Закон рк о персональных данных

Рубрики Публикации

ЗАКОН РЕСПУБЛИКИ КАЗАХСТАН

от 21 мая 2013 года №94-V ЗРК

О персональных данных и их защите

(В редакции Законов Республики Казахстан от 17.11.2015 г. №408-V ЗРК (вступил в силу 01.03.2016), 24.11.2015 г. №419-V ЗРК, 11.07.2017 г. №91-VI ЗРК, 28.12.2017 г. №128-VI ЗРК)

Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Глава 1. Общие положения


Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

1) биометрические данные — персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

2) персональные данные — сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

3) блокирование персональных данных — действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

4) накопление персональных данных — действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

5) сбор персональных данных — действия, направленные на получение персональных данных;

6) уничтожение персональных данных — действия, в результате совершения которых невозможно восстановить персональные данные;

7) обезличивание персональных данных — действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

8) база, содержащая персональные данные (далее — база), — совокупность упорядоченных персональных данных;

9) собственник базы, содержащей персональные данные (далее — собственник),государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

10) оператор базы, содержащей персональные данные (далее — оператор),государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

11) защита персональных данных — комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;

12) обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

13) использование персональных данных — действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

14) хранение персональных данных — действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

15) распространение персональных данных — действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

16) субъект персональных данных (далее — субъект) — физическое лицо, к которому относятся персональные данные;

Полный текст доступен после регистрации и оплаты доступа.

Персональные данные клиента

Адвокаты, осуществляющие деятельность индивидуально и в юридической консультации, адвокатские конторы, юридические фирмы и частно-практикующие юристы (далее — адвокаты и юридические фирмы) постоянно в ходе своей деятельности собирают, накапливают, хранят и используют персональные данные своих клиентов, а также третьих лиц. Если вы — один из вышеперечисленных субъектов, то вам необходимо учитывать требования законодательства, относящиеся к работе с персональными данными.

Понятие персональных данных

В соответствии с подпунктом 2) статьи 1 Закона Республики Казахстан «О персональных данных и их защите» (далее — Закон) персональные данные представляют собой сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Применительно к клиентам адвокатов и юридических фирм такими сведениями могут быть:

  • фамилия, имя, отчество;
  • данные о месте и дате рождения;
  • данные документов, удостоверяющих личность;
  • адрес и телефон;
  • сведения о правах на имущество;
  • сведения о доходах;
  • сведения об участии в коммерческих и некоммерческих организациях;
  • другие сведения, относящиеся к клиентам.

Субъектом персональных данных согласно подпункту 16) указанной статьи является физическое лицо, к которому относятся персональные данные. Таким образом, субъектом персональных данных выступает любой клиент — физическое лицо, обратившееся к вам за юридической помощью.

Базой, содержащей персональные данные, является совокупность упорядоченных персональных данных (подпункт 8) статьи 1 Закона). Следовательно, CRM-система, адресная книга, файловый или бумажный архив, содержащие указанные сведения ваших клиентов, будут считаться базой, содержащей персональные данные.

В соответствии с подпунктами 9) и 10) статьи 1 указанного Закона адвокаты и юридические фирмы, реализующие права на базу, содержащую персональные данные, а также осуществляющие сбор, обработку и защиту персональных данных выступают одновременно в качестве собственника и оператора базы, содержащей персональные данные.

Таким образом, поскольку адвокаты и юридические фирмы в своей деятельности собирают, накапливают, обрабатывают, используют, хранят и распространяют сведения, относящиеся к своим клиентам, то такая их деятельность попадает под регулирование Законом «О персональных данных и их защите».

Согласие клиента на сбор и обработку персональных данных

Подпункт 5) статьи 1 Закона определяет сбор персональных данных как действия, направленные на получение персональных данных. Согласно подпункту 12) указанной статьи обработка персональных данных представляет собой действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.

В соответствии с пунктом 1 статьи 7 Закона сбор и обработка персональных данных могут осуществляться вами только с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона, которой установлен ряд случаев, когда сбор, обработка персональных данных производятся без согласия субъекта (например, деятельность правоохранительных органов, судов, статистических органов, журналистов и т. д.). Деятельность адвокатов и юридических фирм в данный перечень исключений не включена. Таким образом, закон обязывает вас заручиться согласием клиента на сбор и обработку его персональных данных.

В соответствии с пунктом 1 статьи 8 Закона согласие на сбор и обработку должно быть дано письменно или в форме электронного документа, либо иным способом, с применением защитных действий, не противоречащих законодательству.

В связи с этим, до начала использования персональных данных, у вас имеется следующий выбор:

  1. Получить у клиента письменное согласие на сбор и обработку персональных данных в виде отдельного документа.
  2. Включить необходимые условия об использовании персональных данных в текст договора об оказании юридической помощи (оказании юридических услуг). В целях уменьшения количества создаваемых документов, данный вариант представляется более рациональным, чем первый.
  3. Использовать электронную форму согласия на вашем сайте (для онлайн-заказов и обращений).

Конфиденциальность персональных данных

Под распространением персональных данных понимаются действия, в результате которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом (подпункт 15) статьи 1 Закона). В соответствии с пунктом 1 статьи 11 Закона вы обязаны обеспечить конфиденциальность персональных данных ваших клиентов, соблюдая требование не допускать их распространения без согласия клиента либо наличия иного законного основания. Для адвокатов данное положение фактически перекрывается требованиями Закона «Об адвокатской деятельности» по сохранению адвокатской тайны.

Пункт 2 статьи 11 Закона предусматривает обязанность для лиц, которым стали известны персональные данные ограниченного доступа (то есть доступ, к которым ограничен законодательством) в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обеспечивать их конфиденциальность. Таким образом, адвокаты и сотрудники юридических фирм, получившие в свое распоряжение персональные данные, содержащие, к примеру, медицинскую, банковскую и иную тайну, обязаны соблюдать конфиденциальность такой информации.

Накопление и хранение персональных данных

Подпункт 4) статьи 1 Закона под накоплением персональных данных понимает действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные. Занося даные клиентов в свою клиентскую базы, вы осуществляете накопление персональных данных. Пункт 1 статьи 12 Закона устанавливает, что накопление производится путем сбора персональных данных, необходимых и достаточных для выполнения осуществляемых вами задач. То есть вы не должны собирать данных о клиенте больше, чем вам требуется для оказания юридической помощи.

Под хранением персональных данных в соответствии с подпунктом 14) статьи 1 Закона понимаются действия по обеспечению целостности, конфиденциальности и доступности персональных данных. Согласно пункту 2 статьи 12 Закона хранение персональных данных должно осуществляться вами в базе, а срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством.

Использование персональных данных клиентов

Под использованием персональных данных понимаются действия с ними, направленные на реализацию ваших целей деятельности, то есть на оказание правовой помощи (юридических услуг) (подпункт 13) статьи 1 Закона). Согласно статье 14 Закона использование персональных данных должно осуществляться только для ранее заявленных целей их сбора. Исходя из целей деятельности адвокатов и юридических фирм использование может заключаться:

  • во включении персональных данных в составляемые заявления, жалобы, ходатайства, договоры и другие документы правового характера, изготавливаемые в интересах клиентов;
  • в сообщении этих данных суду, государственным органам, судебным исполнителям, организациям и физическим лицам, перед которыми осуществляется представительство интересов клиента.

Использовать персональные данные в целях, не предусмотренных договором с клиентом, не допустимо.

Обязанности адвоката (юридической фирмы), связанные с персональными данными

Как собственник и оператор базы, содержащей персональные данные, вы в соответствии со статьей 25 Закона обязаны:

  • утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых вами задач;
  • принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством;
  • соблюдать законодательство о персональных данных и их защите;
  • принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных установленных законодательством случаях;
  • представлять доказательство о получении согласия клиента на сбор и обработку его персональных данных;
  • сообщать информацию, относящуюся к субъекту, в течение 3 рабочих дней со дня получения обращения его самого или его законного представителя;
  • в случае отказа предоставить информацию субъекту в срок, не превышающий 3 рабочих дней со дня получения обращения, представлять мотивированный ответ;
  • в течение 1 рабочего дня:
    • изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
    • блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
    • уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства, а также в иных случаях, установленных законодательством;
    • снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Закон рк о персональных данных

О персональных данных и их защите

Международная юридическая фирма Integrites,

Почти год назад вступил в силу Закон Республики Казахстан «О персональных данных и их защите». Законом регулируются отношения, связанные со сбором (т.е. получением), обработкой (то есть накоплением, использованием, хранением, изменением, дополнением, распространением, обезличиванием, блокированием и уничтожением персональных данных) и защитой персональных данных. При этом действие закона не распространяется на отношения, возникающие при сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан. Помимо указанного, закон не применим к отношениям, возникающим при:

· формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;

· сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан «О государственных секретах»; а также

· сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан .

Ниже отмечу ключевые, на мой взгляд, положения закона.

· Закон разделяет персональные данные на две категории:

1. общедоступные персональные данные (биографические справочники, телефонные книги, адресные книги, информация в СМИ и т.д.); и

2. персональные данные ограниченного доступа (например, данные удостоверениия личности, индивидуальный идентификационный номер (ИИН), личные телефоны, адрес местожительства, национальность, место работы, условия трудового договора и т.д.);

· Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя. При этом в соответствии с законом указанное согласие не требуется в случаях:

-осуществления деятельности правоохранительных органов и судов, исполнительного производства;

-осуществления государственной статистической деятельности;

-использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;

-реализации международных договоров, ратифицированных Республикой Казахстан;

-защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;

-осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

-опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

-неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;

-получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;

-в иных случаях, установленных законами Республики Казахстан.

· Использование персональных данных может осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

· Распространение персональных данных согласно закону допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц. Однако в отношении персональных данных ограниченного доступа закон обязывает собственников и (или) операторов, а также третьих лиц, которые получают доступ к ним, обеспечить их конфиденциальность путем предотвращения распространения указанных данных без согласия субъекта или его законного представителя либо наличия иного законного основания.

· При сборе и обработке персональных данных для проведения статистических, социологических, научных исследований собственник и (или) оператор, а также третье лицо обязаны их обезличить (закон трактует «обезличивание» как действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно).

· Срок хранения персональных данных определяется датой достижения целей их сбора и обработки. По истечении срока хранения персональные данные подлежат уничтожению. Другие случаи, в которых персональные данные должны быть уничтожены в обязательном порядке, включают прекращение правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом; вступление в законную силу решения суда; а также иные случаи, установленные законом.

· Закон предусматривает государственное регулирование в сфере персональных данных и их защиты. Так, закон, среди прочего, определяет, что органы прокуратуры от имени государства осуществляют высший надзор за точным и единообразным применением Закона РК «О защите персональных данных» и иных нормативных правовых актов Республики Казахстан в сфере персональных данных и их защиты.

· В соответствии с законом защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

-реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

-обеспечения их целостности и сохранности;

-соблюдения их конфиденциальности;

-реализации права на доступ к ним; а также

-предотвращения незаконного их сбора и обработки.

За несоблюдение положений, установленных законом, предусмотрена административная и уголовная ответственность. Так, административная ответственность установлена за следующие деяния: (i) незаконный сбор и обработка персональных данных; (ii) незаконный сбор и обработка персональных данных собственником, оператором базы данных или третьим лицом с использованием своего служебного положения; и (iii) несоблюдение собственником, оператором или третьим лицом мер по защите персональной данных. Максимальный административный штраф предусмотрен за деяние, указанное в пункте (iii) выше. Он установлен для лиц, являющихся субъектами крупного предпринимательства, и составляет 300 месячных расчетных показателей. Максимальная уголовная ответственность за нарушение неприкосновенности частной жизни и законодательства о персональных данных и их защите — лишение свободы сроком до 5 лет с конфискацией имущества.

Защита персональных данных в Республике Казахстан. Их действие на территории РК и за ее пределами (Белозерова Екатерина, юрист юридической фирмы ETERNA LAW)

З ащита персональных данных в Республике Казахстан. Их действие на территории РК и за ее пределами

21 мая 2013 года в Казахстане был принят Закон «О персональных данных и их защите». С тех пор вокруг него не утихают споры и разногласия касательно сфер и областей его применения, определения самих персональных данных и что под этим понимают государственные структуры, субъекты рынка и сами граждане.

В силу широкого применения и использования на сегодняшний день электронных и иных информационных систем (от платежных до систем учета государственных органов), использующих (запрашивающих) в целях персонализации (идентификации) личные данные физического лица — пользователя той или иной системой, остро возникает вопрос защиты персональных данных.

Международная защита персональных данных

Стоит отметить, что на международном уровне этот вопрос регулируется рядом Конвенций и международных соглашений. Одним из основных документов, регламентирующих данную сферу международных отношений является 108-я Конвенция Совета Европы — «о защите физических лиц при автоматизированной обработке персональных данных» принятая в Страсбурге, 28 января 1981 года, к которой были приняты дополнения от 15 июня 1999 г. Данную Конвенцию подписало 63, а ратифицировало 47 Стран.

Кроме того, в рамках СНГ был разработан Модельный закон «О персональных данных» (принят на четырнадцатом пленарном заседании Межпарламентской Ассамблеи государств-участников СНГ, постановлением от 16 октября 1999 года № 14-19), в основу которого положен европейский опыт в области защиты персональных данных.

Понятие Персональных данных

В соответствии с подпунктом 2 статьи 1 ЗРК «О персональных данных и их защите», персональные данные — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе. Субъектом персональных данных, с точки зрения Закона (пп.16 п.1 ст.1), является физическое лицо, к которому относятся персональные данные. Таким образом, — перечень сведений, которые признаются персональными данными, Законом четко не регламентирован. На практике, под персональными данными понимаются такие сведения как: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа удостоверяющего личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее, — т.е., теоретически это могут быть любые сведения о человеке.

Любая передача/сбор и обработка любых персональных данных (даже просто ФИО) в соответствии с Законом должна и может производиться только с согласия субъекта.

Главный принцип Закона заключается в том, что для сбора и обработки любых персональных данных (на бумажных или иных, — в том числе электронных носителях) требуется согласие субъекта персональных данных или его законного представителя. Такое согласие может выражаться в письменной форме, или в форме какого-либо действия (например нажатие определенной кнопки подтверждает согласие на запись разговора). Кроме того, собранные персональные данные могут быть использованы только для тех целей, для которых они собирались (в соответствии с основным видом деятельности оператора, к примеру). В отношении некоторых персональных данных (имеющих ограниченный доступ) распространяется режим конфиденциальности. Во избежание нарушений законодательства в области защиты персональных данных, установлена ответственность (более подробно о которой говорится в конце настоящей статьи).

Передача и использование биометрических данных

Кроме вышеуказанного, ст.1 Закона, предусмотрено понятие «биометрические данные» — это персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность. Поскольку закон не дает более глубокого и детализированного понятия биометрических данных, можно полагать, что к таким данным (помимо отпечатков пальцев) могут относиться любые материалы, содержащие идентифицирующие данные о конкретном человеке (в том числе частицы его ДНК), такие как: кровь, частицы кожи, любые иные жидкости, продукты жизнедеятельности и материалы, используемые, например для проведения анализов .

Согласно п.3 ст.11 Закона, Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан. Из ранее приведенной (выше) нормы Кодекса «О здоровье народа», на наш взгляд, следует что конфиденциальность таких биометрических также находится под защитой законодательства.

Следовательно, для такой передачи данных также потребуется Согласие субъектов информации, но со следующей формулировкой: «на трансграничную передачу биометрических персональных данных».

Таким образом, сбор и обработка персональных данных в Республике Казахстан регламентируется как нормами международных соглашений, которые Казахстан ратифицировал, так и нормами внутреннего законодательства, такими как специализированный Закон «О персональных данных и их защите», и иные нормативно правовые акты.

Как видно из вышеизложенных норм, законодатель четко регламентирует порядок сбора персональных данных (получается, что в отсутствие согласия человека у него нельзя получить и тем более использовать его идентификационные данные, — такой сбор и использование будут являться незаконными), а также строго ограничивает их использование целями их сбора.

Кроме того, порядок сбора и обработки информации электронным способом регламентируется, помимо указанного, специализированным Законом «Об информатизации».

Также в нормативно — правовые акты регламентирующие различные виды деятельности, внесены соответствующие дополнения касательно порядка сбора и обработки персональных данных и их защиты, в ходе их использования в тех или иных видах деятельности.

В случае нарушения норм действующего законодательства о защите персональных данных, законом предусмотрены различные виды ответственности для юридических и физических лиц: гражданская (в виде компенсации всех причиненных убытков), административная (в виде штрафов) и уголовная (вплоть до заключения сроком до семи лет).

Закон РК «О персональных данных и их защите»: как понимать и как применять? (руководство для журналистов и СМИ)

Закон Республики Казахстан «О персональных данных и их защите»: как понимать и как применять?

для журналистов и СМИ

  1. Общие сведения о законе и подзаконных актах
  2. Что такое персональные данные?
  3. Сбор и обработка персональных данных в профессиональной деятельности журналиста
  4. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания
  5. Какие меры необходимо предпринять для соблюдения требований законодательства РК о персональных данных и их защите?

5.1. Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций;

5.2. Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

5.3. Внесение изменений и дополнений в перечень персональных данных

5.4. Защита и хранение персональных данных

5.5. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

5.6. Взаимодействие собственников и (или) операторов с субъектами персональных данных

  1. Ответственность за нарушения требований законодательства о персональных данных и их защите.
  1. Общие сведения о законе и подзаконных актах

Закон РК №94-V «О персональных данных и их защите» введен в действие 25 ноября 2013 года. Для реализации требований закона на практике приняты подзаконные акты:

— Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач[1];

— Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных[2].

Государственные органы для решения своих целей и задач разработали и приняли перечни персональных данных, необходимые для выполнения своих задач[3].

В связи с принятием Закона РК №94-V «О персональных данных и их защите» были внесены поправки в некоторые действующие законодательные акты[4]. В Уголовный кодекс РК, в Кодекс РК об административных правонарушениях внесены дополнения, предусматривающие административную и уголовную ответственность за нарушения требований законодательства о персональных данных и их защите.

Закон устанавливает, что персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Другими словами, под персональными данными понимаются: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее.

Физическое лицо, к которому относятся или принадлежат персональные данные, именуется субъектом персональных данных. Персональные данные комплектуются в базы, в зависимости от целей их назначения и использования. Государственные органы, физические и (или) юридические лица, которые на праве собственности владеют, пользуются и распоряжаются базами, содержащими персональные данные, называются собственниками.

Что можно делать с персональными данными? Персональные данные можно собирать и можно обрабатывать, то есть:

— изменять и дополнять;

— блокировать доступ к ним;

— передавать третьим лицам.

Кроме этого, базы, содержащие персональные данные, необходимо обеспечивать защитой от несанкционированного взлома или доступа.

Государственный орган, физическое и (или) юридическое лицо, осуществляющее функции по сбору, обработке и защите персональных данных, именуется оператором базы персональных данных.

В отношении субъекта персональных данных, собственника и оператора базы персональных данных законом возлагаются определенные права и обязанности, а также ответственность за нарушение установленных требований. Но имеет ли отношение все вышесказанное к профессиональной деятельности журналиста и СМИ? И как отразится введение в действие Закона РК «О персональных данных и их защите» на профессиональной деятельности журналиста и СМИ?

  1. Сбор и обработка персональных данных в профессиональной деятельности журналиста

Профессиональную деятельность журналиста невозможно представить без использования персональных данных. Персональные данные обрабатываются и используются журналистами постоянно, на любом этапе производства информационного продукта и для достижения следующих целей:

— как источники информации;

— как герои публикаций или сюжетов.

Указание фамилии, имени собеседника в титрах или в газетной публикации – это уже использование персональных данных. Распространение информации о каком-либо человеке без указания фамилии и имени, но с предоставлением дополнительных персональных данных, которые могут его индентифицировать (например, профессия, место работы или проживания) – это тоже распространение персональных данных.

Персональные данные в журналистских материалах могут использоваться случайным образом, без цели их распространения (например, излюбленный телевизионщиками кадр – паспортные данные, либо удостоверение личности, не имеющий к смыслу сюжета никакого отношения, но содержащий чьи-то персональные данные).

Общее правило, которое установлено Законом РК «О персональных данных и их защите», определяет, что сбор и обработка персональных данных осуществляется собственником и оператором с согласия субъекта или его законного представителя. Согласие субъекта или его законного представителя оформляется письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Но журналисты собирают и используют персональные данные не только для подготовки позитивных материалов, в отношении которых субъекты с охотой давали бы свое согласие на использование персональных данных. Сложно представить, чтобы герой коррупционного скандала или герои критических публикаций согласились бы на использование своих персональных данных и их распространение в СМИ. Применение общего правила сбора и использования персональных данных только с согласия субъекта сделало бы невозможным осуществление профессиональной деятельности журналиста, особенно когда речь идет о подготовке материалов, имеющих общественный интерес, критических, вскрывающих факты коррупции и других правонарушений и преступлений.

Поэтому закон предусматривает ряд исключений из общего правила, когда сбор и обработка персональных данных могут осуществляться без согласия субъекта или его законного представителя. Поэтому, если сбор и обработка персональных данных производятся для осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельностиполучать согласие субъекта не требуется .

— журналисты вправе собирать и обрабатывать, в том числе распространять (то есть, публиковать), персональные данные без согласия субъекта, которому они принадлежат, или его законных представителей только при осуществлении своей законной профессиональной деятельности. Под профессиональной деятельностью журналиста (не только журналиста, но и любого представителя средства массовой информации) понимается сбор, обработка и подготовка сообщений и материалов для СМИ на основе трудовых или иных договорных отношений;

— не требуется такого согласия для осуществления научной, литературной или иной творческой деятельности;

— исключение для журналистов и СМИ действует при условии соблюдения требований законодательства РК по обеспечению прав и свобод человека и гражданина.

  1. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания

Сбор, хранение, распространение, передача и другие действия с персональными данными для целей предпринимательской (хозяйственной) деятельности редакций СМИ, операторов телерадиовещания применяются в целях:

— создания базы данных подписчиков и распространения издания по подписке;

— создания базы распространителей издания в случаях розничного распространения;

— создания базы данных рекламодателей – физических лиц и индивидуальных предпринимателей и осуществления договорных услуг по размещению рекламы;

— создания базы данных абонентов кабельного телевидения и осуществления договорных услуг платного ТВ;

— обработки персональных данных штатных и внештатных сотрудников редакций печатных СМИ, информационных агентств, операторов телерадиовещания и т.д.

Распространение персональных данных происходит также в тех случаях, когда государственные исполнительные органы, коммунальные службы и другие организации публикуют в СМИ (на правах рекламы) или на собственных интернет-ресурсах списки неплательщиков, должников без их согласия, но с указанием персональных данных (так называемая публикация списков неплательщиков или должников).

Средства массовой информации признаются законом общедоступными источниками персональных данных, то есть доступ к персональным данным в таких источниках свободен и требования по соблюдению конфиденциальности на них не распространяются.

Возникает главный вопрос — является ли собственник или издатель СМИ оператором базы персональных данных? Да, безусловно. В силу этого на них законом возлагаются дополнительные обязанности по сбору, использованию и защите персональных данных. Какие именно?

Во-первых, утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. Например, для целей создания базы персональных данных подписчиков собственник СМИ издает приказ об утверждении перечня сведений, которые для этого необходимы: фамилия, имя, отчество подписчика, адрес проживания.

Во-вторых, принимать и соблюдать необходимые меры для защиты персональных данных, то есть предотвращать несанкционированный доступ к ним; своевременно обнаруживать факты несанкционированного доступа и минимизировать неблагоприятные последствия, которые могут наступить в этом случае.

В-третьих, принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки.

В-четвертых, реагировать на сообщения субъекта персональных данных, который запрашивает информацию об имеющихся в распоряжении СМИ своих персональных данных, просит ее изменить или дополнить; просит блокировать доступ к его персональным данным или уничтожить. Обратите внимание, что закон для выполнения этих обязанностей предусматривает конкретные сроки – от одного до трех рабочих дней. В случае отказа – требуется предоставить заявителю мотивированный ответ с причинами отказа в течение трех рабочих дней.

Требуется или нет получать согласие субъекта персональных данных для достижения целей (создание базы подписчиков, рекламодателей и т.д.), которые изложены выше? С одной стороны, деятельность по распространение продукции массовой информации относится к законной профессиональной деятельности (не может СМИ издаваться, но не распространяться), поэтому согласие субъекта персональных данных на их сбор и обработку не требуется. С другой стороны, все правоотношения с подписчиками, реализаторами печатных СМИ, рекламодателями, сотрудниками строятся в редакциях, как и в любых других организациях, на основе письменных договоров. Поэтому довольно легко выполнить часть требований закона РК «О персональных данных» просто включив в соответствующие договоры пункт о согласии второй стороны (физического лица) на сбор и обработку своих персональных данных в целях, указанных в договоре.

— СМИ (собственники, издатели, операторы телерадиовещания) являются собственниками и (или) операторами баз персональных данных, в связи с этим на них возлагается ряд обязанностей по защите персональных данных и по соблюдению прав субъекта персональных данных;

— Закон РК «О персональных данных и их защите» и Закон РК «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам персональных данных и их защите» введен в действие с 25 ноября 2013 года. В течение трех месяцев со дня введения в действие закона, то есть в срок до 25 февраля 2014 года собственники и (или) операторы баз персональных данных должны принять меры по сбору, хранению и защите персональных действий в соответствии с действующим законодательством о персональных данных и их защите (об этом более подробно в пункте 5);

— так как вся деятельность редакций СМИ по формированию баз подписчиков, рекламодателей, реализаторов, штатных и внештатных сотрудников осуществляется на основе письменных договоров, предлагается в качестве дополнительного пункта включать в каждый договор пункт о согласии второй стороны договора на сбор и обработку (включая передачу третьим лицам – в случае подписки) своих персональных данных для достижения целей, указанных в договоре.

  1. Какие меры необходимо предпринять для соблюдения требований законодательства РК о персональных данных и их защите?

Еще раз напомним, что собственники и (или) операторы персональных данных обязаны в течение трех месяцев со дня введения закона в действие, то есть до 25 февраля 2014 года, принять все меры, разработать необходимые документы относительно сбора, обработки и защиты персональных данных.

Необходимые меры подразумевают следующие действия и процедуры.

5.1. Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций

Каждый собственник и (или) оператор, который в рамках осуществления своей деятельности, собирает, хранит и обрабатывает персональные данные, должен определиться с их перечнем. При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться следующими принципами сбора, обработки и защиты персональных данных:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Собственник и (или) оператор в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, назначает ответственных лиц (далее – ответственное лицо) за организацию работы по определению перечня персональных данных. Назначение ответственного лица оформляется соответствующим документом (например, приказом). Ответственное лицо анализирует осуществляемые задачи собственника и (или) оператора, после чего готовит предложение об определении перечня персональных данных.

Собственник и (или) оператор рассматривают предложение ответственного лица и принимают решение об утверждении перечня персональных данных или возвращают на доработку ответственному лицу. Срок подготовки предложений, с момента назначения ответственных лиц, не должен превышать тридцати календарных дней.
В случае возврата на доработку, перечень персональных данных дорабатывается ответственным лицом в течение пяти рабочих дней и повторно вносится на утверждение собственнику и (или) оператору.

После утверждения перечня персональных данных, логичными будут шаги по изменению документации с учетом необходимости получения согласия субъекта и принятию новых документов по вопросам обработки, защиты и сохранности персональных данных.

5.2. Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

Теперь, если для осуществления вашей деятельности требуются персональные данные, необходимо получать согласие субъекта, которым они принадлежат. Есть исключения из этого общего правила, они перечислены в статье 9 Закона РК от 21 мая 2013 года «О персональных данных и их защите». Еще раз напомним, что не требуется получение согласия субъекта, которому принадлежат персональные данные, при осуществлении законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина. В других случаях, не подпадающих под исключения, необходимо получать письменное согласие субъекта или его законного представителя. Кроме письменной формы, согласия может быть предоставлено в форме электронного документа или иным способом с применением элементов защитных действий. Субъект персональных данных может как дать свое согласие на сбор, обработку персональных данных, так и отозвать его. Отзыв согласия осуществляется в письменной, в форме электронного документа или иной форме, с применением элементов защитных действий.

Как оформить получение согласия на сбор и обработку персональных данных? Вариантов может быть много: подписание приложения или дополнительного соглашения к договору, заполнение специальной формы, выражающей согласие субъекта на сбор и обработку персональных данных, подписание специального заявления и т.д. Для электронных ресурсов очень важно наличие элементов защитных действий при получении такого согласия. Необходимость получения согласия субъекта персональных данных, предусмотренная в Законе РК «О персональных данных и их защите», требует переоформления всех действующих договоров и обязательств, в рамках которых осуществляется сбор и обработка персональных данных, за исключением индивидуальных трудовых договоров, в случае, если согласие работника на сбор и обработку его персональных данных было получено ранее.

5.3. Внесение изменений и дополнений в перечень персональных данных .

По результатам текущей деятельности собственником и (или) оператором могут быть внесены изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.
Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения в действие. Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, должно осуществляться только для ранее заявленных целей их сбора.
Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач.

5.4. Защита и хранение персональных данных.

Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Для обеспечения защиты персональных данных при их сборе и обработке, необходимо обособлять персональные данные от иной информации, в частности путем фиксации их на носителях.
При сборе и обработке персональных данных необходимо определить места их хранения (носители) и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
При хранении носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Меры, необходимые для обеспечения таких условий, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются собственником и (или) оператором, а также третьим лицом.

5.5. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации .

В связи с принятием Закона РК от 21 «О персональных данных и их защите», статья 13 Закона РК «Об информатизации»[5] изложена в новой редакции.

1. Электронные информационные ресурсы, содержащие персональные данные, относятся к категории конфиденциальных электронных информационных ресурсов, сбор, обработка которых ограничиваются целями, для которых они собираются.

2. Никто не вправе требовать для формирования электронных информационных ресурсов от физических лиц представление сведений об их частной жизни, составляющих личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физических лиц, включая сведения, касающиеся их происхождения, здоровья, взглядов, политических и религиозных убеждений, или получать такие сведения иным образом помимо их воли.

3. Для электронных информационных ресурсов, содержащих персональные данные, соблюдение конфиденциальности обязательно с момента, когда эти данные были представлены физическим лицом, к которому эти данные относятся.

4. Не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.

5.6. Взаимодействие собственников и (или) операторов с субъектами персональных данных

Важной особенностью Закона РК от 21 мая 2013 года «О персональных данных и их защите» является процедуры взаимодействия тех субъектов, кто собирает и обрабатывает персональные данные (собственников и (или) операторов) и субъектов, которым они принадлежат.

Субъект, которому принадлежат персональные данные, вправе:

— знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;

— требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

— требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

— требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства РК;

— дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных, а также отозвать согласие на сбор, обработку персональных данных.

Собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, предусмотренных законом;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством РК;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ;
8) в течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства РК;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Законом РК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защите» внесены изменения в Гражданский Кодекс, Уголовный Кодекс, Кодекс РК об административных правонарушениях и ряд других законов и кодексов. Таким образом, предусматривается гражданско-правовая ответственность (субъект персональных данных вправе требовать защиты своих прав и законных интересов, а также требовать возмещения морального и материального вреда), административная[6] (за нарушение требований законодательства о персональных данных в виде штрафов) и уголовная ответственность[7] (за нарушение неприкосновенности частной жизни и законодательства РК о персональных данных и их защите).

Еще по теме:

  • Енвд 2018 декларация ип изменения Декларация ЕНВД Какие отчеты сдают ИП и организации на ЕНВД? Как часто происходит сдача декларации? Есть ли сервисы, упрощающие сдачу отчетности компаниям на спецрежимах? Ответы на эти и […]
  • Нк рф ст 346 21 Статья 346.21. Порядок исчисления и уплаты налога 1. Налог исчисляется как соответствующая налоговой ставке процентная доля налоговой базы. 2. Сумма налога по итогам налогового периода […]
  • Тарифы на коммунальные услуги курган 2018 В 2018 году в Кургане вырастут тарифы на воду, но не так, как просил «Водный союз» Тарифы на водоснабжение и водоотведение в Кургане с 1 июля 2018 года вырастут на 3,8%. Такие цифры […]
  • Закон чр об административных правонарушениях в чр Закон Чеченской Республики от 8 мая 2008 г. N 17-рз "Об административных правонарушениях" (с изменениями и дополнениями) Закон Чеченской Республикиот 8 мая 2008 г. N 17-рз"Об […]
  • Закон служба судебных приставов Федеральный закон от 21 июля 1997 г. N 118-ФЗ "О судебных приставах" (с изменениями и дополнениями) Федеральный закон от 21 июля 1997 г. N 118-ФЗ"О судебных приставах" С изменениями и […]