С прошлого года в Казахстане функционирует управление по защите персональных данных. Рядовые казахстанцы едва ли много знают о его работе. Осенью парламент будет рассматривать вопрос о расширении полномочий этого небольшого госоргана, включая право на привлечение к ответственности нарушителей законодательства о персональных данных. О том, какие еще дилеммы в рамках этой проблематики встанут перед депутатами, рассказывают профильные эксперты.
30 июня 2021 г в 15.00-17.30 (по времени г.Нур-Султан) на Youtube и Facebook площадках Фонда Сорос-Казахстан состоится онлайн-дискуссия «Регулирование сферы персональных данных в Казахстане в 2021 году». Будет обсуждаться, какие изменения были внесены в поправки к настоящему моменту и какие вопросы еще остались. Как эти изменения в законодательстве влияют на безопасность персональных данных казахстанцев, неприкосновенность частной жизни и свободу выражения мнений.
Ссылка на Youtube https://www.youtube.com/watch?v=xZhtpPC3ykE&ab_channel=SorosFoundation-Kazakhstan
В прошлом году уже приняли большой пакет поправок, в том числе, по персональным данным. Зачем нужны новые?
Действительно, в июне 2020 года президент Касым-Жомарт Токаев подписал закон «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам регулирования цифровых технологий». «Это был огромный пакет поправок в самые разнообразные законодательства. В этих поправках затрагивался очень большой пласт вопросов, связанных с правами человека», — говорит Арсен Аубакиров, директор ОФ «Human Rights Consulting Group».
Правозащитник отмечает, что тогда эксперты не успели сформировать свои рекомендации касательно законопроекта, сообщество сформировалось сразу после принятия тех поправок — так стихийно возникла «экспертная группа по цифровым правам». Публичный критический комментарий по поводу принятого законопроекта на заставил себя ждать.
«Сами по себе те поправки носили обширный характер и в принципе вся проблема была бы в подзаконных актах, и как это потом будет применяться. Мы начали связываться с министерством цифрового развития», — рассказывает Аубакиров, ставший координатором группы. К началу 2021 года коммуникация с профильным министерством, в составе которого действует управление по защите персональных данных, была налажена. Это позволило экспертам с самого начала погрузиться в работу над новыми поправками.
«По сути это очень маленькие поправки — табличка не больше 10 листов. В них, с одной стороны, они внедряют то, что не успели или забыли сделать в прошлом году. Например, расширяют полномочия органа по защите персональных данных, добавляют в какие-то НПА информацию об уполномоченном органе. С другой стороны, есть некоторые нововведения. Наше внимание привлекли новые термины», — объясняет Арсен.
У этих поправок уже четыре версии. Откуда они взялись и чем отличаются?
Представители МЦРИАП по просьбе экспертов начали разъяснять им предлагаемые нововведения. Некоторые вызывали большие вопросы и сомнения — например, создание реестра операторов персональных данных. «Они опирались в этом вопросе на опыт России. Мы начали его изучать и выяснили, что сами россияне не в восторге от этого реестра и по сути он у них не работает. При этом это не только бессмысленная мера, но еще и трудоемкая. Непонятно, как бы ее реализовывали. У министерства нет столько ресурсов», — отмечает Аубакиров. В результате долгого обсуждения норма исчезла из документа.
После долгих переговоров (в том числе, публичных) в таблице была хорошо сформулирована поправка, которая касалась права на использование собственного изображения. К сожалению, к третьей версии поправок эта норма исчезла. Она подразумевала, что казахстанцам, не только журналистам, можно будет использовать фото человека без его согласия, если он находится в общественном месте (с условием, если он не является главным объектом фотографии – хорошо для фотографов), госслужащих при исполнении ими служебных обязанностей, и любого человека, если есть подозрение, что он совершает правонарушение. «Эта норма, к сожалению, исчезла. Мы знали, что там были некие сопротивления со стороны чиновников. Сейчас сложно сказать, появится ли она вновь, но, скорее всего, нет», — говорит Гульмира Биржанова, юрист ОФ «Правовой медиа-центр», эксперт в области национального и международного медиа-права.
К слову, рассматриваемые поправки предлагают законодательно закрепить механизм обсуждения с гражданским обществом вопросов защиты персональных данных. С подачи экспертной группы в структуре министерства должен быть создан межведомственный совет, который объединит на своей площадке правозащитников и представителей ряда министерств, которые сейчас не идут на контакт с экспертами по вопросу цифровых прав.
Как эти поправки повлияют на казахстанцев?
«Эти поправки в принципе будут касаться всех и каждого. Они предполагают достаточно крупные изменения и для юрлиц, и для физлиц. Для граждан они подразумевают, например, расширение возможностей давать отзыв или согласие на использование их персональных данных, проверять, где хранятся их персональные данные», — подчеркивает Алия Шарипбаева, координатор Информационной программы Фонда Сорос-Казахстан. Кроме этого, в последнюю редакцию поправок включена обязанность уведомлять хозяина данных о том, кто инициировал запрос на доступ к его персональным данным, хранящимся в системе «электронного правительства».
Поправки подразумевают, что юрлица, работающие с госорганами, будут обязаны интегрироваться в единый государственный сервис контроля доступа к персональным данным. Помимо него будут существовать и аналогичные негосударственные сервисы. Такая возможность появилась в законопроекте после того, как свою позицию высказало и бизнес-сообщество, и эксперты по цифровым правам. Изначально авторы исходили из необходимости объединить под шапкой государства всех акторов, что не очень обоснованно с точки зрения безопасности. «Пока все операторы персональных данных разрозненные, у нас относительно меньше рисков», — замечает Аубакиров.
Руслан Дайырбеков, руководитель ОФ «Евразийский Цифровой Фонд», дополняет: субъекты бизнеса будут обязаны «предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения ими необходимых мер по защите персональных данных». Таким образом, у МЦРИАП появится легальная возможность проводить проверки и профилактический контроль по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.
Действующий закон позволяет журналистам и СМИ использовать персональные данные без согласия субъекта, если это связано с их профессиональной деятельностью. Если учесть, что к СМИ казахстанское законодательство относит все интернет-ресурсы, любой сетевой пользователь также может воспользоваться этим правом. Авторы поправок решили, что столь широкое толкование недопустимо и ограничили круг только зарегистрированными СМИ. Биржанова считает, что уточнение вполне оправдано. «Иначе это будет не совсем правильно, если любой человек без согласия сможет использовать мои или ваши персональные данные. Без согласия использование персональных данных должно быть приоритетно только для журналистов», — выразила она свое мнение.
Какие риски связаны с принятием этих поправок?
Основные риски на данном этапе эксперты связывают с имплементацией тех или иных положений. «Еще неизвестно как будут действовать в части технической реализации сервиса контроля доступа к персональным данным, так как еще нигде не публиковалась информация о технической спецификации», — отмечает Елжан Кабышев, правовой консультант «Internet Freedom». Он не исключает, что сервис может постичь участь национального сертификата безопасности, технический смысл которого сильно озадачил Apple, Google, Microsoft и Mozilla.
Процедура согласия или отзыва на использование персональных данных с технической точки зрения тоже должна быть реализована с умом. «Самое главное, чтобы она была достаточно проста, чтобы людям не приходилось выделять на это какое-то большое количество времени и проходить сложные процедуры. И чтобы не было манипуляций ни со стороны операторов персональных данных, ни со стороны государства», — говорит координатор экспертной группы по цифровым правам. То же справедливо и в отношении обязательного внедрения многофакторной аутентификации для пользователей.
Аубакиров считает, что гражданское общество способно и должно поучаствовать в разработке технического задания «Было бы неплохо, если бы МЦРИАП представило своих разработчиков, которые презентовали и рассказали бы все. Чтобы привлекли независимых IT-экспертов, специалистов по кибербезопасности, чтобы они тоже могли посмотреть и дать свои рекомендации», — говорит правозащитник.
Биржанова обращает внимание и на риски, которые новые поправки могут нести для доступа к информации. «Теперь к информации для служебного пользования могут быть отнесены персональные данные ограниченного доступа. В Казахстане нет четкого определения, что к ним относится, и на практике эта норма может вызывать проблемы. Вы напишете запрос, а чиновник вам ответит, что не предоставит информацию, потому что там содержатся персональные данные ограниченного доступа, а что это за данные, вы, конечно, понять не сможете», — поясняет медиа-юрист.
Что можно сделать, чтобы поправки были приняты в наилучшем для общества виде?
Этап обсуждения поправок с гражданским обществом на сегодня завершен, сейчас их согласовывают на уровне правительства. В следующий раз общественность увидит пресловутую таблицу уже осенью, когда документ поступит на рассмотрение мажилиса. В каком виде он предстанет перед депутатами, неизвестно. Эксперты с горечью вспоминают примеры, когда законопроекты после консультаций с экспертным сообществом претерпевали значительные изменения уже на стадии рассмотрения в правительстве.
«В 2017 году при внесении поправок в закон о СМИ мы громко обсуждали норму об идентификации пользователя в сети. Министерство [информации и коммуникаций] тогда заявило, что такой нормы не будет, а потом осенью, когда законопроект пришел в парламент, мы увидели, что эта поправка снова появилась. Инициатором был КНБ», — приводит пример Биржанова.
По поводу силовых ведомств эксперты иллюзий не питают и настаивают на том, чтобы требования по защите персональных данных соблюдали все без исключения государственные органы. «Когда госорган настаивает, что на него правила не должны распространяться благодаря его особому статусу, мы прибегаем к нашему главному аргументу: основные массовые утечки у нас были именно из баз данных госорганов. Если они все выйдут из-под действия закона, то какой смысл тогда в этих поправках?» — отмечает координатор Информационной программы ФСК.
Экспертная группа готова к такого рода «сюрпризам»: свои позиции согласованы, на руках выводы международных специалистов по защите персональных данных и сформулированные рекомендации, готовится анализ влияния поправок на другие сферы (например, на судебное производство, биометрию). Эксперты надеются озвучить и обсудить имеющиеся аргументы в рабочей группе мажилиса. Хорошим подспорьем для конструктивного разговора будет и тот факт, что за исключением некоторых аспектов гражданское общество и профильное министерство имеют общий взгляд на защиту данных. «Министерство цифрового развития было открытым для обсуждения с экспертами на протяжении всего процесса. Это очень крутой пример для многих госорганов. Но расслабляться до того момента, когда поправки будут подписаны, конечно, нельзя. Надо мониторить и работать с депутатами», — убеждена Шарипбаева.