D&K Info

Проблемные вопросы локализации персональных данных[1]

Александр Чумаченко,

 юрист Юридической фирмы

 «AEQUITAS»

Вопрос надлежащей обработки персональных данных для казахстанцев и компаний, осуществляющих в Казахстане свою деятельность, приобрел актуальность с принятием в 2013 году специального Закона о персональных данных[2], которым были установлены основные требования к данной сфере правоотношений. За три года действия этого закона уже сформировалась определенная практика, и все заинтересованные в соблюдении законодательства компании в целом организовали свою деятельность таким образом, чтобы его требования исполнялись. Между тем, с 1 января 2016 года введены в действие изменения в установленный порядок хранения персональных данных, а именно добавлено требование о локализации в Казахстане баз, содержащих персональные данные (далее – «базы»).

Поскольку принятые изменения в законодательство могут потребовать от компаний, осуществляющих деятельность в Казахстане, не только проверки на соответствие законодательству, но и потенциального изменения своих бизнес-процессов, связанных с персональными данными, необходимо разобраться с рядом ключевых вопросов в отношении локализации персональных данных и понимать, действительно ли они являются проблемными.

Где хранить персональные данные?

Буквально Закон о персональных данных в измененной редакции требует, чтобы базы хранились на территории Казахстана.

В соответствии с установленной законодателем терминологией, под базой понимается совокупность упорядоченных персональных данных. Очевидно, что данное понятие очень широко сформулировано, поэтому фактически базой могут выступать любые место (офис компании, кабинет ответственного лица и др.), оборудование (сервер компании, конкретный компьютер и пр.), предмет мебели (шкаф, полка в шкафу и пр.), носитель информации (бумажный лист, CD и DVD диски и пр.), электронные информационные ресурсы и другие средства хранения.

Хранение (т.е. действия по обеспечению целостности, конфиденциальности и доступности) персональных данных, как указано выше, должно осуществляться на территории Казахстана. Соответственно, здесь должны физически находиться любые материальные носители с персональными данными.

Что касается интернет-ресурсов, содержащих персональные данные, в данном случае под территорией Казахстана, по всей видимости, следует понимать пространство казахстанского сегмента сети интернет (как это определено Правилами использования доменного имени[3]). В этой связи аппаратно-программные комплексы (оборудование), на которых располагаются такие интернет-ресурсы, должны также физически находиться на территории Казахстана.

На кого и в какой мере распространяется требование о локализации?

Закон о персональных данных не содержит специальных положений, регламентирующих сферу его действия по территории и кругу лиц. Поэтому по общему правилу его регуляции, с учетом установленных исключений, должны распространяться на: резидентов Казахстана; находящихся на территории Казахстана лиц без гражданства и иностранных физических лиц; иностранных юридических лиц, действующих в Казахстане через свои филиалы и представительства. При этом фактически из числа указанных лиц требование о локализации по большей части затрагивает интересы только иностранных компаний (поскольку иностранные компании, как правило, обрабатывают собранные персональные данные централизованно по месту нахождения своих головных офисов) и казахстанских резидентов, пользующихся услугами иностранных дата-центров и облачных хранилищ.

Необходимо отметить, что казахстанские регуляции в части персональных данных могут применяться к соответствующим правоотношениям даже в том случае, если только одна сторона (в частности, оператор или собственник базы) таких правоотношений будет подпадать под требования Закона о персональных данных. В этой связи остается открытым вопрос о том, требуется ли хранить оператору и/или собственнику базы персональные данные иностранного лица, собранные в рамках деятельности оператора и/или собственника базы за пределами Казахстана (например, казахстанским представительством иностранной компании в отношении иностранного работника из головного офиса компании).

Распространяется ли действие Закона о персональных данных в обновленной редакции на отношения, возникшие до 1 января 2016 года?

В соответствии с устоявшимися правовыми принципами придание обратной силы правовым нормам, ухудшающим правовое положение лиц и устанавливающим новые обязанности, является, по общему правилу, недопустимым. Исключение составляют случаи, когда обратная сила прямо предусмотрена в законе, что не имеет место в рассматриваемом случае. Соответственно, обязанность по локализации распространяется на отношения по обработке персональных данных, которые возникли после 1 января 2016 года.

Однако есть и другая точка зрения, согласно которой персональные данные, собранные до 1 января 2016 года, также потребуется хранить в базах на территории Казахстана. Это обосновывается тем, что хранение персональных данных является процессом, а не одномоментным действием, поэтому, начиная с даты введения в действия изменений в законодательство, хранение баз за границей Казахстана будет являться нарушением законодательства.

Мнения казахстанских уполномоченных органов (в частности, Министра по инвестициям и развитию[4] и Министра внутренних дел[5]) по данному вопросу расходятся, поэтому вопрос распространения требования о локализации на персональные данные, собранные до 1 января 2016 года, остается открытым.

Какие действия применительно к хранению персональных данных являются нарушением требования о локализации и влекут ответственность?

Следует иметь в виду, что за нарушение требований по защите персональных данных предусмотрена существенная ответственность, как административная, так и уголовная.

Кодексом об административных правонарушениях устанавливается ответственность за незаконный сбор и/или обработку персональных данных (часть 1 ст. 79); несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных и эти же деяния, но повлекшие утерю, незаконный сбор и/или обработку персональных данных (части 2 и 3 ст. 79); неосуществление или ненадлежащее осуществление собственником или владельцем информационных систем, содержащих персональные данные, мер по их защите (часть 1 ст. 641).

Что касается уголовной ответственности, то в соответствии с казахстанским Уголовным кодексом она наступает за причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и/или обработки персональных данных (ст. 147) и неправомерное распространение электронных информационных ресурсов, содержащих персональные данные граждан или иные сведения, доступ к которым ограничен законами Республики Казахстан или их собственником или владельцем (ст. 211).

На первый взгляд, нарушение требования о локализации баз персональных данных не подпадает под вышеперечисленные составы правонарушений. Однако, учитывая, что хранение персональных данных является составной частью их обработки, и хранение баз данных не на территории республики вполне может квалифицироваться как незаконное хранение и, как следствие, как незаконная обработка, соответственно, состав правонарушения на лицо. Кроме того, поскольку хранением в числе прочего являются действия по обеспечению конфиденциальности персональных данных, а под защитой персональных данных понимается комплекс мер (действий), осуществляемых в том числе в целях обеспечения той же конфиденциальности персональных данных при их обработке, соответственно, нельзя исключать, что в случае нарушения требований по локализации персональных данных такие действия могут квалифицироваться как необеспечение мер защиты персонаных данных. Тем не менее, остается неясным по каким именно признакам уполномоченный орган будет квалифицировать каждый из вышеуказанных составов в случае нарушения требований о локализации персональных данных. Ответ на данный вопрос может дать только правоприменительная практика, которая пока еще не сформировалась.

Кто и как будет проверять соблюдение операторами и собственниками баз требования о локализации?

Из Закона о персональных данных следует, что в Казахстане нет одного конкретного государственного органа, контролирующего соблюдение законодательства о персональных данных (надзор за применением законодательства, в свою очередь, осуществляется органами прокуратуры). Государственные органы в пределах своей компетенции разрабатывают и/или утверждают нормативные правовые акты в сфере персональных данных и их защиты; рассматривают обращения физических и юридических лиц по вопросам персональных данных и их защиты; принимают меры по привлечению лиц, допустивших нарушения законодательства о персональных данных и их защите, к ответственности.

Таким образом, законодатель не вводит специальных проверок и, соответственно, проверяющих органов для выявления нарушений в сфере персональных данных. По всей видимости, уполномоченные органы должны выявлять нарушения в сфере персональных данных и привлекать виновных лиц к ответственности по заявлениям физических и юридических лиц.

_______________