Законопроекта «О персональных данных и их защите» бояться не надо — Нурлан Абдиров
Казахстанцам не придется в массовом порядке сдавать отпечатки своих пальцев, сообщать сведения о наличии имущества и указывать другую конфиденциальную информацию о себе.
Цель законопроекта совершенно иная, подчеркивает руководитель рабочей группы, которая сейчас и ведет подготовку проекта закона «О персональных данных» ко второму чтению, депутат Мажилиса Парламента, член Комитета по законодательству и судебно-правовой реформе Нурлан Абдиров, сообщает пресс-служба Мажилиса РК.
- Нурлан Мажитович, какие поправки к законопроекту «О персональных данных» внесли мажилисмены в ходе его подготовки ко второму чтению?
- Прежде всего, отмечу, что цель закона не заключается в создании каких-либо досье поголовно на каждого казахстанца, как об этом писали отдельные СМИ. Мы рассчитываем, что по большому счету, закон должен преследовать две цели: выстроить порядок в сфере персональных данных и обеспечить их эффективную защиту, как того требует Конституция, чего пока, скажем честно, и нет.
Считаю необходимым вначале внести ясность по вопросу о самих персональных данных, которым и посвящен новый законопроект. Мы должны четко понимать, что в Казахстане базы данных, содержащие персональные данные, уже существуют. И их много – в налоговой службе, дорожной полиции, банковской сфере и т.д. К примеру, сегодня при трудоустройстве каждый гражданин заполняет личный листок по учету кадров, или же другую требуемую анкету. Таких правил при найме работников придерживаются и индивидуальные предприниматели, и в кадровых службах крупных промышленных предприятий, и в госорганах и организациях. Есть примеры, когда отдельные, даже так сказать чувствительные, персональные данные вполне обоснованно и законно становятся доступными для всех. В частности, речь идет о военных или спасателях МЧС, на форменном обмундировании которых в обязательном порядке указывается принадлежащая конкретному человеку группа крови и резус. Либо возьмем другой пример: сегодня не вызывает никаких вопросов у казахстанцев необходимость предоставления персональных данных о себе при выезде за пределы Казахстана. Более того, при въезде на территорию отдельных стран прямо в аэропорту у каждого заезжающего туриста в обязательном порядке сканируется сетчатка глаз. Если кому-то не хочется предоставлять свои биометрические данные, то он и не сможет пересечь границу. Таковы порядки, которые устанавливают для себя отдельные страны. В Казахстане таких правил нет, но наши граждане вынуждены им следовать, если хотят посетить эти страны авиасообщением.
Что касается поправок в законопроект, которые внесли депутаты, то начну с того, что изменилось его название, и в правительстве нас поддерживают.
- Как теперь называется проект закона?
- Первоначальное его название было «О персональных данных». Теперь, с согласия разработчиков, оно звучит как — «О персональных данных и их защите». Тем самым, защита персональных данных возводится в приоритет. Надо сказать, что при этом изначальная концепция проекта не меняется, поскольку вопросы обеспечения защиты таких данных в разной мере были отражены в его нормах.
Также мы подкорректировали цель проекта закона. Она стала более четкой и ясной, и звучит так: обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных.
- Изменился ли перечень персональных данных, который был указан в первоначальном правительственном варианте законопроекта, который был внесен на рассмотрение Мажилиса?
- Да, Вы правы, в правительственном варианте есть некий перечень — фамилия, имя, отчество, сведения о наличии недвижимости, другие параметры. В ходе работы над законопроектом и в настоящее время я продолжаю получать реакцию заинтересованных сторон в этой сфере. Например, руководство Национального центра по правам человека при Президенте Республики Казахстан направило в адрес рабочей группы письмо. В нем обращено внимание на то, что защита и конфиденциальность данных о происхождении гражданина, его расе, поле, отношении к религии, убеждениях, местожительстве, вкладах и сбережениях, переписки, являются чувствительными для их носителей и потому гарантируются статьями 14,18,19 Конституции РК. Тем самым предложено практически вдвое расширить представленный разработчиком перечень персональных данных.
В то же время, в ходе работы над законопроектом мы, депутаты, проанализировали законы 55 стран, включая законодательство стран Таможенного союза. При этом нигде на уровне законов мы не обнаружили четкого перечня персональных данных, есть только их общее определение. Считаем, что по этому же пути должен двигаться и Казахстан. Учитывая эти два важных обстоятельства, мы предлагаем определять персональные данные как сведения о физическом лице, зафиксированные на бумажном и (или) ином материальном, а также электронном носителе, относящиеся к определенному или определяемому на основании таких информаций субъекту. Тем самым, защите должна подлежать исключительно только та информация, которая зафиксирована на бумажном и других носителях. А сами эти данные должны собираться и обрабатываться, вплоть до уничтожения, в условиях базы данных.
- Кто же тогда должен определять, какие именно свои персональные данные предстоит предоставлять казахстанцам?
- Прежде всего, это, допустим, работодатель, он вправе знать, какого человека он принимает на работу, кому будет начислять зарплату и за кого будет платить отдельные виды налогов. Без персональных данных в этом случае не обойтись. По нашей логике, работодатель будет являться оператором, а возможно одновременно и собственником, такой базы данных. И это правильно. Именно оператор или собственник должен утверждать перечень персональных данных, необходимых и достаточных для выполнения осуществляемых им задач. Если работодателю не нужна для выполняемой работы информация о религиозных симпатиях своих будущих работников, или, скажем, о его убеждениях, то никто и не должен требовать от них этой информации.
- А если после принятия закона работодатели или правоохранительные органы все же начнут требовать от казахстанцев чтобы они сдали отпечатки своих пальцев, мотивируя это соображениями национальной безопаcности и так далее? В этом случае человек сможет отказаться от дактилоскопии?
- Позиция депутатов такова: нужен единый государственный орган, который бы определял «правила игры» на этом поле. По мнению депутатов, это могла бы быть Генеральная прокуратура, в структуре которой есть специализированный и на сегодня устоявшийся Комитет по правовой статистике и специальным учетам. Напомним, что Генпрокуратура подчиняется только Главе государства и от имени государства осуществляет высший надзор за точным и единообразным применением законов.
Оператор и собственник базы данных должны запрашивать у граждан только те персональные данные, которые, подчеркиваю, необходимы и достаточны для выполнения той или иной работы. Отслеживать законность и обоснованность тех или иных требований должен уполномоченный госорган. В частности, здесь я бы отметил, что если гражданин не является полицейским, спасателем, летчиком гражданской или военной авиации, то зачем требовать с него сдачу отпечатков пальцев и предоставления информации о группе крови и о состоянии здоровья вообще? Ведь такие жесткие требования могут обосновываться только высоким риском для жизни и здоровья представителей подобных профессий. Также хотел бы сказать, что степень открытости базы данных у различных операторов тоже разная, это зависит от выполняемой работы. Например, мы предложили подкорректировать правительственный вариант законопроекта и внести предложение разделить персональные данные на две группы – общедоступные и персональные данные с ограниченным доступом. Общедоступные персональные данные – сведения с открытым к ним доступом, причем с согласия субъекта или на которые в соответствии с законодательством не распространяются требования соблюдения конфиденциальности. К слову, сегодня самая большая и конфиденциальная база персональных данных казахстанцев есть в распоряжении Агентства по статистике. Ведь этот госорган проводит все национальные переписи в Казахстане, получая всю персональную информацию о населении. Впоследствии эта информация обезличивается, обрабатывается и публикуется уже в виде графиков, таблиц и так далее.
- А депутаты допускают, что Генпрокуратура будет не только вести надзор за защитой прав владельцев персональных данных, но при этом выступать и в качестве хранителя персональных данных?
- Давайте сразу оговоримся, что вопрос об уполномоченном органе пока является лишь мнением депутатов. Ввиду явной затратности (дополнительные штатные единицы, рабочие места и прочее) такой нормы, мы запросили мнение Правительства, ждем ответа. Но Вы задали важный вопрос. Как только речь заходит о том или ином органе в качестве уполномоченного, то все сразу начинают думать, что в этом госоргане начнут собирать в единую, какую-нибудь консолидированную базу данных персональные данные о казахстанцах. Если будет принято политическое решение по такому органу, то ему иметь подобную базу нет необходимости. Уполномоченный госорган определял бы только правила работы с персональными данными, добивался того, чтобы были выстроены цивилизованные правовые отношения в этой сфере оператор и собственника с носителями этих персональных данных. Немаловажно, что именно уполномоченный госорган стал бы требовать обеспечения эффективной защиты баз персональных данных, а также добиваться от собственника или оператора блокирования и уничтожении персональных данных, если это будут некорректные данные.
- И все же, какие наказания предусмотрены в законопроекте на случай утечки информации о персональных данных?
- Если позволите, начну ответ с того, что проект закона дополнен отдельной главой, посвященной защите персональных данных. Прежде ее не было. Мы предлагаем предусмотреть следующие два новых базовых положения для этого закона: первое, персональные данные подлежат защите, которая гарантируется государством; второе – их сбор и обработка осуществляются только в случае обеспечения защиты персональных данных.
Теперь, по сути. Надо сказать, что к законопроекту «О персональных данных и их защите» разработан сопутствующий проект закона о внесении изменений и дополнений в некоторые законодательные акты по вопросам персональных данных. В первоначальном правительственном варианте за утечку и посягательство на чужие персональные данные предлагалось предусмотреть лишь административную ответственность с максимальным штрафом от 40 до 200 МРП. Однако депутаты едины во мнении, что необходимо также вводить и уголовную ответственность. Кстати, наше предложение поддерживают в Национальном центре по правам человека, а также казахстанцы, которые написали нам об этом в своих письмах.
Таким образом, мы предлагаем, чтобы за незаконный сбор и обработку персональных данных к административной ответственности привлекать виновных только при отсутствии каких-либо последствий для человека, чьи права были при этом нарушены. Но если правам и законным интересам носителя персональных данных был причинен существенный вред, то в этом случае должна наступать уже уголовная ответственность. Также мы предложили предусмотреть ответственность самих операторов и собственников персональных данных. Например, несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если данное деяние причинило существенный вред, мы предлагаем расценивать как преступления средней тяжести, с санкцией в том числе в виде лишения свободы сроком до трех лет. В том случае, если лицо, ответственное за хранение персональных данных, предприняло незаконные действия – например, попытку продажи или разглашения чужих сведений – предлагается наказание в виде лишения свободы сроком до пяти лет. Мы рассчитываем, что такие нормы приведут к хорошему профилактическому эффекту.