Анализ законодательства о ПДн в России, Беларуси и Казахстане

Нормативная база Республики Беларусь в сфере защиты персональных данных:

• Конституция Республики Беларусь (ст. 28);
• Закон Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее — Закон);
• Указ Президента Республики Беларусь от 28 октября 2021 г. № 422 «О мерах по совершенствованию защиты персональных данных»;
• Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации»;
• Закон Республики Беларусь от 21 июля 2008 г. № 418-З «О регистре населения»;
• Трудовой кодекс Республики Беларусь (статья 47);
• Кодекс Республики Беларусь об административных правонарушениях (статья 23.7);
• Уголовный кодекс Республики Беларусь (статьи 203-1, 203-2);
• Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449»;
• Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 12 ноября 2021 г. № 194 «Об обучении по вопросам защиты персональных данных»;
• Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 1 июня 2022 г. № 94 «О государственном информационном ресурсе «Реестр операторов персональных данных».

Нормативная база Республики Казахстан в сфере защиты персональных данных:

• Конституция Республики Казахстан от 30.08.1995;
• Трудовой кодекс Республики Казахстан от 23.11.2015 № 414-V;
• Кодекс Республики Казахстан «О здоровье народа и системе здравоохранения» № 360-VI ЗРК;
• Уголовный кодекс Республики Казахстан от 3 июля 2014 года № 226-V;
• Кодекс Республики Казахстан об административных правонарушениях от 5 июля 2014 года № 235-V;
• Закон от 22.12.1998 № 326-1 «О Национальном архивном фонде и архивах»;
• Закон от 21.05.2013 № 94-V «О персональных данных и их защите» (далее – Закон);
• Закон от 24.11.2015 № 418-V «Об информатизации»;
• Постановление Правительства Республики Казахстан от 03.09.2013 № 909 «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных»;
• Постановление Правительства Республики Казахстан от 12.11.2013 № 1214 «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач»;
• Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных»;
• Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 30 апреля 2021 года № 156/НҚ «Об утверждении Правил осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах».

Критерии сравнения

Для выявления особенностей законодательств РБ и РК, при сопоставлении мы использовали следующие критерии: 

1. Кто отвечает за надзор и контроль в сфере обработки ПДн? 
2. Что относится к персональным данным? 
3. Какие стороны участвуют в обработке персональных данных? 
4. Основные принципы обработки ПДн
5. Какие права есть у субъектов ПДн? 
6. Какие правовые основания обработки ПДн предусмотрены? 
7. Каковы основные требования к согласию на обработку ПДн?
8. Как регламентирована трансграничная передача ПДн? 
9. Основные обязанности Оператора
10. Есть ли требования о локализации ПДн? 
11. Какая ответственность предусмотрена за нарушение законодательства о защите ПДн? 

Кто отвечает за надзор и контроль в сфере обработки ПДн?

Согласно ст. 18 Закона РБ «О защите персональных данных» уполномоченным органом в сфере защиты персональных данных является Национальный центра защиты персональных данных Республики Беларусь (НЦЗПД).

Согласно ст. 28 Закона РК «О персональных данных и их защите» высший надзор осуществляют органы прокуратуры.

Вместе с этим, уполномоченным органом в сфере защиты персональных данных является Управление по защите персональных данных, входящее в Комитет информационной безопасности при Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

Что относится к персональным данным?

Определения термина «персональные данные» в РБ и РК практически идентичные.

Согласно ст. 1 Закона РБ «О защите персональных данных»:

«персональные данные — любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано»

Определение ПДн в РБ во многом совпадает с дефиницией из GDPR.

Согласно ст. 1 Закона РК «О персональных данных и их защите»:

«персональные данные — относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе»

Особенность в РК — в определении есть привязка к носителю, в связи с чем возникает вопрос о юридическом статусе тех ПДн, которые сообщены устно. 

Какие стороны участвуют в обработке ПДн?

В Российской Федерации согласно 152-ФЗ, к таковым относится оператор; лицо, обрабатывающее ПДн по поручению оператора и субъект ПДн.

В Республике Беларусь ­– оператор; уполномоченное лицо; субъект ПДн

В Республике Казахстан — оператор базы, содержащей персональные данные; собственник базы, содержащей персональные данные; третье лицо; субъект ПДн.

Основные принципы обработки ПДн

Такие принципы как: ограничение обработки целями, запрет избыточности обработки ПДн, ограничение сроков обработки целями, сформулированы в РК в условиях сбора и обработки ПДн. 

Какие права есть у субъектов ПДн?

Какие правовые основания для обработки ПДНн предусмотрены?

Каковы основные требования к согласию на обработку ПДн?

Требования к согласию на обработку ПДн в РБ и РК похожи, но есть отличия:

• по РБ, если цель не предусматривает обработку реквизитов удостоверения, то для избежания избыточной обработки ПДн оператор может не запрашивать их;
• по РБ, если есть множественность целей, то их можно указать в табличной форме, с возможность проставления галочки «Согласен» или «Не согласен».
• По Закону РК, такое действие как «распространение» может быть включено в текст согласия;
• По Закону РК, в случае осуществления трансграничной передачи — это отражается в согласии, в отличие от требований ч.4 ст.9 152-ФЗ. 

Как регламентирована трансграничная передача ПДн?

В Российской Федерации согласно ст.12 152-ФЗ: 

• трансграничная передача — это передача а) ПДн; б) на территорию иностранного государства и в) иностранному ЮЛ/ФЛ/государственному органу; 
• есть деление на «адекватные» и «неадекватные» страны;
• в качестве оснований могут использоваться оснований, перечисленные в ч.1 ст.6 152-ФЗ;
• необходимо уведомить Роскомнадзор о намерении осуществлять трансграничную передачу;
• В зависимости от категории страны может отличаться порядок уведомления Роскомнадзора;
• Роскомнадзор может запретить или ограничить осуществление трансграничной передачи ПДн. 

Согласно ч.4 ст. 8 Закона РБ «О защите персональных данных»:

• трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;
• есть деление на «адекватные» и «неадекватные» 
• из применимых оснований используется, например:
• согласие на обработку ПДн;
• договор;
• разрешение уполномоченного органа (НЦЗПД);
• трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РБ. 

Согласно ч.4 ст. 8 Закона РК «О персональных данных и их защите»:

• трансграничная передача — это передача а) ПДн и б) на территорию иностранного государства;
• есть деление на «адекватные» и «неадекватные» 
• из применимых оснований используется согласие на обработку ПДн;
• трансграничная передача на территорию иностранных государств может быть запрещена или ограничена законами РК. 

 Основные обязанности Оператора

Есть ли требования о локализации ПДн?

В Российской Федерации согласно ч.5 ст.18 152-ФЗ: при сборе ПДн граждан РФ, оператор обязан обеспечить:

• запись
• систематизацию
• накопление
• хранение
• уточнение (обновление, изменение)
• извлечение

с использованием баз данных, находящихся на территории РФ. 

Требований по локализации ПДн на территории РБ Закон «О защите персональных данных» не содержит. 

Согласно ст. 12 Закона РК «О персональных данных и их защите»:

• «хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан».

Из требования видно, что локальная репликация данных будет соответствовать требованиям о локализации, т.к. нет требований о соблюдении последовательности обработки ПДн. 

Какая ответственность предусмотрена за нарушение законодательства о защите ПДн?

Согласно ст. 23.7 Особенной части КоАП РБ:

• Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных;
• Умышленное незаконное распространение персональных данных физических лиц
• Несоблюдение мер обеспечения защиты персональных данных физических лиц

Ответственностью может достигать по различным составам 2500 долларов США

Согласно ст. 79, 451 и 641 КоАП РК:

• незаконные сбор и (или) обработка персональных данных;
• несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных
• несоблюдение мер по защите повлекшее утерю, незаконный сбор и (или) обработку персональных данных;
• использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения им имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан

Ответственностью может достигать по различным составам 6500 долларов США

Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РБ?

• На сайте необходимо разместить Политику по обработке ПДн пользователей сайта (ч.4 ст.17 Закона).

Есть рекомендации НЦЗПД к содержанию такой Политики (и типовая форма);

• Основанием для сбора и обработки ПДн на сайте может быть СОПД или Пользовательское соглашение (оферта); 
• Дополнительных требований к сбору аналитики на сайте не установлено.

Есть рекомендации НЦЗПД к содержанию Политики в отношении cookie;

• Передача ПДн, в том числе трансграничная, осуществляется при получении СОПД или на основании договора (Пользовательского соглашения) (ст. 9 Закона);
• Распространение ПДн происходит либо самостоятельно субъектом, либо с его согласия. Обработка таких данных возможна без получения СОПД до предъявления требований о прекращении такой обработки.

Что нужно учитывать при обработке ПДн с помощью интернет-ресурсов в РK?

• На сайте необходимо разместить Политику по обработке ПДн пользователей сайта. Требований к содержанию такой Политики нет;
• Основанием для сбора и обработки ПДн на сайте является согласие на обработку ПДн (ст. 7 Закона). То есть под формами сбора ПДн на сайте должно быть размещено согласие по форме, установленной ч.4 ст. 8 Закона;
• Перед сбором и обработкой ПДн оператор должен определить и зафиксировать перечень достаточных для достижения цели такого сбора и обработки ПДн;
• Дополнительных требований к сбору аналитики на сайте не установлено;
• Для проведения маркетинговых исследований ПДн необходимо обезличить (ст. 17 Закона);
• Передача ПДн, в том числе трансграничная, осуществляется при получении согласия на обработку ПДн от субъекта (ст. 7 и 16 Закона);
• Распространение ПДн в общедоступных источниках – также только с согласия субъекта (ст. 7 Закона);
• Требования о локализации есть, но они менее жесткие – по сути должна происходить репликация ПДн в базы данных на территории РК (ст. 12 Закона).

С уважением, консалтинговая компания Б-152. Мы решаем задачи бизнеса, связанные с выполнением требований по 152-ФЗ и GDPR.