В начале января текушего года состоялось онлайн-обсуждение анализа регуляторного воздействия процедуры уведомления уполномоченного органа об утечке персональных данных граждан, в котором приняли участие более 60 представителей разных заинтересованных сторон под председательством руководителя Управления по защите персональных данных Комитета информационной безопасности МЦРИАП РК Кабдеш Адилетхана. Среди участников онлайн-обсуждения были представители НПП Атамекен, банковских и финансовых организаций, неправительственных организаций и экспертов.
Также в обсуждении приняли участие представители DRCQ Руслан Дайырбеков и Елжан Кабышев.
Всех участников проинформировали, что проект заключения Правительства по законопроекту согласован со всеми заинтересованными государственными органами и в настоящее время находится на рассмотрении Администрации Президента.
Руслан Дайырбеков концептуально поддержал инициативу законодательного закрепления процедуры уведомления уполномоченного органа в случае утечки персональных данных со стороны оператора и обратил внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных «документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
Участники онлайн-обсуждения высказали опасения относительно предложенной редакции определения «нарушение безопасности персональных данных», так как существуют риски для субъектов бизнеса, связанные с широким определением этого понятия — операторы персональных данных, осуществляющие их сбор и обработку, могут быть привлечены к ответственности за утечку персональных данных, к которой они не имеют никакого отношения.
Елжан Кабышев привёл в пример определение данного понятия в GDRP:
«Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним».
Отдельные руководства GDPR более подробно описывают случаи, при которых оператор персональных данных должен уведомить о нарушении безопасности персональных данных, как например: Guidelines on Personal data breach notification under Regulation 2016/679. Однако, к сожалению, учитывая особенности казахстанского законодательства о персональных данных и их защите, предложенное расширенное толкование может негативно повлиять на деятельность бизнеса.
Уведомление – это важная процедура, обеспечивающая возможность хотя бы минимизировать последствия нарушения законодательства, должным образом уведомить субъектов персональных данных об утечке, а также привить операторам ответственность за бережное обращение с персональными данными и безопасность их хранения.
На сегодняшний день в стране установлены случаи утечки базы данных многих собственников и операторов, осуществляющих сбор и обработку персональных данных, к примеру, ЦИК, ЯндексЕда, Казпочта и т.д.
Последствия утечки могут быть очень серьезными и незначительными. Однако следует понимать, что утечка персональных данных, прежде всего, наносит прямой ущерб субъекту этих данных.
Вышеуказанным проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности», предусматривается дополнить статью 13 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» подпунктом 13-1) следующего содержания:
«на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства»;».
Таким образом, оператор информационно-коммуникационной инфраструктуры «электронного правительства» (АО «Национальные информационные технологии») будет уполномочен уведомлять субъектов об утечках их персональных данных.
Также в обсуждении приняли участие представители DRCQ Руслан Дайырбеков и Елжан Кабышев.
Всех участников проинформировали, что проект заключения Правительства по законопроекту согласован со всеми заинтересованными государственными органами и в настоящее время находится на рассмотрении Администрации Президента.
Руслан Дайырбеков концептуально поддержал инициативу законодательного закрепления процедуры уведомления уполномоченного органа в случае утечки персональных данных со стороны оператора и обратил внимание законодателей на статью 33 «Уведомление надзорного органа о нарушении безопасности персональных данных» GDPR (Общего регламента по защите персональных данных Европейского союза) в части необходимости закрепления требования собственника и оператора по обработке персональных данных «документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации».
Участники онлайн-обсуждения высказали опасения относительно предложенной редакции определения «нарушение безопасности персональных данных», так как существуют риски для субъектов бизнеса, связанные с широким определением этого понятия — операторы персональных данных, осуществляющие их сбор и обработку, могут быть привлечены к ответственности за утечку персональных данных, к которой они не имеют никакого отношения.
Елжан Кабышев привёл в пример определение данного понятия в GDRP:
«Нарушение безопасности персональных данных» — это нарушение безопасности, ведущее к случайному или незаконному уничтожению, потере, изменению, несанкционированному разглашению пересылаемых, хранимых или иным образом обрабатываемых персональных данных или к несанкционированному доступу к ним».
Отдельные руководства GDPR более подробно описывают случаи, при которых оператор персональных данных должен уведомить о нарушении безопасности персональных данных, как например: Guidelines on Personal data breach notification under Regulation 2016/679. Однако, к сожалению, учитывая особенности казахстанского законодательства о персональных данных и их защите, предложенное расширенное толкование может негативно повлиять на деятельность бизнеса.
Уведомление – это важная процедура, обеспечивающая возможность хотя бы минимизировать последствия нарушения законодательства, должным образом уведомить субъектов персональных данных об утечке, а также привить операторам ответственность за бережное обращение с персональными данными и безопасность их хранения.
На сегодняшний день в стране установлены случаи утечки базы данных многих собственников и операторов, осуществляющих сбор и обработку персональных данных, к примеру, ЦИК, ЯндексЕда, Казпочта и т.д.
Последствия утечки могут быть очень серьезными и незначительными. Однако следует понимать, что утечка персональных данных, прежде всего, наносит прямой ущерб субъекту этих данных.
Вышеуказанным проектом Закона Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности», предусматривается дополнить статью 13 Закона Республики Казахстан от 24 ноября 2015 года «Об информатизации» подпунктом 13-1) следующего содержания:
«на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства»;».
Таким образом, оператор информационно-коммуникационной инфраструктуры «электронного правительства» (АО «Национальные информационные технологии») будет уполномочен уведомлять субъектов об утечках их персональных данных.