Москаленко Алина
Партнер, 
главный специалист по защите данных
PrivacyRise Limited 

В современном мире, где цифровые технологии прочно вошли в нашу повседневную жизнь, обеспечение безопасности персональных данных стало одной из наших основных задач. В Казахстане, как и во многих других странах, объем собираемых и хранимых данных резко увеличился, открывая новые возможности, но также и создавая новые угрозы. В этой статье мы рассмотрим понятие персональных данных, примеры утечек данных и меры по их защите, рассмотрим известные кейсы по наложению штрафов за несоблюдение норм обработки персональных данных, а также подчеркнем важность соответствия мировым стандартам, таким как General Data Protection Regulation (далее — “GDPR”) (Общий регламент по защите данных) Европейского Союза.

Итак, что же относится к персональным данным.

В соответствии с п. 2) ст. 1 Закона Республики Казахстан от 21 мая 2013 года №94-V “О персональных данных и их защите” (далее — “Закон”), персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Персональные данные могут быть разделены на две категории: общедоступные и данные ограниченного доступа.

Общедоступные персональные данные представляют собой информацию или сведения, на которые, согласно законам Республики Казахстан, не распространяются требования конфиденциальности, и доступ к ним свободно предоставляется с согласия субъекта. Это включает в себя информацию, доступную в общественных источниках, таких как СМИ и телефонные справочники.

Персональные данные ограниченного доступа, напротив, подпадают под ограничения, установленные законодательством Республики Казахстан. К таким данным относятся основные идентификационные сведения субъекта персональных данных, такие как фамилия, имя, отчество, дата и место рождения, национальность, а также информация о месте жительства или регистрации, индивидуальный идентификационный номер (ИИН), номера документов, удостоверяющих личность, и прочие подобные детали.

Сразу отметим, что в Казахстане основными “участниками” правоотношений в области персональных данных являются идентичные GDPR, а именно:

  • субъект персональных данных — физическое лицо, к которому относятся персональные данные;
  • собственник базы, содержащей персональные данные — государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
  • оператор базы, содержащей персональные данные — государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
  • уполномоченный орган в сфере защиты персональных данных — центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.

Не углубляясь в определения терминов сбора, обработки, блокирования, накопления, защиты, хранения персональных данных, отметим лишь, что в Законе они отражены, на наш взгляд, в соответствии с мировыми стандартами, но требующими некоторых уточнений.

Далее мы приведем несколько примеров утечек данных, произошедших в Казахстане, и возможных мер по защите данных для дальнейшего недопущения подобных ситуаций.

  1. Утечка данных в медицинских учреждениях: В Казахстане, как и во многих других странах, медицинские данные считаются одними из самых чувствительных. В 2020 году произошла крупная утечка медицинских данных в одном из крупных медицинских центров. Хакеры получили доступ к личным медицинским записям пациентов, что вызвало серьезные беспокойства среди граждан. Этот инцидент подчеркнул необходимость улучшения систем безопасности в медицинских учреждениях и обеспечения защиты медицинских данных.
  1. Утечка данных в банковской сфере: В 2019 году один из крупнейших банков Казахстана столкнулся с утечкой данных клиентов. Хакеры получили доступ к финансовым данным и личной информации клиентов, что вызвало серьезные убытки и угрозу для финансовой стабильности банка. Данная ситуация продемонстрировала, насколько важно для финансовых институтов обеспечивать высокий уровень безопасности данных.

Меры по защите данных

В современном информационном обществе, где данные считаются ценным активом, принятие мер по их защите становится неотъемлемой частью бизнес-стратегии и деятельности государственных органов. Однако, для обеспечения безопасности персональных данных, необходимо внедрение множества комплексных мероприятий.

  1. Шифрование данных: Одним из наиболее эффективных способов защиты данных является шифрование. Все данные, хранящиеся в электронном виде, должны быть зашифрованы, чтобы предотвратить несанкционированный доступ к ним. Это означает, что даже если хакеры получат доступ к файлам или базам данных, они не смогут прочитать их без ключа расшифровки. Шифрование относится и к данным на серверах компаний, и к информации, передаваемой через сеть.
  1. Многофакторная аутентификация: Для усиления защиты важных систем и данных, многофакторная аутентификация должна быть внедрена. Это требует от пользователей предоставления не только пароля, но и дополнительных аутентификационных факторов, таких как отпечаток пальца или одноразовый код. Эта дополнительная степень защиты делает взлом значительно сложнее.
  1. Обучение персонала: Обучение работников компаний по вопросам безопасности данных играет ключевую роль в предотвращении утечек данных. Работники компаний должны знать, какие действия являются безопасными, а какие могут представлять угрозу. Регулярные тренинги и обновление знаний важны для поддержания высокого уровня безопасности, это включает в себя обучение по фишингу (мошенничеству через электронную почту), осведомленность о социальной инженерии и знание процедур уведомления об обнаруженных нарушениях безопасности.

Дополнительными мерами по защите данных также могут быть:

  • регулярные аудиты безопасности: проведение периодических аудитов безопасности позволяет выявить уязвимости и недостатки в системах и процедурах, что позволяет оперативно устранять потенциальные угрозы;
  • управление доступом: контроль и управление доступом к данным – это важная мера безопасности. Работники должны иметь доступ только к той информации, которая необходима для выполнения их рабочих обязанностей;
  • регулярное обновление программного обеспечения: обновления ПО включают исправления уязвимостей, что делает систему менее подверженной атакам;
  • разработка плана реагирования на инциденты: компании и организации должны иметь готовый план действий в случае утечки данных или кибератаки. Быстрое реагирование и изоляция инцидента могут существенно снизить ущерб.

Эти и многие другие меры, в совокупности, помогают обеспечить безопасность данных и минимизировать риски утечек в современном цифровом мире. Соблюдение всех этих принципов и стандартов становится обязательным в условиях, где ценность персональных данных и их важность для бизнеса и частных лиц продолжает расти.

Законодательство Казахстана и GDPR

Хотя Казахстан и не является частью Европейского Союза, в котором действует GDPR, нам видится, что за последние несколько лет Казахстан активно движется в направлении соответствия данным правилам. Придается большое значение конфиденциальности и персональным данным, проводятся расследования в отношении нарушений уголовного и административного законодательства в области персональных данных, кроме того, компании внедряют политики, кодексы и правила обработки данных. Среди крупных юридических фирм имеется практика в области проведения аудита компаний на соответствие GDPR.

Отметим, что казахстанские компании, особенно те, которые имеют сайты на английском языке или оказывают услуги иностранным клиентам, могут подпадать под действие правил GDPR. Несоблюдение GDPR может привести к серьезным штрафам и утрате доверия клиентов.

Определим ключевые отличия казахстанского законодательства в области персональных данных и правил GDPR:

  1. Применяемая юрисдикция:

— GDPR применим к организациям, которые обрабатывают персональные данные граждан Европейского союза, независимо от местоположения этих организаций. Это означает, что даже организации за пределами ЕС должны соблюдать GDPR, если они обрабатывают данные европейских граждан;

— Закон применяется к обработке персональных данных внутри Казахстана и в отношении граждан Казахстана.

  1. Область действия:

— GDPR устанавливает более строгие требования к обработке персональных данных и защите конфиденциальности данных, включая широкий спектр прав для субъектов данных и жесткие санкции за нарушение правил;

— Закон также содержит положения о защите персональных данных, но они менее строгие и детализированные по сравнению с GDPR.

  1. Уровень согласия:

— GDPR требует ясного и информированного согласия субъектов данных на обработку их персональных данных. Субъекты данных имеют право отозвать свое согласие в любое время;

— Закон также требует согласия субъекта данных, но условия его оформления, способы и время отзыва согласия не детализированы.

  1. Уведомления о нарушениях:

— GDPR обязывает организации уведомлять органы по защите данных и субъектов данных в случае нарушения безопасности данных, если оно может представлять угрозу для прав и свобод субъектов данных. Согласно GDPR, организации обязаны уведомлять о нарушениях безопасности данных в определенные сроки:

  1. a) Уведомление о нарушении клиентам или субъектам данных: если организация обнаруживает нарушение безопасности данных, которое может представлять угрозу для прав и свобод физических лиц (например, утечка личных данных), она должна уведомить клиентов или субъектов данных как можно быстрее. В соответствии с GDPR, это уведомление должно быть сделано не позже чем через 72 часа после обнаружения нарушения. Это дает субъектам данных возможность принять меры по защите своих прав и интересов;
  2. b) Уведомление надзорному органу: если нарушение данных представляет серьезную угрозу, организация также должна уведомить надзорный орган по защите данных. Сроки уведомления надзорного органа могут варьироваться в зависимости от конкретных обстоятельств и требований местного законодательства, но обычно это также должно быть сделано в течение 72 часов после обнаружения нарушения;

— В Казахстане Закон не содержит требований об уведомлении уполномоченного органа в сфере защиты персональных данных, но содержится ответственность за нарушения в области персональных данных в Уголовном кодексе Республики Казахстан и Кодексе об административных правонарушениях Республики Казахстан.

  1. Штрафы:

— GDPR предусматривает значительные штрафы за нарушение правил обработки персональных данных, которые могут составлять до 4% годового оборота организации или 20 миллионов евро, в зависимости от того, какая из сумм больше;

— Законодательство Казахстана также предусматривает штрафы, но они ограничиваются размером в 1000 МРП (около 3,5 миллиона тенге).

Следует отметить, что GDPR и законодательство Казахстана по персональным данным имеют существенные различия, несмотря на общие цели по защите данных. GDPR устанавливает одни из самых строгих и подробных правил в мире по обработке и защите персональных данных, при этом охватывая компании, которые обрабатывают данные граждан Европейского союза, вне зависимости от их местоположения. В то время как законодательство Казахстана более ориентировано на национальные рамки и требования, и его применение внутри страны не всегда охватывает тех, кто обрабатывает данные иностранных граждан.

Следовательно, организации, работающие с данными граждан Европейского союза и Казахстана, должны учитывать и соблюдать оба набора требований. Это требует дополнительных усилий и ресурсов, но также демонстрирует важность и серьезность вопроса защиты данных в современном цифровом мире. С учетом динамики развития законодательства и изменений в требованиях по защите данных, организации должны оставаться внимательными к обновлениям и гармонизировать свои практики с соответствующими нормами в каждой юрисдикции, чтобы обеспечить соблюдение законов и защиту персональных данных клиентов и пользователей.

Как один из масштабных и самых последних примеров наложения штрафа за нарушение норм в области персональных данных, приведем компанию TikTok, которая 16 сентября 2023 года была оштрафована на 345 миллионов Евро за нарушение правил GDPR в области обработки персональных данных детей.

Кроме того, в нашей жизни происходят и другие глобальные изменения, связанные с развитием и внедрением искусственного интеллекта. Искусственный интеллект требует доступа к большому объему данных, что подчеркивает необходимость строгих правил и нормативов по обработке личных данных. Вмешательство искусственного интеллекта в личную сферу может иметь значительные последствия для частной жизни и безопасности граждан, поэтому внедрение новых законодательных мер и стандартов в области персональных данных становится неотъемлемой частью современного регулирования, чтобы обеспечить сбалансированное развитие технологий и защиту прав и интересов людей.

В заключение хотелось бы отметить, что необходимость в защите персональных данных становится все более актуальной в современном мире, где цифровые технологии проникают во все сферы нашей жизни. Особенно важно осознавать, что существует разница между мировыми стандартами, такими как GDPR, и национальным законодательством о персональных данных. В Казахстане, несмотря на значительные усилия в сфере правового регулирования, существуют пробелы в законодательстве, которые требуют внимания и устранения.

Защита данных — это не только юридическое обязательство, но и важное общественное дело, основанное на принципах права на частную жизнь, личную и семейную тайну, закрепленных в Конституции Казахстана. Компании имеют возможность внести существенный вклад в обеспечение безопасности данных, проводя аудиты своих процессов и систем, разрабатывая политики по персональным данным и обеспечивая соблюдение законодательства. Это не только поддерживает законность и доверие клиентов, но и помогает строить ответственное информационное общество, где права и интересы граждан защищены на должном уровне.

Казахстан находится на пути к развитию и совершенствованию законодательства о персональных данных, и содействие компаний в этом процессе имеет критическое значение. Осознание важности защиты персональных данных и активное участие организаций в соблюдении стандартов безопасности данных помогут создать более надежное и ответственное информационное пространство для всех граждан Казахстана.

Компания PrivacyRise Limited www.privacyrise.kz является международной и одной из первых компаний в Казахстане, которая специализируется на услугах в области персональных данных путем поддержки бизнеса с юридической и технической стороны. Мы знаем, какие правовые нормы компании должны соблюдать и помогаем технически это внедрить. В нашей команде юристы и инженеры с сертификатами самой престижной организации в области персональных данных.