Автор: И. Лоскутов, Генеральный директор ТОО «Компания «ЮрИнфо»
На сегодняшний день, как и 20 лет назад, в законодательстве Казахстана нет общего термина, определяющего понятие «персональные данные».
Советское законодательство, доставшееся Казахстану в наследие после распада СССР, оперировало лишь декларативными выражениями об охране личной жизни. Так в статье 54 Конституции (Основного Закона) КазССР от 20 апреля 1978 года говорилось: «Личная жизнь граждан, тайна переписки, телефонных переговоров и телеграфных сообщений охраняются законом». Впрочем, данные декларации были мало наполнены реальным содержанием, личная жизнь граждан находилась под неусыпным общественным наблюдением, а также полностью контролировалась правоохранительными органами, чьи досье на неблагонадежных субъектов пополнялись персональными данными без всяких ограничений и реального надзора.
Понятие о неприкосновенности частной жизни гражданина появилось лишь в Конституции РК от 28 января 1993 года, где в статье 33 было закреплено: «Запрещается вмешательство в частную жизнь гражданина, а также посягательство на его честь и достоинство. Сбор, хранение, использование и распространение информации личного характера без согласия гражданина допускаются только в случаях и в порядке, прямо установленных законом». Далее, правовой режим защиты личных неимущественных прав (на охрану тайны личной жизни, на собственное изображение) был закреплен в Гражданском кодексе Республики Казахстан (Общая часть), принятом Верховным Советом Республики Казахстан 27 декабря 1994 года, где и существует в практически неизменном виде до настоящего времени.
Проблема закрепления правового статуса персональных данных усугублялась тем, что, несмотря на имевшиеся планы на этот счет, законодательные акты об информации и о доступе к информации (а персональные данные и есть информация) в РК до сей поры так и не приняты. Определенный сдвиг в этом направлении произошел лишь в 2007 году.
В Законе Республики Казахстан от 11 января 2007 года № 217-III «Об информатизации» появилось понятие «персональные данные (электронные информационные ресурсы персонального характера)» — сведения о фактах, событиях, обстоятельствах жизни физического лица и (или) данные, позволяющие идентифицировать его личность. А в Трудовом кодексе Республики Казахстан от 15 мая 2007 года № 251-III был закреплен термин «персональные данные работника» — информация о работнике, необходимая при возникновении, продолжении и прекращении трудовых отношений.
Наконец, в Национальном плане действий в области прав человека в Республике Казахстан на 2009-2012 годы (одобрен резолюцией Президента Республики Казахстан от 5 мая 2009 года № 32-36.125) появился раздел «Право на частную жизнь и защиту персональных данных», предусматривавший разработку законопроекта о защите персональных данных. Проект Закона Республики Казахстан «О персональных данных» был разработан МВД РК и 27 сентября 2011 года внесен в Правительство Республики Казахстан. Внесение данного проекта на рассмотрение Парламента РК планируется в декабре 2011 года.
Проектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных. Так, Проектом вводятся понятия персональных данных и определяются порядок их обработки, основы организационно-правового обеспечения деятельности юридических лиц и государственных органов, организующих и осуществляющих обработку данных физических лиц. Проведенный анализ показал, что отдельные нормы Проекта не соответствуют направлениям, указанным в Национальном плане действий в области прав человека в Республике Казахстан на 2009-2012 годы, а технико-юридические недостатки Закона создают возможность для неоднозначного понимания некоторых содержащихся в нем положений, что на практике может привести к произвольному истолкованию и неадекватному применению данного законодательного акта. В частности, главное возражение вызывает попытка разработчиков представить человека и гражданина объектом персональных данных, тогда как в международном праве давно сложился четкий правовой статус идентифицируемого или идентифицированного лица — субъекта данных, правам которого корреспондируют конкретные обязательства со стороны контролеров и обработчиков персональных данных. За нарушение данных обязательств должна быть предусмотрена определенная ответственность и организован независимый надзор. Таким образом, правовой статус именно субъекта, а не объекта данных, составляют его права и обязанности по защите персональных данных, которые являют собой суть международного режима правовой защиты персональных данных. Такой правовой статус основан на концепции прозрачной, контролируемой обработки данных, отвечающей правомерным интересам субъекта данных, и отступление от данного подхода разработчиками законопроекта представляется неприемлемым.
В Концепции информационной безопасности Республики Казахстан до 2016 года, утвержденной Указом Президента Республики Казахстан от 14 ноября 2011 года № 174, констатируется, что проверки состояния защищенности государственных баз данных, включенных в состав «электронного правительства», указывают на отсутствие адекватного правового, организационного и технического режима защиты персональных данных граждан. Отсутствие соответствующих механизмов создает предпосылки для злоупотребления персональными данными в криминальных целях, в т.ч. подделке документов, мошенничеству, незаконному копированию и распространению различных баз данных.
В настоящее время рекомендуется необходимо принятие закона о всеобъемлющей защите персональных данных и неприкосновенности частной жизни, с тем чтобы были установлены четкие правовые меры защиты частных лиц, с целью недопущения чрезмерного сбора персональной информации и сведений о частной жизни, которыми бы определялись пределы использования, хранения и обмена такой информацией и которыми бы предусматривалось обязательное уведомление частных лиц о порядке использования информации о них и наделение этих лиц правом получения доступа и возмещения независимо от гражданства и юрисдикции. Кроме того, в законодательстве должны быть предусмотрены эффективные меры контроля в отношении сроков хранения информации, методов ее использования и круга имеющего к ней доступ лиц, а также обеспечено соблюдение международных принципов защиты данных в вопросах обработки информации.
Необходимо определить орган с четкими полномочиями для проведения независимого надзора за случаями незаконного вмешательства в частную жизнь, а также наблюдения и обработки персональной информации. Необходимо придерживаться принципа транспарентности, с тем, чтобы частные лица могли получать информацию о том, каким образом был создан файл с их личными данными, а также о ясных механизмах обжалования таких действий.
Следует разработать более жесткие меры нормативного регулирования, ограничивающие доступ государственных органов к информации, держателями которой являются третьи стороны, в том числе схемы представления отчетности, а также минимизировать бремя, возлагаемое на третьи стороны по сбору дополнительной информации и применять конституционные и правовые гарантии в случаях, когда третьи стороны действуют от имени государства. Следует разработать законодательство, в котором будут уточнены права, обязанности и ответственность частных организаций в отношении сведений, передаваемых государственным органам.
При этом, следует также максимально учитывать новые методы наблюдения, применяемые на практике, включая «поведенческий таргетинг», базы данных ДНК и другие биометрических показатели.
Источник: По материалам экспертной конференции «Развитие и статус института прав человека за 20 лет независимости Республики Казахстан» 12 декабря 2011. Астана.