04/06/2019
Итоги конкурса Open Budget Fellowship — 2019
03/06/2019
Нурзат Байбусынов
06/06/2019

Защита персональных данных в Казахстане: неработающий закон и осторожное движение к GDPR

21 мая в Алматы прошла конференция DigitalRights@KZ: Права человека и цифровая трансформация.

Год назад на территории Европейского Союза вступил в силу Генеральный регламент по защите персональных данных (GDPR).

GDPR — постановление Европейского Союза, направленный прежде всего на то, чтобы дать гражданам контроль над собственными персональными данными, и на упрощение нормативной базы для международных экономических отношений путём унификации регулирования в рамках ЕС.

Ключевые принципы GDPR:

  • Законность, справедливость и прозрачность — должны быть легальные основания в рамках GDPR для сбора и использования данных, ненарушение любых законов, открытость, честность от начала и до конца о использовании персональных данных;
  • Конкретные цели — все конкретные задачи должны быть закреплены в политике конфиденциальности и должны чётко соблюдаться;
  • Минимизация использованных данных — использование адекватного количества данных для выполнения поставленных целей, ограниченных только необходимым количеством;
  • Точность — персональные данные должны быть точными и не должны вводить в заблуждение; исправление неправильных;
  • Ограничение хранения данных — не хранить данные дольше чем нужно, периодически проводить аудит данных и удалять неиспользуемые;
  • Целостность и конфиденциальность/безопасность — хранить данные в безопасном месте и уделять достаточное внимание сохранности данных;
  • Подотчётность — ответственность за обработку персональных данных и выполнение всех остальных принципов GDPR включая записи о конфиденциальности; защите, использовании, проверки данных; назначении должностного лица по защите данных (англ.DPO, data protection officer).

(источник – Википедия)

*********************

Одной из особенностей 300-страничного документа стало его трансграничное действие. Иными словами, если казахстанские компании намерены работать с европейскими потребителями, соблюдение этого регламента становится обязательным требованием. Тем более, что использовать его уже сегодня можно в рамках частной юрисдикции суда МФЦА.

21 мая в Алматы участники конференция «DigitalRights@KZ: Права человека и цифровая трансформация» обсуждали, нужен ли Казахстану свой GDPR, причем, не только в республике, но и в Евразийском союзе. Оказалось, что никто из присутствовавших пока не осилил объемный регламент до конца, а основные надежды и чаяния связаны с тем, чтобы спустя шесть лет, наконец, заработал национальный закон о персональных данных.

Сетевое забвение

Джим Киллок, исполнительный директор Open Rights Group (Великобритания), начиная разговор о GDPR, напомнил, что многие из принципов этого европейского стандарта уже давно знакомы специалистам. Особое значение среди них имеет подотчетность, без которой реализация прочих компонентов становится бессмысленной. Вместе с тем, GDPR впервые закрепил за гражданами «право на забвение».

«Это идея о том, что вы можете отозвать свои персональные данные», – объясняет Киллок. Международный эксперт подчеркивает, что такая возможность не только обеспечивает неприкосновенность частной жизни, но и способствует принятию человеком выгодных для него экономических решений.

«Право на забвение», к слову, стало предметом и последующей после выступлений спикеров дискуссии. Ержан Сулейменов, представитель Internews в Казахстане, обратил внимание на различные его трактовки со стороны разных отечественных госорганов: в то время как одни воспринимают это право как чисто техническое, другие видят в нем возможность для удаления из интернета всей порочащей имя того или иного чиновника информации.

«“Право на забвение” не должно подразумевать право политиков на “чистку” их персональной истории. Однако вы правы, говоря о риске того, как политики будут трактовать это право, если дать им такой шанс. Поэтому вы должны иметь чёткие правила и чёткое правоприменение. Особенно это касается финансовой информации, контрактов и данных о правонарушениях», – отметил в ответ эксперт из Великобритании.

Анна Гусарова, директор Центральноазиатского института стратегических исследований, добавила, что выработкой и реализацией этих самых правил в казахстанских реалиях должна заниматься «реально независимая структура, в которой будут представлены все игроки». В настоящее время надзором за соблюдением законодательства о персональных данных и их защите занимаются органы прокуратуры.

Почему закон не работает (и когда это изменится)

Руслан Дайырбеков, член Международной ассоциации медиа юристов (IMLA), констатировал отсутствие в республике независимого уполномоченного органа по защите прав субъектов персональных данных. Хотя надзорную функцию выполняет Генеральная прокуратура, сегодня вокруг закона «О защите персональных данных» не сформировано ни правоприменительной, ни судебной практики.

Следом юрист обратил внимание на недостаток подзаконного регулирования и отсутствие «разъяснений со стороны регулятора, которые создавали бы четкие процедуры для госорганов и правовую определенность для бизнеса». «В настоящее время перед нами стоит острая необходимость систематизации или, скажу более того, кодификации всех нормативных положений, которые регулируют персональные данные, в какой-то единый информационный кодекс», – также заявил Дайырбеков.

Как ни странно, заместитель председателя Комитета по информационной безопасности Министерства цифрового развития, оборонной и аэрокосмической промышленности Руслан Абдикаликов выразил полную солидарность с мнением партнера по сессии.

«У нас такой менталитет в стране сложился, что если нет уполномоченного госоргана, то закон как бы повис в воздухе. Он не рабочий. Почему? Потому что при его создании МВД избрало такую модель, что каждый уполномоченный госорган в своей сфере будет регулировать эти отношения. Если у вас какие-то проблемы с поликлиникой и персональными данными, вы должны обратиться в Минздав. Если у вас проблема с «Кунделиком», вы должны обратиться в Минобразования. Если у вас с Egov какие-то проблемы, вы должны обратиться в наше министерство. В итоге гражданину абсолютно непонятно, кому же он должен пожаловаться. И во-вторых, у всех этих госорганов нет права наказать потом того, кто виноват в утечке данных», – поделился чиновник.

Чтобы переломить эту практику, ведомство готово предпринять очередную попытку по созданию в своей структуре прообраза data protection agency. Абдикаликов пояснил, что станет главной задачей агентства на первом этапе: «Законодательная база есть, но она действительно разрозненная в нашем случае, и не хватает подзаконных актов для реализации тех механизмов, которые заложены в законодательстве».

Хранить нельзя передавать

«Недавние кейсы в нашей стране демонстрируют огромные проблемы с ответственностью и хранением персональных данных», – отмечает глава Центральноазиатского института стратегических исследований, напоминая о ситуации вокруг Qazkom. Кроме этого, именно банки и хранящаяся там финансовая информация клиентов становится первоочередной мишенью для киберпреступников, подчеркивает Гусарова.

В этой связи она убеждена, что в состав любого рабочего органа, который будет создан в рамках национальной системы защиты персональных данных, обязательно должен войти бизнес. «По закону гарантии защиты персональных данных несет государство. А если это негосударственный институт, который столкнулся с утечкой данных, с хакерской атакой? Как быть тогда? Кто будет нести ответственность? Мы не знаем», – заключает эксперт.

Представитель Министерства цифрового развития в этой связи отмечает, что его ведомство намерено законодательно обязать операторов, обрабатывающих персональные данные, сообщать об утечках информации субъектам персональных данных. Кроме этого, по его словам, крайне важно для сохранности личной информации автоматизировать процесс передачи данных третьим лицам.

Процесс передачи данных сегодня не урегулирован не только в отношении частных операторов – государство тоже вправе без ведома субъектов передавать их личные данные. «Сегодня нет гарантии государства, что персональные данные гражданина без его согласия не будут передаваться из одних государственных информационных систем в другие», – отмечает Дайырбеков, называя это «преступной интеграцией», противоречащей международным нормам.

GDPR по-евразийски

Дайырбеков напомнил, что 20 лет назад в рамках СНГ уже был принят модельный закон о персональных данных. «К сожалению, он не отражает в полной мере все международные принципы работы с персональными данными», – подчеркнул юрист. По его мнению, в настоящее время именно GDPR может стать для Казахстана хорошим примером европейских стандартов в этой области и поспособствовать гармонизации национального законодательства.

Гусарова не сомневается, что внедрение в республике стандартов GDPR необходимо и с точки зрения внешнеполитического имиджа, и с точки зрения реформирования внутриполитической ситуации. «Опыт, на который нам как обычно придется посмотреть – это Россия, которая тоже вынуждена реагировать [на GDPR] в силу своей экономической зависимости и торгово-экономического оборота с европейскими странами», – напоминает эксперт.

Абдикаликов, в свою очередь, отметил, что Казахстан при всем желании не сможет просто скопировать GDPR в свое законодательство: «Нам придется очень творчески его переработать и взять именно те нормы, которые мы сможем у себя в стране реализовать, и к которым мы готовы».

С похожим скепсисом воспринимает инициативы по защите персональных данных в рамках Евразийского союза Татту Мамбеталиева, директор ОФ «Гражданская инициатива Интернет политики» (Кыргызстан). Она рассказала, что казахстанская делегация была единственной, кто на последнем заседании Евразийской экономической комиссии выступил резко против принятия общего регламента по трансграничному обмену данными.

Представитель Министерства цифрового развития не отрицает, что в рамках союза государства обмениваются между собой данными – теми, без которых сотрудничество будет лишено экономической целесообразности. «В остальном мы понимаем, что должны сначала у себя порядок навести, и только потом пытаться передавать свои данные в третьи страны <…> Мы очень осторожно и взвешенно к этому подходим. Мы не хотим торопиться в этом вопросе», – озвучил официальную позицию Абдикаликов.

Общество может

Лейтмотивом конференции стали экспертные призывы к проявлению активности рядовыми пользователями, рядовыми субъектами персональных данных. «Мы в Кыргызстане не стали ждать, когда они (госорганы – прим. ред) придумают нормативно-правовую базу. Мы стали подавать в суд, потому что есть Конституция, где написано о защите частной жизни. Создавайте прецеденты, и эти правила автоматически будут быстрее появляться», – обратилась к аудитории Мамбеталиева.

Такого же мнения придерживается Саркис Дарбинян, адвокат в сфере киберправа и сооснователь проекта «Роскомсвобода». Перед участниками мероприятия он выступил с лекцией о попытках России – удачных и не очень – контролировать распространение контента онлайн. После часового выступления аудитория немедленно обратилась к нему с вопросами о том, как казахстанцам бороться с блокировками социальных сетей и интернет-ресурсов в условиях, когда никто не берет на себя ответственность за них.

«По идее потребительские общества в данном случае для защиты интересов потребителей должны были бы обращаться с коллективными исками в отношении операторов связи <…> Так как добиться у операторов обратной связи путем запросов [ответов на свои вопросы] вы не можете, единственный вариант – идти в суд и добиваться в суде представления документов», – советует Дарбинян.

При этом он допускает, что в суде «эта история вряд ли будет успешной», однако со стратегической точки зрения постоянное внимание к теме блокировок в конечном счете будет работать на пользу общества. Адвокат напомнил, что у казахстанцев, в конечном счете, всегда остается возможность обращения к ООН.

«Но чтобы обратиться в ООН, нужно пройти ряд национальных инстанций, потому что иначе с чем вы туда пойдете?», – отметил Дарбинян. Российский адвокат убежден, что в борьбе с необоснованными блокировками любые легальные средства хороши.