Анализ законодательства о ПДн в России, Беларуси и Казахстане

13.01.2023
04/08/23
Б-152
Седа Антонян
Анализ законодательства о ПДн в России, Беларуси и Казахстане
Мы выявили особенности законодательств о персональных данных в РФ, РБ и РК по одиннадцати критериям
Содержание
Содержание
Нормативная база Республики Беларусь в сфере защиты персональных данных:
  • Конституция Республики Беларусь (ст. 28);

  • Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон);

  • Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;

  • Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;

  • Закон Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;

  • Трудовой кодекс Республики Беларусь (статья 47);

  • Кодекс Республики Беларусь об административных правонарушениях (статья 23.7);

  • Уголовный кодекс Республики Беларусь (статьи 203−1, 203−2);

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных данных»;

  • Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных».
Нормативная база Республики Казахстан в сфере защиты персональных данных:
  • Конституция Республики Казахстан от 30.08.1995;

  • Трудовой кодекс Республики Казахстан от 23.11.2015 № 414-V;

  • Кодекс Республики Казахстан «О здоровье народа и системе здравоохранения» № 360-VI ЗРК;

  • Уголовный кодекс Республики Казахстан от 3 июля 2014 года № 226-V;

  • Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года № 235-V;

  • Закон от 22.12.1998 № 326−1 «О Национальном архивном фонде и архивах»;

  • Закон от 21.05.2013 № 94-V «О персональных данных и их защите» (далее — Закон);

  • Закон от 24.11.2015 № 418-V «Об информатизации»;

  • Постановление Правительства Республики Казахстан от 03.09.2013 № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных»;

  • Постановление Правительства Республики Казахстан от 12.11.2013 № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач»;

  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных»;

  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2021 года № 156/НҚ «Об утверждении Правил осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах».
Критерии сравнения
Для выявления особенностей законодательств РБ и РК, при сопоставлении мы использовали следующие критерии:
  1. Кто отвечает за надзор и контроль в сфере обработки ПДн?
2. Что относится к персональным данным?
3. Какие стороны участвуют в обработке персональных данных?
4. Основные принципы обработки ПДн
5. Какие права есть у субъектов ПДн?
6. Какие правовые основания обработки ПДн предусмотрены?
7. Каковы основные требования к согласию на обработку ПДн?
8. Как регламентирована трансграничная передача ПДн?
9. Основные обязанности Оператора
10. Основные обязанности Оператора
11. Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?
Кто отвечает за надзор и контроль в сфере обработки ПДн?
Согласно ст. 18 Закона Р Б «О защите персональных данных» уполномоченным органом в сфере защиты персональных данных является Национальный центра защиты персональных данных Республики Беларусь (НЦЗПД).

Согласно ст. 28 Закона Р К «О персональных данных и их защите» высший надзор осуществляют органы прокуратуры.

Вместе с этим, уполномоченным органом в сфере защиты персональных данных является Управление по защите персональных данных, входящее в Комитет информационной безопасности при Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
Что относится к персональным данным?
Определения термина «персональные данные» в РБ и РК практически идентичные.
Согласно ст. 1 Закона Р Б «О защите персональных данных»:
«персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано»

Определение ПДн в РБ во многом совпадает с дефиницией из GDPR.
Согласно ст. 1 Закона Р К «О персональных данных и их защите»:
«персональные данные — относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе»

Особенность в РК — в определении есть привязка к носителю, в связи с чем возникает вопрос о юридическом статусе тех ПДн, которые сообщены устно.
Какие стороны участвуют в обработке ПДн?
В Российской Федерации согласно 152-ФЗ, к таковым относится оператор; лицо, обрабатывающее ПДн по поручению оператора и субъект ПДн.

В Республике Беларусь ­- оператор; уполномоченное лицо; субъект ПДн

В Республике Казахстан — оператор базы, содержащей персональные данные; собственник базы, содержащей персональные данные; третье лицо; субъект ПДн.
Основные принципы обработки ПДн
Такие принципы как: ограничение обработки целями, запрет избыточности обработки ПДн, ограничение сроков обработки целями, сформулированы в РК в условиях сбора и обработки ПДн.
Основные принципы обработки ПДн
Какие права есть у субъектов ПДн?
Какие права есть у субъектов ПДн?
Какие правовые основания для обработки ПДНн предусмотрены?
Какие правовые основания для обработки ПДНн предусмотрены?
Каковы основные требования к согласию на обработку ПДн?
  • по РБ, если цель не предусматривает обработку реквизитов удостоверения, то для избежания избыточной обработки ПДн оператор может не запрашивать их;

  • по РБ, если есть множественность целей, то их можно указать в табличной форме, с возможность проставления галочки «Согласен» или «Не согласен».

  • По Закону Р К, такое действие как «распространение» может быть включено в текст согласия;

  • По Закону Р К, в случае осуществления трансграничной передачи — это отражается в согласии, в отличие от требований ч.4 ст. 9 152-ФЗ.
Требования к согласию на обработку ПДн в РБ и РК похожи, но есть отличия:
Как регламентирована трансграничная передача ПДн?
  • трансграничная передача — это передача а) ПДн; б) на территорию иностранного государства и в) иностранному ЮЛ/ФЛ/государственному органу;

  • есть деление на «адекватные» и «неадекватные» страны;

  • в качестве оснований могут использоваться оснований, перечисленные в ч.1 ст. 6 152-ФЗ;

  • необходимо уведомить Роскомнадзор о намерении осуществлять трансграничную передачу;

  • В зависимости от категории страны может отличаться порядок уведомления Роскомнадзора;

  • Роскомнадзор может запретить или ограничить осуществление трансграничной передачи ПДн.
В Российской Федерации согласно ст. 12 152-ФЗ:
  • трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;

  • есть деление на «адекватные» и «неадекватные»

  • из применимых оснований используется, например:

  • согласие на обработку ПДн;

  • договор;

  • разрешение уполномоченного органа (НЦЗПД);

  • трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РБ.
Согласно ч.4 ст. 8 Закона Р Б «О защите персональных данных»:
  • трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;

  • есть деление на «адекватные» и «неадекватные»

  • из применимых оснований используется согласие на обработку ПДн;

  • трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РК.
Согласно ч.4 ст. 8 Закона Р К «О персональных данных и их защите»:
Основные обязанности Оператора
Основные обязанности Оператора
Есть ли требования о локализации ПДн?
  • запись

  • систематизацию

  • накопление

  • хранение

  • уточнение (обновление, изменение)

  • извлечение
В Российской Федерации согласно ч.5 ст. 18 152-ФЗ: при сборе ПДн граждан РФ, оператор обязан обеспечить:
с использованием баз данных, находящихся на территории РФ.

Требований по локализации ПДн на территории Р Б Закон «О защите персональных данных» не содержит.
Согласно ст. 12 Закона Р К «О персональных данных и их защите»:
  • «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан».

Из требования видно, что локальная репликация данных будет соответствовать требованиям о локализации, т.к. нет требований о соблюдении последовательности обработки ПДн.
Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?
  • Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных;

  • Умышленное незаконное распространение персональных данных физических лиц

  • Несоблюдение мер обеспечения защиты персональных данных физических лиц
Согласно ст. 23.7 Особенной части КоАП РБ:
  • незаконные сбор и (или) обработка персональных данных;

  • несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных

  • несоблюдение мер по защите повлекшее утерю, незаконный сбор и (или) обработку персональных данных;

  • использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения им имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан
Ответственностью может достигать по различным составам 2500 долларов США
Согласно ст. 79, 451 и 641 КоАП РК:
Ответственностью может достигать по различным составам 6500 долларов США
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РБ?
  • На сайте необходимо разместить Политику по обработке ПДн пользователей сайта (ч.4 ст. 17 Закона).
Есть рекомендации НЦЗПД к содержанию такой Политики (и типовая форма);
  • Основанием для сбора и обработки ПДн на сайте может быть СОПД или Пользовательское соглашение (оферта);

  • Дополнительных требований к сбору аналитики на сайте не установлено.
Есть рекомендации НЦЗПД к содержанию Политики в отношении cookie;
  • Передача ПДн, в том числе трансграничная, осуществляется при получении СОПД или на основании договора (Пользовательского соглашения) (ст. 9 Закона);

  • Распространение ПДн происходит либо самостоятельно субъектом, либо с его согласия. Обработка таких данных возможна без получения СОПД до предъявления требований о прекращении такой обработки.
Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РK?
  • На сайте необходимо разместить Политику по обработке ПДн пользователей сайта. Требований к содержанию такой Политики нет;

  • Основанием для сбора и обработки ПДн на сайте является согласие на обработку ПДн (ст. 7 Закона). То есть под формами сбора ПДн на сайте должно быть размещено согласие по форме, установленной ч.4 ст. 8 Закона;

  • Перед сбором и обработкой ПДн оператор должен определить и зафиксировать перечень достаточных для достижения цели такого сбора и обработки ПДн;

  • Дополнительных требований к сбору аналитики на сайте не установлено;

  • Для проведения маркетинговых исследований ПДн необходимо обезличить (ст. 17 Закона);

  • Передача ПДн, в том числе трансграничная, осуществляется при получении согласия на обработку ПДн от субъекта (ст. 7 и 16 Закона);

  • Распространение ПДн в общедоступных источниках — также только с согласия субъекта (ст. 7 Закона);

  • Требования о локализации есть, но они менее жесткие — по сути должна происходить репликация ПДн в базы данных на территории РК (ст. 12 Закона)
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме