menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Защита данных по требованиям ЦБ
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"

Анализ законодательства о ПДн в России, Беларуси и Казахстане

лонгриды
13.01.2023
04/08/23
Б-152
Седа Антонян
Лонгриды
События /
Анализ законодательства о ПДн в России, Беларуси и Казахстане
Мы выявили особенности законодательств о персональных данных в РФ, РБ и РК по одиннадцати критериям
Нормативная база Республики Беларусь в сфере защиты персональных данных
Содержание
Нормативная база Республики Казахстан в сфере защиты персональных данных
Критерии сравнения
Кто отвечает за надзор и контроль в сфере обработки ПДн?
Что относится к персональным данным?
Какие стороны участвуют в обработке ПДн?
Основные принципы обработки ПДн
Какие права есть у субъектов ПДн?
Какие правовые основания для обработки ПДн предусмотрены?
Каковы основные требования к согласию на обработку ПДн?
Как регламентирована трансграничная передача ПДн?
Основные обязанности Оператора
Есть ли требования о локализации ПДн?
Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РБ?
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РK?
Нормативная база Республики Беларусь в сфере защиты персональных данных
Содержание
Нормативная база Республики Казахстан в сфере защиты персональных данных
Критерии сравнения
Кто отвечает за надзор и контроль в сфере обработки ПДн?
Что относится к персональным данным?
Какие стороны участвуют в обработке ПДн?
Основные принципы обработки ПДн
Какие права есть у субъектов ПДн?
Какие правовые основания для обработки ПДн предусмотрены?
Каковы основные требования к согласию на обработку ПДн?
Как регламентирована трансграничная передача ПДн?
Основные обязанности Оператора
Есть ли требования о локализации ПДн?
Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РБ?
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РK?

Нормативная база Республики Беларусь в сфере защиты персональных данных:

  • Конституция Республики Беларусь (ст. 28);

  • Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон);

  • Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;

  • Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;

  • Закон Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;

  • Трудовой кодекс Республики Беларусь (статья 47);

  • Кодекс Республики Беларусь об административных правонарушениях (статья 23.7);

  • Уголовный кодекс Республики Беларусь (статьи 203−1, 203−2);

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных данных»;

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных».

Нормативная база Республики Казахстан в сфере защиты персональных данных:

  • Конституция Республики Казахстан от 30.08.1995;

  • Трудовой кодекс Республики Казахстан от 23.11.2015 № 414-V;

  • Кодекс Республики Казахстан «О здоровье народа и системе здравоохранения» № 360-VI ЗРК;

  • Уголовный кодекс Республики Казахстан от 3 июля 2014 года № 226-V;

  • Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года № 235-V;

  • Закон от 22.12.1998 № 326−1 «О Национальном архивном фонде и архивах»;

  • Закон от 21.05.2013 № 94-V «О персональных данных и их защите» (далее — Закон);

  • Закон от 24.11.2015 № 418-V «Об информатизации»;

  • Постановление Правительства Республики Казахстан от 03.09.2013 № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных»;

  • Постановление Правительства Республики Казахстан от 12.11.2013 № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач»;

  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных»;

  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2021 года № 156/НҚ «Об утверждении Правил осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах».

Критерии сравнения

Для выявления особенностей законодательств РБ и РК, при сопоставлении мы использовали следующие критерии:
1. Кто отвечает за надзор и контроль в сфере обработки ПДн?
2. Что относится к персональным данным?
3. Какие стороны участвуют в обработке персональных данных?
4. Основные принципы обработки ПДн
5. Какие права есть у субъектов ПДн?
6. Какие правовые основания обработки ПДн предусмотрены?
7. Каковы основные требования к согласию на обработку ПДн?
8. Как регламентирована трансграничная передача ПДн?
9. Основные обязанности Оператора
10. Основные обязанности Оператора
11. Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?

Кто отвечает за надзор и контроль в сфере обработки ПДн?

Согласно ст. 18 Закона РБ «О защите персональных данных» уполномоченным органом в сфере защиты персональных данных является Национальный центра защиты персональных данных Республики Беларусь (НЦЗПД).

Согласно ст. 28 Закона РК «О персональных данных и их защите» высший надзор осуществляют органы прокуратуры.

Вместе с этим, уполномоченным органом в сфере защиты персональных данных является Управление по защите персональных данных, входящее в Комитет информационной безопасности при Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

Что относится к персональным данным?

Определения термина «персональные данные» в РБ и РК практически идентичные.
Согласно ст. 1 Закона РБ «О защите персональных данных»:
«персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано»

Определение ПДн в РБ во многом совпадает с дефиницией из GDPR.
Согласно ст. 1 Закона РК «О персональных данных и их защите»:
«персональные данные — относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе»

Особенность в РК — в определении есть привязка к носителю, в связи с чем возникает вопрос о юридическом статусе тех ПДн, которые сообщены устно.

Какие стороны участвуют в обработке ПДн?

В Российской Федерации согласно 152-ФЗ, к таковым относится оператор; лицо, обрабатывающее ПДн по поручению оператора и субъект ПДн.

В Республике Беларусь ­- оператор; уполномоченное лицо; субъект ПДн

В Республике Казахстан — оператор базы, содержащей персональные данные; собственник базы, содержащей персональные данные; третье лицо; субъект ПДн.

Основные принципы обработки ПДн

Такие принципы как: ограничение обработки целями, запрет избыточности обработки ПДн, ограничение сроков обработки целями, сформулированы в РК в условиях сбора и обработки ПДн.
Основные принципы обработки ПДн

Какие права есть у субъектов ПДн?

Какие права есть у субъектов ПДн?
Какие правовые основания для обработки ПДн предусмотрены?

Какие правовые основания для обработки ПДн предусмотрены?

Каковы основные требования к согласию на обработку ПДн?

  • по РБ, если цель не предусматривает обработку реквизитов удостоверения, то для избежания избыточной обработки ПДн оператор может не запрашивать их;

  • по РБ, если есть множественность целей, то их можно указать в табличной форме, с возможность проставления галочки «Согласен» или «Не согласен».

  • По Закону РК, такое действие как «распространение» может быть включено в текст согласия;

  • По Закону РК, в случае осуществления трансграничной передачи — это отражается в согласии, в отличие от требований ч.4 ст. 9 152-ФЗ.
Требования к согласию на обработку ПДн в РБ и РК похожи, но есть отличия:

Как регламентирована трансграничная передача ПДн?

  • трансграничная передача — это передача а) ПДн; б) на территорию иностранного государства и в) иностранному ЮЛ/ФЛ/государственному органу;

  • есть деление на «адекватные» и «неадекватные» страны;

  • в качестве оснований могут использоваться оснований, перечисленные в ч.1 ст. 6 152-ФЗ;

  • необходимо уведомить Роскомнадзор о намерении осуществлять трансграничную передачу;

  • В зависимости от категории страны может отличаться порядок уведомления Роскомнадзора;

  • Роскомнадзор может запретить или ограничить осуществление трансграничной передачи ПДн.
В Российской Федерации согласно ст. 12 152-ФЗ:
  • трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;

  • есть деление на «адекватные» и «неадекватные»

  • из применимых оснований используется, например:

  • согласие на обработку ПДн;

  • договор;

  • разрешение уполномоченного органа (НЦЗПД);

  • трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РБ.
Согласно ч.4 ст. 8 Закона РБ «О защите персональных данных»:
  • трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;

  • есть деление на «адекватные» и «неадекватные»

  • из применимых оснований используется согласие на обработку ПДн;

  • трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РК.
Согласно ч.4 ст. 8 Закона РК «О персональных данных и их защите»:

Основные обязанности Оператора

Основные обязанности Оператора

Есть ли требования о локализации ПДн?

  • запись

  • систематизацию

  • накопление

  • хранение

  • уточнение (обновление, изменение)

  • извлечение
В Российской Федерации согласно ч.5 ст. 18 152-ФЗ: при сборе ПДн граждан РФ, оператор обязан обеспечить:
с использованием баз данных, находящихся на территории РФ.
Согласно ст. 12 Закона РК «О персональных данных и их защите»:
  • «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан».

Из требования видно, что локальная репликация данных будет соответствовать требованиям о локализации, т.к. нет требований о соблюдении последовательности обработки ПДн.
Прямых требований по локализации ПДн на территории РБ текст Закона «О защите персональных данных» не содержит.
Однако, согласно требованиям п.2 Указа Президента Республики Беларусь от 1 февраля 2010 г. №60 деятельность по реализации товаров, выполнению работ, оказанию услуг на территории РБ с использованием информационных сетей, систем и ресурсов, имеющих подключение к сети Интернет осуществляется юридическими лицами и индивидуальными предпринимателями с использованием информационных сетей, систем и ресурсов национального сегмента сети Интернет, размещенных на территории Республики Беларусь и зарегистрированных в установленном порядке.
Помимо этого, на данный момент НЦЗПД рассматривает возможность внесения изменений в Указ Президента РБ №60 с целью отдельной регламентации по локализации обработки наиболее чувствительных данных, таких как биометрические и генетические данные, персональных данных несовершеннолетних, а также данных, составляющих банковскую, врачебную, адвокатскую и иные охраняемые законом тайны.

Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?

  • Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных;

  • Умышленное незаконное распространение персональных данных физических лиц

  • Несоблюдение мер обеспечения защиты персональных данных физических лиц
Согласно ст. 23.7 Особенной части КоАП РБ:
  • незаконные сбор и (или) обработка персональных данных;

  • несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных

  • несоблюдение мер по защите повлекшее утерю, незаконный сбор и (или) обработку персональных данных;

  • использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения им имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан
Ответственностью может достигать по различным составам 2500 долларов США
Согласно ст. 79, 451 и 641 КоАП РК:
Ответственностью может достигать по различным составам 6500 долларов США

Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РБ?

  • На сайте необходимо разместить Политику по обработке ПДн пользователей сайта (ч.4 ст. 17 Закона).
Есть рекомендации НЦЗПД к содержанию такой Политики (и типовая форма);
  • Основанием для сбора и обработки ПДн на сайте может быть СОПД или Пользовательское соглашение (оферта);

  • Дополнительных требований к сбору аналитики на сайте не установлено.
Есть рекомендации НЦЗПД к содержанию Политики в отношении cookie;
  • Передача ПДн, в том числе трансграничная, осуществляется при получении СОПД или на основании договора (Пользовательского соглашения) (ст. 9 Закона);

  • Распространение ПДн происходит либо самостоятельно субъектом, либо с его согласия. Обработка таких данных возможна без получения СОПД до предъявления требований о прекращении такой обработки.

Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РK?

  • На сайте необходимо разместить Политику по обработке ПДн пользователей сайта. Требований к содержанию такой Политики нет;

  • Основанием для сбора и обработки ПДн на сайте является согласие на обработку ПДн (ст. 7 Закона). То есть под формами сбора ПДн на сайте должно быть размещено согласие по форме, установленной ч.4 ст. 8 Закона;

  • Перед сбором и обработкой ПДн оператор должен определить и зафиксировать перечень достаточных для достижения цели такого сбора и обработки ПДн;

  • Дополнительных требований к сбору аналитики на сайте не установлено;

  • Для проведения маркетинговых исследований ПДн необходимо обезличить (ст. 17 Закона);

  • Передача ПДн, в том числе трансграничная, осуществляется при получении согласия на обработку ПДн от субъекта (ст. 7 и 16 Закона);

  • Распространение ПДн в общедоступных источниках — также только с согласия субъекта (ст. 7 Закона);

  • Требования о локализации есть, но они менее жесткие — по сути должна происходить репликация ПДн в базы данных на территории РК (ст. 12 Закона)
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме