В конце сентября 2023 года заместитель гендиректора РГП "КазСтандарт" Еркежан Амирханова направила в адрес DRCQ письмо со Стандартом СТ РК ISO/TR 23244 (для краткости мы в дальнейшем будем именовать его просто «Стандарт»), который содержал обзор вопросов и практических проблем, связанных с защитой персональных данных (PII) и конфиденциальности, в контексте применения блокчейна и технологии распределенных реестров (DLT).
В письме содержалась просьба высказать свои замечания и предложения касательно этого документа. Наши специалисты внимательно изучили его и обнаружили ряд положений Стандарта, применение которых будет затруднено в силу норм Закона Республики Казахстан от 21 мая 2013 года N 94-V "О персональных данных и их защите" (который для все той же краткости назовем просто "Закон").
В частности, пункты 5.1.4 и 5.1.5 Стандарта содержат описания ролей контроллера и обработчика персональных данных, а также отмечают возможные сложности при идентификации контроллера и обработчика в общедоступных и конфиденциальных системах блокчейна и DLT. При этом ст.1 Закона предусматривает 3 возможных категории лиц, обрабатывающих персональные данные: собственник, оператор и третье лицо. При этом норм Закона перечисляют собственника, оператора и третье лицо в одном ряду, не выделяя специфики каждой роли.
Напомним, что согласно п.9 ст.1 Закона, собственником базы, содержащей персональные данные, является государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. Оператором является государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных (п. 10 ст.1 Закона). Наконец, третьим лицом является лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных (п. 17 ст.1 Закона).
Как видим, данные определения не содержат явных критериев, по которым можно однозначно отличить роли собственника, оператора и третьего лица. Соответственно, действующие нормы не позволяют определить и тот факт, кто из указанных категорий лиц является обработчиком, а кто - контроллером. Учитывая сложности определения статуса контроллера и обработчика в DLT, наличие неопределенности в Законе крайне усложняет реализацию Стандарта.
Кроме того, ст.7 Закона предусматривает необходимость получения согласия на трансграничную передачу персональных данных. В то же самое время, ст. 16 Закона содержит исключения из данного правила, которые могут быть применимы к работе DLT в ограниченном объёме, и фактически большинство лиц, реализующих проекты с использованием DLT, не смогут получить надлежащее согласие от субъекта персональных данных. Также у пользователей DLT отсутствует возможность контролировать и ограничивать трансграничную передачу данных в DLT.
При этом, получение согласия на сбор и обработку персональных данных с выполнением требований, установленных п.4 ст.8 Закона, не может быть реализовано на практике, поскольку согласие должно содержать (помимо прочего) БИН или ИИН оператора — а как мы уже видели, в силу недостаточной юридической техники при принятии Закона крайне затруднительно идентифицировать оператора процесса обработки персональных данных в DLT.
«Мы сосредоточили свое внимание на Стандарте СТ РК ISO/TR 23244, поскольку Нормативное регулирование защиты персональных данных и блокчейна являются одними из основных областей экспертизы юридической фирмы DRCQ. Тем не менее, надеемся также на достаточное внимание коллег и к остальным рассматриваемым стандартам, и выражаем свою готовность оказать содействие в будущем», — подытожил директор DRCQ Руслан Дайырбеков.
В письме содержалась просьба высказать свои замечания и предложения касательно этого документа. Наши специалисты внимательно изучили его и обнаружили ряд положений Стандарта, применение которых будет затруднено в силу норм Закона Республики Казахстан от 21 мая 2013 года N 94-V "О персональных данных и их защите" (который для все той же краткости назовем просто "Закон").
В частности, пункты 5.1.4 и 5.1.5 Стандарта содержат описания ролей контроллера и обработчика персональных данных, а также отмечают возможные сложности при идентификации контроллера и обработчика в общедоступных и конфиденциальных системах блокчейна и DLT. При этом ст.1 Закона предусматривает 3 возможных категории лиц, обрабатывающих персональные данные: собственник, оператор и третье лицо. При этом норм Закона перечисляют собственника, оператора и третье лицо в одном ряду, не выделяя специфики каждой роли.
Напомним, что согласно п.9 ст.1 Закона, собственником базы, содержащей персональные данные, является государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. Оператором является государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных (п. 10 ст.1 Закона). Наконец, третьим лицом является лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных (п. 17 ст.1 Закона).
Как видим, данные определения не содержат явных критериев, по которым можно однозначно отличить роли собственника, оператора и третьего лица. Соответственно, действующие нормы не позволяют определить и тот факт, кто из указанных категорий лиц является обработчиком, а кто - контроллером. Учитывая сложности определения статуса контроллера и обработчика в DLT, наличие неопределенности в Законе крайне усложняет реализацию Стандарта.
Кроме того, ст.7 Закона предусматривает необходимость получения согласия на трансграничную передачу персональных данных. В то же самое время, ст. 16 Закона содержит исключения из данного правила, которые могут быть применимы к работе DLT в ограниченном объёме, и фактически большинство лиц, реализующих проекты с использованием DLT, не смогут получить надлежащее согласие от субъекта персональных данных. Также у пользователей DLT отсутствует возможность контролировать и ограничивать трансграничную передачу данных в DLT.
При этом, получение согласия на сбор и обработку персональных данных с выполнением требований, установленных п.4 ст.8 Закона, не может быть реализовано на практике, поскольку согласие должно содержать (помимо прочего) БИН или ИИН оператора — а как мы уже видели, в силу недостаточной юридической техники при принятии Закона крайне затруднительно идентифицировать оператора процесса обработки персональных данных в DLT.
«Мы сосредоточили свое внимание на Стандарте СТ РК ISO/TR 23244, поскольку Нормативное регулирование защиты персональных данных и блокчейна являются одними из основных областей экспертизы юридической фирмы DRCQ. Тем не менее, надеемся также на достаточное внимание коллег и к остальным рассматриваемым стандартам, и выражаем свою готовность оказать содействие в будущем», — подытожил директор DRCQ Руслан Дайырбеков.