Как государство защищает персональные данные казахстанцев?
Над какими задачами работает Комитет и почему закона недостаточно.
Об этом рассказал председатель Комитета информационной безопасности МЦРИАП РК Руслан Абдикаликов во время онлайн-дискуссии, посвящённой изменению законодательства по вопросам утечек персональных данных. Инициатором дискуссии выступил Евразийский цифровой фонд, который провёл сравнительно-правовой анализ европейского, казахстанского и грузинского законодательств.
Работа Комитета информационной безопасности как ответственного органа в области защиты персональных данных началась летом 2020 года. До этого момента каждый госорган занимался защитой данных только в рамках своей компетенции, то есть не было единого регулятора.
За два года Комитет усилил меры по защите персональных данных. Он законодательно закрепил право исключать свои персональные данные из общедоступных источников. С подачи Комитета в законодательстве конкретизировали требования к получению согласия граждан.
Для более эффективной работы Комитет создал консультативный совет по вопросам доступа к персональным данным. Так Руслан Абдикалов высказался об этой инициативе:
- "Консультативный совет — это наша возможность взаимодействовать с общественными организациями, с экспертами, разобраться, где мы не дорабатываем и какие нормы надо двигать быстрее, а какие ещё могут подождать".
Помимо этого, Комитет запустил проект государственного сервиса по контролю доступа к персональным данным и разрешил создание аналогичных частных сервисов.
С помощью госсервиса граждане могут узнать, какие государственные органы работают с их персональными данными и как, а также отозвать своё согласие на обработку данных.
Четыре задачи, над которыми работает Комитет
Первая — это ужесточение ответственности за нарушение законодательства в сфере защиты персональных данных. Вторая — информирование граждан об утечке персональных данных. Третье направление работы — это внедрение госконтроля в сферу защиты персональных данных.
Также Комитет работает над повышением грамотности населения в вопросах защиты персональных данных. Это четвёртая задача.
Руслан Абдикаликов говорит, что при разработке новых законов стараются учесть интересы всех — граждан, государства и бизнеса:
- "Поддержка общественных организаций для нас важна. Мы готовы принимать инициативы. Мы должны найти какую-то золотую середину, которая удовлетворяла бы и запросы граждан, и не мешала работать бизнесу, и в то же время позволяла государству не снижать свои основные направления в сфере национальной безопасности".
Работа по актуализации законодательства не останавливается. Тема защиты персональных данных казахстанцев продолжает обсуждаться в профильном министерстве.
Почему действующего закона недостаточно?
"Золотым стандартом" в области защиты персональных данных считается европейский General Data Protection Regulation (GDPR). Именно на него опирается регулятор в работе по улучшению национального законодательства. Полностью перенять нормы международного права нельзя, работа идёт частями, и в результате персональные данные казахстанцев остаются уязвимыми. Об этом рассказал Руслан Дайырбеков, эксперт проекта "Институт развития защиты персональных данных".
Эксперты рассказывают о слабых местах законодательства:
- "Сейчас в Казахстане законодательно не урегулированы вопросы оперативного реагирования при утечке персональных данных. <...> До недавнего времени обеспечение многих организационных и технических моментов, направленных на минимизацию вреда гражданам в случае утечки, были оставлены на усмотрение самих операторов [персональных данных]", -рассказывает Руслан Дайырбеков.
У Комитета информационной безопасности — именно в их ведомство входит работа над модернизацией закона — нет полномочий для проверки законности сбора и обработки данных. Согласно действующему законодательству, для подобных проверок нужна жалоба со стороны. Такой стороной может стать гражданин, который узнал о нарушении своих прав в области защиты персональных данных. Яркий пример — большая утечка "Яндекс.Еды". В сеть утекли тысячи строк данными казахстанцев, но без их жалобы дальнейшая работа с этим нарушением невозможна.
Решением может стать закрепление в законе процедуры и порядка уведомления регулятора об утечке данных. Это позволит минимизировать возможные последствия. Отдельно эксперты предлагают закрепить обязательное уведомление всех субъектов персональных данных. Такая норма соответствует статье 34 GDPR.
Ещё одна серьёзная проблема
В национальном понятийном аппарате отсутствует определение термина "утечка".
- "Мы рекомендуем определить и предусмотреть в законе "О персональных данных и их защите" понятие "утечка персональных данных". Это необходимо в целях правильного применения норм КоАП и Уголовного кодекса в случае утечки. И это важно для того, чтобы субъекты персональных данных реализовали своё право на возмещение материального и морального вреда", — говорит эксперт.
Остаются вопросы и к размерам штрафов за нарушения в сфере защиты персональных данных. GDPR устанавливает максимальные штрафы до 10 миллионов евро или 2 % годового оборота компании. В Казахстане для крупного предпринимательства максимальный штраф составляет чуть больше трёх миллионов тенге. Нынешние штрафы не дают ожидаемого эффекта.
- "Вы предполагаете, что оператор будет бережно обращаться с вашими персональными данными. Но в жизни такого нет. Многие организации охотно предоставляют такого рода данные. Сотрудники и какие-то другие лица могут смотреть ваши данные. И, в зависимости от из злонамерения, могут их скачать и как-то использовать против вас", — рассказал Руслан Дайырбеков.
Эксперты отмечают, что ужесточить законодательство в сфере защиты персональных данных сейчас действительно необходимо. Только после этого в стране можно будет говорить о снижении числа киберпреступлений и телефонного мошенничества.