Закон РК «О персональных данных и их защите»
Сокращённая версия простым языком. Она объясняет основные правила сбора, использования, хранения и защиты сведений о человеке, а также показывает, что гражданин вправе требовать от организаций.
1. Основные понятия
Основа: статьи 1–4.
2. Главные принципы закона
Организация не вправе собирать данные «на всякий случай». Обработка должна иметь конкретную, заранее определённую и законную цель. Перечень данных должен быть необходимым и достаточным, а не избыточным.
- должны соблюдаться права и свободы человека;
- сбор и обработка должны иметь законное основание;
- данные ограниченного доступа должны оставаться конфиденциальными;
- обработка не должна причинять человеку материальный или моральный вред либо необоснованно ограничивать его права;
- данные разрешено использовать только для заявленных целей.
Основа: статьи 5–7 и 14.
3. Согласие на сбор и обработку
Общее правило: персональные данные собираются и обрабатываются с согласия человека или его законного представителя. Согласие должно быть дано способом, позволяющим подтвердить его получение: письменно, через государственный или негосударственный сервис либо другим доказуемым способом.
В согласии должны быть понятны:
- кто является оператором;
- чьи данные собираются;
- какие именно данные собираются;
- цель и срок обработки;
- будут ли данные передаваться третьим лицам;
- будет ли трансграничная передача;
- будут ли сведения публиковаться в общедоступных источниках.
Срок согласия не должен быть дольше, чем необходимо для достижения цели. Если срок прямо не указан, согласие действует до достижения заявленной цели.
Человек вправе отозвать согласие. После получения отзыва оператор и третьи лица должны прекратить обработку в течение 15 рабочих дней, если закон или неисполненное обязательство не требуют продолжения обработки.
Основа: статьи 7, 8, 8-1 и 8-2.
4. Когда согласие не требуется
Закон предусматривает исключения. Без согласия данные могут обрабатываться, например, при исполнении полномочий судами, правоохранительными и отдельными государственными органами, для государственной статистики, воинского учёта, налогового и таможенного администрирования, исполнения международных договоров, а также в некоторых случаях защиты прав человека, когда получить согласие невозможно.
Отдельные исключения установлены для законной журналистской, научной, литературной и иной творческой деятельности, но они не отменяют обязанность соблюдать права и свободы человека.
Основа: статья 9.
5. Хранение, передача и уничтожение
- Хранение: база с персональными данными должна находиться на территории Республики Казахстан.
- Срок: данные хранятся до достижения цели сбора, если другой срок не установлен законодательством.
- Передача третьим лицам: обычно требует согласия и должна соответствовать его условиям.
- Публикация: распространение в открытых источниках допускается с согласия либо на ином законном основании.
- Трансграничная передача: допускается при обеспечении защиты данных иностранным государством либо при наличии предусмотренного законом основания, включая отдельное согласие.
- Уничтожение: требуется после окончания срока хранения, прекращения соответствующих отношений, подтверждения незаконного сбора или в иных установленных случаях.
Для статистических, социологических, научных и маркетинговых исследований данные должны обезличиваться.
Основа: статьи 10–18.
6. Автоматизированная обработка
Решение, принятое только автоматизированной системой и влияющее на права или законные интересы человека, допускается при его согласии либо в случаях, прямо предусмотренных законом.
Оператор должен объяснить порядок автоматизированной обработки и возможные последствия, предоставить возможность возразить и сообщить, как защищать свои права. Возражение должно быть рассмотрено в течение трёх рабочих дней.
Основа: статья 19-1.
7. Права гражданина
Человек вправе знать, есть ли у организации его данные, откуда они получены, с какой целью и каким способом обрабатываются, какие сведения хранятся и как долго.
- получить доступ к своим данным бесплатно;
- потребовать исправления или дополнения недостоверных сведений;
- потребовать блокирования данных при признаках нарушения;
- потребовать уничтожения незаконно собранных или обрабатываемых данных;
- отозвать согласие в предусмотренных законом пределах;
- отказаться от публикации, передачи третьим лицам или трансграничной передачи, если для этого требуется согласие;
- обжаловать действия оператора и требовать возмещения материального и морального вреда.
Основа: статьи 10, 13, 18, 19 и 24.
8. Обязанности организаций
Собственник или оператор обязан не только получить согласие, но и выстроить систему законной обработки данных.
- утвердить перечень необходимых и достаточных персональных данных;
- утвердить внутреннюю политику сбора, обработки и защиты;
- принимать правовые, организационные и технические меры защиты;
- уметь доказать получение согласия;
- отвечать на обращения граждан и мотивировать отказ;
- исправлять, блокировать или уничтожать данные при наличии оснований;
- после выявления нарушения безопасности уведомить уполномоченный орган;
- для юридического лица назначить ответственного за организацию обработки персональных данных.
В ряде случаев оператор должен выполнить исправление, блокирование или уничтожение в течение одного рабочего дня после подтверждения соответствующего основания.
Основа: статьи 22 и 25.
9. Защита персональных данных
Обработка допускается только при обеспечении защиты. Меры должны действовать с момента начала сбора до уничтожения или обезличивания данных.
Основа: статьи 11 и 20–23.
10. Государственный контроль и ответственность
Контроль осуществляют уполномоченный орган и другие государственные органы в пределах компетенции. Они рассматривают обращения, проводят проверки и могут требовать уточнения, блокирования или уничтожения недостоверных и незаконно полученных данных.
За нарушение законодательства наступает ответственность по законам Республики Казахстан. Конкретный вид ответственности зависит от состава нарушения и может устанавливаться административным, гражданским или уголовным законодательством.
Действия или бездействие оператора, третьего лица либо государственного органа могут быть обжалованы в установленном порядке. Споры разрешаются в соответствии с законодательством Республики Казахстан.
Основа: статьи 26–30.
11. Как защищать свои права
- Зафиксируйте ситуацию.
Сохраните договор, согласие, экран приложения, переписку, уведомление и сведения о том, какие данные потребовали. - Запросите объяснение.
Попросите назвать цель, полный перечень данных, срок хранения, получателей, место хранения базы и основание обработки. - Заявите конкретное требование.
Например: предоставить копию данных, исправить, заблокировать, уничтожить, прекратить передачу или принять отзыв согласия. - Потребуйте письменный ответ.
Он нужен для подтверждения позиции организации и последующего обжалования. - Обратитесь в уполномоченный орган или суд.
Приложите документы и чётко опишите нарушение, свои требования и полученный ответ либо отсутствие ответа.
12. Краткая памятка
- Согласие должно быть доказуемым и информированным.
- Собирать можно только необходимые и достаточные данные.
- Использовать данные разрешено только для заявленной цели.
- Передача третьим лицам и за границу должна иметь отдельное понятное основание.
- Человек вправе узнать, что о нём хранится, и потребовать исправления, блокирования или уничтожения.
- Организация обязана защищать данные и подтверждать законность обработки.
- Отказ организации можно обжаловать.