-legal Полина Гаврюшина.
Все вопросы, связанные с персональными данными, в том числе порядок их обработки и хранения, на территории Республики Казахстан регулируются Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон). Многие положения Закона схожи с положениями законодательства Российской Федерации в отношении защиты данных.
Информация, представленная в данной статье, актуальна на сентябрь 2024 года.
Под персональными данными, как и в Российской Федерации, понимаются сведения, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном или ином материальном носителе.
Следует отметить, что в законодательстве Республики Казахстан отсутствует общее понятие оператора персональных данных. Его функции исполняют:
Кроме того, Закон вводит понятие третьего лица, которое не является субъектом, собственником или оператором базы, но связано с ним(и) обстоятельствами или правоотношениями по сбору, обработке и защите данных. Можно предположить, что к третьим лицам относятся лица, осуществляющие сбор, обработку и защиту данных по поручению собственника или оператора, однако на данный момент законодатель не уточняет, кто именно может являться таким третьим лицом.
Сбор и обработка осуществляются только с согласия субъекта персональных данных или его законного представителя (ст. 7 Закона).
При этом под обработкой понимаются действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
Согласно ст. 8 Закона согласие на сбор, обработку данных предоставляется субъектом или его представителем письменно, посредством государственного или негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия. Однако в Законе не приводится исчерпывающий перечень того, что может относиться к «иным способам». К примеру, Закон Республики Казахстан «Об информатизации» допускает получение согласия с использованием информационных систем, в том числе через Интернет.
Важно, что в Республике Казахстан имеются положения о локализации, то есть хранение данных осуществляется собственником и оператором, а также третьим лицом в базе персональных данных, которая размещена на территории Республики Казахстан.
В связи с отсутствием перечня лиц, данные которых должны быть локализованы, следует понимать, что речь идёт о любых лицах (вне зависимости от гражданства), персональные данные которых собираются и обрабатываются на территории Республики Казахстан.
Следовательно, для правомерного хранения персональных данных оператору и собственнику необходимо иметь свою базу или заключить договор с третьим лицом, которое будет осуществлять хранение данных и иметь базу для такого хранения на территории Казахстана.
Как было указано ранее, согласие получается в письменной форме. Оно должно обязательно включать (ст. 8 Закона):
Не подлежат обработке данные, содержание и объём которых являются избыточными по отношению к целям их обработки (ст. 7 Закона). Например, в случае обработки cookie-файлов в согласии не нужно указывать ФИО субъекта, поскольку такие данные будут избыточными.
Кроме того, согласно ст. 14 Закона использование данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора. В связи с этим рекомендуем указать в согласии:
Стоит помнить, что трансграничная передача данных возможна, если государство, которому передаются персональные данные, способно обеспечить их защиту, в том числе присоединилось к Конвенции о защите физических лиц при автоматизированной обработке персональных данных.
Если персональные данные передаются на территорию государства, которое не в состоянии гарантировать адекватную защиту, необходимо получить отдельное согласие субъекта на такую операцию.
Несмотря на то, что Российская Федерация с 2022 года не является участником указанной выше Конвенции, со стороны Республики Казахстан не заявлялось, что в России не обеспечивается адекватный уровень защиты данных. Соответственно, получение отдельного согласия на трансграничную передачу в таком случае не является необходимым.
Сбор и обработка персональных данных должны осуществляться только в случае обеспечения их защиты (ст. 20 Закона). Для исполнения этой обязанности собственник или оператор должны, например, разработать политику сбора и обработки персональных данных.
Важно! Собственник или оператор обязаны утвердить перечень данных, необходимый и достаточный для выполнения осуществляемых ими задач (ст. 25 Закона).
Такой перечень должен включать в себя1:
Наша система сама подберет вам исполнителей на услуги, связанные с разработкой сайта или приложения, поисковой оптимизацией, контекстной рекламой, маркетингом, SMM и PR.
Заполнить заявку
12168 тендеров
проведено за восемь лет работы нашего сайта.
Также необходимо принимать правовые, организационные и технические меры для защиты данных. К таким мерам относятся, помимо прочего: определение перечня лиц, осуществляющих сбор и обработку данных, разделение данных на общедоступные и ограниченного доступа, назначение лица, ответственного за организацию обработки данных (если собственник или оператор – компания)2.
Если собственник или оператор передают персональные данные третьим лицам, они в течение 10 рабочих дней обязаны уведомить об этом субъекта персональных данных (ст. 19 Закона).
Собственник или оператор также обязаны обеспечивать своевременное обнаружение фактов несанкционированного доступа к данным и минимизацию неблагоприятных последствий (ст. 22 Закона). Аналогично положениям законодательства Российской Федерации, выявление случая нарушения безопасности данных сопровождается уведомлением в течение 1 рабочего дня государственного органа, а именно – Министерства цифрового развития, инноваций и аэрокосмической промышленности.
Помимо права субъекта данных взыскать в судебном порядке с правонарушителя причинённые убытки, в том числе моральный ущерб, законодательством Республики Казахстан предусмотрена административная и уголовная ответственность за нарушения в области персональных данных.
Несоблюдение собственником, оператором или третьим лицом мер по защите данных формирует состав административного правонарушения, за которое предусматривается штраф от 50 МРП3 до 200 МРП в зависимости от статуса нарушителя (физическое лицо, субъекты малого или крупного предпринимательства).
Если в действиях усматривается наличие «существенного вреда» правам и законным интересам лиц, то образуется состав уголовного преступления. Санкции в данном случае весьма обширные: штраф до 3 000 МРП либо исправительные работы в том же размере, либо привлечение к общественным работам на срок до 600 часов, либо ограничение или лишение свободы на срок до 2 лет. Лишение свободы может сопровождаться лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет (ст. 147 Уголовного кодекса Республики Казахстан).
С более подробной информацией об административной ответственности можно ознакомиться здесь, уголовной ответственности – здесь.
Подводя итог, следует отметить, что при осуществлении предпринимательской деятельности на территории Республики Казахстан необходимо внимательно относиться к условиям и ограничениям сбора, обработки и защиты персональных данных, поскольку законодательство этой страны устанавливает множество требований по работе с ними. Вы можете самостоятельно разобраться в нормах и предписаниях, касающихся персональных данных в Казахстане, опираясь на нашу статью. Но если вы ограничены во времени и не имеете квалифицированных специалистов, эксперты i-legal готовы помочь вам соблюсти все требования закона и эффективно влиться в местную бизнес-среду.
1 Приказ Председателя Агентства по стратегическому планированию и реформам Республики Казахстан от 24 июня 2022 года № 3. Зарегистрирован в Министерстве юстиции Республики Казахстан 27 июня 2022 года № 28625.2 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ. 3 МРП — это коэффициент для исчисления пособий и иных социальных выплат, а также для применения штрафных санкций, налогов и других платежей в соответствии с законодательством Республики Казахстан. С 01 января 2024 г. этот коэффициент составил 3 692 тенге.
- упоминание документов или НПА, имеющих прямые указания на осуществляемые собственником или оператором задачи.
Также необходимо принимать правовые, организационные и технические меры для защиты данных. К таким мерам относятся, помимо прочего: определение перечня лиц, осуществляющих сбор и обработку данных, разделение данных на общедоступные и ограниченного доступа, назначение лица, ответственного за организацию обработки данных (если собственник или оператор – компания)2.
Если собственник или оператор передают персональные данные третьим лицам, они в течение 10 рабочих дней обязаны уведомить об этом субъекта персональных данных (ст. 19 Закона).
Собственник или оператор также обязаны обеспечивать своевременное обнаружение фактов несанкционированного доступа к данным и минимизацию неблагоприятных последствий (ст. 22 Закона). Аналогично положениям законодательства Российской Федерации, выявление случая нарушения безопасности данных сопровождается уведомлением в течение 1 рабочего дня государственного органа, а именно – Министерства цифрового развития, инноваций и аэрокосмической промышленности.
Какая ответственность предусмотрена за нарушения в области персональных данных
Помимо права субъекта данных взыскать в судебном порядке с правонарушителя причинённые убытки, в том числе моральный ущерб, законодательством Республики Казахстан предусмотрена административная и уголовная ответственность за нарушения в области персональных данных.
Несоблюдение собственником, оператором или третьим лицом мер по защите данных формирует состав административного правонарушения, за которое предусматривается штраф от 50 МРП3 до 200 МРП в зависимости от статуса нарушителя (физическое лицо, субъекты малого или крупного предпринимательства).
Если в действиях усматривается наличие «существенного вреда» правам и законным интересам лиц, то образуется состав уголовного преступления. Санкции в данном случае весьма обширные: штраф до 3 000 МРП либо исправительные работы в том же размере, либо привлечение к общественным работам на срок до 600 часов, либо ограничение или лишение свободы на срок до 2 лет. Лишение свободы может сопровождаться лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 3 лет (ст. 147 Уголовного кодекса Республики Казахстан).
С более подробной информацией об административной ответственности можно ознакомиться здесь, уголовной ответственности – здесь.
Подводя итог, следует отметить, что при осуществлении предпринимательской деятельности на территории Республики Казахстан необходимо внимательно относиться к условиям и ограничениям сбора, обработки и защиты персональных данных, поскольку законодательство этой страны устанавливает множество требований по работе с ними. Вы можете самостоятельно разобраться в нормах и предписаниях, касающихся персональных данных в Казахстане, опираясь на нашу статью. Но если вы ограничены во времени и не имеете квалифицированных специалистов, эксперты i-legal готовы помочь вам соблюсти все требования закона и эффективно влиться в местную бизнес-среду.
1 Приказ Председателя Агентства по стратегическому планированию и реформам Республики Казахстан от 24 июня 2022 года № 3. Зарегистрирован в Министерстве юстиции Республики Казахстан 27 июня 2022 года № 28625.
2 Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ.
3 МРП — это коэффициент для исчисления пособий и иных социальных выплат, а также для применения штрафных санкций, налогов и других платежей в соответствии с законодательством Республики Казахстан. С 01 января 2024 г. этот коэффициент составил 3 692 тенге.