Закон Республики Казахстан «О персональных данных и их защите»:  как понимать и как применять?

для журналистов и СМИ

  1. Общие сведения о законе и подзаконных актах
  2. Что такое персональные данные?
  3. Сбор и обработка персональных данных в профессиональной деятельности журналиста
  4. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания
  5. Какие меры необходимо предпринять для  соблюдения требований законодательства РК о персональных данных и их защите?

5.1.             Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций;

5.2.             Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

5.3.             Внесение изменений и дополнений в перечень персональных данных

5.4.             Защита и хранение персональных данных

5.5.             Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с  законодательством Республики Казахстан об информатизации.

5.6.             Взаимодействие собственников и (или) операторов  с субъектами персональных данных

  1. Ответственность за нарушения требований законодательства о персональных данных и их защите.

 

  1. Общие сведения о законе и подзаконных актах

Закон РК №94-V «О персональных данных и их защите» введен в действие 25 ноября 2013 года. Для реализации требований закона на практике приняты подзаконные акты:

—          Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач[1];

—          Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных[2].

Государственные органы для решения своих целей и задач разработали и приняли перечни персональных данных, необходимые для выполнения своих задач[3].

В связи с принятием Закона РК №94-V «О персональных данных и их защите» были внесены поправки в некоторые действующие законодательные акты[4].  В Уголовный кодекс РК, в Кодекс РК об административных правонарушениях  внесены дополнения, предусматривающие административную и уголовную ответственность за нарушения требований законодательства о персональных данных и их защите.

 

  1. Что такое персональные данные?

Закон устанавливает, что персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Другими словами, под персональными данными понимаются: фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия, другие сведения личного характера, которые идентифицируют личность человека или позволяют установить ее.

Физическое лицо, к которому относятся или принадлежат персональные данные, именуется субъектом персональных данных.  Персональные данные комплектуются в базы, в зависимости от целей их назначения и использования.  Государственные органы, физические и (или) юридические лица, которые на праве собственности владеют, пользуются и распоряжаются базами, содержащими персональные данные, называются собственниками.

Что можно делать с персональными данными? Персональные данные можно собирать и можно обрабатывать, то есть:

—          накапливать;

—          уничтожать;

—          обезличивать;

—          хранить;

—          использовать;

—          изменять и дополнять;

—          блокировать доступ к ним;

—          распространять;

—          передавать третьим лицам.

Кроме этого, базы, содержащие персональные данные, необходимо обеспечивать защитой от несанкционированного взлома или доступа.

Государственный орган, физическое и (или) юридическое лицо, осуществляющее функции по сбору, обработке и защите персональных данных, именуется оператором базы персональных данных.

В отношении субъекта персональных данных, собственника и оператора базы персональных данных законом возлагаются определенные права и обязанности, а также ответственность за нарушение установленных требований.  Но имеет ли отношение все вышесказанное к профессиональной деятельности журналиста и СМИ? И как отразится введение в действие Закона РК «О персональных данных и их защите» на профессиональной деятельности журналиста и СМИ?

  1. Сбор и обработка персональных данных в профессиональной деятельности журналиста

Профессиональную деятельность журналиста  невозможно представить без использования персональных данных. Персональные данные обрабатываются и используются журналистами постоянно, на любом этапе производства информационного продукта  и для достижения следующих целей:

—          как источники информации;

—          как герои публикаций или сюжетов.

Указание фамилии, имени собеседника в титрах или в газетной публикации – это уже использование  персональных данных. Распространение информации о каком-либо человеке без указания фамилии и имени, но с предоставлением дополнительных персональных данных, которые могут его индентифицировать (например, профессия, место работы или проживания) – это тоже распространение персональных данных.

Персональные данные в журналистских материалах могут использоваться случайным образом, без цели их распространения (например, излюбленный телевизионщиками кадр – паспортные данные, либо удостоверение личности, не имеющий к смыслу сюжета никакого отношения, но содержащий чьи-то персональные данные).

Общее правило, которое установлено Законом РК «О персональных данных и их защите», определяет, что сбор и обработка персональных данных осуществляется собственником и оператором с согласия субъекта или его законного представителя. Согласие субъекта или его законного представителя оформляется письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Но журналисты собирают и используют персональные данные не только для подготовки позитивных материалов,  в отношении которых субъекты с охотой давали бы свое согласие на использование персональных данных. Сложно представить, чтобы герой коррупционного скандала или герои критических публикаций согласились бы  на использование своих персональных данных и их распространение в СМИ. Применение общего правила сбора и использования персональных данных только с согласия субъекта сделало бы невозможным осуществление профессиональной деятельности журналиста, особенно когда речь идет о подготовке материалов, имеющих общественный интерес, критических, вскрывающих факты коррупции и других правонарушений и преступлений.

Поэтому закон предусматривает ряд исключений из общего правила, когда сбор и обработка персональных данных могут осуществляться без согласия субъекта или его законного представителя.  Поэтому, если сбор и обработка персональных данных производятся для осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельностиполучать согласие субъекта не требуется.

 

Таким образом:

— журналисты вправе собирать и обрабатывать, в том числе распространять (то есть, публиковать), персональные данные без согласия субъекта, которому они принадлежат, или его законных представителей только при осуществлении своей законной профессиональной деятельности. Под профессиональной деятельностью журналиста (не только журналиста, но и любого представителя средства массовой информации) понимается сбор, обработка и подготовка сообщений и материалов для СМИ на основе трудовых или иных договорных отношений;

— не требуется такого согласия для осуществления научной, литературной или иной творческой деятельности;

— исключение для журналистов и СМИ действует при условии соблюдения требований законодательства РК по обеспечению прав и свобод человека и гражданина.

 

  1. Сбор и обработка персональных данных в деятельности редакций СМИ и операторов телерадиовещания

 

Сбор, хранение, распространение, передача и другие действия с персональными данными   для целей предпринимательской (хозяйственной) деятельности редакций СМИ, операторов телерадиовещания применяются в целях:

—          создания базы данных подписчиков и распространения издания по подписке;

—          создания базы распространителей издания в случаях розничного распространения;

—          создания базы данных рекламодателей – физических лиц и индивидуальных предпринимателей и осуществления договорных услуг по размещению рекламы;

—          создания базы данных абонентов кабельного телевидения и осуществления договорных услуг платного ТВ;

—          обработки персональных данных штатных и внештатных сотрудников редакций печатных СМИ, информационных агентств, операторов телерадиовещания и т.д.

Распространение персональных данных  происходит также  в тех случаях, когда государственные исполнительные органы, коммунальные службы и другие организации публикуют в СМИ (на правах рекламы) или на собственных интернет-ресурсах  списки неплательщиков, должников без их согласия, но с указанием персональных данных (так называемая публикация списков неплательщиков или должников).

Средства массовой информации признаются законом общедоступными источниками персональных данных, то есть доступ к персональным данным в таких источниках свободен и требования по соблюдению конфиденциальности на них не распространяются.

Возникает главный вопрос — является ли собственник или издатель СМИ оператором базы персональных данных? Да, безусловно. В силу этого на  них законом возлагаются дополнительные обязанности по сбору, использованию и защите персональных данных. Какие именно?

Во-первых, утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач. Например, для целей создания базы персональных данных подписчиков собственник СМИ издает приказ об утверждении перечня сведений, которые для этого необходимы: фамилия, имя, отчество подписчика, адрес проживания.

Во-вторых, принимать и соблюдать необходимые меры для защиты персональных данных, то есть предотвращать несанкционированный доступ к ним; своевременно обнаруживать факты несанкционированного доступа и минимизировать неблагоприятные последствия, которые могут наступить в этом случае.

В-третьих, принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки.

В-четвертых, реагировать на сообщения субъекта персональных данных, который запрашивает информацию  об имеющихся в распоряжении СМИ своих персональных данных, просит ее изменить или дополнить; просит блокировать доступ к его персональным данным или уничтожить. Обратите внимание, что закон для выполнения этих обязанностей предусматривает конкретные сроки – от одного до трех рабочих дней. В случае отказа – требуется предоставить заявителю мотивированный ответ с причинами отказа в течение трех рабочих дней.

Требуется или нет получать согласие субъекта персональных данных для достижения целей (создание базы подписчиков, рекламодателей и т.д.), которые изложены выше? С одной стороны, деятельность по распространение продукции массовой информации относится к законной профессиональной деятельности (не может СМИ издаваться, но не распространяться), поэтому согласие субъекта персональных данных на их сбор и обработку не требуется. С другой стороны, все правоотношения с подписчиками, реализаторами печатных СМИ, рекламодателями, сотрудниками строятся в редакциях, как и в любых других организациях, на основе письменных договоров.  Поэтому довольно легко выполнить часть требований закона РК «О персональных данных» просто включив в соответствующие договоры пункт о согласии второй стороны (физического лица) на сбор и обработку своих персональных данных в целях, указанных в договоре.

Таким образом:

—          СМИ (собственники, издатели, операторы телерадиовещания) являются собственниками и (или) операторами баз персональных данных, в связи с этим на них возлагается ряд обязанностей по защите персональных данных и по соблюдению прав субъекта персональных данных;

—          Закон РК «О персональных данных и их защите» и Закон РК «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам персональных данных и их защите» введен в действие с 25 ноября 2013 года. В течение трех месяцев со дня введения в действие закона, то есть в срок до 25 февраля 2014 года собственники и (или) операторы баз персональных данных должны принять меры по сбору, хранению и защите персональных действий в соответствии с действующим законодательством о персональных данных и их защите (об этом более подробно в пункте 5);

—          так как вся деятельность редакций СМИ по формированию баз подписчиков, рекламодателей, реализаторов, штатных и внештатных сотрудников осуществляется на основе письменных договоров, предлагается в качестве дополнительного пункта включать в каждый договор пункт о согласии второй стороны договора на сбор и обработку (включая передачу третьим лицам – в случае подписки) своих персональных данных для достижения целей, указанных в договоре.

 

  1. Какие меры необходимо предпринять для соблюдения требований законодательства РК о персональных данных и их защите?

 

Еще раз напомним, что собственники и (или) операторы персональных данных обязаны в течение трех месяцев со дня введения закона в действие, то есть до 25 февраля 2014 года, принять все меры, разработать необходимые  документы относительно сбора, обработки и защиты персональных данных.

Необходимые меры подразумевают следующие действия и процедуры.

 

5.1.            Определение перечня персональных сведений, необходимых и достаточных для выполнения своих функций

Каждый  собственник и (или) оператор, который в рамках осуществления своей деятельности, собирает, хранит и обрабатывает персональные данные, должен определиться с их перечнем. При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться следующими принципами сбора, обработки и защиты персональных данных:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Собственник и (или) оператор в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, назначает ответственных лиц (далее – ответственное лицо) за организацию работы по определению перечня персональных данных. Назначение ответственного лица оформляется соответствующим документом (например, приказом). Ответственное лицо анализирует осуществляемые задачи собственника и (или) оператора, после чего готовит предложение об определении перечня персональных данных.

Собственник и (или) оператор рассматривают предложение ответственного лица и принимают решение об утверждении перечня персональных данных или возвращают на доработку ответственному лицу. Срок подготовки предложений, с момента назначения ответственных лиц, не должен превышать тридцати календарных дней.
В случае возврата на доработку, перечень персональных данных дорабатывается ответственным лицом в течение пяти рабочих дней и повторно вносится на утверждение собственнику и (или) оператору.

После утверждения перечня персональных данных, логичными будут шаги по изменению документации с учетом необходимости получения согласия субъекта и принятию новых документов по вопросам обработки, защиты и сохранности персональных данных.

 

5.2.            Получение согласия (или отзыва своего согласия) на сбор и обработку персональных данных

Теперь, если для осуществления вашей деятельности требуются персональные данные, необходимо получать согласие субъекта, которым они принадлежат. Есть исключения из этого общего правила, они перечислены в статье 9 Закона РК от 21 мая  2013 года «О персональных данных и их защите». Еще раз напомним, что не требуется получение согласия  субъекта, которому принадлежат персональные данные,  при осуществлении законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина. В других случаях, не подпадающих  под исключения, необходимо получать письменное согласие субъекта или его законного представителя. Кроме письменной формы, согласия может быть предоставлено в форме электронного документа или иным способом с применением элементов защитных действий. Субъект персональных данных может как дать свое согласие на сбор, обработку персональных данных, так и отозвать его. Отзыв согласия осуществляется в письменной, в форме электронного документа или иной форме, с применением элементов защитных действий.

Как оформить получение согласия на сбор и обработку персональных данных? Вариантов может быть много: подписание приложения или дополнительного соглашения к договору, заполнение специальной формы, выражающей согласие субъекта на сбор и обработку персональных данных, подписание специального заявления и т.д. Для электронных ресурсов очень важно наличие элементов защитных действий при получении такого согласия. Необходимость получения согласия субъекта персональных данных, предусмотренная в Законе РК «О персональных данных и их защите», требует  переоформления всех действующих договоров и обязательств, в рамках которых осуществляется сбор и обработка персональных данных, за исключением индивидуальных трудовых договоров, в случае, если согласие работника на сбор и обработку его персональных данных было получено ранее.

 

5.3.            Внесение изменений и дополнений в перечень персональных данных.

По результатам текущей деятельности собственником и (или) оператором могут быть внесены изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.
Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения в действие. Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, должно осуществляться только для ранее заявленных целей их сбора.
Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач.

5.4.            Защита и хранение персональных данных.

Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Для обеспечения защиты персональных данных при их сборе и обработке, необходимо обособлять персональные данные от иной информации, в частности путем фиксации их на носителях.
При сборе и обработке персональных данных необходимо определить места их хранения (носители) и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
При хранении носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Меры, необходимые для обеспечения таких условий, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются собственником и (или) оператором, а также третьим лицом.

 

5.5.            Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с  законодательством Республики Казахстан об информатизации.

В связи с принятием Закона РК от 21  «О персональных данных и их защите», статья 13 Закона РК «Об информатизации»[5] изложена в новой редакции.

….

1. Электронные информационные ресурсы, содержащие персональные данные, относятся к категории конфиденциальных электронных информационных ресурсов, сбор, обработка которых ограничиваются целями, для которых они собираются.

2. Никто не вправе требовать для формирования электронных информационных ресурсов от физических лиц представление сведений об их частной жизни, составляющих личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физических лиц, включая сведения, касающиеся их происхождения, здоровья, взглядов, политических и религиозных убеждений, или получать такие сведения иным образом помимо их воли.

3. Для электронных информационных ресурсов, содержащих персональные данные, соблюдение конфиденциальности обязательно с момента, когда эти данные были представлены физическим лицом, к которому эти данные относятся.

4. Не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.

 

5.6.            Взаимодействие собственников и (или) операторов  с субъектами персональных данных

Важной особенностью  Закона РК от 21 мая 2013 года «О персональных данных и их защите» является  процедуры взаимодействия тех субъектов, кто собирает и обрабатывает персональные данные (собственников и (или) операторов) и субъектов, которым они принадлежат.

Субъект, которому принадлежат персональные данные, вправе:

— знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;

— требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

— требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

— требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства РК;

— дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных, а также  отозвать согласие на сбор, обработку персональных данных.

Собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, предусмотренных законом;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством РК;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ;
8) в течение одного рабочего дня:
— изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
— блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
— уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства РК;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

 

6.Ответственность

Законом РК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защите» внесены изменения в Гражданский Кодекс, Уголовный Кодекс, Кодекс РК об административных правонарушениях и ряд других законов и кодексов. Таким образом, предусматривается гражданско-правовая ответственность (субъект персональных данных вправе требовать защиты своих прав и законных интересов, а также требовать возмещения морального и материального вреда), административная[6] (за нарушение требований законодательства о персональных данных в виде штрафов) и уголовная ответственность[7] (за нарушение неприкосновенности частной жизни и законодательства РК о персональных данных и их защите).

 

 



[1] Постановление Правительства РК №1214 от 12 ноября 2013 года «Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач». Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/P1300001214

[2] Постановление Правительства РК №909 от 3 сентября 2013 года «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных». Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/P1300000909

[3] Приказы руководителей государственных органов об определении перечня необходимых и достаточных  персональных данных расположены по ссылке:  http://adilet.zan.kz/rus/docs/P1300001214/p131214.htm

[4] Закон РК №95-V от 21 мая 2013 года «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защите». Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/Z1300000095

[5] Закон Республики Казахстан от 11 января 2007 года №217 «Об информатизации». Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/Z070000217_#z88

[6] Статья 84-1 Кодекса Республики Казахстан об административных правонарушениях. Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/K010000155_#z96

[7] Статья 142 Уголовного кодекса Республики Казахстан. Документ доступен по ссылке: http://adilet.zan.kz/rus/docs/K970000167_#z155