Корпоративные сайты, справочники сотрудников и публичные профили содержат информацию о людях. Часть этих сведений считается общедоступной, и к ней предъявляются иные требования, чем к конфиденциальным персональным данным. Закон Республики Казахстан «О персональных данных и их защите» устанавливает четкие правила для работы с такой информацией, включая порядок получения согласия, сроки реагирования на запросы субъектов и ответственность за нарушения.
Для облачного провайдера понимание этих правил необходимо для выстраивания безопасной инфраструктуры. Клиенты размещают в облаке как закрытые, так и открытые базы данных, и важно обеспечить разграничение доступа к ним. В этой статье мы разбираем, какие персональные данные в Казахстане считаются общедоступными, как правильно организовать их обработку и какие риски возникают при несоблюдении законодательства.
В этом тексте:
Что такое персональные данные
Закон Республики Казахстан «О персональных данных и их защите» определяет персональные данные как сведения, относящиеся к определенному или определяемому на их основании физическому лицу. Такие сведения могут фиксироваться на электронных, бумажных или иных материальных носителях. Данные считаются персональными, если они позволяют идентифицировать конкретного человека — самостоятельно или в сочетании с другой информацией.
Биометрические данные выделены в отдельную категорию. Это персональные данные, характеризующие физиологические и биологические особенности субъекта, на основе которых можно установить его личность. К таким данным относятся:
- цифровые фотографии
- отпечатки пальцев
- изображение лица
- голосовые образцы
- иные уникальные физические характеристики человека
Биометрические данные требуют повышенного уровня защиты, поскольку их компрометация влечет более серьезные риски для субъекта, чем утечка контактной информации.
Роли участников процесса обработки
Закон вводит две ключевые фигуры, взаимодействующие с базами персональных данных.
| Роль | Определение | Обязанности |
|---|---|---|
| Собственник базы | Государственный орган, физическое или юридическое лицо, владеющее, пользующееся и распоряжающееся базой данных | Определяет цели обработки, назначает оператора, контролирует соблюдение требований защиты |
| Оператор базы | Лицо, непосредственно осуществляющее сбор, обработку и защиту персональных данных | Реализует технические и организационные меры защиты, обеспечивает соблюдение прав субъектов |
В одной организации эти роли могут совпадать, но могут и распределяться между разными структурами. Например, головная компания может выступать собственником базы, а дочерняя ИТ-структура — оператором, отвечающим за техническую инфраструктуру.
Операции с персональными данными
Сбор персональных данных представляет собой любые действия, направленные на их получение. Обработка включает более широкий спектр операций:
- накопление
- хранение
- изменение
- дополнение
- использование
- распространение
- обезличивание
- блокирование
- уничтожение
Каждый из этих видов действий требует отдельного учета при проектировании систем работы с данными и настройке политик доступа в облачной инфраструктуре.
Классификация по уровню доступности
Закон устанавливает базовое деление персональных данных по степени доступности. Данные подразделяются на два типа.
1. Общедоступные персональные данные
- требования соблюдения конфиденциальности не распространяются
- доступ свободный
- обязательное условие — наличие согласия субъекта
- статус не возникает автоматически при публикации информации в интернете или справочнике
2. Персональные данные ограниченного доступа
- подлежат защите в режиме конфиденциальности
- распространение без согласия субъекта или иного законного основания запрещено
- требуется реализация технических мер защиты: шифрование, разграничение доступа, аудит действий
Санкции за неправомерный сбор
Отдельное положение закона касается сведений, собранных с нарушением установленных требований. Если сбор или обработка персональных данных произведены неправомерно:
- такие сведения не могут считаться общедоступными, даже если они оказались в открытых источниках
- субъект данных вправе требовать их исключения из общедоступных источников
- срок исполнения требования — один рабочий день
Это положение служит механизмом защиты от неправомерного распространения личной информации и накладывает на операторов обязанность оперативно реагировать на запросы об удалении данных из публичных сегментов инфраструктуры.
Особенности общедоступных персональных данных
Итак, общедоступные персональные данные — это сведения, на которые в соответствии с законодательством не распространяются требования соблюдения конфиденциальности. Доступ к таким данным является свободным, но при одном обязательном условии — с согласия субъекта.
Простыми словами, общедоступные персональные данные — это информация о человеке, которую он сам разрешил сделать открытой. Разрешение может касаться как всей информации о нем, так и отдельных ее частей. Например, человек может согласиться на публикацию своего рабочего телефона и должности, но запретить распространение домашнего адреса.
Ключевое различие между двумя категориями данных заключается в режиме конфиденциальности. Персональные данные ограниченного доступа требуют защиты, и оператор обязан обеспечивать их сохранность. Общедоступные данные, напротив, выводятся из-под режима конфиденциальности с момента получения согласия субъекта. Это означает, что оператор не обязан применять к ним такие же технические меры защиты, как к закрытой информации.
Однако важно понимать, что снятие требований конфиденциальности не означает полного снятия ответственности. Общедоступные данные продолжают обрабатываться в рамках закона, и оператор несет ответственность за соблюдение прав субъекта, включая право на отзыв согласия и удаление данных.
Что относится к общедоступным персональным данным
Статус общедоступности определяется не характером информации, а наличием согласия субъекта и способом ее размещения. На практике к общедоступным персональным данным относятся:
- сведения из биографических и адресных справочников, опубликованных с согласия субъектов
- данные из телефонных книг, если человек дал согласие на включение своего номера в открытый справочник
- информация на корпоративных сайтах о сотрудниках — ФИО, должность, рабочий телефон, корпоративная электронная почта — при наличии письменного согласия работника
- данные в публичных профилях профессиональных сетей, если владелец профиля самостоятельно установил настройки открытости
- сведения, опубликованные в средствах массовой информации с согласия субъекта или в рамках профессиональной деятельности журналиста
- информация, включенная в общедоступные электронные информационные ресурсы на законных основаниях
Многие ошибочно полагают, что публикация информации в интернете автоматически делает ее общедоступной. Это не так. Если компания разместила на своем сайте базу данных клиентов без их согласия, такие сведения не приобретают статус общедоступных, даже если сайт не закрыт паролем. Сбор и обработка произведены с нарушением, и данные подлежат удалению по первому требованию субъекта.
Аналогично, если сотрудник указал свой номер телефона во внутреннем корпоративном справочнике для рабочих нужд, это не дает права выкладывать этот справочник в открытый доступ. Для распространения данных во внешней среде требуется отдельное согласие.
Если компания планирует публиковать информацию о своих сотрудниках на сайте или создавать открытый справочник клиентов, необходимо:
- зафиксировать согласие каждого субъекта в письменной форме или через сервисы контроля доступа
- четко определить, какие именно категории данных подлежат распространению
- обеспечить техническую возможность удаления данных из открытых источников в течение одного рабочего дня после отзыва согласия
Игнорирование этих требований приводит к тому, что данные, формально размещенные в открытом доступе, остаются конфиденциальными с точки зрения закона. Оператор, обрабатывающий такие сведения без надлежащего согласия, нарушает требования закона и подлежит административной ответственности.
Требования к согласию и механизмы контроля доступа
Основанием для обработки любых персональных данных, включая их распространение в открытых источниках, является согласие субъекта. Закон «О персональных данных и их защите» прямо устанавливает это требование: «сбор и обработка персональных данных осуществляются собственником или оператором с согласия субъекта или его законного представителя». Без такого согласия ни работодатель, ни контрагент, ни третье лицо не вправе получать, хранить или использовать персональные данные человека.
Согласие на сбор и обработку персональных данных может быть оформлено на бумажном носителе или в форме электронного документа. В случае электронного формата документ должен быть удостоверен электронной цифровой подписью.
Закон предъявляет четкие требования к содержанию согласия. В документе должны быть указаны:
- фамилия, имя, отчество, место жительства, данные документа, удостоверяющего личность субъекта
- наименование и адрес собственника или оператора, получающего согласие
- цель обработки персональных данных
- перечень персональных данных, на обработку которых дается согласие
- перечень действий с персональными данными, на совершение которых дается согласие
- срок, в течение которого действует согласие
Образцы таких документов разработаны и доступны для использования в кадровом делопроизводстве и при заключении гражданско-правовых сделок.
Незаконные сбор и обработка персональных данных влекут административную ответственность. Размеры штрафов зависят от категории субъекта правонарушения и рассчитываются в рамках месячного расчетного показателя (МРП). Размер МРП ежегодно утверждается законом о республиканском бюджете и меняется с 1 января каждого года.
Рекомендации для облачной инфраструктуры
Для компаний, использующих облачную инфраструктуру для хранения и обработки персональных данных, соблюдение требований к согласиям приобретает особое значение. Облачная среда позволяет гибко настраивать уровни доступа к базам данных, но юридическое основание для обработки должно быть подтверждено документально.
При проектировании облачной архитектуры рекомендуется:
- разделять базы данных, содержащие персональные данные, на основании наличия согласия на распространение
- хранить согласия субъектов в виде электронных документов, подписанных ЭЦП, или в интегрированных с негосударственными сервисами контроля доступа
- настраивать политики доступа таким образом, чтобы данные, не получившие статус общедоступных, не могли быть случайно опубликованы в открытых сегментах инфраструктуры
- обеспечивать возможность оперативного удаления данных из общедоступных источников в течение одного рабочего дня после отзыва согласия субъектом
Облачный провайдер со своей стороны должен предоставлять клиентам инструменты для разграничения доступа и аудита действий с персональными данными. Это позволяет клиенту контролировать, кто и когда обращался к данным, и подтверждать соблюдение требований законодательства при проверках.
Иностранные юридические лица, их филиалы и представительства, осуществляющие сбор и обработку персональных данных на территории Казахстана, обязаны соблюдать все требования законодательства. Это касается как компаний, открывших официальные представительства, так и тех, кто ведет деятельность через интернет и собирает данные граждан Казахстана.
Иностранные компании обязаны:
- уведомлять уполномоченный орган о начале обработки персональных данных
- обеспечивать локализацию баз данных на территории Казахстана
- соблюдать требования к защите данных и получению согласий
- выполнять требования субъектов об удалении или блокировании данных
Невыполнение этих обязанностей влечет те же виды ответственности, что и для казахстанских компаний.
Закон требует, чтобы базы данных, содержащие персональные данные граждан Казахстана, хранились на территории республики. Облачная инфраструктура должна обеспечивать возможность размещения серверов с такими базами в казахстанских дата-центрах. Поэтому, при использовании зарубежных облачных сервисов необходимо проверять, предусмотрена ли локализация данных в РК.
Заключение
Данные становятся общедоступными не в момент публикации в интернете или справочнике, а только после получения согласия субъекта. Собственники и операторы баз данных обязаны получать это согласие до начала сбора, оформлять его в письменной форме или через сервисы контроля доступа и указывать в нем цели обработки, перечень данных и срок действия. При этом, иностранные компании, которые работают с данными граждан Казахстана, должны обязательно локализовывать базы данных на территории РК и уведомлять уполномоченный орган.
Если вы планируете развернуть облачную инфраструктуру с локализацией в Казахстане и нуждаетесь в надежной платформе для работы с персональными данными, обращайтесь к ИТ-ГРАД. Мы предоставляем актуальные облачные решения, соответствующие требованиям законодательства. Наши специалисты помогут спроектировать архитектуру с учетом требований к защите данных, настроить разграничение доступа между общедоступными и конфиденциальными базами и обеспечить соблюдение всех нормативных требований.
Частые вопросы
1. Можно ли считать персональные данные общедоступными, если они опубликованы на сайте компании без согласия сотрудника?
Нет, такие данные не приобретают статус общедоступных. Для включения сведений в открытые источники требуется письменное согласие субъекта или оформление через сервисы контроля доступа.
2. В какой срок необходимо удалить персональные данные из открытых источников после отзыва согласия субъектом?
Закон устанавливает срок один рабочий день с момента получения требования от субъекта. Неисполнение этого требования в установленный срок является самостоятельным нарушением и влечет наложение штрафа.
3. Обязаны ли иностранные компании, собирающие данные граждан Казахстана через интернет, локализовать базы данных на территории РК?
Да, иностранные юридические лица, их филиалы и представительства, осуществляющие сбор и обработку персональных данных граждан Казахстана, обязаны обеспечить хранение баз данных на территории республики. Также требуется уведомить уполномоченный орган о начале обработки.
4. Чем отличается согласие на обработку персональных данных от согласия на их распространение?
Согласие на обработку позволяет использовать данные для внутренних целей компании — кадрового учета, исполнения договоров, ведения клиентской базы. Согласие на распространение требуется, если компания планирует публиковать данные в открытых источниках: на сайте, в справочниках, адресных книгах или передавать их неограниченному кругу лиц.
