В РК при численности активного населения в 11 млн человек операторами персональных данных могут быть 7-8 млн человек.
Поправки к закону о персональных данных, вызвавшие много жарких споров и дискуссий, презентованы министерством и сейчас находятся на сайте электронного правительства. Несмотря на то, что цели декларируются благие, у общественников, блогеров и журналистов есть сомнения.
Представители бизнеса волнуются, как операторы персональных данных будут собирать информацию и отправлять ее на специальный сервис комитета информационной безопасности. Журналистам и блогерам тоже не по себе: ведь теоретически из интернет-пространства теперь можно будет убирать нежелательные сведения, касающиеся персональных данных. Общественники говорят о том, что государство с принятием поправок может установить «тотальный контроль» за каждым гражданином.
Как сейчас
С персональными данными и сейчас следует быть осторожнее. По данным председателя комитета по информационной безопасности (КИБ) министерства цифрового развития, инноваций и аэрокосмической промышленности РК Руслана Абдикаликова, выступавшего на площадке Правового медиацентра, только в этом году было два случая, когда комитет выписал штрафы чиновникам по 500 МРП, которые необоснованно передали персональные данные об одном человеке другому.
Из своих источников стал известен еще один пример – жительница Усть-Каменогорска, переслала в закрытый чат WhatsApp их дачного потребительского кооператива пост одного из дачников, где он жаловался на этот кооператив. В жалобе были указаны домашний адрес и номера сотовых телефонов человека, написавшего жалобу. После того как его данные были опубликованы в чате, он написал еще одну жалобу – в комитет информационной безопасности – за незаконное распространение его персональных данных. Теперь жительнице Усть-Каменогорска грозит суд, а официальному лицу, передавшему ей данные дачника, – серьезный штраф.
Право на забвение
Между тем повезло журналистам и блогерам. Они и сейчас, и после поправок имеют право в силу своей профессиональной деятельности собирать и обрабатывать, в том числе распространять персональные данные о человеке без его согласия. И за это им не грозит наказание, если только они не «полезут» в коммерческую, личную и иную охраняемую законом тайну гражданина. Да вот только теперь, если поправки все-таки примут, герой (или антигерой) публикации приобретет так называемое право на забвение, то есть сможет потребовать убрать из статьи свои персональные данные, к которым относятся в том числе имя, фамилия, отчество.
На рабочей встрече с журналистами, блогерами, представителями бизнеса Руслан Абдикаликов рассказал, что в законе будет одно «но»: убрать его персональные данные можно будет, в случае если гражданин не совершил административного или уголовного правонарушения.
«Право на забвение, о котором мы говорим, его как предложение разместили в законопроекте об инновациях. Это тоже законопроект нашего министерства. Мы наслушались критики, и эту норму предлагаем вообще убрать. Мы пока ограничиваемся правом на забвение в части персональных данных. Если была какая-то информация о вас, в том числе в Интернете, вы имеете право потребовать обезличить эту информацию, если не было факта административного правонарушения, уголовного правонарушения», – говорит Руслан Абдикаликов.
Но как быть в случаях, если гражданин «засветился» в неблаговидном поступке, но его действия не попадают под Уголовный кодекс и КРК о АП?
На этот вопрос пока четкого ответа из комитета информационной безопасности нет. По мнению Руслана Абдикаликова, его следует рассматривать в плоскости обсуждения возможных поправок в Закон «О средствах массовой информации в РК».
Что такое персональные данные?
Между тем, как информировал Руслан Абдикаликов, исчерпывающего перечня персональных данных нет, причем не только у нас, но и ни в одной стране мира.
«На самом деле, – заявил он, – речь идет об определенной совокупности данных, которые становятся персональными. В этом есть некая сложность, противоречивость персональных данных. Допустим, ваш номер сотового телефона. Это разве персональные данные? Это просто набор цифр. Но если к ним написать ваши Ф. И. О. – это уже персональные данные. Номер автомобиля – все его на улице видят, но никто не знает, кто его владелец, кроме специальных правоохранительных органов. Но если в газете указать номер и марку автомобиля, фамилию владельца, то это уже будут персональные данные».
Кто такой оператор персональных данных?
По данным г-на Абдикаликова, в соответствии с законодательством оператором персональных данных будет выступать фактически любой гражданин, ИП, юридическое лицо. Любой, кто собирает, накапливает и обрабатывает персональные данные, начинает выступать оператором персональных данных. К ним отнесут представителей бизнеса – интернет-магазины, строительные компании, интернет-ресурсы и многие другие.
Всего, по словам г-на Абдикаликова, при численности активного населения в Казахстане в 11 млн человек, операторами персональных данных могут быть 7-8 млн человек. О том, что они собирают и обрабатывают персональные данные граждан, операторы должны подавать уведомления в комитет информационной безопасности.
«С учетом небольшой численности наших госслужащих, кто занимается защитой персональных данных, всего четыре человека на всю страну, мы этот процесс будем автоматизировать. Операторы будут подавать заявки, в сервисе защиты персональных данных у них будет открываться их личный кабинет, в котором они будут вносить данные по своим гражданам, от которых они получили согласие на сбор и обработку персональных данных. Фактически этот реестр будет наполняться автоматически. Уведомление будет автоматизировано. Человек зашел на сайт и обозначил себя как оператор. Ввел данные граждан, от которых он получил согласие. Это для нас будет сигналом, что есть такой оператор, и тогда точную численность мы увидим», – объяснил г-н Абдикаликов.
По его словам, будет так называемое отлагательное условие: сейчас ведется работа над пилотным вариантом сервиса, который продлится до конца года. В следующем году, когда поправки в закон о персональных данных вступят в законную силу, еще в течение года будет действовать отлагательная норма, для того чтобы ликвидировать «шероховатости», дать операторам время внести в сервис персональные данные.
Всевидящее око
В связи с этим возникает резонный вопрос: если государство будет накапливать базы персональных данных на всех граждан, не означает ли это тотальную слежку за всеми со стороны государства?
На встрече с главой комитета информационной безопасности представительница застройщиков Казахстана Асем Женис выступила против того, чтобы «отдавали под госконтроль обработку и передачу персональных данных, потому что, согласно действующему законодательству, международному праву, это является грубейшим вмешательством в неприкосновенность частной жизни. В данном случае граждане будут находиться под всевидящим оком государства 24/7».
В случае внесения этих изменений в закон о персональных данных будет тотальное вмешательство госорганов в частную жизнь, считает она.
По словам г-на Абдикаликова, за этим, напротив, будет стоять защита прав граждан. Ведь самих персональных данных граждан, как он говорит, они не увидят, а только уведомления от операторов персональных данных, что они их собирают на законных основаниях. При работе сервиса собирается только само согласие гражданина – это его ИИН или Ф. И. О., заявил он. Оператор персональных данных эту информацию будет представлять однократно. Если человек обратился в компанию и дал свое согласие на сбор и обработку ПД, в этом случае оператор сообщит в реестре о том, что у него был гражданин, который дал ему согласие на обработку своих персональных данных. Все последующие операции и обращения гражданина сервису и госорганам будут неизвестны.
«Но мы считаем, когда люди поймут правила игры, они задумаются, а действительно ли им нужно собирать персональные данные граждан? Когда у нас этот процесс будет открытым, автоматизированным, то сами граждане будут это видеть, они будут об этом сигнализировать, поэтому кто-то откажется от сбора персональных данных, в текущих реалиях не всегда они нужны на самом деле», – считает Руслан Абдикаликов.
Создаваемый сервис будет также обязательным для всех госорганов, всех субъектов бизнеса, которые хотят получать персональные данные граждан от государства. И этот же сервис будет позволять самому гражданину полностью контролировать доступ к его персональным данным, говорит г-н Абдикаликов, потому что ему будут приходить уведомления в личный кабинет на egov при доступе к его данным со стороны любых госорганов.
«Это главная задача. Что касается иностранных компаний, работающих с персональными данными граждан Казахстана по их согласию на их сбор и обработку, то в этом случае «нет никакой необходимости такой компании интегрироваться с государственным сервисом», – говорит г-н Абдикаликов.
Он отмечает, что разрабатываемый механизм будет удобен и для иностранного бизнеса.
«У нас нет задачи выставить требования, которые иностранный партнер не сможет выполнить, а потом на этом основании заблокировать сервис. Такой подход нами не планируется, мы будем стараться находить консенсус с иностранными компаниями. Это касается как IT-гигантов, так и любой компании, которая собрала согласие наших граждан, которые добровольно им дали», – говорит глава комитета.
На замечания представителей бизнеса, что с введением поправок в закон о персональных данных операторы будут обязаны предоставлять в сервис КИБ местонахождение баз персональных данных своих клиентов, как они защищаются.
«Злоумышленники могут воспользоваться этим, ведь вы указываете, что эта информация общедоступна», – считают предприниматели.
На что Руслан Абдикаликов ответил, что «эта информация будет храниться в нашем сервисе, доступ будет только у нас и службы техподдержки».
«Реестр, который будет в общем доступе, он не будет все поля в себе содержать. Что касается защитных функций, их будем видеть мы, как орган госконтроля. Мы должны знать, что у операторов все защищено. Давайте мы эту редакцию уточним, приведем к тому, что личная информация, которой могут воспользоваться мошенники, будет доступна только нам. Чтобы я мог обратиться к оператору, который собирает персональные данные, но их никак не защищает. Или он исправит ситуацию, или будет наказан по закону», – заявил глава КИБ.
На вопрос, а какой ущерб человеку может быть нанесен, если некто знает его ИИН без его согласия, Абдикаликов заметил, что дело вовсе не в нанесенном ущербе, а в том, что «государство гарантировало ему это право на защиту персональных данных».
Автор Ольга Ушакова
Источник inbusiness.kz