Принципы сбора, обработки и защиты персональных данных

На основании ст. 5 Закона О персональных данных и их защите - Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:

1) соблюдения конституционных прав и свобод человека и гражданина;

2) законности;

3) конфиденциальности персональных данных ограниченного доступа;

4) равенства прав субъектов, собственников и операторов;

5) обеспечения безопасности личности, общества и государства.

Доступность персональных данных

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. (ст. 6 Закона О персональных данных)

Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

Доступ к персональным данным

Согласно ст. 10 Закона О персональных данных - Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

Конфиденциальность персональных данных

1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

Использование и распространение персональных данных

Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

Распространение персональных данных

1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц.

2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

Защита персональных данных

По обращению граждан и юридических лиц УО в целях установления факта правонарушения и привлечения к ответственности имеет право открыть проверку в отношении нарушителя.

В случае подтверждения правонарушения УО возбуждает административное дело и привлекает к ответственности за нарушения, предусмотренные статьями 79, 639, 640 и 641 КоАП РК.

В отношении субъектов малого бизнеса УО вправе возбудить административное дело без проведения проверки на основании обращений физических и юридических лиц.

Для этого в обращении должны содержаться достаточные данные, указывающие на признаки административного правонарушения – материалы, подтверждающие факт нарушения, субъект, допустивший правонарушение и сроки его совершения. 

Анонимные обращения и обращения, не отражающие суть вопроса (нарушения) и конкретного правонарушителя согласно законодательству не подлежат рассмотрению.

Далее, после рассмотрения дела об административном правонарушении, УО выносит решение о наложении административного взыскания или прекращении производства по делу согласно действующему законодательству и уведомляет заявителя о принятых мерах.

Таким образом, для принятия мер УО в отношении лиц, нарушивших законодательство о персональных данных и их защите, необходимо обратиться в УО – Министерство цифрового развития, инноваций и аэрокосмической промышленности с обращением, удовлетворяющим вышеуказанные требования.

По дополнительным вопросам касательно фактов незаконного сбора или утечки персональных данных, а также нарушения правил использования ЭЦП можно написать на электронную почту kib@mdai.gov.kz Комитета по информационной безопасности.