Досье ITS на проект Закона Республики Казахстан
«О персональных данных»
(29 марта 2012 года)
1. Проект Закона РК (март 2012 года)
2. Проект Закона РК (сентябрь 2011 года)
3. Проект Закона РК (июнь 2011 года)
4. Экспертное заключение Национальная экономическая палата «Атамекен»
5. Пояснительная записка к проекту Закона РК
6. Проект постановления Мажилиса Парламента РК о подготовке заключения по проекту Закона РК
7. Пояснительная записка Мажилиса Парламента РК от 29 марта 2012 года № 13/II-127
8. Прогноз последствий принятия проекта Закона РК
10. Заключение повторной научной правовой экспертизы законопроекта
11. Заключение дополнительной научной антикоррупционной экспертизы проекта Закона РК
12. Заключение научной экономической экспертизы законопроекта
14. Экспертное заключение «Национальной экономической палаты «Атамекен»
15. Письмо «Ассоциации охранных организаций Республики Казахстан»
16. Сравнительная таблица (июнь 2012 года)
17. Новости, обсуждения по проекту
18. Закон РК от 21 мая 2013 года № 94-V
СРАВНИТЕЛЬНАЯ ТАБЛИЦА
по проекту Закона Республики Казахстан «О персональных данных»
8.05.12 г. Комитет 15.05.12 г. презентация проекта 1-заседание рабочей группы 25.05.2012 г 2-заседание рабочей группы 30.05.2012 г. 3-заседание рабочей группы 15.06.2012 г. 4-заседание рабочей группы 19.06.2012 г. 5-заседание рабочей группы 26.06.2012 г. 6-заседание рабочей группы 07.09.2012 г.
| 7-заседание рабочей группы 14.09.2012 г. 8-заседание рабочей группы 28.09.2012 г. 9-заседание рабочей группы 04.10.2012 г. 10-заседание рабочей группы 11.10.2012 г. 11-заседание рабочей группы 18.10.2012 г. 12-заседание рабочей группы 24.10.2012 г. 13-заседание рабочей группы 01.11.2012 г. 14-заседание рабочей группы 12.11.2012 г.
|
СРАВНИТЕЛЬНАЯ ТАБЛИЦА
по проекту Закона Республики Казахстан «О персональных данных»
№ п/п | Структур ный элемент | Редакция проекта | Редакция предлагаемого изменения и дополнения | Автор изменения или дополнения и его обоснование | Решение головного комитета Обоснование (в случае не принятия) |
1 | 2 | 3 | 4 | 5 | 6 |
1. | Заголовок проекта Закона | О персональных данных | Заголовок проекта закона изложить в следующей редакции: «О персональных данных и их защите»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
В обеспечение гарантированности принятия со стороны государства достаточных мер на сохранность и безопасность персональных данных, а также их конфиденциальность.
| Принято |
2. | Преамбула проекта Закона | Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанной с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами. | Преамбулу проекта изложить в следующей редакции: «Настоящий Закон регулирует правовые отношения в сфере персональных данных, а также определяет цели, задачи, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных, осуществляемыми государственными органами, физическими и юридическими лицами.»
| Комитет по экономической реформе и региональному развитию
Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин С.Бычкова
Вводимый Закон должен определять не только правовые основы, связанные с обработкой персональных данных, а также регулировать правоотношения в сфере персональных данных и последовательность получения, т.е. сбора и защиты персональных данных.
| принято |
3. | Статья 1 проекта | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: 1) биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность; 2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные; 3) субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные; 4) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи; 5) сбор персональных данных - процедура получения держателем персональных данных от субъекта; 6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных; 7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту; 8) обработка персональных данных - отдельные действия или их совокупность по осуществлению доступа, сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения, обезличивания, блокирования и уничтожения персональных данных; 9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных; 10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц; 11) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; 12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства; 13) общедоступные персональные данные - персональные данные, на которые не распространяются требования сохранения тайн, установленные действующим законодательством Республики Казахстан; 14) третье лицо - лицо, не являющееся субъектом или держателем персональных данных, но связанное обстоятельствами или правоотношениями с одной из этих сторон в ходе обработки персональных данных.
| Статью 1 проекта изложить в следующей редакции: «Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: 1) биометрические данные - персональные данные, которые отражают физиологические и биологические особенности субъекта; 2) персональные данные - сведения о физическом лице, зафиксированные на бумажном и (или) ином материальном, а также электронном носителях, относящиеся к определенному или определяемому на основании таких информаций субъекту; 3) сбор персональных данных - действия направленные на получение собственником и (или) оператором персональных данных о субъекте; 4) субъект персональных данных (далее - субъект)- физическое лицо, к которому относятся персональные данные; 5) оператор персональных данных (далее - оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющее сбор, обработку и защиту персональных данных; 6) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное обстоятельствами или правоотношениями с одной из этих сторон в ходе сбора, обработки и защиты персональных данных; 7) обработка персональных данных - действия направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных; 8) собственник базы, содержащей персональные данные (далее - собственник) - государственный орган, физическое и (или) юридическое лицо, реализующие права владения, пользования и распоряжения; 9) уполномоченный орган в сфере персональных данных (далее - уполномоченный орган) - государственный орган, осуществляющий руководство в сфере персональных данных; 10) защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, направленных на сохранение, обеспечение конфиденциальности, а также предотвращение незаконного сбора и (или) обработки персональных данных. 11) база, содержащая персональные данные - материально-программный продукт, содержащий персональные данные; 12) уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить содержание персональных данных на бумажном и (или) ином материальном носителе, а также носителе, позволяющем их собирать и обрабатывать в электронном виде; 13) блокирование персональных данных - действия, по временному прекращению использования и распространения персональных данных собственником и (или) оператором; 14) обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту невозможно; 15) использование персональных данных - действия (операции) с персональными данными, совершаемые собственником и (или) оператором в целях принятия решений или совершения иных действий, повлекшие юридические последствия в отношении субъекта или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц; 16) распространение персональных данных - действия, в результате которого происходит передача персональных данных определенному лицу, в том числе, путем распространения в средствах массовой информации, сообщениях телекоммуникаций или предоставление доступа к персональным данным каким-либо иным способом.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М. Айсина Р.Сарпеков Н. Сабильянов С.Бычкова
Поскольку персональные данные человека и гражданина имеет широкий спектр, их перечень невозможно ограничить в предложенной Правительством редакции, в связи с чем понятийный аппарат предложен в другой редакции. Введены новые понятия как оператор и собственник базы в лице владельца персональных данных, уполномоченный орган в сфере персональных данных, а также детализирована процедура защиты. Указанные нормы введены в целях урегулирования правовых отношений, возникшие при применении закона. | Принято |
4. | Статья 1 проекта | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| 2) персональные данные - сведения о физическом лице позволяющие установить и идентифицировать его личность, зафиксированные на бумажном и (или) ином материальном, а также электронном носителях, относящиеся к определенному или определяемому на основании таких информаций субъекту;
| Депутат А.Соловьева
Конкретизация нормы, нацеленная на смещение акцента на личность, а только затем фиксация этих сведений. |
|
5. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| подпункте 2) статьи 1 проекта после слово «имущества,» дополнить словом «доходы,»
| Комитет по экономической реформе и региональному развитию
Имеются случаи незаконного запрашивания коллекторскими агентствами информации у работодателя о доходах заемщика.
| Доработать |
6. | Статья 2 проекта Закона | Статья 2. Цель настоящего Закона Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.
| Статью 2 проекта изложить в следующей редакции: «Статья 2. Цель настоящего Закона Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при сборе, обработке его персональных данных. »
| Депутаты Н. Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М. Абенов Н.Сабильянов Расширение цели настоящего закона связано не только обеспечением защиты прав и свобод человека в рамках обработки персональных данных, но в пределах создания условий, связанной с этой деятельностью.
| Принято |
7. | Статья 3 | Статья 3. Сфера действия настоящего Закона 1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции. 2. Иная деятельность государственных органов по обработке персональных данных, с учетом специфики выполняемых ими задач и функций, регулируется соответствующим отраслевым законодательством. 3. Действие настоящего Закона не распространяется на отношения, возникающие при: 1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных; 2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле; 3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
| Статью 3 проекта изложить в следующей редакции: «Статья 3. Действие настоящего Закона 1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных. 2. Особенности сбора, обработки и защиты персональных данных, могут регулироваться иными законами Республики Казахстан. 3. Действие настоящего Закона не распространяется на отношения, возникающие при: 1) сборе, обработке и защите персональных данных их субъектами, если при этом не нарушаются права иных субъектов и требования законов Республики Казахстан; 2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах; 3) сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах.» | Комитет по международным делам, обороне и безопасности
Депутаты Н. Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин Р.Сарпеков Н. Сабильянов
Уточнение редакции. Понятие «государственная тайна» поглощается понятием «государственные секреты». Так, в соответствии с Законом Республики Казахстан «О государственных секретах», государственные секреты это защищаемые государством сведения, составляющие государственную и служебную тайны. Из нормы законопроекта вытекает что, служебная тайна, содержащая персональные данные, будет регулироваться данным законопроектом, что противоречит положениям Закона Республики Казахстан «О государственных секретах».
| Принято |
8. | Статья 3 | Статья 3. Сфера действия настоящего Закона 1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции.
| В пункте 1 статьи 3 слова «юридическими и физическими» заменить словами «физическими и юридическими» | Комитет по экономической реформе и региональному развитию
Юридическая техника | Не принято |
9. | Статьи 4 и 5 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных 1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан. 2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора. Глава 2. Условия доступа и обработки персональных данных
| Статьи 4 и 5 проекта изложить в следующей редакции: «Статья 4. Законодательство Республики Казахстан в сфере персональных данных 1. Законодательство Республики Казахстан в сфере персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан. 2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.
Статья 5. Принципы сбора, обработки и защиты персональных данных Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами: 1) соблюдения конституционных прав, свобод и законных интересов человека и гражданина; 2) законности их целей и способов; 3) конфиденциальности; 4) равенства прав субъектов, собственников и операторов; 5) обеспечения безопасности личности, общества и государства.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин Р. Сарпеков
В связи с детализацией принципов сбора, обработки и защиты персональнх данных, а также последовательости расположения по степени важности. | Принято |
10. | Новая глава проекта | Отсутствует | Дополнить новой главой 2 следующего содержания: «Глава 2. Государственное регулирование в сфере персональных данных
Статья 6. Компетенция Правительства Республики Казахстан Правительство Республики Казахстан: 1) разрабатывает основные направления государственной политики в сфере персональных данных; 2) утверждает порядок сбора, обработки и защиты персональных данных; 3) утверждает порядок ведения реестра собственников и (или) операторов; 4) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 7. Компетенция уполномоченного органа 1. Уполномоченный орган: 1)разрабатывает и утверждает порядок определения собственником и оператором перечня персональных данных, необходимого для выполнения осуществляемых ими задач; 2) координирует деятельность в сфере персональных данных в соответствии с требованиями настоящего Закона; 3) вносит предложения по совершенствованию нормативных правовых актов в сфере персональных данных; 4) осуществляет контроль и надзор за соблюдением законодательства Республики Казахстан в сфере персональных данных в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан»; 5) запрашивает и получает в порядке, установленном законами Республики Казахстан, от субъекта, собственника и (или) оператора, а в отдельных случаях третьего лица информацию, необходимую для реализации своих полномочий; 6) осуществляет проверку собственников и операторов или привлекает для осуществления такой проверки иные государственные органы в пределах их полномочий; 7) выявляет и принимает меры по устранению нарушений законодательства Республики Казахстан в сфере персональных данных; 8) требует от собственника и (или) оператора подтверждения блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 9) обеспечивает соблюдение прав субъектов, собственников и операторов; 10) рассматривает обращения физических и юридических лиц по вопросам, связанным со сбором, обработкой, защитой персональных данных; 11) в случае необходимости обращается с исковым заявлением в суд в защиту прав субъектов, собственников и операторов и представляет их интересы в суде; 12) информирует субъектов, собственников и операторов по их обращениям о состоянии работы в сфере персональных данных; 13) ведет реестр собственников и (или) операторов; 14) выполняет иные функции, возложенные на него настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан и Правительства Республики Казахстан.»
Последующую нумерацию глав изменить.
| Комитет по социально культурному развитию
Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М.Айсина
Комитет по социально-культурному развитию также предлагает предусмотреть в проекте Закона «О персональных данных» создание Уполномоченного органа по защите прав субъектов персональных данных, наделив его полномочиями по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Республики Казахстан в области персональных данных. Одной из приоритетных задач указанного уполномоченного органа должно стать ведение Реестра держателей персональных данных. Кроме того, предусмотреть в законопроекте механизм взаимодействия Уполномоченного органа с правоохранительными и другими государственными органами в ходе контрольно-надзорной деятельности.
|
|
11. | глава 2 проекта | Глава 2. Условия доступа и обработки персональных данных
Статья 6. Условия доступа и обработки персональных данных 1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим. Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона. 2. Персональные данные должны собираться для законных и заявленных целей и в дальнейшем не подлежат иной обработке.
Статья 7. Обработка персональных данных без согласия субъекта Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях: 1) обработки персональных данных, полученных в ходе осуществления разведывательной, контрразведывательной, антитеррористической деятельности, а также сведениям, составляющим государственные секреты; 2) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан; 3) осуществления органами прокуратуры надзорных полномочий; 4) реализации международных договоров Республики Казахстан о реадмиссии; 5) использования персональных данных для статистических целей с условием обязательного обезличивания персональных данных; 6) защиты жизни, здоровья или иных законных интересов субъекта персональных данных, если получение его согласия невозможно; 7) оказания услуг в области связи; 8) использования персональных данных в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта персональных данных; 9) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности; 10) обработки персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, а также о противодействии легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма; 11) непредставления субъектом своих персональных данных, предусмотренных статьей 8 настоящего закона.
Статья 8. Обязательность предоставления персональных данных субъектом Субъект персональных данных обязан предоставлять свои персональные данные: 1) в целях обороны страны, безопасности государства и охраны правопорядка; 2) при обработке персональных данных органами социальной защиты населения, организациями осуществляющими свою деятельность в сфере социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов субъекта персональных данных в соответствии с действующим законодательством Республики Казахстан; 3) в соответствии с законами Республики Казахстан «Об образовании», «О частном предпринимательстве», Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет» (Налоговый кодекс)»; 4) связанные с отношениями, касающимися воинской обязанности и воинской службы граждан Республики Казахстан; 5) при осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан; 6) при осуществлении законодательства об административных правонарушениях, гражданского процессуального, уголовно-процессуального и уголовно-исполнительного законодательства Республики Казахстан.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
Глава 3. Правовой режим обработки персональных данных Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных 1. Обработка персональных данных осуществляется их держателем только с согласия субъекта персональных данных либо его законного представителя, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона. 2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи. 3. В случае недееспособности или ограниченной дееспособности субъекта, а также его несовершеннолетнего возраста согласие на обработку его персональных данных дает его законный представитель. 4. В случае смерти субъекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан. 5. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных - обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя персональных данных.
Статья 11. Особенности обработки и условия сбора биометрических персональных данных 1. Обработка биометрических персональных данных осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных подпунктами 1), 4), 10) статьи 7 и подпунктами 1), 5) статьи 8 настоящего Закона. 2. Сбор биометрических персональных данных осуществляется держателем с учетом физиологических особенностей человека, на основе которых можно установить его личность, имеющих неотъемлемые свойства (отпечатки пальцев, группа крови, изображение радужной оболочки глаз и другие), а также физических особенностей, которые могут носить приобретенный характер в силу определенных обстоятельств (изменение естественного строения (роста, веса), деформация и отсутствие конечностей (органов), наличие обширных рубцов и других повреждений на теле). 3. Сбор биометрических персональных данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью субъекта персональных данных, без дискриминации по признакам пола, расы, национальности, отношения к религии, убеждений и иным мотивам. 4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
Статья 12. Особенности обработки общедоступных персональных данных 1. В целях информационного обеспечения населения создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться сведения и персональные данные, предоставленные субъектом. 2. Сведения о субъекте исключаются из общедоступных источников персональных данных по требованию субъекта либо по решению суда.
Статья 13. Конфиденциальность персональных данных Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений. Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия субъекта персональных данных.
Статья 14. Обезличивание персональных данных Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.
Статья 15. Передача персональных данных 1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения. 2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта. 3. Порядок передачи персональных данных определяется Правительством Республики Казахстан.
Статья 16. Международная передача персональных данных В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных. Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
| Главы 2 и 3 объединить и изложить в следующей редакции: «Глава 3. Персональные данные, порядок их сбора, обработки
Статья 8. Виды персональных данных 1. Персональные данные подразделяются на: 1) персональные данные на бумажном и (или) ином материальном носителе - сведения, находящие свое отображение в форме символов и (или) образов; 2) персональные данные на электронном носителе - сведения, позволяющие собирать, обрабатывать персональные данные в электронном виде. 2. Персональные данные по доступности подразделяются на: 1) общедоступные; 2) ограниченного доступа. Общедоступные персональные данные - персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности. Персональные данные ограниченного доступа - персональные данные, доступ к которым ограничен законодательством Республики Казахстан.
Статья 9. Общедоступные источники персональных данных В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе, биографические справочники, телефонные, адресные книги, открытые электронные информационные ресурсы, средства массовой информации).
Статья 10. Конфиденциальность персональных данных 1. Собственники и (или) операторы, третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность. 2. Лица, которым стали известны персональные данные в связи с исполнением ими профессиональных, служебных или трудовых обязанностей, должны обеспечивать их конфиденциальность. 3. Биометрические данные являются конфиденциальными, за исключением случаев предусмотренных законодательством Республики Казахстан.
Статья 11. Условия сбора, обработки персональных данных 1. Сбор, обработка персональных данных производится для выполнения задач, осуществляемых собственником и (или) оператором, при условии обеспечения им (ими) защиты прав и свобод человека и гражданина. 2. Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных пунктом 3 статьи 20 и статьи 22 настоящего Закона. 3. Сбор, обработка персональных данных в электронным виде осуществляются в соответствии с законодательством Республики Казахстан об информатизации.
Статья 12. Доступ к персональным данным 1. Доступ к персональным данным определяется условиями согласия субъекта, предоставленного собственнику и (или) оператору на их сбор, обработку, если иное не предусмотрено законами Республики Казахстан. Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор и (или) третье лицо отказывается принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не может их обеспечить. 2. Обращение (запрос) субъекта относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно либо в форме электронного документа, заверенного электронной цифровой подписью. 3. Отношения между собственником и (или) оператором и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.
Статья 13. Накопление и хранение персональных данных 1. Накопление персональных данных производится путем сбора персональных данных необходимых для выполнения задач, осуществляемых собственником и (или) оператором. 2. Хранение персональных данных осуществляется собственником и (или) оператором в целях обеспечения их целостности, конфиденциальности и доступности.
Статья 14. Внесение изменений и дополнений в персональные данные Собственники и (или) операторы персональных данных вносят изменения и (или) дополнения в персональные данные на основании обращения (запроса) субъекта или его законного представителя либо в случаях, предусмотренных законами Республики Казахстан.
Статья 15. Использование персональных данных Собственником и (или) оператором, а также их работником использование персональных данных должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями.
Статья 16. Распространение персональных данных 1. Распространение персональных данных собственником и (или) оператором допускается в случаях, если их использование не ущемляет права и свободы субъекта и соответствует целям их получения. 2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта. 3. Распространение персональных данных собственником и (или) оператором и (или) третьим лицом на территории иностранных государств осуществляется в соответствии с настоящим Законом и (или) международными договорами, предусматривающими порядок распространения персональных данных, только в случаях обеспечения этим государством равнозначной защиты прав субъектов. Распространение персональных данных на территории иностранных государств может быть запрещено или ограничено законами Республики Казахстан в целях защиты конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
Статья 17. Обезличивание персональных данных При сборе и обработке персональных данных для проведения статистических, социологических, медицинских и других исследований собственник и (или) оператор обязан их обезличить.
Статья 18. Уничтожение персональных данных Персональные данные подлежат уничтожению собственником и (или) оператором, если это не противоречит требованиям законодательства Республики Казахстан, в случаях: 1) истечения срока хранения персональных данных; 2) предусмотренных подпунктом 4) пункта 1 статьи 20, подпунктом 7) и абзацами вторым и четвертым подпункта 11) статьи 21 настоящего Закона; 3) прекращения правоотношений между субъектом, собственником и (или) оператором; 4) вступления в законную силу решения суда; 5) обращения субъекта.
Статья 19. Сообщение о действиях с персональными данными 1. При наличии условия об уведомлении субъекта о передаче его персональных данных другому собственнику и (или) оператору, а также третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляет об этом субъекта, если иное не предусмотрено законами Республики Казахстан. 2. Требования пункта 1 настоящей статьи не распространяются на случаи: 1) передачи персональных данных по запросам судов, судебных исполнителей, правоохранительных и специальных государственных органов, а также иных органов, осуществляющих оперативно-розыскную деятельность; 2) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан; 3) осуществления сбора, обработки персональных данных в исторических, статистических или научных целях.»
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М. Айсина С. Бычкова
Произведена конкретизация видов носителей персональных данных, а также их доступа. Более того, уточнены особенности отдельных действий обработки персональных данных. | Принято
|
12. | Пункт 4 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
| Пункт 4 статьи 11 исключить;
| Комитет по экономической реформе и региональному развитию
повторение с подпунктом 2) пункта 1 статьи 25 проекта
| Принято |
13. | Главы 4 и 5 проекта | Глава 4. Права субъекта персональных данных Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования 1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение. 2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей: 1) подтверждение факта обработки персональных данных; 2) указание цели и способов обработки персональных данных; 3) сведения о лицах, которые имеют доступ к персональным данным; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки их хранения. 3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. 5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 10 настоящего Закона. 6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды 1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных. 2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
Статья 19. Право на обжалование действий или бездействия держателя персональных данных 1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию) или в судебном порядке. 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 5. Обязанности держателя персональных данных Статья 20. Обязанности держателя при сборе персональных данных 1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона. 2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке 1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 2. При использовании информационных систем, предназначенных для обработки персональных данных, держатель обязан обеспечить соблюдение требований информационной безопасности и принятых на территории Республики Казахстан стандартов.
Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя 1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения. 2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ, содержащий ссылку на положение пункта 6 статьи 17 настоящего Закона, являющееся основанием для такого отказа, в срок, не превышающий трех рабочих дней со дня получения запроса.
Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных 1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта. 2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.
Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных 1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту. 2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя. 3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан. 4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.
| Главы 4 и 5 объединить и изложить в следующей редакции:
«Глава 4. Права и обязанности субъекта. Полномочия собственника и (или) оператора
Статья 20. Права и обязанности субъекта 1. Субъект имеет право: 1) знать о наличии у собственника и (или) оператора своих персональных данных, а также получать информацию, содержащую: подтверждение факта, с указанием цели и способов обработки персональных данных; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; 2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами; 3) требовать от собственника и (или) оператора блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных; 4) требовать от собственника и (или) оператора уничтожения своих персональных данных, сбор и обработка которых произведена с нарушением законодательства Республики Казахстан; 5) отзывать согласие на сбор, обработку персональных данных, кроме случая, предусмотренного пунктом 2 статьи 23 настоящего Закона; 6) отказать в выдаче персональных данных в общедоступные источники персональных данных; 7) на защиту своих прав и законных интересов, в том числе возмещение вреда. 2. Права субъекта могут ограничиватся только в случаях, предусмотренных законами Республики Казахстан. 3. Субъект обязан предоставлять свои персональные данные в случаях, установленных законами Республики Казахстан.
Статья 21. Полномочия собственника и (или) оператора
Собственник и (или) оператор: 1) в порядке, определяемом уполномоченным органом, утверждает перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач; 2) осуществляет сбор, обработку и защиту персональных данных в порядке, установленным настоящим Законом и иными нормативными правовыми актами Республики Казахстан; 3) вносит предложения по совершенствованию системы сбора, обработки и защиты персональных данных; 4) координирует деятельность подведомственных организаций в сфере сбора, обработки и защиты персональных данных; 5) принимает и соблюдает необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан; 6) обеспечивает соблюдение законодательства Республики Казахстан в сфере персональных данных в пределах своей компетенции; 7) принимает меры по уничтожению персональных данных в соответствии с законами Республики Казахстан в случае достижения цели сбора, обработки; 8) предоставляет доказательства о получении согласия субъекта на сбор и обработку его персональных данных, в случаях предусмотренных законодательством Республики Казахстан; 9) сообщает информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан; 10) предоставляет мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения обращения, в случае отказа в выдаче информации субъекту или его законному представителю, если иные сроки не предусмотрены законодательством Республики Казахстан 11) принимает незамедлительно меры по: изменению и (или) дополнению персональных данных, на основании соответствующих документов, подтверждающих их достоверность или уничтожению при невозможности их изменения и (или) дополнения; блокированию персональных данных, относящихся к субъекту в случае наличия информации о нарушении условий сбора, обработки персональных данных; уничтожению персональных данных в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан; снятию блокирования в случаях не подтверждения факта нарушения условий сбора, обработки персональных данных.
Статья 22. Сбор, обработка персональных данных без согласия субъекта Сбор, обработка персональных данных производится без согласия субъекта в случаях: 1) осуществления правосудия, исполнительного производства, деятельности правоохранительных и специальных государственных органов, а также оперативно-розыскной деятельности; 2) осуществления государственной статистической деятельности; 3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания; 4) реализации международных договоров Республики Казахстан о реадмиссии; 5) защиты конституционных прав или иных законных интересов субъекта, если получение его согласия или согласия его законных представителей невозможно; 6) оказания государственных услуг; 7) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта; 8) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности; 9) неисполнения субъектом своих обязанностей по предоставлению персональных данных в случаях, предусмотренных законами Республики Казахстан; 10) обработки персональных данных, которая необходима в целях исполнения договора, одной из сторон которого является субъект; 11) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан; 12) в иных случаях установленных законами Республики Казахстан.
Статья 23. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных 1. Субъект либо его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, заверенного электронной цифровой подписью, в порядке, установленном собственником и оператором с соблюдением требований настоящей главы. 2. Субъект либо его законный представитель не может отозвать согласие на сбор, обработку персональных данных, в случаях если это противоречит законодательству, а также условиям исполнения договора, одной из сторон которого является субъект либо его законный представитель. 3. Дача (отзыв) согласия на сбор, обработку персональных данных недееспособного, признанного недееспособным или ограниченным в дееспособности субъекта производится его законным представителем, опекуном, попечителем. 4. В случае смерти субъекта дача (отзыв) согласия на сбор, обработку его персональных данных осуществляется в соответствии с гражданским законодательством Республики Казахстан.
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М.Айсина Р. Сарпеков Н.Сабильянов
Расширены права субъектов персональных данных. Определены права и обязанности уполномоченного органа, чего не было в предлагаемой Правительством редакции.
| Принято |
14. | Новая глава | Отсутствует | Дополнить новой главой 5 следующего содержания:
«Глава 5. Защита персональных данных
Статья 24. Защита персональных данных на бумажных и иных материальных носителях Защита персональных данных на бумажных и иных материальных носителях осуществляется путем принятия мер, в том числе правовых, организационных и технических, в целях: 1) обеспечения целостности и сохранности персональных данных; 2) соблюдения конфиденциальности персональных данных; 3) реализации права на доступ к персональным данным; 4) недопущения незаконного воздействия на сбор, обработку персональных данных.
Статья 25. Обязанности собственника и (или) оператора по защите персональных данных на бумажных и иных материальных носителях 1 Собственник, оператор и третье лицо, обязаны принимать необходимые меры обеспечивающие защиту персональных данных. 2. Обязанность собственника и (или) оператора, а также третьего лица, возникает с момента получения персональных данных и действует до момента их уничтожения либо обезличивания.
Статья 26. Защита персональных данных на электронных носителях Защита персональных данных на электронных носителях осуществляется в соответствии с законодательством Республики Казахстан об информатизации. »
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Введена новая глава, которая усиливает ответственность операторов и собственников (в лице владельца) в вопросах защиты персональных данных субъектов. | Принято |
15. | Глава 6 | Глава 6. Государственное регулирование в сфере персональных данных
Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных 1. Правительство Республики Казахстан: 1) разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека при обработке его персональных данных; 2) утверждает порядок хранения биометрических персональных данных; 3) утверждает порядок передачи персональных данных; 4) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 26. Компетенция органов в области социальной защиты населения в сфере обработки персональных данных Органы в области социальной защиты населения координируют деятельность держателей персональных данных.
Статья 27. Компетенция органов информатизации в сфере обработки персональных данных Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.
Статья 28. Компетенция иных государственных органов в сфере обработки персональных данных Иные государственные органы в пределах своей компетенции осуществляют обработку персональных данных в порядке, установленном законодательством Республики Казахстан.
| Главу 6 исключить. | Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Определение компетенции Правительства, исключение компетенции органов в области социальной защиты населения в сфере обработки персональных данных, органов информатизации и иных органов в сфере персональных данных связано с правовой основой деятельности отдельных государственных органов. | Принято |
16. | Глав 7 проекта | Глава 7. Заключительные положения и переходные положения Статья 29. Государственный контроль и надзор в области обработки персональных данных 1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан». 2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.
Статья 30. Ответственность за нарушение законодательства Республики Казахстан о персональных данных Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан. Статья 31. Порядок введения в действие настоящего Закона Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.
| Главу 7 изложить в следующей редакции:
«Глава 6. Заключительные и переходные положения
Статья 27. Надзор за применением настоящего Закона
Высший надзор за точным и единообразным применением настоящего Закона возлагается на органы прокуратуры Республики Казахстан.
Статья 28. Ответственность за нарушение законодательства Республики Казахстан в сфере персональных данных Нарушение законодательства Республики Казахстан в сфере персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
Статья 29. Рассмотрение споров Споры, возникающие при сборе, обработке и защите персональных данных подлежат рассмотрению в судебном порядке в соответствии с законодательством Республики Казахстан. Статья 30. Порядок введения в действие настоящего Закона 1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования. 2. Государственные органы, физические и юридические лица, деятельность которых связана со сбором, обработкой и защитой персональных данных, обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствии с требованиями настоящего Закона.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов М.Абенов Б. Ертаев К. Идирисов А. Пепенин
В целях соблюдения интересов прав и свобод человека и гражданина введены права по обращению в суд и обеспечения судебной защиты в случае возникновения споров, связанных с вопросами персональных данных. | Принято |
Заң жобасының мәтіні «Нормативтік құқықтық актілер туралы» Қазақстан Республикасы Заңының нормаларына сәйкес келтірілсін.
Текст законопроекта привести в соответствие с нормами Закона Республики Казахстан «О нормативных правовых актах»
Комитет төрағасы Р. Мұқашев
08.05.12 г. Комитет 15.05.12 г. презентация проекта 1-заседание рабочей группы 25.05.2012 г 2-заседание рабочей группы 30.05.2012 г. 3-заседание рабочей группы 15.06.2012 г. 4-заседание рабочей группы 19.06.2012 г. | 5-заседание рабочей группы 26.06.2012 г. 6-заседание рабочей группы 07.09.2012 г. 7-заседание рабочей группы 14.09.2012 г.
|
№ п/п | Структур ный элемент | Редакция проекта | Редакция предлагаемого изменения и дополнения | Автор изменения или дополнения и его обоснование | Решение головного комитета Обоснование (в случае не принятия) |
1 | 2 | 3 | 4 | 5 | 6 |
1. | Заголовок проекта Закона | О персональных данных | Заголовок проекта закона изложить в следующей редакции: «О персональных данных и их защите»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
В обеспечение гарантированности принятия со стороны государства достаточных мер на сохранность и безопасность персональных данных, а также их конфиденциальность.
|
|
2. | Преамбула проекта Закона | Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанной с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами. | Преамбулу проекта изложить в следующей редакции:
«Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных, осуществляемых государственными органами, физическими и (или) юридическими лицами.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Вводимый Закон должен определять не только правовые основы, связанные с обработкой персональных данных, а также регулировать последовательность получения, т.е. сбора и защиты персональных данных.
|
|
3. | Преамбула проекта Закона | Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанной с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами. | Настоящий Закон регулирует правоотношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами.
| Депутат С.Бычкова
1) назначением каждого закона является не определение, а регулирование правоотношений; 2) цели, задачи и принципы являются элементами правовых основ (либо регулируемых законом правоотношений).
|
|
4. | Текст законно проекта | Текст законопроекта | По всему тексту слово «держатель» заменить словом «оператор».
| Депутат С.Бычкова
1) в отношении персональный данных использование термина «держатель» представляется некорректным; 2) субъект, осуществляющий обработку информации, именуется оператором.
|
|
5. | Преамбула | Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанной с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами.
| В преамбуле слова «юридическими и физическими» заменить словами «физическими и юридическими» | Комитет по экономической реформе и региональному развитию
Юридическая техника. Приведение в соответствие с Конституцией Республики Казахстан.
|
|
6. | Статья 1 проекта | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: 1) биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность; 2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные; 3) субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные; 4) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи; 5) сбор персональных данных - процедура получения держателем персональных данных от субъекта; 6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных; 7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту; 8) обработка персональных данных - отдельные действия или их совокупность по осуществлению доступа, сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения, обезличивания, блокирования и уничтожения персональных данных; 9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных; 10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц; 11) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; 12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства; 13) общедоступные персональные данные - персональные данные, на которые не распространяются требования сохранения тайн, установленные действующим законодательством Республики Казахстан; 14) третье лицо - лицо, не являющееся субъектом или держателем персональных данных, но связанное обстоятельствами или правоотношениями с одной из этих сторон в ходе обработки персональных данных.
| Статью 1 проекта изложить в следующей редакции: «Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: 1) биометрические данные - персональные данные, которые отражают физиологические и биологические особенности человека; 2) персональные данные - сведения о физическом лице, зафиксированные на бумажном и (или) ином материальном, а также электронном носителях, относящиеся к определенному или определяемому на основании таких информаций субъекту; 3) сбор персональных данных - процедура получения собственником и (или) оператором персональных данных о субъекте; 4) субъект персональных данных (далее - субъект)- физическое лицо, к которому относятся персональные данные; 5) оператор персональных данных (далее - оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющее сбор, обработку и защиту персональных данных; 6) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное обстоятельствами или правоотношениями с одной из этих сторон в ходе сбора, обработки и защиты персональных данных; 7) обработка персональных данных - действия по осуществлению доступа, накопления, хранения, изменения, дополнения, использования, распространения, обезличивания, блокирования и уничтожения персональных данных 8) собственник базы, содержащей персональные данные (далее - собственник) - государственный орган, физическое и (или) юридическое лицо, в полном объеме реализующий права владения, пользования и распоряжения; 9) уполномоченный орган в сфере персональных данных (далее - уполномоченный орган) - государственный орган, осуществляющий руководство в сфере персональных данных; 10) защита персональных данных - комплекс правовых, организационных и технических мероприятий, направленных на сохранение, обеспечение конфиденциальности, а также предотвращение незаконного сбора и (или) обработки персональных данных. 11) база, содержащая персональные данные - материально-программный продукт, содержащий персональные данные; 12) уничтожение персональных данных - действия, в результате которых персональные данные, прекращают свое существование; 13) блокирование персональных данных - временное прекращение использования и распространения персональных данных собственником и (или) оператором; 14) обезличивание персональных данных - действия, в результате которых определение принадлежности персональных данных к субъекту невозможно; 15) использование персональных данных - действия (операции) с персональными данными, совершаемые собственником и (или) оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц; 16) распространение персональных данных - передача персональных данных определенному лицу, в том числе, путем распространения в средствах массовой информации, сообщениях телекоммуникаций или предоставление доступа к персональным данным каким-либо иным способом.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М.Абенов Поскольку персональные данные человека и гражданина имеет широкий спектр, их перечень невозможно ограничить в предложенной Правительством редакции, в связи с чем понятийный аппарат предложен в другой редакции. Введены новые понятия как оператор и собственник базы в лице владельца персональных данных, уполномоченный орган в сфере персональных данных, а также детализирована процедура защиты. Указанные нормы введены в целях урегулирования правовых отношений, возникшие при применении закона. |
|
7. | Статья 1 проекта | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: 2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
5) сбор персональных данных - процедура получения держателем персональных данных от субъекта;
6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных;
8) обработка персональных данных - отдельные действия или их совокупность по осуществлению доступа, сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения, обезличивания, блокирования и уничтожения персональных данных;
9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;
12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства;
13) общедоступные персональные данные - персональные данные, на которые не распространяются требования сохранения тайн, установленные действующим законодательством Республики Казахстан;
| Подпункты 2, 5, 6, 8, 9, 12 и 13 статьи 1 изложить в следующей редакции: «2) персональные данные - зафиксированная на бумажном, электронном либо ином материальном носителе информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
5) сбор персональных данных - процедура получения персональных данных; 1
6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных; 8) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
9) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
12) трансграничная передача персональных данных - передача персональных данных оператором через государственную границу Республики Казахстан органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
13) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с законами Республики Казахстан не распространяется требование соблюдения конфиденциальности.
| Депутат С.Бычкова
1) в сфере информационных технологий корректней использовать термин «информация», а не сведения; 2) в норме целесообразно указать наиболее распространенные виды материальных носителей информации.
1) персональные данные могут быть получены не только от субъекта;
уточнение представляется необходимым в связи с тем, что норма впоследствии найдет отражение в диспозиции статьи об ответственности за уничтожение информации.
1) учет всего цикла обработки информации; 2) уточнение в соответствии с терминологией, используемой в сфере информационных технологий.
1) в отношении персональный данных использование термина «держатель» представляется некорректным; 2) субъект, осуществляющий обработку информации, именуется оператором.
1) передачу информации через границу нельзя именовать международной передачей; 2) уточнение круга субъектов, которым передается информация за пределами Республики Казахстан.
1) основанием для общедоступности является согласие субъекта; 2) уточнение редакции.
|
|
8. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| Пункт 2) статьи 1 изложить в следующей редакции: «2)персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, прежние фамилии (в случае смены фамилии), имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, место регистрации и жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, наличие доли в уставном капитале юридических лиц, образование, профессия, сведения о судимости и биометрические персональные данные»; | Депутат Н.Сабильянов
Для сбора более полной информации о гражданах. Ежегодно тысячи граждан РК сменяют фамилии по тем или иным причинам (национальные традиции, смена девичьей фамилии на фамилию мужа и т.д.).
Согласно статье 9 Закон РК «О миграции населения» уполномоченный орган по вопросам миграции осуществляет регистрацию по месту жительства и снятие с регистрации граждан Республики Казахстан. |
|
9. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| в подпункте 2) статьи 1 проекта:
слова «позволяющие установить его личность» исключить.
слова «и социальное» исключить.
| Комитет по международным делам, обороне и безопасности
Далее в тексте перечисляется то, что относится к персональным данным, где указано наличие движимого и недвижимого имущества. Однако наличие этих данных ни никак не способствуют установлению личности кого-либо. В законодательстве Республики Казахстан не установлены признаки «социального положения». Данное понятие является субъективным, каждый человек сам определяет признаки того или иного социального положения. Если для одного человека определенное социальное положение является высоким, то для другого это же положение является низким. Также не ясны цели сбора информации о социальном положении.
|
|
10. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| В подпункте 2):
после слов «(при его наличии),» дополнить словом «гражданство,»,
после слов «профессия» дополнить словами «, трудовая деятельность».
| Комитет по вопросам экологии и природопользования
Понятие «гражданство» включено в перечень персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов, утвержденный Постановлением Правительства Республики Казахстан от 5 июня 2007 года N460 «Об утверждении перечня персональных данных физических лиц, включаемых в состав государственных электронных информационных ресурсов». Поскольку проектом Закона определено, что «субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные», то данным физическим лицом могут быть не только граждане Республики Казахстан, но иностранные граждане и лица без гражданства. понятие «трудовая деятельность» позволяет собрать персональные данные о физическом лице при возникновении, продолжении и прекращении его трудовых отношений.
|
|
11. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| В подпункте 2) статьи 1 после слов «индивидуальный идентификационный номер,» добавить слово «гражданство,».
| Комитет по социально-культурному развитию
В соответствии с Гражданским кодексом РК, под физическими лицами понимаются граждане Республики Казахстан, граждане других государств, а также лица без гражданства. Поэтому к персональным данным должны также относиться сведения о гражданстве лица. |
|
12. | подпункт 2) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
| подпункте 2) статьи 1 проекта после слово «имущества,» дополнить словом «доходы,»
| Комитет по экономической реформе и региональному развитию
Имеются случаи незаконного запрашивания коллекторскими агентствами информации у работодателя о доходах заемщика.
|
|
13. | подпункт 3) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
3) субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные;
| В подпункте 3) статьи 1 после слов «субъект персональных данных» дополнить словами «(далее - субъект)».
По тексту законопроекта внести соответствующие изменения.
| Комитет по экономической реформе и региональному развитию
Имеет место использования понятий «субъект» и «субъект персональных данных».
|
|
14. | Новый подпункт статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
| Статью 1 проекта дополнить новый подпунктом 4) следующего содержания: «4) автоматизированная обработка персональных данных - деятельность, связанная с обработкой персональных данных, с использованием средств автоматизации» | Комитет по вопросам экологии и природопользования
Необходимость уточнения терминов и определений, используемых в проекте Закона, согласно пункту 7 статьи 18 Закона Республики Казахстан от 24 марта 1998 года № 213 «О нормативных правовых актах».
|
|
15. | подпункт 4) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
4) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;
| В подпункте 4) статьи 1 слово «передачи» заменить словом «передача»;
| Депутат Айсина М.А.
Редакционная правка.
|
|
16. | Подпункты 5) и 7) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
5) сбор персональных данных - процедура получения держателем персональных данных от субъекта;
7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту;
| Подпункты 5) и 7) статьи 1 после слов «субъекта», «субъекту» дополнить словами «персональных данных»
| Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
17. | Подпункт 5) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
5) сбор персональных данных - процедура получения держателем персональных данных от субъекта;
| подпункт 5) статьи 1 проекта изложить в следующей редакции: «5) сбор персональных данных - процедура получения держателем персональных данных от субъекта, государственных органов и других лиц;»;
| Депутат Р.Сарпеков
Полагаем, что персональные данные могут быть получены не только непосредственно от субъекта. Например, один государственный орган может получить у другого государственного органа, в том числе без ведома самого субъекта.
|
|
18. | Подпункт 9) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия 9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;
| В подпункте 9) статьи 1 проекта слова «юридическими и физическими» заменить словами «физическими и юридическими» | Комитет по экономической реформе и региональному развитию
Юридическая техника. Приведение в соответствие с Конституцией Республики Казахстан.
|
|
19. | Подпункты 10) и 12) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц;
12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства;
| подпункты 10) и 12) статьи 1 после слово «держателем» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
20. | Пункт 11) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе ... 11)распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом; | Пункт 11) статьи 1 изложить в следующей редакции: «11)распространение персональных данных - действия, направленные на передачу персональных данных определенному лицу (передача персональных данных), в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом»; | Депутат Н.Сабильянов
Необходимо предусмотреть ответственность за распространение персональных данных одному или более лиц, а понятие «круг лиц» подразумевает два или более лица. |
|
21. | Пункт 12) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе ... 12)международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства; | Пункт 12) статьи 1 изложить в следующей редакции: «12) международная передача персональных данных - передача персональных данных держателем законному представителю, физическому или юридическому лицу иностранного государства»; | Депутат Н.Сабильянов
Международная передача персональных данных должна осуществляться через законных представителей иностранного государства. |
|
22. | Подпункт 12) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства; | в подпункте 12) слова «держателем на территорию иностранного государства,» заменить словами «держателем персональных данных».
| Комитет по международным делам, обороне и безопасности
Во-первых, в целях использования в законе единой терминологии. Поскольку в законопроекте используются термины «держатель персональных данных» и «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных». Во-вторых, персональные данные должны передаваться не безлично «на территорию иностранного государства», а конкретному физическому или юридическому лицу иностранного государства, который впоследствии может нести ответственность за нарушение прав субъектов персональных данных.
|
|
23. | Подпункт 12) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия
12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства;
| В подпункте 12) статьи 1 после слов «на территорию иностранного государства» добавить слова «государственному органу,».
| Комитет по социально-культурному развитию
Приведение в соответствие с подпунктом 9 статьи 1 законопроекта. Кроме того, международная практика указывает на развитие созданий уполномоченных органов, обеспечивающих контроль за соблюдением и защиту прав субъекта персональных данных.
|
|
24. | Новый подпункт статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия:
отсутствует | Статью 1 проекта дополнить новым подпунктом 14) следующего содержания: «14) материальный носитель - материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов»
Последующую нумерацию подпунктов изменить | Комитет по вопросам экологии и природопользования
Необходимость уточнения терминов и определений, используемых в проекте Закона, согласно пункту 7 статьи 18 Закона Республики Казахстан от 24 марта 1998 года № 213 «О нормативных правовых актах».
|
|
25. | Статья 2 проекта Закона | Статья 2. Цель настоящего Закона Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.
| Статью 2 проекта изложить в следующей редакции: «Статья 2. Цель настоящего Закона Целью настоящего Закона является обеспечение защиты прав и свобод человека при сборе, обработке его персональных данных. »
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М. Абенов Расширение цели настоящего закона связано не только обеспечением защиты прав и свобод человека в рамках обработки персональных данных, но в пределах создания условий, связанной с этой деятельностью.
|
|
26. | Статья 2 | Статья 2. Цель настоящего Закона
Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.
| В статье 2 после слов «человека» добавить «и гражданина». | Депутат Н.Сабильянов
Приведение в соответствие со ст.12, 39, 40, 74, 78 Конституции Республики Казахстан и со ст.4 Проекта Закона. |
|
27. | Статья 3 | Статья 3. Сфера действия настоящего Закона 1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции. 2. Иная деятельность государственных органов по обработке персональных данных, с учетом специфики выполняемых ими задач и функций, регулируется соответствующим отраслевым законодательством. 3. Действие настоящего Закона не распространяется на отношения, возникающие при: 1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных; 2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле; 3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
| Статью 3 проекта изложить в следующей редакции: «Статья 3. Действие настоящего Закона 1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных. 2. Деятельность государственных органов по сбору, обработке и защите персональных данных, с учетом специфики выполняемых ими задач и функций, может регулироваться соответствующим законодательством. 3. Действие настоящего Закона не распространяется на отношения, возникающие при: 1) сборе, обработке и защите субъектами их персональных данных, если при этом не нарушаются права иных субъектов и требования законов Республики Казахстан; 2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах; 3) сборе, обработке, защите персональных данных отнесенных к государственным секретам в соответствии с законодательством Республики Казахстан о государственных секретах.» | Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Уточнение редакции.
|
|
28. | Статья 3 | Статья 3. Сфера действия настоящего Закона 1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции.
| В пункте 1 статьи 3 слова «юридическими и физическими» заменить словами «физическими и юридическими» | Комитет по аграрным вопросам Комитет по экономической реформе и региональному развитию
Юридическая техника |
|
29. | Пункт 2 статьи 3 | Статья 3. Сфера действия настоящего Закона ... 2.Иная деятельность государственных органов по обработке персональных данных, с учетом специфики выполняемых ими задач и функций, регулируется соответствующим отраслевым законодательством. | Статья 3. Сфера действия настоящего Закона ... 2.Иная деятельность государственных органов по обработке персональных данных, с учетом выполняемых ими задач и функций, регулируется соответствующим законодательством.
| Депутат Н.Сабильянов
У каждого государственного органа есть свои задачи и функции, которые регулируются соответствующим законодательством. |
|
30. | Подпункт 2) пункта 3 статьи 3 | Статья 3. Сфера действия настоящего Закона
3. Действие настоящего Закона не распространяется на отношения, возникающие при:
2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле;
| В подпункте 2) слова «в соответствии с законодательством об архивном деле» заменить словами «в соответствии с законодательством Республики Казахстан об архивном деле»;
| Депутат Айсина М.А.
юридическая техника.
|
|
31. | Подпункт 3) пункта 3 статьи 3 | Статья 3. Сфера действия настоящего Закона
3. Действие настоящего Закона не распространяется на отношения, возникающие при:
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
| в подпункте 3) пункта 3 статьи 3 слова «государственную тайну» заменить словами «государственные секреты».
| Комитет по международным делам, обороне и безопасности
Понятие «государственная тайна» поглощается понятием «государственные секреты». Так, в соответствии с Законом Республики Казахстан «О государственных секретах», государственные секреты это защищаемые государством сведения, составляющие государственную и служебную тайны. Из нормы законопроекта вытекает что, служебная тайна, содержащая персональные данные, будет регулироваться данным законопроектом, что противоречит положениям Закона Республики Казахстан «О государственных секретах».
|
|
32. | Главы 2 и 6 | Глава 2. Условия доступа и обработки персональных данных
Глава 6. Государственное регулирование в сфере персональных данных
| Главу 2 и главу 6 поменять местами.
| Депутат Айсина М.А.
в целях структуризации.
|
|
33. | Статьи 4 и 5 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных 1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан. 2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора. Глава 2. Условия доступа и обработки персональных данных
| Статьи 4 и 5 проекта изложить в следующей редакции: «Статья 4. Законодательство Республики Казахстан в сфере персональных данных 1. Законодательство Республики Казахстан в сфере персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан. 2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.
Статья 5. Принципы сбора, обработки и защиты персональных данных Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами: 1) законности целей сбора, обработки и защиты; 2) неприкосновенности частной жизни человека и гражданина и соблюдение их конституционных прав и свобод; 3) равенства прав субъектов, собственников и (или) операторов на участие в деятельности в сфере персональных данных; 4) обеспечения безопасности личности, общества и государства.
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
В связи с детализацией принципов сбора, обработки и защиты персональнх данных, а также последовательости расположения по степени важности. |
|
34. | Статья 4 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
| Статья 4. Принципы обработки персональных данных 1. Обработка персональных данных должна осуществляться на основе принципов: 1) законности целей и способов обработки персональных данных; 2) соблюдения прав, свобод и законных интересов человека и гражданина; 3) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора; 4) соответствия объема и характера обрабатываемых персональных данных и способов их обработки заявленным целям; 5) достоверности персональных данных.
| Депутат С.Бычкова
Уточнение редакции, а также учет того, что конфиденциальность и защита информации в тексте данного закона относятся к режиму обработки персональных данных (см. главу 3), добросовестность же и ответственность в предлагаемом контексте являются понятиями, не имеющими конкретной смысловой нагрузки.
|
|
35. | Статья 4 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
|
В тексте статьи 4 после слова «обработки» дополнить словами «персональных данных».
| Комитет по международным делам, обороне и безопасности
приведение в соответствие с понятийным аппаратом законопроекта.
|
|
36. | Статья 4 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
| В статье 4 проекта исключить слова «и гражданина»
| Комитет по экономической реформе и региональному развитию
излишняя детализация
|
|
37. | Статьи 4 и 5 | Статья 4. Принципы обработки персональных данных Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных 1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан. 2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора. Глава 2. Условия доступа и обработки персональных данных
| Изменить порядок следования статьей 4 и 5, после чего поместить статью 5 «Принципы обработки персональных данных» в главу 2.
| Депутат С.Бычкова
Статью о принципах целесообразно разместить в главе 2, т.к. принципы предопределяют условия.
|
|
38. | Новая глава проекта | Отсутствует | Дополнить новой главой 2 следующего содержания: «Глава 2. Государственное регулирование, контроль и надзор в сфере персональных данных
Статья 6. Компетенция Правительства Республики Казахстан Правительство Республики Казахстан: 1) разрабатывает основные направления государственной политики в сфере персональных данных; 2) утверждает правила сбора, обработки и защиты персональных данных; 3) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 7. Компетенция уполномоченного органа 1. Уполномоченный орган: 1)координирует деятельность в сфере персональных данных в соответствии с требованиями настоящего Закона; 2) вносит в Правительство Республики Казахстан предложения о совершенствовании нормативных правовых актов в сфере персональных данных; 3) осуществляет контроль и надзор за применением законодательства в сфере персональных данных в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан»; 4) запрашивает у субъекта, собственника и (или) оператора, а в отдельных случаях третьего лица информацию, необходимую для реализации своих полномочий; 5) осуществляет проверку персональных данных или привлекает для осуществления такой проверки иные государственные органы в пределах их полномочий; 6) выявляет и принимает меры по устранению нарушений законодательства в сфере персональных данных; 7) требует от собственника и (или) оператора подтверждения блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 8) в случае необходимости обращается с исковым заявлением в суд в защиту прав субъектов, собственников и (или) операторов и представляет их интересы в суде; 9) обеспечивает и совершенствует вопросы защиты, соблюдения прав субъектов, собственников и (или) операторов; 10) рассматривает обращения физических и юридических лиц по вопросам, связанным со сбором, обработкой, защитой персональных данных, а также принимает меры по результатам их рассмотрения; 11) информирует государственные органы, а также субъектов по их обращениям о состоянии работы в сфере персональных данных; 12) утверждает порядок ведения реестра собственников и (или) операторов; 13) выполняет иные функции, возложенные на него настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан и Правительства Республики Казахстан.»
Последующую нумерацию глав изменить.
| Комитет по социально культурному развитию
Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Комитет по социально-культурному развитию также предлагает предусмотреть в проекте Закона «О персональных данных» создание Уполномоченного органа по защите прав субъектов персональных данных, наделив его полномочиями по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Республики Казахстан в области персональных данных. Одной из приоритетных задач указанного уполномоченного органа должно стать ведение Реестра держателей персональных данных. Кроме того, предусмотреть в законопроекте механизм взаимодействия Уполномоченного органа с правоохранительными и другими государственными органами в ходе контрольно-надзорной деятельности.
|
|
39. | глава 2 проекта | Глава 2. Условия доступа и обработки персональных данных
Статья 6. Условия доступа и обработки персональных данных 1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим. Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона. 2. Персональные данные должны собираться для законных и заявленных целей и в дальнейшем не подлежат иной обработке.
Статья 7. Обработка персональных данных без согласия субъекта Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях: 1) обработки персональных данных, полученных в ходе осуществления разведывательной, контрразведывательной, антитеррористической деятельности, а также сведениям, составляющим государственные секреты; 2) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан; 3) осуществления органами прокуратуры надзорных полномочий; 4) реализации международных договоров Республики Казахстан о реадмиссии; 5) использования персональных данных для статистических целей с условием обязательного обезличивания персональных данных; 6) защиты жизни, здоровья или иных законных интересов субъекта персональных данных, если получение его согласия невозможно; 7) оказания услуг в области связи; 8) использования персональных данных в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта персональных данных; 9) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности; 10) обработки персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, а также о противодействии легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма; 11) непредставления субъектом своих персональных данных, предусмотренных статьей 8 настоящего закона.
Статья 8. Обязательность предоставления персональных данных субъектом Субъект персональных данных обязан предоставлять свои персональные данные: 1) в целях обороны страны, безопасности государства и охраны правопорядка; 2) при обработке персональных данных органами социальной защиты населения, организациями осуществляющими свою деятельность в сфере социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов субъекта персональных данных в соответствии с действующим законодательством Республики Казахстан; 3) в соответствии с законами Республики Казахстан «Об образовании», «О частном предпринимательстве», Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет» (Налоговый кодекс)»; 4) связанные с отношениями, касающимися воинской обязанности и воинской службы граждан Республики Казахстан; 5) при осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан; 6) при осуществлении законодательства об административных правонарушениях, гражданского процессуального, уголовно-процессуального и уголовно-исполнительного законодательства Республики Казахстан.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
Глава 3. Правовой режим обработки персональных данных Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных 1. Обработка персональных данных осуществляется их держателем только с согласия субъекта персональных данных либо его законного представителя, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона. 2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи. 3. В случае недееспособности или ограниченной дееспособности субъекта, а также его несовершеннолетнего возраста согласие на обработку его персональных данных дает его законный представитель. 4. В случае смерти субъекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан. 5. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных - обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя персональных данных.
Статья 11. Особенности обработки и условия сбора биометрических персональных данных 1. Обработка биометрических персональных данных осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных подпунктами 1), 4), 10) статьи 7 и подпунктами 1), 5) статьи 8 настоящего Закона. 2. Сбор биометрических персональных данных осуществляется держателем с учетом физиологических особенностей человека, на основе которых можно установить его личность, имеющих неотъемлемые свойства (отпечатки пальцев, группа крови, изображение радужной оболочки глаз и другие), а также физических особенностей, которые могут носить приобретенный характер в силу определенных обстоятельств (изменение естественного строения (роста, веса), деформация и отсутствие конечностей (органов), наличие обширных рубцов и других повреждений на теле). 3. Сбор биометрических персональных данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью субъекта персональных данных, без дискриминации по признакам пола, расы, национальности, отношения к религии, убеждений и иным мотивам. 4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
Статья 12. Особенности обработки общедоступных персональных данных 1. В целях информационного обеспечения населения создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться сведения и персональные данные, предоставленные субъектом. 2. Сведения о субъекте исключаются из общедоступных источников персональных данных по требованию субъекта либо по решению суда.
Статья 13. Конфиденциальность персональных данных Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений. Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия субъекта персональных данных.
Статья 14. Обезличивание персональных данных Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.
Статья 15. Передача персональных данных 1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения. 2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта. 3. Порядок передачи персональных данных определяется Правительством Республики Казахстан.
Статья 16. Международная передача персональных данных В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных. Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
| Главы 2 и 3 объединить и изложить в следующей редакции: «Глава 2. Персональные данные, порядок их сбора, обработки
Статья 9. Виды персональных данных 1. Персональные данные подразделяются на: 1) персональные данные на бумажном и (или) ином материальном носителе - данные находящие свое отображение в форме символов, образов и сигналов; 2) персональные данные в электронной форме - носители позволяющие собирать, обрабатывать персональные данные в электронном формате. 2. Персональные данные по доступности подразделяются на: 1) общедоступные; 2) ограниченного доступа. Общедоступные персональные данные - персональные данные, доступ к которым является свободным с согласия субъекта либо в иных случаях предусмотренных законодательством Республики Казахстан. Персональные данные ограниченного доступа - персональные данные, доступ к которым ограничен законами Республики Казахстан, их собственником и (или) оператором в случаях установленных законодательством Республики Казахстан.
Статья 10. Общедоступные источники персональных данных В целях информационного обеспечения населения создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с согласия субъекта могут включаться персональные данные, предоставленные субъектом.
Статья 11. Конфиденциальность персональных данных 1. Собственники и (или) операторы и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность недопущение их распространения без согласия субъекта, за исключением обезличенных и общедоступных персональных данных. 2. Работники собственника и (или) оператора обязаны не допускать распространения персональных данных, которые им стали известными в связи с исполнением ими профессиональных, служебных или трудовых обязанностей. 3. Биометрические данные являются конфиденциальными, за исключением случаев предусмотренных законодательством Республики Казахстан.
Статья 12. Условия сбора, обработки персональных данных 1. Сбор, обработка персональных данных допускаются и могут осуществляться для исполнения задач, стоящих перед собственником и (или) оператором, их обрабатывающим, при условии обеспечения им защиты прав и свобод человека и гражданина. 2. Сбор, обработка персональных данных осуществляются собственником и (или) оператором при согласии субъекта или его законного представителя, кроме случаев, предусмотренных статьями 22, 25 настоящего Закона. 3. Сбор, обработка в электронных носителях персональных данных осуществляются в соответствии с законодательством Республики Казахстан об информатизации.
Статья 13. Порядок доступа к персональным данным 1. Порядок доступа к персональным данным определяется условиями согласия субъекта, предоставленного собственнику и (или) оператору на их сбор, обработку. Доступ к персональным данным должен быть запрещен, если лицо отказывается принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не может их обеспечить. 2. Обращение (запрос) относительно доступа к персональным данным подается в письменной форме собственнику и (или) оператору.
Статья 14. Накопление и хранение персональных данных 1. Накопление персональных данных предусматривает действия собственника и (или) оператора по систематизации персональных данных или их внесения в базу, содержащую персональные данные. 2. Хранение персональных данных предусматривает действия собственника и (или) оператора по обеспечению их целостности, конфиденциальности и доступности.
Статья 15. Внесение изменений и дополнений в персональные данные Собственники и (или) операторы персональных данных вносят изменения и (или) дополнения в персональные данные на основании обращения (запроса) субъекта или его законного представителя либо решения суда, вступившего в законную силу.
Статья 16. Использование персональных данных Работниками собственников и (или) операторов использование персональных данных должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями.
Статья 17. Распространение персональных данных 1. Распространение персональных данных собственником и (или) оператором допускается в случае, если их использование не ущемляет права и свободы субъекта и соответствует целям их получения. 2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта. 3. Распространение персональных данных на территории иностранных государств допускается в случае обеспечения этим государством равнозначной защиты прав субъектов. Распространение персональных данных на территории иностранных государств может быть запрещено или ограничено законами Республики Казахстан в целях защиты конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
Статья 18. Обезличивание персональных данных При сборе и обработке персональных данных для проведения статистических, социологических, медицинских и других исследований собственник и (или) оператор обязан их обезличить.
Статья 19. Уничтожение персональных данных Персональные данные, подлежат уничтожению собственником и (или) оператором, если это не противоречит требованиям законодательных актов Республики Казахстан, в случаях: 1) истечения срока хранения персональных данных; 2) предусмотренных подпунктами 4), 5) и 8) пункта 1 стать 24 настоящего Закона; 3) прекращения правоотношений между субъектом, собственником и (или) оператором, если иное не предусмотрено законами Республики Казахстан; 4) вступления в законную силу решения суда об уничтожении персональных данных. 5) обращения субъекта, если это не противоречит законодательства Республики Казахстан.
Статья 20. Сообщение о действиях с персональными данными 1. О передаче персональных данных другому собственнику и (или) оператору, а также третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляет субъекта, если этого требуют условия его согласия и если иное не предусмотрено законами Республики Казахстан. 2. Требования пункта 1 настоящей статьи не распространяются на случаи: 1) передачи персональных данных по запросам при выполнении задач оперативно-розыскной, разведывательной или контрразведывательной деятельности, борьбы с терроризмом; 2) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан; 3) осуществления сбора, обработки персональных данных в исторических, статистических или научных целях.
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Произведена конкретизация видов носителей персональных данных, а также их доступа. Более того, уточнены особенности отдельных действий обработки персональных данных. |
|
40. | Глава 2 проекта | Глава 2. Условия доступа и обработки персональных данных
| Заголовок главы 21 изложить в следующей редакции: «Глава 2. Принципы и условия обработки персональных данных.»
| Депутат С.Бычкова
1) название главы не должно совпадать с названием статьи (см. статья 6); 2) статью о принципах целесообразно разместить в главе 2, т.к. принципы имеют прямое отношение к условиям; 3) доступ к информации является предметом регулирования иным законом, в связи с чем указанное понятие следует исключить.
|
|
41. | Заголовок статьи 6 | Статья 6. Условия доступа и обработки персональных данных
| В статье 6: Заголовок статьи изложить в следующей редакции: «Статья 6. Условия обработки персональных данных.» Дополнить новым пунктом 3 следующего содержания: «3. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. По достижении целей обработки или в случае утраты необходимости в их достижении персональные данные подлежат уничтожению.»
| Депутат С.Бычкова
Доступ к информации является предметом регулирования иным законом, в связи с чем указанное понятие следует исключить. Нормы предлагаемого пункта 3 являются гарантией соблюдения прав человека, установленных пунктом 1 статьи 18 и пунктом 1 статьи 39 Конституции.
|
|
42. | Часть вторая пункта 1 статьи 6 | Статья 6. Условия доступа и обработки персональных данных
1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим. Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона.
| В части второй пункта 1 статьи 6 слово «закона» заменить словом «Закона»;
| Депутат Айсина М.А.
Редакционная правка |
|
43. | Часть первая пункта 1 статьи 6 | Статья 6. Условия доступа и обработки персональных данных
1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим. Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона.
| Часть первую пункта 1 статьи 6 после слово «держателем» дополнить словами «персональных данных»;
| Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
44. | Часть первая пункта 1 статьи 6 | Статья 6. Условия доступа и обработки персональных данных
1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим. Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона.
| абзац второй пункта 1 статьи 6 проекта изложить в следующей редакции: «Персональные данные собираются у соответствующего лица при его согласии, за исключением случаев установленных статьями 7 и 8 настоящего Закона.»;
| Депутат Р.Сарпеков
Редакционное улучшение. Также в статье 8 указаны обязательные случаи предоставления персональных данных. В этой связи, в установленных статьей 8 случаях согласие субъекта также не должно требоваться. |
|
45. | Подпункт 2) статьи 7 | Статья 7. Обработка персональных данных без согласия субъекта. Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях:
2) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;
| в подпункте 2) слова «государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций» заменить словами «государственным органом, осуществляющим регулирование и надзор финансового рынка и финансовых организаций».
| Комитет по международным делам, обороне и безопасности
Приведение названия государственного органа в соответствие с Законом Республики Казахстан «О государственном регулировании и надзоре финансового рынка и финансовых организаций».
|
|
46. | Пункт 6) статьи 7 | Статья 7. Обработка персональных данных без согласия субъекта. ... 6)защиты жизни, здоровья или иных законных интересов субъекта персональных данных, если получение его согласия невозможно; | Пункт 6 статьи 7 изложить в следующей редакции: «6)защиты жизни, прав и свобод или иных законных интересов субъекта персональных данных, если получение его согласия невозможно»; | Депутат Н.Сабильянов
Согласно статье 1 Конституции РК высшими ценностями Республики Казахстан являются человек, его жизнь, права и свободы. |
|
47. | Подпункт 7) статьи 7 | Статья 7. Обработка персональных данных без согласия субъекта.
Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях:
7) оказания услуг в области связи;
|
Подпункт 7) статьи 7 исключить;
| Депутат Айсина М.А.
Нарушение прав и свобод субъектов персональных данных.
|
|
48. | Пункт 8) статьи 7 | Статья 7. Обработка персональных данных без согласия субъекта. ... 8)использования персональных данных в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта персональных данных; | Пункт 8) статьи 7 изложить в следующией редакции: «8)использования персональных данных в деятельности журналиста при условии соблюдения прав и свобод, а также чести, достоинства и деловой репутации субъекта персональных данных»; | Депутат Н.Сабильянов
В целях обеспечения защиты чести, достоинства и деловой репутации субъекта персональных данных.
|
|
49. | Подпункт 11) статьи 7 | Статья 7. Обработка персональных данных без согласия субъекта Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях:
11) непредставления субъектом своих персональных данных, предусмотренных статьей 8 настоящего закона.
| В статье 7: заголов дополнить словами «персональных данных»; в абзаце первом слова «их держателем» заменить словами «держателем персональных данных»; в подпункте 11) после слово «субъектом» дополнить словами «персональных данных»;
| Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных». В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
50. | Подпункт 2) статьи 8 | Статья 8. Обязательность предоставления персональных данных субъектом. Субъект персональных данных обязан предоставлять свои персональные данные:
2) при обработке персональных данных органами социальной защиты населения, организациями осуществляющими свою деятельность в сфере социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов субъекта персональных данных в соответствии с действующим законодательством Республики Казахстан;
| В подпункте 2) статьи 8 проекта слово «действующим» исключить. | Комитет по аграрным вопросам
Юридическая техника |
|
51. | Подпункты 1), 5) и 6) статьи 8 | Статья 8. Обязательность предоставления персональных данных субъектом Субъект персональных данных обязан предоставлять свои персональные данные: 1) в целях обороны страны, безопасности государства и охраны правопорядка;
5) при осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан; 6) при осуществлении законодательства об административных правонарушениях, гражданского процессуального, уголовно-процессуального и уголовно-исполнительного законодательства Республики Казахстан.
| В статье 8: заголовок дополнить словами «персональных данных» в абзаце первом слова «обязан предоставлять» заменить словом «предоставляет». в подпункте 1) после слова «целях» дополнить словом «обеспечения»;
в подпункте 5) слово «осуществлении» заменить словом «проведении»; подпункт 6) изложить в следующей редакции: «6) в соответствии с законодательством об административных правонарушениях, гражданским процессуальным, уголовно-процессуальным и уголовно-исполнительным законодательством Республики Казахстан.».
| Комитет по международным делам, обороне и безопасности В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных». Слова «обязан предоставлять» подразумевают под собой обязанность субъекта персональных данных. Вместе с тем, сопутствующим законопроектом не предусматривается ответственность субъекта персональных данных за невыполнение данной обязанности. Более того, подпунктом 11) статьи 7 законопроекта предусматривается, что при не предоставлении субъектом персональных данных последует обработка этих сведений без согласия субъекта персональных данных. Редакционная правка. Приведение в соответствие с Законом Республики Казахстан «О государственной статистике». Редакционная правка.
|
|
52. | Пункта 3 статья 8 | Статья 8. Обязательность предоставления персональных данных субъектом. Субъект персональных данных обязан предоставлять свои персональные данные:
3) в соответствии с законами Республики Казахстан «Об образовании», «О частном предпринимательстве», Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет» (Налоговый кодекс)»;
| Подпункт 3) статьи 8 изложить в следующей редакции: «3) в соответствии с Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет» (Налоговый кодекс), законами Республики Казахстан «О борьбе с коррупцией», «О частном предпринимательстве», «Об образовании»;».
| Комитет по социально-культурному развитию
Порядок перечисления законов приведен в соответствие с юридической техникой, статьи 4 Закона Республики Казахстан «О нормативных правовых актах». Закон Республики Казахстан «О борьбе с коррупцией» в данный перечень добавлен в связи с использованием персональных данных при реализации Закона Республики Казахстан «О борьбе с коррупцией».
|
|
53. | Статья 8 | Статья 8. Обязательность предоставления персональных данных субъектом Субъект персональных данных обязан предоставлять свои персональные данные:
6) при осуществлении законодательства об административных правонарушениях, гражданского процессуального, уголовно-процессуального и уголовно-исполнительного законодательства Республики Казахстан.
| В подпункте 6) статьи 8 проекта слова «законодательства об административных правонарушениях» заменить словами «законодательства Республики Казахстан об административных правонарушениях» | Комитет по аграрным вопросам
Юридическая техника |
|
54. | Статья 9 | Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
| Статью 9 исключить | Депутат Р.Сарпеков
нормы, предлагаемые в статье 9 содержатся в статье 6 проекта.
|
|
55. | Статья 9 | Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
| Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных должна быть размещена ранее статьи 7 Обработка персональных данных без согласия субъекта
| Депутат С.Бычкова
Следование правилам логики изложения.
|
|
56. | Статья 9 | Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
| В статье 9 после слов «Субъект персональных данных» дополнить словом «самостоятельно».
| Комитет по международным делам, обороне и безопасности
уточнение редакции, подчеркивающей право субъекта персональных данных.
|
|
57. | Пункт 1 статьи 10 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных 1. Обработка персональных данных осуществляется их держателем только с согласия субъекта персональных данных либо его законного представителя, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
| Пункт 1 статьи 10 исключить | Депутат Р.Сарпеков
Нормы, предлагаемые в данном пункте содержатся в статье 6 проекта.
|
|
58. | Пункт 1 статьи 10 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных 1. Обработка персональных данных осуществляется их держателем только с согласия субъекта персональных данных либо его законного представителя, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
| Пункте 1 статьи 10 слова «их держателем» заменить словами «держателем персональных данных».
| Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
59. | пункт 2 статьи 10 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных
2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.
| В пункте 2 статьи 10 слова «в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи» заменить словами «в соответствии с Законом Республики Казахстан «Об электронном документе и электронной цифровой подписи»;
| Депутат Айсина М.А.
юридическая техника |
|
60. | Пункт 2 статьи 9 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных
2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.
| Пункт 2 статьи 10 изложить в следующей редакции: «2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных; 3) цель обработки персональных данных; 4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных.»
| Депутат С.Бычкова
Письменное согласие в установленной законом форме явится гарантией полной осведомленности субъекта о процедурах с его персональными данными, и, следовательно, средством защиты его прав.
|
|
61. | Пункты 3, 4 и 5 статьи 10 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных
3. В случае недееспособности или ограниченной дееспособности субъекта, а также его несовершеннолетнего возраста согласие на обработку его персональных данных дает его законный представитель. 4. В случае смерти субъекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан. 5. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных - обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя персональных данных.
| Заголовок и пункты 3, 4 и 5 статьи 10 после слова «субъекта» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
62. | пункт 4 статьи 10 | Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных
4. В случае смерти субъекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан.
|
В пункте 4 статьи 10 слово «законодательством» заменить словами «с законодательством»; .
| Депутат Айсина М.А.
редакционная правка |
|
63. | Пункт 2 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
2. Сбор биометрических персональных данных осуществляется держателем с учетом физиологических особенностей человека, на основе которых можно установить его личность, имеющих неотъемлемые свойства (отпечатки пальцев, группа крови, изображение радужной оболочки глаз и другие), а также физических особенностей, которые могут носить приобретенный характер в силу определенных обстоятельств (изменение естественного строения (роста, веса), деформация и отсутствие конечностей (органов), наличие обширных рубцов и других повреждений на теле).
| Пункт 2 статьи 11 после слово «держателем» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
64. | Пункт 3 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных 3.Сбор биометрических персональных данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью субъекта персональных данных, без дискриминации по признакам пола, расы, национальности, отношения к религии, убеждений и иным мотивам.
| Заголовок статьи и пункт 3 статьи 11 изложить в следующей редакции:
«Статья 11. Особенности обработки биометрических персональных данных
3. При сборе биометрических персональных данных запрещаются действия, унижающие честь или умаляющие достоинство субъекта персональных данных. Используемые методы и научно-технические средства должны быть безопасны для жизни и здоровья человека.»
| Депутат С.Бычкова
1) сбор является частью обработки; 2) фрагмент о дискриминации равным образом относится ко всем иным видам персональных данных; 3) о методах и средствах следует упомянуть в связи с тем, что элементом сбора информации может являться получение образцов биологических материалов.
|
|
65. | Пункт 4 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
| Пункт 4 статьи 11 исключить;
| Комитет по экономической реформе и региональному развитию
повторение с подпунктом 2) пункта 1 статьи 25 проекта
|
|
66. | Пункт 4 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
| в пункте 4 статьи 11 проекта после слова «Порядок» дополнить словами «сбора и»;
| Депутат Р.Сарпеков
в предлагаемой статье содержатся общие нормы, определяющие порядок сбора биометрических персональных данных. Более конкретный порядок может быть установлен Правительством.
|
|
67. | Пункт 4 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
| Пункт 4 статьи 11 проекта после слово «биометрических» дополнить словом «персональных»
| Комитет по аграрным вопросам
Комитет по социально-культурному развитию
Приведение в соответствие с подпунктом 1) статьи 1 проекта
|
|
68. | Пункт 4 статьи 11 | Статья 11. Особенности обработки и условия сбора биометрических персональных данных
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
| в пункте 4) после слова «Порядок» дополнить словами «сбора и».
| Комитет по международным делам, обороне и безопасности
В настоящем законопроекте предусматривается, что Правительство Республики Казахстан определяет порядок хранения и передачи персональных данных, поэтому необходимо также определить порядок сбора.
|
|
69. | Пункт 2 статьи 12 | Статья 12. Особенности обработки общедоступных персональных данных
2. Сведения о субъекте исключаются из общедоступных источников персональных данных по требованию субъекта либо по решению суда.
| Пункт 2 статьи 12 после слов «субъекте», «субъекта» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
70. | Статья 13 | Статья 13. Конфиденциальность персональных данных Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений. Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия субъекта персональных данных.
| Статью 13 после слова «Держатели», «Держатель» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
71. | Пункт 1 статьи 15 | Статья 15. Передача персональных данных
1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения.
| Пункт 1 статьи 15 после слово «держателем» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
72. | Пункт 2 статьи 15 | Статья 15. Передача персональных данных
2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта.
| Пункт 2 статьи 15 после слова «субъекта» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
73. | Пункт 3 статьи 15 | Статья 15. Передача персональных данных
3. Порядок передачи персональных данных определяется Правительством Республики Казахстан.
| Пункт 3 статьи 15 исключить;
| Депутат Айсина М.А.
Повторение с подпунктом 3) пункта 1 статьи 25 проекта
|
|
74. | Пункт 3 статьи 15 | Статья 15. Передача персональных данных
3. Порядок передачи персональных данных определяется Правительством Республики Казахстан.
| пункт 3 статьи 15 проекта дополнить абзацем вторым следующего содержания: «Согласие субъекта персональных данных не требуется в случаях передачи персональных данных собранных без его согласия, установленных статьями 7 и 8 настоящего Закона.»;
| Депутат Р.Сарпеков
для установления возможности государственным органам беспрепятственной передачи персональных данных.
|
|
75. | Статья 16 | Статья 16. Международная передача персональных данных В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных. Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
| Статью 16 изложить в следующей редакции: «Статья 16. Трансграничная передача персональных данных 1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. 2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Республики Казахстан, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства. 3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях: 1) наличия согласия в письменной форме субъекта персональных данных; 2) предусмотренных международными договорами Республики Казахстан по вопросам выдачи виз, а также об оказании правовой помощи по гражданским, семейным и уголовным делам; 3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты основ конституционного строя Республики Казахстан, обеспечения обороны страны и безопасности государства; 4) исполнения договора, стороной которого является субъект персональных данных; 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.»
| Депутат С.Бычкова
1) термин «международная» в отношении передачи персональных данных за пределы Республики Казахстан некорректен; 2) положение законопроекта о том, что «в соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных» не соответствует реальному положению вещей и практически недостижимо. |
|
76. | Часть первая статьи 16 | Статья 16. Международная передача персональных данных В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных.
| Часть первую изложить в следующей редакции: «В соответствии с настоящим Законом и международными договорами, ратифицированными Республикой Казахстан, передача персональных данных физическому или юридическому лицу иностранного государства осуществляется держателем персональных данных только в случае обеспечения ими защиты прав субъектов персональных данных.».
| Комитет по международным делам, обороне и безопасности
Во-первых, передача персональных данных затрагивает права и свободы человека и гражданина. В соответствии с Законом Республики Казахстан «О международных договорах Республики Казахстан», международные договоры, предметом которых являются права и свободы человека и гражданина подлежат ратификации. В связи с чем, в законопроекте необходимо установить, что только международными договорами, ратифицированными Республикой Казахстан, может осуществляться передача персональных данных физическому или юридическому лицу иностранного государства. Во-вторых, персональные данные должны передаваться не безлично «на территорию иностранного государства», а конкретному физическому или юридическому лицу иностранного государства, который впоследствии может нести ответственность за нарушение прав субъектов персональных данных.
|
|
77. | Часть первая статьи 16 | Статья 16. Международная передача персональных данных В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных.
| Часть первую статьи 16 после слово «держателем» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
78. | Статья 17 | Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования 1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение. 2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей: 1) подтверждение факта обработки персональных данных; 2) указание цели и способов обработки персональных данных; 3) сведения о лицах, которые имеют доступ к персональным данным; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки их хранения. 3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. 5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 10 настоящего Закона. 6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
| Статью 17 изложить в следующей редакции: «Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на обработку своих персональным данных, требование их уточнения, блокирования, уничтожения 1. Субъект персональных данных имеет право на получение сведений об операторе, о наличии у оператора персональных данных, относящихся к указанному субъекту, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 6 настоящей статьи. 2. Субъект персональных данных имеет право на получение информации об относящихся к нему персональным данным в доступной документированной форме, содержащей: 1) подтверждение факта обработки персональных данных; 2) указание цели и способов обработки персональных данных; 3) сведения о лицах, которые имеют доступ к персональным данным; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки их хранения; 6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных. 3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя уточнения этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность либо нарушение настоящего Закона при обработке персональных данных, он вправе требовать от оператора их блокирования или уничтожения, а также принимать предусмотренные законом меры по защите своих прав. 5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном пунктом 2 статьи 10 настоящего Закона. 6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.».
| Депутат С.Бычкова
уточнение редакции.
|
|
79. | Главы 4 и 5 проекта | Глава 4. Права субъекта персональных данных Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования 1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение. 2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей: 1) подтверждение факта обработки персональных данных; 2) указание цели и способов обработки персональных данных; 3) сведения о лицах, которые имеют доступ к персональным данным; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки их хранения. 3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. 5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 10 настоящего Закона. 6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды 1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных. 2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
Статья 19. Право на обжалование действий или бездействия держателя персональных данных 1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию) или в судебном порядке. 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 5. Обязанности держателя персональных данных Статья 20. Обязанности держателя при сборе персональных данных 1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона. 2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке 1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 2. При использовании информационных систем, предназначенных для обработки персональных данных, держатель обязан обеспечить соблюдение требований информационной безопасности и принятых на территории Республики Казахстан стандартов.
Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя 1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения. 2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ, содержащий ссылку на положение пункта 6 статьи 17 настоящего Закона, являющееся основанием для такого отказа, в срок, не превышающий трех рабочих дней со дня получения запроса.
Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных 1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта. 2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.
Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных 1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту. 2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя. 3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан. 4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.
| Главы 4 и 5 объединить и изложить в следующей редакции:
«Глава 4. Права и обязанности субъекта, собственника и (или) оператора
Статья 21. Права субъекта 1. Субъект имеет право: 1) знать о наличии у собственника и (или) оператора свои персональных данных, а также их получать; 2) получать информацию, содержащую: подтверждение факта обработки персональных данных; указание цели и способов обработки персональных данных; сведения о лицах, которые имеют доступ к его персональным данным; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения. 3) требовать от собственника и (или) оператора персональных данных, их обновления при наличии оснований, подтвержденных соответствующими документами; 4) требовать от собственника и (или) оператора уничтожения или исправления неверных или неполных персональных данных, а также собранных и обработанных с нарушением требований настоящего Закона; 5) отзывать согласие на сбор, обработку персональных данных кроме случаев, предусмотренных статьями 22, 25 и пунктом 2 статьи 26 настоящего Закона; 6) отказать в выдаче персональных данных в общедоступные источники персональных данных; 7) на защиту своих прав и законных интересов, в том числе возмещение вреда в случае нарушения требований настоящего Закона. 2. Право субъекта на доступ к персональным данным может быть ограничено в случаях предусмотренных законами, если: 1) сбор, обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, разведывательной и (или) контрразведывательной, а также надзорной деятельности, осуществляемых в целях обороны страны, безопасности государства и охраны правопорядка; 2) сбор, обработка персональных данных осуществляется органами, производящими задержание субъекта по подозрению в совершении преступления, применившими к субъекту меру пресечения до предъявления обвинения, предъявившими субъекту обвинение по уголовному делу, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 22. Обязанности субъекта 1. Субъект обязан предоставлять персональные данные: 1) в случаях установленных Законами Республики Казахстан в целях обороны страны, безопасности государства и охраны правопорядка; 2) при обращении в государственные органы и другие организации, когда сбор, обработка персональных данных необходимы в соответствии с законодательством Республики Казахстан; 3) при отношениях, касающихся воинской обязанности и воинской службы граждан Республики Казахстан; 4) при проведении национальной переписи населения в соответствии с законодательством Республики Казахстан; 5) в иных случаях, установленных законами Республики Казахстан.
Статья 23. Права собственника и (или) оператора Собственник и (или) оператор имеет право: 1) осуществлять сбор, обработку персональных данных в порядке, установленном законодательством Республики Казахстан. 2) вносить предложения по совершенствованию системы сбора, обработки персональных данных.
Статья 24. Обязанности собственника и (или) оператора 1. Собственник и (или) оператор обязан: 1) координировать деятельность подведомственных организаций в сфере сбора, обработки персональных данных 2) принимать и соблюдать необходимые правовые, организационные и технические меры для защиты персональных данных в соответствии с законодательством Республики Казахстан; 3) обеспечивать соблюдение законодательства Республики Казахстан в сфере персональных данных в пределах своей компетенции; 4) принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в случае достижения цели сбора, обработки персональных данных; 5) принять меры по хранению, уничтожению в соответствии с законодательством Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя в случае получения отзыва от субъекта согласия прекратить сбор и обработку его персональных данных; 6) предоставить доказательство о получении согласия субъекта на сбор и обработку его персональных данных; 7) в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя сообщить информацию о наличии персональных данных, относящихся к субъекту, если иные сроки не предусмотрены законодательством Республики Казахстан; 8) в течение одного рабочего дня: уничтожить или осуществить исправление искаженных персональных данных, а также собранных, обработанных с нарушением требований настоящего Закона в случае выявления либо при обращении (запроса) субъекта или его законного представителя на основании документов, представленных субъектом или его законным представителем; осуществить блокирование персональных данных, относящихся к субъекту в случае наличия информации о нарушении условий сбора, обработки персональных данных в соответствии с настоящим Законом; устранить и снять блокирование в случае подтверждения факта нарушения условий сбора, обработки персональных данных; при невозможности устранения допущенных нарушений персональных данных уничтожить их, о чем уведомить субъекта или его законного представителя; 9) в случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю дать мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения обращения, если иные сроки не предусмотрены законодательством Республики Казахстан. 2. Собственник и (или) оператор исполняет обязательства, предусмотренные подпунктами 2)-9) пункта 1 настоящей статьи в случаях, если исполнение указанных обязанностей не противоречит требованиям статьи 21, 22, 25 и 26 настоящего Закона, а также требованиям законодательных актов Республики Казахстан.
Статья 25. Сбор, обработка персональных данных без согласия субъекта Сбор, обработка персональных данных осуществляется без согласия субъекта в случаях: 1) осуществления оперативно-розыскной, разведывательной, контрразведывательной деятельности, антитеррористических операций; 2) осуществления органами прокуратуры надзорной деятельности; 3) формирования государственной правовой статистики и ведения специальных учетов; 4) реализации международных договоров Республики Казахстан о реадмиссии; 5) использования персональных данных для статистических целей с условием обязательного обезличивания персональных данных; 6) защиты жизни, здоровья или иных законных интересов субъекта, если получение его согласия или согласия его законных представителей невозможно; 7) оказания государственных услуг; 8) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта; 9) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности; 10) непредоставления субъектом своих персональных данных, в случаях предусмотренных статьей 22 настоящего Закона; 11) обработки персональных данных, которая необходима в целях исполнения договора, одной из сторон которого является субъект; 12) в иных случаях установленных законами Республики Казахстан.
Статья 26. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных 1. Субъект либо его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи, если это не противоречит законодательству Республики Казахстан. 2. Субъект либо его законный представитель не может отозвать согласие на сбор, обработку персональных данных, в случаях если это противоречит законодательству, а также условиям исполнения договора, одной из сторон которого является субъект либо его законный представитель. 3. Дача (отзыв) согласия на сбор, обработку персональных данных недееспособного, признанного недееспособным или ограниченным в дееспособности субъекта производится его законным представителем, опекуном, попечителем. 4. В случае смерти субъекта дача (отзыв) согласия на сбор, обработку его персональных данных осуществляется в соответствии с гражданским законодательством Республики Казахстан..»
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Расширены права субъектов персональных данных. Определены права и обязанности уполномоченного органа, чего не было в предлагаемой Правительством редакции.
|
|
80. | Новая глава | Отсутствует | Дополнить новой главой 5 следующего содержания:
«Глава 5. Защита персональных данных
Статья 27. Защита персональных данных на бумажных и иных материальных носителях 1. Защита персональных данных на бумажных и иных материальных носителях осуществляется путем принятия правовых, организационных, а также технических мер в целях: 1) обеспечения целостности и сохранности персональных данных; 2) соблюдения конфиденциальности персональных данных; 3) реализации права на доступ к персональным данным; 4) недопущения незаконного воздействия на сбор, обработку персональных данных. 2. Собственник, оператор и третье лицо, обязаны принимать необходимые меры обеспечивающие защиту персональных данных.
Статья 28. Защита персональных данных на электронных носителях Защита персональных данных на электронных носителях осуществляется в соответствии с законодательством Республики Казахстан об информатизации.
Статья 29. Обязанности собственника и (или) оператора по защите персональных данных на бумажных и иных материальных носителях 1. Собственник и (или) оператор, а также третье лицо, получившее бумажные и иные материальные носители обязан принять меры по их защите. Такая обязанность возникает с момента получения бумажных и иных материальных носителей до уничтожения либо обезличивания персональных данных или до получения согласия субъекта на их распространение. 2. Передача бумажных и иных материальных носителей разрешается только с согласия субъекта либо по иным основаниям, установленным законами Республики Казахстан.»
Последующую нумерацию глав изменить
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Введена новая глава, которая усиливает ответственность операторов и собственников (в лице владельца) в вопросах защиты персональных данных субъектов. |
|
81. | Статья 17 | Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования
| Заголовок статьи 17 после слово «субъекта» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
82. | Статья 17 | Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования
| в заголовке статьи 17 проекта слово «, блокирования» исключить; | Депутат Р.Сарпеков в содержании статьи отсутствует описание права субъекта на блокирование персональных данных. |
|
83. | Подпункты 1, 3 и 4 статьи 17 | Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования 1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение.
3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона.
| Подпункты 1, 3 и 4 статьи 17 после слово «держателя» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
84. | Подпункт 3) пункта 6 статьи 17 | Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования ... 6.Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: ... 3)предоставление персональных данных нарушает конституционные права и свободы других лиц.
| Подпункт 3) пункта 6 статьи 17 исключить. | Депутат Н.Сабильянов
Персональные данные имеют отношение только к субъекту персональных данных. В связи с этим, доступ субъекта персональных данных к своим персональным данным не может повлечь нарушения конституционных прав и свобод других лиц. |
|
85. | Пункт 1 статьи 18 | Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды 1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных.
| 1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
| Депутат С.Бычкова
усиление гарантий субъектов персональных данных.
|
|
86. | Пункт 2 статьи 18 | Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды
2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
| В статье 18: заголовок после слово «субъектов» дополнить словами «персональных данных»; пункт 2 после слово «субъекта» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
87. | Пункт 2 статьи 18 | Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды
2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
| Текст отсутствует | Депутат Р.Сарпеков
вопрос для обсуждения: В пункте 2 статьи 18 проекта указано, что держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи. Однако, в пункте 2 не указана причина по которой субъект может требовать исключения персональных данных. В связи чем, возникает вопрос, субъект может в любой момент и беспричинно может требовать исключения данных или только при отсутствии его согласия?
|
|
88. | Пункт 1 статьи 19 | Статья 19. Право на обжалование действий или бездействия держателя персональных данных 1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию) или в судебном порядке.
| Пункт 1 статьи 19 после слов «держатель», «держателя» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
89. | Статья 20 | Статья 20. Обязанности держателя при сборе персональных данных 1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона. 2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
| статью 20 проекта исключить;
| Депутат Р.Сарпеков
порядок предоставления информации содержится в статье 22 проекта. Кроме того, в пункте 2 статьи 17 не указано, что субъект может требовать информацию только при их сборе. В этой связи, держатель обязан предоставить информацию во всех стадиях обработки данных. Также в данной статье не указан срок предоставления данных.
|
|
90. | Статья 20 | Статья 20. Обязанности держателя при сборе персональных данных 1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона. 2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
| В статье 20: заголовок после слово «держателя» дополнить словами «персональных данных» пункты 1 и 2 статьи 20 после слов «держатель», «субъекту» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
91. | Статья 21 | Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке 1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 2. При использовании информационных систем, предназначенных для обработки персональных данных, держатель обязан обеспечить соблюдение требований информационной безопасности и принятых на территории Республики Казахстан стандартов.
| Заголовок и текст статьи 21 после слова «держателя», «Держатель», «держатель» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
92. | Статья 21 | Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке
3. отсутствует | статью 21 проекта дополнить пунктом 3 следующего содержания: «3. Требования пунктов 1 и 2 настоящей статьи не распространяются на случаи обработки общедоступных персональных данных.»;
| Депутат Р.Сарпеков
В подпункте 13) статьи 1 проекта указано, что общедоступные персональные данные - персональные данные, на которые не распространяются требования сохранения тайн, установленные действующим законодательством Республики Казахстан.
|
|
93. | Статья 22 | Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя 1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения. 2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ, содержащий ссылку на положение пункта 6 статьи 17 настоящего Закона, являющееся основанием для такого отказа, в срок, не превышающий трех рабочих дней со дня получения запроса.
| В статье 22: заголовок после слово «держателя» дополнить словами «персональных данных»; пункты 1 и 2 статьи после слов «субъекта», «держатель», «субъекту», «держателем» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных». В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
94. | Статья 22 | Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя 1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения.
| в пункте 1 статьи 22 проекта предложение второе заменить предложением следующего содержания: «Предоставление запрашиваемой информации, а также ознакомление с персональными данными производится держателем в течение трех рабочих дней.»;
| Депутат Р.Сарпеков
Предлагаемая разработчиком редакция может породить коррупционные проявления, поскольку ее можно трактовать так, как будто держателю дается трехдневный срок только для рассмотрения запроса, а ответ он может предоставить на четвертый день.
|
|
95. | Статья 23 | Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных 1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта. 2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.
| В статье 23: заголовок после слова «держателя» дополнить словами «персональных данных» пункты 1 после слово «субъекта» дополнить словами «персональных данных»; пункты 2 после слов «Держатель», «субъекту», «субъекта» дополнить словами «персональных данных»; | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных». В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
96. | Статья 23 | Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных
| В заголовке статьи 23 проекта слово «их» исключить;.
вопрос для обсуждения: Смысл статьи 23 проекта не понятен. Согласно пункту 3 статьи 19 Закон Республики Казахстан «О нормативных правовых актах» текст нормативного правового акта излагается с соблюдением норм литературного языка, юридической терминологии и юридической техники, его положения должны быть предельно краткими, содержать четкий и не подлежащий различному толкованию смысл. Кроме того, не понятно, на какой срок, установленный законами, ссылается пункт 2 данной статьи.
| Депутат Р.Сарпеков
улучшение редакции |
|
97. | Пункт 1 статьи 24 | Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных 1.В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона.
| В пункте 1 статьи 24 слова «исключение или» исключить. | Депутат Н.Сабильянов
Редакционная правка. |
|
98. | Статья 24 | Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных 1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту. 2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя. 3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан. 4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.
| В статье 24: заголовок после слова «держателя» дополнить словами «персональных данных»; пункты 1,2 и 4 статьи 24 после слов «держателем», «держатель», «субъекта», «субъектом» и «субъекту» дополнить словами «персональных данных»; пункт 3 после слова «держатель» дополнить словами «персональных данных».
В пункте 4 слова «его» исключить. | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных». В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «субъект персональных данных» или «субъект». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «субъект персональных данных».
|
|
99. | Статья 24 | Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных
2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя.
4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.
| в пунктах 2 и 4 статьи 24 проекта после слова «представителя» дополнить словами «в течение трех рабочих дней.»;
| Депутат Р.Сарпеков
для установления срока уведомления.
|
|
100. | Глава 6 | Глава 6. Государственное регулирование в сфере персональных данных
Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных 1. Правительство Республики Казахстан: 1) разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека при обработке его персональных данных; 2) утверждает порядок хранения биометрических персональных данных; 3) утверждает порядок передачи персональных данных; 4) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 26. Компетенция органов в области социальной защиты населения в сфере обработки персональных данных Органы в области социальной защиты населения координируют деятельность держателей персональных данных.
Статья 27. Компетенция органов информатизации в сфере обработки персональных данных Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.
Статья 28. Компетенция иных государственных органов в сфере обработки персональных данных Иные государственные органы в пределах своей компетенции осуществляют обработку персональных данных в порядке, установленном законодательством Республики Казахстан.
| Главу 6 исключить. | Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
Определение компетенции Правительства, исключение компетенции органов в области социальной защиты населения в сфере обработки персональных данных, органов информатизации и иных органов в сфере персональных данных связано с правовой основой деятельности отдельных государственных органов. |
|
101. | Глава 6 | Глава 6. Государственное регулирование в сфере персональных данных
| Заголовок главы 6 изложить в следующей редакции: «Глава 6. Государственное регулирование в области персональных данных»
| Комитет по экономической реформе и региональному развитию
Юридическая техника |
|
102. | Статья 25 | Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных
| В заголовке статьи 25 слово «сфере» заменить словом «области» | Комитет по экономической реформе и региональному развитию
Юридическая техника
|
|
103. | Статья 25 | Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных
1.Правительство Республики Казахстан: 1)разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека при обработке его персональных данных; 2)утверждает порядок хранения биометрических персональных данных; 3)утверждает порядок передачи персональных данных; 4)выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
| Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных
1.Правительство Республики Казахстан: 1)разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека и гражданина при обработке его персональных данных; 2)определяет порядок хранения биометрических персональных данных; 3)определяет порядок передачи персональных данных; 4)выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан. | Депутат Н.Сабильянов
Приведение в соответствие со ст.12, 39, 40, 74, 78 Конституции Республики Казахстан и со ст.4 Проекта Закона.
Порядок хранения и передачи персональных данных должен определяться Правительством РК. |
|
104. | Статья 26 | Статья 26. Компетенция органов в области социальной защиты населения в сфере обработки персональных данных Органы в области социальной защиты населения координируют деятельность держателей персональных данных.
| Текст отсутствует | Депутат Р.Сарпеков
вопрос для обсуждения: Не совсем понятна необходимость уточнения компетенции в статье 26 органов в области социальной защиты, поскольку персональные данные обрабатываются многими государственными органами. В обратном случае, необходимо будет конкретизировать компетенции всех государственных органов, обрабатывающих персональные данные, также курирующих держателей персональных данных. При этом, понятна целесообразность указания в статье 27 компетенции органа в области информатизации, поскольку данный орган координируют деятельность держателей в сфере автоматизации обработки персональных данных, то есть компетенция данного органа отличается от других государственных органов.
|
|
105. | Статья 27 | Статья 27. Компетенция органов информатизации в сфере обработки персональных данных Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.
| В заголовке статьи 27 законопроекта после слов «Компетенция органов» дополнить словами «в области»
| Комитет по экономической реформе и региональному развитию
редакционная правка.
|
|
106. | Статья 27 | Статья 27. Компетенция органов информатизации в сфере обработки персональных данных Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.
| Статью 27 после слова «держателей» дополнить словами «персональных данных» | Комитет по международным делам, обороне и безопасности
В целях использования в законе единой терминологии, поскольку в законопроекте используется термин «держатель персональных данных» или «держатель». Однако, в понятийном аппарате предусматривается, что в законопроекте как основное понятие используется именно «держатель персональных данных».
|
|
107. | Глав 7 проекта | Глава 7. Заключительные положения и переходные положения Статья 29. Государственный контроль и надзор в области обработки персональных данных 1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан». 2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.
Статья 30. Ответственность за нарушение законодательства Республики Казахстан о персональных данных Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан. Статья 31. Порядок введения в действие настоящего Закона Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.
| Главу 7 изложить в следующей редакции:
«Глава 7. Заключительные и переходные положения
Статья 30. Государственный контроль и надзор в сфере персональных данных Государственный контроль и надзор в сфере персональных данных осуществляется уполномоченным органом в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан». Высший надзор за точным и единообразным применением настоящего Закона возлагается на органы прокуратуры.
Статья 31. Ответственность за нарушение законодательства Республики Казахстан в сфере персональных данных Нарушение законодательства Республики Казахстан в сфере персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
Статья 32. Рассмотрение споров Споры, возникающие при сборе, обработке и защите персональных данных подлежат рассмотрению в судебном порядке в соответствии с законодательством Республики Казахстан. Статья 33. Порядок введения в действие настоящего Закона 1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования. 2. Государственные органы, физические и юридические лица, деятельность которых связана со сбором, обработкой и защитой персональных данных обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иных документы в соответствии с требованиями настоящего Закона.»
| Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин
В целях соблюдения интересов прав и свобод человека и гражданина введены права по обращению в суд и обеспечения судебной защиты в случае возникновения споров, связанных с вопросами персональных данных. |
|
108. | Статья 29 проекта Закона | Статья 29. Государственный контроль и надзор в области обработки персональных данных 1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан». 2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.
| Изложить в следующей редакции: «Статья 29. Государственный контроль и надзор в области обработки персональных данных Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».
| Депутат Н.Сабильянов
Юридическая техника. Приведение в соответствие с нормотворческой практикой.
|
|
109. | Статья 30 | Статья 30. Ответственность за нарушение законодательства Республики Казахстан о персональных данных Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
| В заголовке и тексте статьи 30 проекта слова «о персональных данных» заменить словами «в области персональных данных».
| Комитет по экономической реформе и региональному развитию
юридическая техника. Приведение в соответствие со статьей 5 законопроекта.
|
|
Заң жобасының мәтіні «Нормативтік құқықтық актілер туралы» Қазақстан Республикасы Заңының нормаларына сәйкес келтірілсін.
Текст законопроекта привести в соответствие с нормами Закона Республики Казахстан «О нормативных правовых актах»
Комитет төрағасы Р. Мұқашев
ЗАКОН
РЕСПУБЛИКИ КАЗАХСТАН
О персональных данных
Внесен на рассмотрение Мажилиса Парламента РК постановлением Правительства РК от 29 марта 2012 года № 372
Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанной с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами.
Глава 1. Общие положения
Статья 1. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
1) биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность;
2) персональные данные - зафиксированные на материальном носителе сведения о физическом лице, позволяющие установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), национальность, пол, дата и место рождения, индивидуальный идентификационный номер, юридический адрес, место жительства, абонентский номер средства связи, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
3) субъект персональных данных - физическое лицо, к которому относятся соответствующие персональные данные;
4) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;
5) сбор персональных данных - процедура получения держателем персональных данных от субъекта;
6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных;
7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту;
8) обработка персональных данных - отдельные действия или их совокупность по осуществлению доступа, сбора, систематизации, накопления, хранения, обновления, изменения, использования, распространения, обезличивания, блокирования и уничтожения персональных данных;
9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;
10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта или других лиц;
11) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
12) международная передача персональных данных - передача персональных данных держателем на территорию иностранного государства, физическому или юридическому лицу иностранного государства;
13) общедоступные персональные данные - персональные данные, на которые не распространяются требования сохранения тайн, установленные действующим законодательством Республики Казахстан;
14) третье лицо - лицо, не являющееся субъектом или держателем персональных данных, но связанное обстоятельствами или правоотношениями с одной из этих сторон в ходе обработки персональных данных.
Статья 2. Цель настоящего Закона
Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.
Статья 3. Сфера действия настоящего Закона
1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции.
2. Иная деятельность государственных органов по обработке персональных данных, с учетом специфики выполняемых ими задач и функций, регулируется соответствующим отраслевым законодательством.
3. Действие настоящего Закона не распространяется на отношения, возникающие при:
1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных;
2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле;
3) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 4. Принципы обработки персональных данных
Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных
1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан.
2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.
Глава 2. Условия доступа и обработки персональных данных
Статья 6. Условия доступа и обработки персональных данных
1. Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим.
Персональные данные собираются у соответствующего лица при его согласии. Без его согласия они могут собираться в случаях, предусмотренных статьей 7 настоящего закона.
2. Персональные данные должны собираться для законных и заявленных целей и в дальнейшем не подлежат иной обработке.
Статья 7. Обработка персональных данных без согласия субъекта
Обработка персональных данных осуществляется их держателем без согласия субъекта персональных данных в случаях:
1) обработки персональных данных, полученных в ходе осуществления разведывательной, контрразведывательной, антитеррористической деятельности, а также сведениям, составляющим государственные секреты;
2) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;
3) осуществления органами прокуратуры надзорных полномочий;
4) реализации международных договоров Республики Казахстан о реадмиссии;
5) использования персональных данных для статистических целей с условием обязательного обезличивания персональных данных;
6) защиты жизни, здоровья или иных законных интересов субъекта персональных данных, если получение его согласия невозможно;
7) оказания услуг в области связи;
8) использования персональных данных в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта персональных данных;
9) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
10) обработки персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, а также о противодействии легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма;
11) непредставления субъектом своих персональных данных, предусмотренных статьей 8 настоящего закона.
Статья 8. Обязательность предоставления персональных данных субъектом.
Субъект персональных данных обязан предоставлять свои персональные данные:
1) в целях обороны страны, безопасности государства и охраны правопорядка;
2) при обработке персональных данных органами социальной защиты населения, организациями осуществляющими свою деятельность в сфере социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов субъекта персональных данных в соответствии с действующим законодательством Республики Казахстан;
3) в соответствии с законами Республики Казахстан «Об образовании», «О частном предпринимательстве», Кодексом Республики Казахстан «О налогах и других обязательных платежах в бюджет» (Налоговый кодекс)»;
4) связанные с отношениями, касающимися воинской обязанности и воинской службы граждан Республики Казахстан;
5) при осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан;
6) при осуществлении законодательства об административных правонарушениях, гражданского процессуального, уголовно-процессуального и уголовно-исполнительного законодательства Республики Казахстан.
Статья 9. Согласие субъекта персональных данных на
обработку своих персональных данных.
Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
Глава 3. Правовой режим обработки персональных данных
Статья 10. Порядок получения или отзыва согласия субъекта на обработку персональных данных
1. Обработка персональных данных осуществляется их держателем только с согласия субъекта персональных данных либо его законного представителя, за исключением случаев, предусмотренных статьями 7 и 8 настоящего Закона.
2. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.
3. В случае недееспособности или ограниченной дееспособности субъекта, а также его несовершеннолетнего возраста согласие на обработку его персональных данных дает его законный представитель.
4. В случае смерти субъекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан.
5. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных - обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя персональных данных.
Статья 11. Особенности обработки и условия сбора биометрических персональных данных
1. Обработка биометрических персональных данных осуществляется только с согласия субъекта персональных данных, за исключением случаев, предусмотренных подпунктами 1), 4), 10) статьи 7 и подпунктами 1), 5) статьи 8 настоящего Закона.
2. Сбор биометрических персональных данных осуществляется держателем с учетом физиологических особенностей человека, на основе которых можно установить его личность, имеющих неотъемлемые свойства (отпечатки пальцев, группа крови, изображение радужной оболочки глаз и другие), а также физических особенностей, которые могут носить приобретенный характер в силу определенных обстоятельств (изменение естественного строения (роста, веса), деформация и отсутствие конечностей (органов), наличие обширных рубцов и других повреждений на теле).
3. Сбор биометрических персональных данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью субъекта персональных данных, без дискриминации по признакам пола, расы, национальности, отношения к религии, убеждений и иным мотивам.
4. Порядок хранения биометрических данных определяется Правительством Республики Казахстан.
Статья 12. Особенности обработки общедоступных персональных данных
1. В целях информационного обеспечения населения создаются общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться сведения и персональные данные, предоставленные субъектом.
2. Сведения о субъекте исключаются из общедоступных источников персональных данных по требованию субъекта либо по решению суда.
Статья 13. Конфиденциальность персональных данных
Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений.
Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия субъекта персональных данных.
Статья 14. Обезличивание персональных данных
Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.
Статья 15. Передача персональных данных
1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения.
2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия субъекта.
3. Порядок передачи персональных данных определяется Правительством Республики Казахстан.
Статья 16. Международная передача персональных данных
В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав субъектов персональных данных.
Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека и гражданина, обеспечения обороны страны, национальной безопасности.
Глава 4. Права субъекта персональных данных
Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования
1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение.
2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей:
1) подтверждение факта обработки персональных данных;
2) указание цели и способов обработки персональных данных;
3) сведения о лицах, которые имеют доступ к персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения.
3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных.
4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона.
5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 10 настоящего Закона.
6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных.
2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
Статья 19. Право на обжалование действий или бездействия держателя персональных данных
1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию) или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 5. Обязанности держателя персональных данных
Статья 20. Обязанности держателя при сборе персональных данных
1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона.
2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке
1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
2. При использовании информационных систем, предназначенных для обработки персональных данных, держатель обязан обеспечить соблюдение требований информационной безопасности и принятых на территории Республики Казахстан стандартов.
Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя
1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения.
2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ, содержащий ссылку на положение пункта 6 статьи 17 настоящего Закона, являющееся основанием для такого отказа, в срок, не превышающий трех рабочих дней со дня получения запроса.
Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта.
2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.
Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных
1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона.
В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту.
2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя.
3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан.
4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.
Глава 6. Государственное регулирование в сфере персональных данных
Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных
1. Правительство Республики Казахстан:
1) разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека при обработке его персональных данных;
2) утверждает порядок хранения биометрических персональных данных;
3) утверждает порядок передачи персональных данных;
4) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 26. Компетенция органов в области социальной защиты населения в сфере обработки персональных данных
Органы в области социальной защиты населения координируют деятельность держателей персональных данных.
Статья 27. Компетенция органов информатизации в сфере
обработки персональных данных
Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.
Статья 28. Компетенция иных государственных органов в сфере обработки персональных данных
Иные государственные органы в пределах своей компетенции осуществляют обработку персональных данных в порядке, установленном законодательством Республики Казахстан.
Глава 7. Заключительные положения и переходные положения
Статья 29. Государственный контроль и надзор в области обработки персональных данных
1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».
2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.
Статья 30. Ответственность за нарушение законодательства Республики Казахстан о персональных данных
Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
Статья 31. Порядок введения в действие настоящего Закона
Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.
Президент
Республики Казахстан
Республики Казахстан
На Ваш исх. № 1-33-13/2010-4 от 21 июня 2011 года
ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ
Национальная экономическая палата «Атамекен»
Рассмотрев проект Закона Республики Казахстан «О персональных данных» и проект Закона Республики Казахстан Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных» (далее - проекты Законов) сообщаем следующее.
В целях выработки консолидированного мнения проекты Законов были представлены на рассмотрение членам НЭП «Атамекен».
По результатам рассмотрения проектов Законов имеются следующие замечания и предложения.
I. По проекту Закона Республики Казахстан «О персональных данных (далее - проект Закона)
1. Предлагаем п.1 ст.6 проекта Закона изложить в следующей редакции:
«1. Обработка персональных данных осуществляется их держателем только с согласия объекта персональных данных, либо его законного представителя.
Обоснование: Проект Закона распространяется на всех физических лиц, следовательно на несовершеннолетних и не дееспособных граждан, которые в силу своих физических возможностей не могут осуществлять какие либо юридические действия самостоятельно.
2. Предлагаем в п.2 ст.3 проекта Закона добавить пп.17) в следующей редакции:
«17) заключении международных коммерческих контрактов».
Обоснование: В соответствии со ст. 12 проекта Закона передача персональных данных на территории иностранных государств допускается, только в случае обеспечения ими защиты прав объектов персональных данных. Однако данная норма будет существенно тормозить процесс обмена сведениями с зарубежными партнерами, делая невозможными многие коммерчески перспективные проекты. В связи с чем, предлагаем не распространять действие Закона на международные коммерческие проекты.
Просим учесть представленные замечания при обсуждении проекта и согласно абзацу 2 пункта 5 статьи 5 Закона Республики Казахстан «О частном предпринимательстве» и абзацу 2 пункта 4 статьи 14-1 Закона Республики Казахстан «О нормативных правовых актах» в случае несогласия с экспертным заключением направить обоснованный ответ.
Председатель Правления А. Перуашев
Исп.: Джумадилов С.
serikbol.j@gmail.com
Тел. 51-69-04
Закон Республики Казахстан
«О персональных данных»
(сентябрь 2011 года)
Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанные с обработкой персональных данных, осуществляемые государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств.
Глава 1. Общие положения
Статья 1. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
1) биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность;
2) персональные данные - информация (зафиксированная на материальном носителе) о физическом лице, позволяющая установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;
3) объект персональных данных - физическое лицо, к которому относятся
4) соответствующие персональные данные;
5) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;
6) сбор персональных данных - процедура получения держателем персональных данных от объекта;
6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных;
7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному объекту;
8) обработка персональных данных - отдельные действия (операции) с персональными данными или их совокупность, включая сбор, систематизацию, накопление, хранение, обновление (изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;
10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении объекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы объекта или других лиц;
11) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
12) международная передача персональных данных - передача персональных данных держателем через государственную границу Республики Казахстан органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
13) общедоступные персональные данные - персональные данные, включенные в общедоступные источники персональных данных (биографические, библиографические справочники, телефонные, адресные книги, частные объявления и т.д.) или в средства массовой информации и на которые не распространяются требования сохранение тайн, установленных действующим законодательством Республики Казахстан;
14) информационная система персональных данных - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку с использованием средств автоматизации или без использования таких средств;
15) третье лицо - лицо, не являющееся объектом или держателем персональных данных, но связанное обстоятельствами или иными правоотношениями с одной из этих сторон в ходе обработки персональных данных.
Статья 2. Цель настоящего Закона
Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.
Статья 3. Сфера действия настоящего Закона
1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции с использованием средств автоматизации или без них.
2. Действие настоящего Закона не распространяется на отношения, возникающие при:
1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных объектов персональных данных;
2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле;
3) обработке персональных данных, отнесенных в установленном порядке к разведывательной, контрразведывательной, антитеррористической деятельности, а также сведениям, составляющих государственные секреты;
4)обработке государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;
5) обработке персональных данных в соответствии с требованиями финансового законодательства Республики Казахстан, а также законодательства Республики Казахстан, регулирующего деятельность финансовых организаций и финансового рынка;
6) заключении международных коммерческих контрактов;
7) использовании персональных данных для статистических или научных целей с условием обязательного обезличивания персональных данных;
8) защите жизни, здоровья или иных законных интересов объекта персональных данных, если получение его согласия невозможно;
9) доставке почтовых отправлений организациями почтовой связи, осуществлении оператором связи расчетов с пользователями за оказанные услуги, а так же для рассмотрения их претензий;
10) использовании в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод объекта персональных данных;
11) опубликовании персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
12) обработке персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, национальных реестрах идентификационных номеров, а также о противодействии легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма;
13)осуществлении уголовно-процессуального, уголовно- исполнительного, административного законодательства Республики Казахстан, а также в целях обороны страны, безопасности государства и охраны правопорядка;
14) осуществлении органами прокуратуры надзорных полномочий;
15) осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан;
16) обработке персональных данных органами и организациями здравоохранения (государственным, негосударственным секторами) в медико-профилактических целях, для установления медицинского диагноза и оказания медицинских услуг с соблюдением врачебной тайны;
17) обработке персональных данных органами социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов объекта персональных данных;
18)осуществлении общественными объединениями обработки персональных данных в отношении своих участников (членов);
19) обработке персональных данных получателей пенсий и пособий из республиканского бюджета в соответствии с действующим законодательством Республики Казахстан в области пенсионного и социального обеспечения;
20) обработке, хранении персональных данных в соответствии с Законом Республики Казахстан «Об обязательном социальном страховании»;
21) отправлении правосудия;
22) получении персональных данных АО «Компания по страховании) жизни «Государственная аннуитетная компания» от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;
23)иных случаях, предусмотренных законодательными актами Республики Казахстан.
Статья 4. Принципы обработки персональных данных
Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных
1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит та настоящего Закона и иных нормативных правовых актов Республика Казахстан.
2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.
3. Государственные органы в соответствии с настоящим Законом в пределах своих полномочий принимают нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.
Глава 2. Правовой режим обработки персональных данных
Статья 6. Порядок получения или отзыва согласия объекта на обработку персональных данных
1.Обработка персональных данных осуществляется их держателем только с согласия объекта персональных данных либо его законного представителя.
2. Объект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.
Согласие или отзыв согласия объекта на обработку персональных данных должно включать в себя:
1) фамилию, имя, отчество (при его наличии), дату и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессию, доходы;
2) наименование и адрес держателя персональных данных, получающего согласие или отзыв согласия объекта;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается или отзывается согласие объекта;
5) перечень действий с персональными данными, на совершение которых дается или отзывается согласие, общее описание используемых держателем способов их обработки, включая возможную или обязательную передачу другому держателю или третьему лицу на основании законов Республики Казахстан;
6) дату дачи или отзыва согласия, срок, в течение которого действует согласие объекта на обработку его персональных данных.
3. В случае недееспособности или ограниченной дееспособности объекта согласие на обработку его персональных данных дает его законный представитель.
4. В случае смерти объекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан
5. Обязанность предоставить доказательство получения согласия объекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя.
Статья 7. Особенности обработки биометрических персональных данных
1.Обработка биометрических персональных данных осуществляется только с согласия объекта персональных данных, за исключением случаев обработки биометрических персональных данных на основании законов Республики Казахстан об оперативно-розыскной деятельности, национальной безопасности, правовой статистике и специальных учетах, исполнительном производстве, в связи с осуществлением правосудия, а также в случаях, предусмотренных уголовно-процессуальным, уголовно-исполнительным и административным законодательством Республики Казахстан.
2. Сбор биометрических данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью объекта персональных данных.
3. Порядок и условия сбора биометрических данных определяются Правительством Республики Казахстан.
Статья 8. Особенности обработки общедоступных персональных данных
1. В целях информационного обеспечения населения создаются общедоступные источники персональных данных. В общедоступные источники персональных данных с письменного согласия объекта персональных данных могут включаться его фамилия, имя, отчество (при его наличии), дата и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные объектом.
2. Сведения об объекте исключаются из общедоступных источников персональных данных по требованию объекта либо по решению суда.
Статья 9. Конфиденциальность персональных данных
Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений. Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия объекта персональных данных.
Статья 10. Обезличивание персональных данных
Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.
Статья 11. Передача персональных данных
1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения.
2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия объекта.
3. Порядок передачи персональных данных определяется нормативными правовыми актами Республики Казахстан.
Статья 12. Международная передача персональных данных
В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав объектов персональных данных.
Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека, обеспечения обороны страны, национальной безопасности.
Глава 3. Права объекта персональных данных
Статья 13. Права объекта на доступ к своим персональным данным, отзыв согласия, требование их обновления, блокирования
1. Объект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение.
2. Объект персональных данных имеет право на получение информации в доступной документированной форме, содержащей:
1) подтверждение факта обработки персональных данных;
2) указание цели и способов обработки персональных данных;
3) сведения о лицах, которые имеют доступ к персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения.
3. При наличии оснований, подтвержденных соответствующими документами, объект персональных данных вправе требовать от держателя обновления этих данных.
4. В случае, если объект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя их блокирования либо уничтожения.
5. Объект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 6 настоящего Закона.
Статья 14. Права объектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия объекта персональных данных.
2. Держатель персональных данных обязан немедленно прекратить по требованию объекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
Статья 15. Право на обжалование действий или бездействия держателя персональных данных
1.Если объект персональных данных считает, что держатель
осуществляет обработку его персональных данных с нарушением требований
настоящего Закона, он вправе обжаловать действия или бездействие держателя
в вышестоящий государственный орган (организацию) или в судебном порядке.
2. Объект персональных данных имеет право на защиту своих прав и
законных интересов, в том числе на возмещение убытков и (или) компенсацию
морального вреда в судебном порядке.
Глава 4. Обязанности держателя персональных данных
Статья 16. Обязанности держателя при сборе персональных данных
1. При сборе персональных данных держатель обязан предоставить объекту по его просьбе информацию, предусмотренную пунктом 2 статьи 13 настоящего Закона.
2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить объекту правовые последствия его отказа предоставить свои персональные данные.
Статья 17. Обязанности держателя по обеспечению защиты персональных данных при их обработке
1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного
доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
3. При использовании автоматизированных информационных систем держатель обязан обеспечить соблюдение требований стандартов информационной безопасности, принятых на территории Республики Казахстан.
Статья 18. Обязанности держателя при обращении либо при получении запроса объекта персональных данных или его законного представителя
1. При обращении объекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 13 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему объекту, а также предоставить возможность ознакомления с персональными данными. Запрос объекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения.
2. В случае отказа в предоставлении информации о персональных данных объекту или его законному представителю держатель обязан дать мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения запроса.
Статья 19. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Принятие решений, затрагивающих права и законные интересы объектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия объекта.
2. Держатель обязан предоставить объекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение объекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.
Статья 20. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных
1. В случае выявления держателем, либо при обращении (запроса) объекта или его законного представителя факта недостоверности персональных данных или нарушения правового режима их обработки в соответствии с настоящим Законом, держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему объекту.
2.В случае подтверждения факта недостоверности персональных данных держатель на основании документов, представленных объектом или его законным представителем, или иных необходимых документов обязан в течение одного рабочего дня обновить персональные данные и снять их блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить объекта или его законного представителя.
3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан.
4. В случае отзыва объектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить объекта или его законного представителя.
Глава 5. Заключительные положения
Статья 21. Государственный контроль и надзор в области обработки персональных данных
1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».
2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.
Статья 22. Ответственность за нарушение законодательства Республики Казахстан о персональных данных
Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
Статья 23. Порядок введения в действие настоящего Закона
Настоящий Закон вводится в действие по истечении десяти календарных дней после его первого официального опубликования.
Президент
Республики Казахстан
Республика Казахстан
Пояснительная записка
к проекту Закона Республики Казахстан
«О персональных данных»
Законопроект разработан в соответствии с Планом законопроектных работ Правительства Республики Казахстан на 2011 год.
Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), блокирование, уничтожение персональных данных, в том числе его фамилии, имени, отчества, года, месяца, даты и места рождения, адреса, семейного, социального положения, образования, профессии, биометрических данных и другой информации).
Так, согласно статье 18 Конституции каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
Указанная конституционная норма свидетельствует о том, что согласно Конституции, наиболее защищённой в государстве информацией, наряду с информацией, составляющей государственную тайну, являются сведения о частной жизни человека.
Сведениям о частной жизни можно относить персональные данные человека. Поскольку под персональными данными понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.
Однако в действующем казахстанском законодательстве не регламентируется правовое положение персональных данных, в том числе и биометрических.
Таким образом, отмечается насущность и жизненная необходимость урегулирования на уровне закона отношений связанных со сбором и использованием персональных данных.
В этой связи законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Принятие законопроекта повлечет положительные правовые и социально-экономические последствия.
Реализация настоящего законопроекта не потребует выделения дополнительных финансовых средств из республиканского бюджета.
Премьер-Министр Республики Казахстан |
К. Масимов |
Закон
Республики Казахстан
«О ПЕРСОНАЛЬНЫХ ДАННЫХ»
(июнь 2011 года)
Настоящий Закон регулирует общественные отношения, возникающие при обработке персональных данных физических лиц.
Глава 1. Общие положения
Статья 1. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
1) персональные данные - информация о физическом лице (субъекте персональных данных), позволяющая установить его личность, в том числе: его фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, место жительства, юридический адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, специальные, биометрические персональные данные и другая информация;
2) субъект персональных данных (далее субъект)- физическое лицо, к которому относятся соответствующие персональные данные;
3) держатель персональных данных (далее держатель) - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;
4) обработка персональных данных - отдельные действия (операции) с персональными данными или их совокупность, включая сбор, систематизацию, накопление, хранение, обновление (изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
5) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;
6) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту;
7 ) общедоступные персональные данные - персональные данные, включенные в общедоступные источники персональных данных (биографические, библиографические справочники, телефонные, адресные книги, частные объявления и т.д.) или в средства массовой информации и на которые не распространяются требования сохранение тайн, установленных действующим законодательством Республики Казахстан
8) специальные категории персональных данных - это персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни;
9) биометрические персональные данные - сведения, характеризующие физиологические и поведенческие особенности человека, на основе которых можно установить его личность.
10) третье лицо - лицо, не являющееся субъектом или держателем персональных данных.
Статья 2. Цель настоящего Закона
Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Сфера действия настоящего Закона
1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без них.
2. Действие настоящего Закона не распространяется на отношения, возникающие при:
1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных;
2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законами Республики Казахстан об архивном деле;
3) обработке персональных данных субъекта в связи с его деятельностью в качестве индивидуального предпринимателя, если такая обработка осуществляется в соответствии с законами Республики Казахстан;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 4. Принципы обработки персональных данных
Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека и гражданина, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.
Статья 5. Законодательство Республики Казахстан в области персональных данных
1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных законов Республики Казахстан.
2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, то применяются правила международного договора.
3. Государственные органы в пределах своих полномочий и в соответствии с положениями настоящего Закона принимают нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.
Глава 2. Правовой режим обработки персональных данных
Статья 6. Порядок получения или отзыва согласия субъекта на обработку персональных данных
1. Субъект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписью в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.
Согласие или отзыв субъекта на обработку персональных данных должно включать в себя: (см. текст в предыдущей редакции)
1) фамилию, имя, отчество (при его наличии), место жительства, юридический адрес субъекта, номер документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование и адрес держателя персональных данных, получающего согласие или отзыв согласия субъекта;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается или отзывается согласие субъекта;
5) перечень действий с персональными данными, на совершение которых дается или отзывается согласие, общее описание используемых держателем способов их обработки, включая возможную или обязательную передачу другому держателю или третьему лицу на основании законов Республики Казахстан;
6) дата получения или отзыва согласия, срок, в течение которого действует согласие субъекта на обработку его персональных данных.
2. В случае недееспособности или ограниченной дееспособности субъекта согласие на обработку его персональных данных дает его законный представитель.
3. В случае смерти субъекта согласие на обработку его персональных данных дают наследники.
4. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя.
Статья 7. Условия обработки персональных данных
1. Обработка персональных данных осуществляется их держателем только с согласия субъектов персональных данных, за исключением случаев:
1) использования для статистических или научных целей при условии обязательного обезличивания персональных данных;
2) защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение его согласия невозможно;
3) доставки почтовых отправлений организациями почтовой связи, осуществления оператором связи расчетов с пользователями за оказанные услуги, а также для рассмотрения их претензий;
4) использования в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта персональных данных;
5 ) опубликования в соответствии с законами, в том числе персональных данных кандидатов на выборные государственные должности;
6) отправления правосудия;
7) обработки персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, административных правонарушениях, национальных реестрах идентификационных номеров, а также в соответствии с уголовно-процессуальным, уголовно-исполнительным законодательством Республики Казахстан.
2. Сроки хранения персональных данных определяются с учетом целей их получения законодательством Республики Казахстан.
Статья 8. Особенности обработки специальных категорий персональных данных
1. Обработка специальных категорий персональных данных не допускается, за исключением случаев, если:
1) субъект персональных данных дал согласие на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) осуществляется национальная перепись населения в соответствии с законодательством Республики Казахстан;
4) производится органами здравоохранения и социальной защиты инвалидов в медико-профилактических целях, установления медицинского диагноза, оказания медицинских и медико-социальных услуг с соблюдением врачебной тайны;
5) осуществляется общественными объединениями в отношении своих участников (членов);
6) это связано с отправлением правосудия;
7) осуществляется административное производство, оперативно-розыскная деятельность, уголовное преследование, исполнение наказания, а также в целях обороны страны;
8) производится обязательное социальное страхование в соответствии с законами Республики Казахстан;
9) государственными органами в пределах полномочий в соответствии с законами Республики Казахстан обрабатываются сведения о судимости.
2. Обработка специальных категорий персональных данных в случаях, предусмотренных пунктом 1 настоящей статьи, немедленно прекращается, если устранены ее причины.
Статья 9. Особенности обработки биометрических персональных данных
1. Обработка биометрических персональных данных не допускается, за исключением наличия согласия субъекта персональных данных, на основании законов Республики Казахстан, в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством о национальной безопасности, оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, административных правонарушениях, уголовно-процессуальным, уголовно-исполнительным законодательством Республики Казахстан.
2. Сбор биометрических данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью субъекта персональных данных.
Статья 10. Особенности обработки общедоступных персональных данных
Сведения о субъекте исключаются из общедоступных источников персональных данных по требованию субъекта либо по решению суда.
Статья 11. Конфиденциальность персональных данных
Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений.
Статья 12. Обезличивание персональных данных
Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.
Статья 13. Передача персональных данных
1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения.
2. Передача персональных данных в случаях, не соответствующих целям их получения, осуществляется либо с согласия субъекта, либо на основании законов Республики Казахстан.
Статья 14. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Законом и запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов граждан, обеспечения обороны страны.
2. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих защиту прав субъектов, осуществляется в случаях::
1) наличия согласия субъекта персональных данных;
2) предусмотренных международными договорами Республики Казахстан.
Глава 3. Права субъекта персональных данных
Статья 15. Права субъекта на доступ к своим персональным данным, отзыв согласия, требование их обновления, блокирования
1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ, за исключением случаев осуществления оперативно-розыскной деятельности, уголовного преследования, исполнения наказания, обороны страны.
2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей:
1) подтверждение факта обработки персональных данных,
2) указание цели и способов обработки персональных данных;
3) сведения о лицах, которые имеют доступ к персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения.
3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных.
4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя их блокирования.
5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 6 настоящего Закона.
Статья 16. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных.
2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.
Статья 17. Права субъектов при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта.
2. Субъект персональных данных вправе получить от держателя разъяснения о принятом решении согласно пункту 1 настоящей статьи, заявить возражение и оспорить его в порядке, предусмотренном законами Республики Казахстан.
3. Держатель персональных данных обязан рассмотреть возражение, указанное в пункте 2 настоящей статьи, в течение трех рабочих дней со дня его получения и уведомить субъекта о результатах его рассмотрения. Законами Республики Казахстан устанавливаются иные сроки рассмотрения возражений субъекта персональных данных.
Статья 18. Право на обжалование действий или бездействия держателя персональных данных
1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию), в судебном или ином порядке в соответствии с законами Республики Казахстан.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение материальных убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности держателя персональных данных
Статья 19. Обязанности держателя при сборе персональных данных
1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 15 настоящего Закона.
2. Если обязанность предоставления персональных данных установлена законом, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные.
Статья 20. Обязанности держателя по обеспечению безопасности персональных данных при их обработке
1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
2. При использовании автоматизированных информационных систем держатель обязан обеспечить соблюдение требований стандартов информационной безопасности, принятых на территории Республики Казахстан.
Статья 21. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя
1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 14 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения.
2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения запроса.
3. Держатель персональных данных при получении от субъекта или его законного представителя документов, подтверждающих недостоверность персональных данных, незаконность их получения или факта обработки, не соответствующей заявленной цели, обязан устранить допущенные при обработке персональных данных нарушения в порядке, предусмотренном статьей 21 настоящего Закона.
Статья 22. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними, либо при обращении или по запросу субъекта или его законного представителя, держатель обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту, с момента получения обращения или запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных держатель на основании документов, представленных субъектом или его законным представителем, или иных необходимых документов обязан в течение одного рабочего дня обновить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными держатель обязан устранить допущенные нарушения в срок, не превышающий трех рабочих дней со дня выявления. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты выявления неправомерности действий. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя.
4. В случае достижения цели обработки персональных данных держатель обязан прекратить их обработку и уничтожить соответствующие персональные данные в течение одного рабочего дня и уведомить об этом субъекта персональных данных или его законного представителя.
5. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и уничтожить их в течение одного рабочего дня со дня получения отзыва. Об уничтожении персональных данных держатель обязан уведомить субъекта или его законного представителя.
Глава 5. Заключительные положения
Статья 23. Государственный контроль и надзор в области обработки персональных данных
1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».
2. Контроль за выполнением требований к правовым, административным, техническим и иным мерам по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств автоматизации, осуществляется Канцелярией Премьер-Министра Республики Казахстан и без права ознакомления с персональными данными, обрабатываемыми в этих информационных системах.
Статья 24. Ответственность за нарушение законодательства Республики Казахстан о персональных данных
Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.
Статья 25. Порядок введения в действие настоящего Закона
Настоящий Закон вводится в действие по истечении десяти календарных дней после его первого официального опубликования.
Президент
Республики Казахстан
ПОСТАНОВЛЕНИЕ
МАЖИЛИСА ПАРЛАМЕНТА
РЕСПУБЛИКИ КАЗАХСТАН
О подготовке заключения по проекту
Закона Республики Казахстан «О персональных данных»
В соответствии с пунктом 28 Регламента Мажилиса Парламента Республики Казахстан Мажилис Парламента Республики Казахстан ПОСТАНОВЛЯЕТ:
Поручить Комитету по законодательству и судебно-правовой реформе рассмотреть проект Закона Республики Казахстан «О персональных данных» и подготовить по нему заключение в срок до 30 ноября 2012 года.
Председатель Мажилиса
Парламента Республики Казахстан
Пояснительная записка Мажилиса Парламента Республики Казахстан от 29 марта 2012 года № 13/II-127
к проекту Закона Республики Казахстан «О персональных данных»
Проект Закона Республики Казахстан «О персональных данных» (далее - законопроект) разработан в соответствии с пунктом 4 Плана законопроектных работ Правительства Республики Казахстан на 2012 год.
Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, распространение, блокирование и уничтожение персональных данных.
Так, согласно статье 18 Конституции Республики Казахстан каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
Указанная конституционная норма свидетельствует о том, что согласно Конституции Республики Казахстан, наиболее защищенной в государстве информацией, наряду с информацией, составляющей государственную тайну, должны быть сведения о частной жизни человека.
К сведениям о частной жизни возможно отнесение персональных данных человека, поскольку под ними понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.
Однако, в действующем казахстанском законодательстве не регламентировано правовое положение персональных данных, в том числе и биометрических.
Таким образом, отмечается необходимость урегулирования на уровне закона отношений, связанных со сбором и использованием персональных данных.
В этой связи законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Реализация проекта будет осуществляться заинтересованными государственными органами за счет и в пределах средств, предусмотренных в республиканском бюджете на 2012-2014 годы.
Премьер-Министр Республики Казахстан |
К. Масимов |
Прогноз последствий принятия проекта
Закона Республики Казахстан «О персональных данных»
Проект Закона Республики Казахстан «О персональных данных» (далее - законопроект) разработан в соответствии с пунктом 4 Плана законопроектных работ Правительства Республики Казахстан на 2012 год.
Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, распространение, блокирование и уничтожение персональных данных.
Так, согласно статье 18 Конституции Республики Казахстан каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.
Указанная конституционная норма свидетельствует о том, что согласно Конституции Республики Казахстан, наиболее защищенной в государстве информацией, наряду с информацией, составляющей государственную тайну, должны быть сведения о частной жизни человека.
К сведениям о частной жизни возможно отнесение персональных данных человека, поскольку под ними понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.
Однако, в действующем казахстанском законодательстве не регламентировано правовое положение персональных данных, в том числе и биометрических.
Таким образом, отмечается необходимость урегулирования на уровне закона отношений, связанных со сбором и использованием персональных данных.
В этой связи законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
С учетом изложенного, принятие проекта Закона не повлечет негативных экономических, социальных, правовых, экологических последствий.
Министр внутренних дел Республики Казахстан |
К. Касымов |
Перечень нормативных правовых актов Республики Казахстан, принятие
которых необходимо в целях реализации проекта Закона «О персональных данных»
1. Разработка постановления Правительства Республики Казахстан «Об утверждении Правил хранения биометрических персональных данных;
2. Разработка постановления Правительства Республики Казахстан «Об утверждении Правил передачи персональных данных».
Письмо Министерства образования и науки Республики Казахстан Республиканского государственного предприятия «Казахский национальный университет имени аль-Фараби» от 19 декабря 2011 года № 1-9-3744
Республики Казахстан
В ответ на Ваше обращение (исх. № 1-33-13/5049-и от 05.12.2011 года) направляем заключения повторной научной правовой экспертизы проектов Законов Республики Казахстан «О персональных данных» и «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных», подготовленные экспертами Казахского национального университета имени аль-Фараби.
Первый Проректор М.М. Буркитбаев
ЗАКЛЮЧЕНИЕ
повторной научной правовой экспертизы законопроекта
«О персональных данных»
1.ОБЩИЕ СВЕДЕНИЯ
Организация, проводившая научную экспертизу | КазНУ имени аль-Фараби |
Отрасли науки | юридическая |
Разработчик | МВД РК |
Предмет и цели научной экспертизы | Предметом экспертизы являются общественные отношения, связанные с обработкой персональных данных физических лиц, осуществляемой государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без них. Цель - закрепление основополагающих принципов и норм в сфере обработки персональных данных: законность целей и способов обработки персональных данных; уважение и защита прав и свобод человека и гражданина; конфиденциальность; добросовестность; ответственность; защита информации. |
Наименование проекта нормативного правового акта | Закон Республики Казахстан «О персональных данных» |
Назначение проекта | Законопроектом регулируются общественные отношения, связанные с обработкой персональных данных физических лиц, осуществляемой государственными органам и, s юридическими и физическими лицами с использованием средств автоматизации или без них. |
Структура проекта | 32 статьи |
ЭКСПЕРТНЫЕ ОЦЕНКИ
по отдельным параметрам
2. Описание проблемных вопросов.
На повторную научно-правовую экспертизу поступил проект Закона Республики Казахстан «О персональных данных» (далее - Законопроект), разработанный во исполнение пункта 30 Плана законопроектных работ Правительства Республики Казахстан на 2011 год.
Законопроект направлен на регулирование общественных отношений, возникающих при обработке персональных данных физических лиц.
Таким образом, Законопроектом регулируются общественные отношения, связанные с обработкой персональных данных физических лиц, осуществляемой государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без них. При этом, в Законопроекте оговорены отношения, на которые не распространяется его действие, а именно: 1) при обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных; 2) при организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан об архивном деле; 3) при обработке персональных данных субъекта в связи с его деятельностью в качестве индивидуального предпринимателя, если такая обработка осуществляется в соответствии с законодательством Республики Казахстан; 4) при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
В Законопроекте также зафиксированы основные принципы обработки персональных данных, а именно: законности целей и способов такой обработки; уважения и защиты прав и свобод человека и гражданина; конфиденциальности; добросовестности; ответственности; достоверности; защиты информации.
Немаловажно и то, что в Законопроекте содержатся положения, определяющие критерии законности действий, связанных с обработкой персональных данных, а также пределы ограничения прав субъектов в связи с обеспечением общественных интересов, общественной и национальной безопасности.
В целом, анализ содержания Законопроекта позволяет утверждать, что по юридической форме и содержанию он отвечает основным требованиям, предъявляемым к актам подобного рода. Положения, изложенные в Законопроекте, представляются вполне обоснованными, полными и достоверными.
С учетом всего вышеизложенного, предлагаемый законопроект вполне своевременен и актуален и какие-либо научно обоснованные доводы по нецелесообразности его принятия отсутствуют.
3. Описание всех известных и эффективных способов, механизмов, подходов к разрешению проблемных вопросов, на решение которых направлено принятие нормативного правового акта, в том числе применявшихся на разных исторических этапах, зарубежной практике, а также описание смежных сфер правоотношений и влияния на них в виде последствий от принятия законопроекта, в том числе:
Вопрос используемых методов в целях разрешения проблемных вопросов имеет важное значение в общей характеристике науки. Методы разнообразны: исторический, сравнительно-правовой, системный, статистический, конкретно-социологический и др.
Исторический метод
Метод предполагает исследование вопроса всех процессов в их историческом развитии, что является необходимым для выявления преемственности в правовом регулировании, научных выводов о связи с основополагающими концепциями общественного развития, о соответствии тем социальным ценностям, которые и политически, и в нормативной форме признаются приоритетными на данном этапе. Исторический фактор оказывает существенное влияние на развитие права, потому как, сегодняшние правовые реалии во многом определяются правовым прошлым, а правовые реалии сегодняшнего дня в значительной степени предопределяют завтрашний день права.
Сравнительно-исторический метод.
Научный метод, с помощью которого путём сравнения выявляется общее и особенное в исторических явлениях, достигается познание различных исторических ступеней развития одного и того же явления или двух разных сосуществующих явлений. Метод, выявляя исторические факты, раскрывает конкретных государственно-правовых явлений путем сопоставления их отдельных качеств, черт с показателями других однотипных и одновременных им явлений (синхронное сравнение).
Сравнительно-правовой метод.
Сравнительно-правовой метод, относящийся к сугубо юридическим методам изучения действительности, заключается в сравнительном анализе, регулирующих однородные сферы общественных отношений в различных странах. Это важный инструмент в использовании положительного опыта, накопленного в данной области, в выявлении наиболее эффективных моделей регулирования проблемного вопроса.
Системный метод.
Научный метод познания, представляющий собой последовательность действий по установлению структурных связей между элементами исследуемой системы. Метод рассматривает саму отрасль как систему, изучает ее структуру, составляющие ее элементы, их соотношение, взаимосвязи, анализируя систему каждого правового института, что способствует правильному определению предмета отрасли, отграничению одних отношений от правоотношений других видов, облегчает правоприменительную деятельность.
Статистический метод.
При анализировании эффективности действия правовых норм, их влияние на общественные процессы используется статистический метод исследования. Количественный фактор является важным показатель реальности демократических институтов, закрепляемых правовыми нормами. Поэтому необходимы статистические данные, касающиеся всех сфер регулируемых этой отраслью общественных отношений, на основе которых составляются выводы. Статистический метод помогает отделить необходимое от случайного, выявить закономерность определенных процессов. Статистический метод применяется в сочетании с другими методами познания.
Метод конкретно-социологических исследований.
Метод используется для изучения социальной и политической сфер, в которых происходит реализация правовых норм. При этом выявляются условия, воздействующие на развитие общественного сознания, на формирование общественного мнения, определяющие поведенческие установки граждан в отношении правовых норм. Метод конкретно-социологического исследования отображает реальное состояние правовой действительности. В данном методе применяются такие приемы, как: анкетирование, наблюдение, интервью, тестирование, социальный эксперимент, экспертная оценка.
Логический метод.
Важное место в праве занимает логический (или как его называют, формально-логический или догматический) метод. Общие логические методы - анализ и синтез, индукция и дедукция, абстрагирование. Правовая наука постоянно имеет дело с текстами законов и других правовых норм. Логический метод, опираясь на приемы формальной логичен, позволяет анализировать тексты правовых норм, сопоставлять их друг с другом, отыскивать связи между частным и общим. На логический метод опираются не только теоретики-правоведы, но и законодатели, разрабатывающие тексты новых законов, государственные служащие, судьи и другие правоприменители используют логический метод для разработки, применения и истолкования правовых норм. Этот метод позволяет выявить несоответствие тех или иных правовых норм реалиям общественной жизни, противоречия правовых актов между собой.
На основании вышеизложенного можно сделать вывод, что к разрешению проблемных вопросов, на решение которых направлена разработка законопроекта разработчиком не применялись вышеописанные методы исследования, в частности, сравнительно-исторический, сравнительно-правовой, конкретно-социологический, статистический.
4. Анализ предлагаемых проектом нормативного правового акта способов, механизмов, подходов к разрешению поставленных проблемных вопросов, возможных последствий от принятия тех или иных способов разрешения проблемных ситуаций, в том числе ответы на вопросы, поставленные перед научной правовой экспертизой:
4.1. Проверка на соответствие проекта Закона Конституции Республики Казахстан, нормативным правовым актам вышестоящих уровней, международным обязательствам Республики Казахстан.
Проект Закона Республики Казахстан «О персональных данных» не находится в противоречии с нормами Конституции законодательных актов, а также международных договоров Республики Казахстан.
Исходя из содержания, законопроекта, он в целом соответствует Конституции Республики Казахстан и иным законодательным актам Республики Казахстан.
Каких-либо противоречий законопроекта действующим международным обязательствам Казахстана не обнаружено.
4.2. Оценка социальных, экономических, научно-технических, экологических и иных последствий принятия проекта Закона.
Принятие закона будет иметь положительные социальные, экономические и иные последствия, которые подробно изложены разработчиками в пояснительной записке к законопроекту.
4.3. Определение наличия условий для совершения коррупционных правонарушений в связи с принятием проекта Закона.
В нормах законопроекта явных элементов, способствующих совершению коррупционных правонарушений, не обнаружено.
4.4. Определение наличия причин и условий для ущемления права на гендерное равенство в связи с принятием проектов, нормативного правового акта.
Причин и условий для ущемления права на гендерное равенство в законопроекте не обнаружено.
4.5. Определение перечня нормативных правовых актов, подлежащих уточнению при условии принятия проекта.
Проведенный анализ законопроекта показывает, что нормы законопроекта являются в достаточной мере научно-обоснованными и достоверными.
4.6. Характеристика научной проработанности норм проекта Закона, выработка научно обоснованных предложений по улучшению законодательной базы.
В целом, законопроект значительно доработан с учетом высказанных замечаний, предложений и рекомендаций. Законопроект практически обоснован.
4.7. Выявление возможных противоречий принципам соответствующей отрасли права.
Явных противоречий, как по общеправовым принципам, так и принципам публично-правовой отрасли права не выявлено.
4.8. Выявление явного или скрытого ведомственного или группового интереса, обеспечиваемого проекта Закона.
В проекте Закона не усматривается присутствие ведомственных, групповых или иных интересов, противоречащих задачам нормативного регулирования.
4.9. Получение ответов на иные вопросы, вытекающие из проекта.
Дополнительных вопросов не ставилось.
Выводы и предложения.
Представленный на повторную научно-правовую экспертизу проект Закона «О персональных данных» может быть рекомендован к принятию.
Эксперты:
Заместитель Директора
Института государства и права,
КазНУ им. аль-Фараби, к.ю.н Ю.С. Локтева
Заведующий кафедрой Международного
права Факультета Международных отношений
КазНУ им. аль-Фараби, к.ю.н., доцент С.Ж. Айдарбаев
Кандидат юридических наук, СНС
Института государства и права
КазНУ имени аль-Фараби М.Б. Кудайбергенов
Кандидат юридических наук, доцент,
Начальник кафедры государственно-
правовых дисциплин Академии КНБ РК В.В. Мамонов
Старший преподаватель кафедры экологии,
юридического факультета
КазНУ имени аль-Фараби, к.ю.н. А.К. Джангабулова
Письмо Научно-исследовательского института правового мониторинга, экспертизы и анализа Республики Казахстан от 12 декабря 2011 года № 01/4-5073
Министерство
внутренних дел
Республики Казахстан
Министерство юстиции
Республики Казахстан
На Ваш № 1-33-13/5049-и от 05 декабря 2011 года направляем заключение дополнительной научной антикоррупционной экспертизы проекта Закона Республики Казахстан «О персональных данных».
Также сообщаем, что согласно пункту 36 Правил проведения научной экспертизы, утвержденных постановлением Правительства Республики Казахстан от 30 мая 2002 года № 598, в течение семи рабочих дней после получения заключения научной правовой, антикоррупционной, криминологической экспертиз государственные органы, в компетенцию которых входит рассмотрение вопросов, затрагиваемых в экспертном заключении, обязаны принять меры по рассмотрению данных замечаний и предложений и предоставить соответствующую информацию в Министерство юстиции Республики Казахстан.
Второму адресату направляем для сведения.
Директор | Г. Кысыкова |
Научно-исследовательский институт правового мониторинга,
экспертизы и анализа
ЗАКЛЮЧЕНИЕ
дополнительной научной антикоррупционной экспертизы проекта
Закона Республики Казахстан «О персональных данных»
1. Общие положения
Организация и/или лицо, привлеченное организацией, проводившее научную экспертизу - Научно-исследовательский институт правового мониторинга, экспертизы и анализа
Отрасли законодательства - 020.000.000. Законодательство о государственном и общественном устройстве.
Государственный орган - разработчик - Министерство внутренних дел Республики Казахстан
Предмет и цели научной антикоррупционной экспертизы
Целями анализа коррупциогенности проекта нормативного правового акта являются:
выявление в проекте нормативного правового акта коррупционных факторов и норм (дефектов норм), создающих возможности совершения коррупционных действий и (или) решений;
рекомендации по устранению коррупционных факторов и устранению (коррекции) коррупциогенных норм.
Предметом экспертизы являются нормы представленного законопроекта.
Наименование проекта нормативного правового акта - «О персональных данных» (далее - законопроект).
Назначение проекта нормативного правового акта - законопроект разработан в соответствии с пунктом 30 Плана законопроектных работ Правительства Республики Казахстан на 2011 год.
Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, уничтожение персональных данных.
Структура проекта нормативного правового акта - законопроект состоит из 32 статей.
2. Описание проблемных вопросов, на решение которых направлен проект нормативного правового акта, в том числе: оценка обоснованности и своевременности принятия проекта нормативного правового акта.
Разработка и принятие представленного законопроекта обоснованны и своевременны и будут способствовать повышению эффективности правового регулирования в данной сфере после устранения высказанных замечаний.
3. Описание всех известных и эффективных способов, механизмов, подходов к разрешению проблемных вопросов, на решение которых направлено принятие нормативного правового акта, в том числе применявшихся на разных исторических этапах, зарубежной практике, а также описание смежных сфер правоотношений и влияния на них в виде последствий от принятия нормативного правового акта.
Разработка проблемных вопросов, поднятых разработчиком законопроекта, не имеет аналогов в литературных источниках, интернет-ресурсах и носит национальный характер. Последствия от принятия законопроекта будут носить положительный характер после тщательной доработки законопроекта, с учетом высказанных замечаний.
4. Анализ предлагаемых проектом нормативного правового акта способов, механизмов, подходов к разрешению поставленных проблемных вопросов, возможных последствий от принятия тех или иных способов разрешения проблемных ситуаций, в том числе ответы на вопросы, поставленные перед научной антикоррупционной экспертизой.
Законопроект содержит коррупционный потенциал и требует доработки. Способы, механизмы, подходы к разрешению поставленных проблемных вопросов, в целом, адекватны целям и задачам антикоррупционной экспертизы.
Законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Документы, представленные для проведения научной экспертизы
№ | Наименование документов | на государственном языке | на русском языке |
1 | проект нормативного правового акта (количество статей) | представлен (32 статей) | представлен (32 статей) |
2 | пояснительная записка к проекту нормативного правового акта (количество страниц) | представлена (2 страницы) | представлена (2 страницы) |
3 | сравнительная таблица к проекту нормативного правового акта при внесении проекта нормативного правового акта об изменении и дополнении в действующее законодательство с соответствующим обоснованием вносимых изменений и дополнений (количество страниц) | - | - |
4 | паспорт по оценке социально-экономических последствий действия принимаемого законопроекта | представлен (11 страниц) | представлен (11 страниц) |
5 | статистические данные по изучаемой проблеме (количество страниц) | отсутствуют | отсутствуют |
6 | иные материалы, касающиеся вопросов, затронутых в проекте нормативного правового акта (количество страниц) | отсутствуют | отсутствуют |
7 | иные вопросы, поставленные Организатором экспертизы (количество страниц) | отсутствуют | отсутствуют |
Сроки проведения научной экспертизы
дата поступления проекта нормативного правового акта | 07 декабря 2011 года |
дата представления обновленного проекта нормативного правового акта |
|
дата завершения (представления) научной экспертизы | 12 декабря 2011 года |
дата завершения (представления) перевода на государственный или русский язык |
|
Сведения об экспертах, проводивших научную экспертизу
1. Директор НИИ ПМЭиА к.ю.н. Г.Б. Кысыкова
2. Управляющий директор к.э.н. М.В. Сандрачук
3. Административный директор к.ю.н. М.Ш. Асатов
4. Главный научный сотрудник д.ю.н., профессор Г.С. Мауленов
5. Главный научный сотрудник д.ю.н., профессор Г.Р. Рустемова
6. Старший научный сотрудник к.ю.н. Е.З. Бекбаев
7. Старший научный сотрудник к.ю.н. А.Б. Габбасов
8. Эксперт Мухамеджанов А.О.
9. Старший эксперт А. Ахметова
Вопросы, поставленные перед научной антикоррупционной экспертизой
проектов нормативных правовых актов (замечания и рекомендации по факторам коррупциогенности)
В процессе экспертного исследования выявлены следующие дефектные нормы, содержащие признаки коррупциогенных факторов:
1. В пункте 1 статьи 6 закрепляется основополагающие правило - персональные данные собираются при согласии физического лица, за исключением случаев, предусмотренных статьей 7.
Вместе с тем пункт 3 статьи 6 устанавливает:
«Передача держателем обработки персональных данных другому лицу возможна только при условии обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке».
Таким образом, если при первоначальном сборе персональных данных согласие лица требуется, то в последующем их передача возможна без согласия субъекта персональных данных. Данное положение, на наш взгляд, существенно ущемляет правовые интересы граждан, может повлечь неконтролируемое распространение личных персональных данных, так как согласие дается конкретному государственному органу, физическому или юридическому лицу. В данном случае коррупциогенным фактором выступает широта дискреционных полномочий, проявляющиеся в возможности тех или иных держателей персональных данных на неограниченное их использование, в том числе и передачу иным юридическим лицам. (Габбасов А.Б.)
2. В рамках предыдущей экспертизы было дано следующее замечание: «В соответствии с пунктом 2 статьи 20 законопроекта в случае отказа в предоставлении информации о персональных данных субъекту персональных данных или его законному представителю держатель персональных данных обязан дать мотивированный ответ. Полагаем необходимым установить в законопроекте закрытый исчерпывающий перечень оснований отказа в предоставлении персональных данных. Отсутствие оснований отказа в законопроекте дает возможность уполномоченному лицу самостоятельно определять такие основания отказа, что в свою очередь может затруднить реализацию прав субъекта персональных данных, закрепленных в статье 14 законопроекта». (Кысыкова Г.Б.)
Замечание не учтено.
Пункт 1 статьи 17 законопроекта закрепляет право субъекта «знать о наличии у держателя относящихся к себе персональных данных и на их получение», также пункт 2 статьи 17 законопроекта предоставляет право субъекту на получение информации, касающейся его персональных данных. Как известно, в целях реализации прав одного субъекта правоотношений, в нормативных правовых актах устанавливается соответствующая обязанность другого субъекта по выполнению данных прав, в связи с чем в главе 5 законопроекта определены обязанности держателя персональных данных. Однако если статья 20 законопроекта «Обязанности держателя при сборе персональных данных» однозначно оговаривает необходимость предоставления информации субъекту по его просьбе, то статья 22 предусматривает возможность отказа в предоставлении информации о персональных данных субъекту, не устанавливая причины такого отказа.
Таким образом, уполномоченное лицо государственного органа (держателя), в случае обращения субъекта или его представителя на основании статьи 17 законопроекта, может по своему усмотрению отказать в предоставлении информации о персональных данных заявителя либо поставить «предоставление информации» в зависимость от «определенных действий субъекта». (Кысыкова Г.Б.)
3. В рамках предыдущей экспертизы было дано следующее замечание: «Согласно пункту 1 статьи 21 законопроекта «При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 14 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными.». При этом, статья 14 законопроекта не оговаривает какой-либо порядок сообщения информации.
Согласно пункту 3 статьи 21 законопроекта «Держатель персональных данных при получении от субъекта или его законного представителя документов, подтверждающих недостоверность персональных данных, незаконность их получения или факта обработки, не соответствующей заявленной цели, обязан устранить допущенные при обработке персональных данных нарушения в порядке, предусмотренном статьей 21 настоящего Закона.». Между тем, статья 21 законопроекта также не содержит порядок устранения указанного нарушения». (Мухамеджанов А.О.)
Замечание учтено разработчиком законопроекта.
4. Статья 31 законопроекта устанавливает:
«Держатели персональных данных, осуществляющие их обработку, в течение шести месяцев со дня введения в действие настоящего Закона обязаны провести организационно-технические меры согласно требованиям настоящего Закона».
Буквальное понимание указанной статьи свидетельствует об установлении дополнительного срока только для проведения организационно-технических мер, осуществление иных мероприятий невозможно. Соответственно встает закономерный вопрос о понятии категории «организационно-технические меры».
В данном случае законопроект характеризуется юридико-лингвистической коррупциогенностью, заключающейся в использовании неясных формулировок, допускающих различное понимание. При этом за нарушение законодательства в сфере обработки персональных данных предусмотрена административная ответственность. На практике данные дефекты законопроекта создают возможность самостоятельно определять, является ли данная деятельность организационно-технической или нет только исходя из личных субъективно-оценочных суждений того или иного должностного лица, что в правоприменительной практике может повлечь совершение коррупционных правонарушений при принятии решения о привлечение или не привлечении к ответственности.
В соответствии со статьей 32 законопроект вводится в действие по истечению десяти календарных дней после его официального опубликования.
Таким образом, возникает правовая ситуация, заключающаяся в том, что с момента введения законопроекта в действие деятельность держателей персональных данных должна соответствовать всем требованиям законопроекта, за исключением организационно-технической деятельности (в течение 6 месяцев). Как было отмечено выше, разграничение организационно-технической деятельности и иной деятельности является проблематичной. Решение указанной проблемы возможно путем установления более поздних сроков введения в действия законопроекта с момента первого официального опубликования, что позволит всем заинтересованным субъектам подготовиться к обработке персональных данных в соответствии с новым Законом. (Габбасов А.Б.)
Системный анализ законопроекта позволил экспертам сформулировать следующие рекомендации:
1. Эксперт рекомендует при регламентировании вопроса сбора персональных данных следует использовать следующие механизмы. При фиксировании первоначального согласия на сбор персональных данных закрепить возможность их последующего распространения или дополнительно истребовать согласие на каждый факт передачи персональных данных. Вероятность же соблюдения таких условий, как обеспечение конфиденциальности и безопасности (пункт 3 статьи 6), в современных правовых условиях мала.
В данном случае наиболее действенным гарантом правовой защищенности частных лиц является наличие их согласия, в связи с чем полагаем необходимым внести соответствующие поправки в пункт 3 статьи 6. (Габбасов А.Б.)
2. В рамках предыдущей экспертизы была высказана следующая рекомендация: «Используемые законопроектом в пункте 2 статьи 7 «Условия обработки персональных данных» и пункте 1 статьи 9 «Особенности обработки биометрических персональных данных» формулировки «законодательством» и «законодательством Республики Казахстан» следует заменить на формулировки «законом» и «законами Республики Казахстан», поскольку данный Закон и другие законы предоставляют заинтересованным государственным органам право самим принимать нормативные правовые акты по условиям обработки персональных данных, то есть дополнять и изменять действующее «законодательство Республики Казахстан» по своему усмотрению. Более корректным представляется закрепить, что обработка персональных данных ведется в соответствии с нормами Закона, а не подзаконных актов». (Бекбаев Е.З.)
Рекомендация учтена разработчиком законопроекта.
3. Эксперт рекомендует статью 31 законопроекта исключить, а в статье 32 законопроекта слова «десяти календарных дней» заменить на слова «трех месяцев» или «шести месяцев». (Габбасов А.Б.)
4. Предлагаемый абзац 1 пункта 1 статьи 6 «Условия доступа обработки персональных данных», по мнению эксперта, следует изложить в следующей редакции: «Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим». (Мауленов Г.С.)
5. В пункте 2 статьи 6 законопроекта словосочетание «... и в дальнейшем не обрабатывается каким-либо образом, не совместимым с указанными целями» следует заменить на словосочетание «... и в дальнейшем не подлежат иной обработке». (Мауленов Г.С.)
Предложения по устранению выявленных пробелов в рассматриваемом законопроекте.
Предложений нет.
Общая оценка последствий принятия проекта нормативного правового акта в части возможности совершения коррупционных правонарушений
В случае принятия в представленном виде анализируемого проекта Закона Республики Казахстан «О персональных данных» риск совершения коррупционных правонарушений возрастает.
Определение возможной эффективности борьбы с коррупционными правонарушениями
Эффективность борьбы с возможными коррупционными правонарушениями будет повышаться в случае неукоснительного исполнения рекомендаций и предложений экспертов по выявленным коррупциогенным факторам.
Выводы и предложения
Представленный на дополнительную научную антикоррупционную экспертизу проект Закона Республики Казахстан «О персональных данных» может быть внесен на дальнейшее рассмотрение после устранения указанных замечаний.
Директор НИИ ПМЭиА к.ю.н. Г.Б. Кысыкова
Управляющий директор к.э.н. М.В. Сандрачук
Административный директор к.ю.н. М.Ш. Асатов
Главный научный сотрудник
д.ю.н., профессор Г. С. Мауленов
Главный научный сотрудник
д.ю.н., профессор Г. Р. Рустемова
Старший научный сотрудник к.ю.н. Е.З. Бекбаев
Старший научный сотрудник к.ю.н. А.Б. Габбасов
Эксперт А. О. Мухамеджанов
Старший эксперт А.Б. Ахметова
Письмо от 25 июля 2011 года № 30-17/1371
Министерство Внутренних Дел
Республики Казахстан
На письмо МЭРТ РК от 03.07.2011 г. № 25-1/6771
Настоящим направляем Заключения научной экономической экспертизы по проектам Законов Республики Казахстан «О персональных данных» и «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных».
И.о. Президента | Бопиева Ж. |
Заключение
научной экономической экспертизы законопроекта
1. Общие положения |
| |||||||
Государственный орган-разработчик | Министерство внутренних дел Республики Казахстан | |||||||
Наименование законопроекта | «О персональных данных» | |||||||
Полученные документы | 1. Проект Закона Республики Казахстан «О персональных данных»; 2. Пояснительная записка к проекту Закона Республики Казахстан «О персональных данных»; 3. Паспорт по оценке социально-экономических последствий действия проекта Закона Республики Казахстан «О персональных данных»; 4. Лист согласования к проекту Закона Республики Казахстан «О персональных данных»; 5. Справочный лист к проекту Закона Республики Казахстан «О персональных t данных»; 6. Прогноз последствий принятия проекта Закона Республики Казахстан «О персональных данных»; 7. Проект Постановления Правительства Республики Казахстан «О персональных данных»; 8. Пояснительная записка к проекту Постановления Правительства Республики Казахстан «О персональных данных». | |||||||
Основание проведения экспертизы | Письмо Министерства экономического развития и торговли Республики Казахстан от 03 июля 2011 года № 25-1/6771 | |||||||
Информация об экспертной организации | Акционерное общество «Институт экономических исследований» | |||||||
Эксперты: старший эксперт, магистр математики Аубакирова Ж., старший эксперт, магистр экономики Белоусов А., старший эксперт, магистр юриспруденции Габдуллаева Э., старший эксперт, к.э.н. Мамбетова С, старший эксперт, к.э.н. Тілеуберген Д. | ||||||||
Общая характеристика законопроекта | ||||||||
Отрасль законодательства | Законодательство о государственном и общественном устройстве: права, свободы и обязанности человека и гражданина. | |||||||
Предмет правового регулирования | Общественные отношения, возникающие при обработке персональных данных физических лиц. | |||||||
Назначение законопроекта | Проект Закона Республики Казахстан «О персональных данных» направлен на создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. | |||||||
Структура законопроекта | Проект Закона Республики Казахстан «О персональных данных» (далее - законопроект) состоит из 5-и глав, 25-и статей. | |||||||
Целевая группа | Физические и юридические лица Республики Казахстан. | |||||||
Обоснованность проведения научной экономической экспертизы | 1. Закон Республики Казахстан «О нормативных правовых актах» от 24 марта 1998 года № 213; 2. Постановление Правительства Республики Казахстан «О мерах по совершенствованию нормотворческой деятельности» от 30 мая 2002 года № 598; 3. Порядок документооборота по научной экономической экспертизе законопроектов Республики Казахстан, утвержденный приказом Министра экономического развития и торговли Республики Казахстан от 3 мая 2011 года № 120; 4. Методические рекомендации по оценке социально-экономических последствий действия принимаемых законопроектов, утвержденные приказом Министра экономического развития и торговли Республики Казахстан от 3 мая 2011 года № 122. | |||||||
Принятые законы (количество) по вопросам рассматриваемого законопроекта в текущем году на момент проведения экспертизы | На момент проведения экспертизы, в текущем году по вопросам персональных данных законы не принимались. | |||||||
Количество подзаконных нормативных правовых актов, предусмотренных законопроектом | Законопроектом не предусматривается принятие подзаконных нормативных правовых актов. | |||||||
Новизна исследуемого законопроекта: 1. Определяются основные понятия, цель, принципы и сфера действия законопроекта; 2. Устанавливается правовой режим обработки персональных данных: - порядок получения или отзыва согласия субъекта на обработку персональных данных; - условия обработки персональных данных; - особенности обработки специальных категорий, биометрических и общедоступных персональных данных; - конфиденциальность персональных данных; - обезличивание персональных данных; - передача персональных данных; - трансграничная передача персональных данных; 3. Устанавливаются права субъекта персональных данных на: - доступ к своим персональным данным, отзыв согласия, требование их обновления, блокирования; - обработку их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды; - принятие решений на основании исключительно автоматизированной обработки их персональных данных; - обжалование действий или бездействия держателя персональных данных; 4. Устанавливаются обязанности держателя персональных данных: - при сборе персональных данных; - по обеспечению безопасности персональных данных при их обработке; - при обращении либо при получении запроса субъекта персональных данных или его законного представителя; - по устранению нарушений законодательства, допущенных при обработке персональных данных; 5. Устанавливается государственный контроль и надзор в области обработки персональных данных; 6. Определяется ответственность за нарушение законодательства Республики Казахстан о персональных данных. | ||||||||
2. Описание проблемных вопросов, на решение которых направлен законопроект: - совершенствование законодательства в сфере защиты персональных данных; - обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных. | ||||||||
3. Описание всех известных и эффективных способов, механизмов, подходов к разрешению проблемных вопросов, на решение которых направлено принятие законопроекта, в том числе применявшихся на разных исторических этапах, зарубежной практике Проблема защиты персональных данных физических лиц является актуальной для всего мирового сообщества, которая приобрела большую значимость с применением компьютерных технологий. В современном мире право физического лица на личную тайну закреплено конституциями всех развитых государств и нормативными правовыми актами многих стран. Защита персональных данных и информационная безопасность в Европейском союзе. В Европейских странах практика защиты персональных данных имеет длительную историю, в течение которой законодательная база успела устояться, и представлена следующими документами: - Директива Организации по экономическому сотрудничеству и развитию (ОЭСР) о защите неприкосновенности частной жизни и международных обменов персональными данными от 23 сентября 1980 года - документ, основные положения которого направлены на то, чтобы помочь унифицировать национальные законы о неприкосновенности частной жизни и, обеспечивая соблюдение соответствующих прав человека, вместе с тем не допустили бы блокирования международных обменов данными. Основные принципы Директивы должны быть отражены в уже действующих национальных законодательствах либо составить базу для законов, которые будут приняты в странах, где их нет; - Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Основной целью документа является обеспечение на территории каждой из государств - членов Совета Европейского Союза для каждого физического лица независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его персональных данных («защита данных»); - Директива 95/46/ЕС Европейского парламента и Совета Европейского Союза от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных. Документ, в соответствии с которым государства-участники защищают фундаментальные права и свободы физических лиц, и, в частности их право на неприкосновенность частной жизни применительно к обработке персональных данных, при условии, что государства-участники не будут ни ограничивать, ни запрещать свободный поток персональных данных между государствами-участниками по причинам, связанным с защитой, допускаемых Директивой; - Директива 2002/5 8/ЕС Европейского парламента и Совета Европейского Союза от 12 июля 2002 года, которая касается обработки персональных данных и охраны тайны частной жизни в секторе электронных коммуникаций - гармонизирует нормы государств - участников, требуемых, чтобы обеспечить достаточный уровень защиты основных прав и свобод и, в частности права на тайну частной жизни в отношении обработки персональных данных в секторе электронных коммуникаций, а также свободное движение на территории государств - членов таких данных, оборудования и услуг электронных коммуникаций; - Директива 97/66/ЕС от 15 декабря 1997 года по обработке персональных данных и защите конфиденциальности в телекоммуникационном секторе призвана гармонизировать положения законодательств стран-членов, имеющие целью обеспечить эквивалентный уровень защиты основных прав и свобод, в частности права на невмешательство в частную жизнь при использовании персональных данных в секторе телекоммуникаций, и обеспечить свободную передачу таких данных, а также телекоммуникационного оборудования и услуг в рамках сообщества. Основным принципом защиты персональных данных в Европейском союзе является обязательное согласие субъекта персональных данных на передачу и распространение их персональной информации. В сфере правового регулирования персональных данных лидером в Европе является Германия. Первый закон о защите персональных данных в стране был принят в 1970 году. После, в 1977 году был принят Федеральный закон о защите персональных данных, который был пересмотрен в 1990 году, главной целью которого является защита индивидуума от посягательств на неприкосновенность его частной жизни путем манипулирования его персональными данными. Действие закона распространяется на сбор, обработку и использование персональных данных, собираемых государственными федеральными органами и негосударственными учреждениями, если они обрабатывают и используют персональные данные в коммерческих или профессиональных целях. С требованиями современного времени и с развитием телекоммуникаций в нормативные акты были внесены соответствующие дополнения и изменения. Все земли Германии имеют собственные законы о защите персональных данных, распространяющиеся на государственный сектор административного управления землями. Контроль за исполнением закона осуществляет Федеральная комиссия по защите персональных данных. Соответствующие комиссии, обеспечивающие исполнение местных законов о защите персональных данных, есть также в каждой земле Германии. В Великобритании Закон о защите персональных данных (Data Protection Act 1998) был принят в 1998 году. Его техническая реализация - первая версия стандарта BS10012:2009 «Защита данных - Спецификация системы управления персональными данными» вышла 2 июля 2009 года. Данный документ стал первым в мире стандартом на систему управления персональными данными. Закон о защите персональных данных направлен на защиту персональных сведений и личных данных граждан. К первой категории, согласно п. 1 части I, относится любая информация живого человека, по которой его можно идентифицировать. Ко второй категории (чувствительные персональные данные) относятся сведения о политических взглядах, вероисповедании, расе, членстве в профсоюзе, физическом и умственном состоянии, сексуальной жизни и судимостях гражданина. В соответствии с этими категориями в законе предусмотрены два отдельных приложения (schedules), определяющих, когда возможна обработка данных. Schedule 2 покрывает обработку всех персональных сведений, Schedule 3 - только чувствительных персональных данных. Первое приложение («The Data Protection Principles») содержит основные принципы по защите данных. В частности, в соответствии с седьмым принципом, организации должны «принимать разумные технические и организационные меры против неавторизованной или незаконной обработки и случайной потери персональных данных или их уничтожения или повреждения». Также, в п. 10 приложения отмечено, что «Организация должна сделать разумные шаги, чтобы обеспечить надежность любого служащего, имеющего доступ к персональным данным». Закон Канады о защите персональной информации предусматривает механизмы защиты персональных данных и реализации права на доступ к сведениям о себе. Под персональной понимается информация о конкретном индивиде, записанная в любой форме, в том числе данные о национальности, расе, цвете кожи, религии, возрасте, образовании, состоянии здоровья, финансах, личных взглядах и т.п. Под действие Закона о защите персональной информации не попадает информация об индивиде, который был или является сотрудником государственного учреждения, его должности, служебном адресе и телефоне, уровне зарплаты и служебных обязанностях. Персональная информация не может быть использована без согласия индивида и помимо целей, ради которых она собиралась. В ряде случаев персональная информация может быть раскрыта, например, по решению суда. Каждый гражданин или постоянно проживающий в Канаде человек имеет право на получение доступа к содержащейся в учреждениях информации о себе и на ее исправление. Федеральным законом Российской Федерации «О персональных данных» от 27 июля 2006 года № 152-ФЗ (в редакции Федерального закона от 04.06.2011 № 123-ФЗ) регулируются отношения, связанные с обработкой персональных данных, осуществляемой органами государственной власти, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. В Федеральном законе «О персональных данных» определены: - общие положения: сфера действия закона, цель, основные понятия, законодательство в области персональных данных; - принципы и условия обработки персональных данных: конфиденциальность и общедоступные источники персональных данных; согласие субъекта персональных данных на обработку своих персональных данных; специальные категории персональных данных; биометрические персональные данные; трансграничная передача персональных данных; особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных; - права субъекта персональных данных: право субъекта персональных данных на доступ к своим персональным данным; права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных; право на обжалование действий или бездействия оператора (государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных); - обязанности оператора при сборе персональных данных; меры по обеспечению безопасности персональных данных при их обработке; обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных; обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных; уведомление об обработке персональных данных; - контроль и надзор за обработкой персональных данных, ответственность за нарушение требований Федерального закона. Закон Республики Беларусь от 10 ноября 2008 года № 455-з «Об информации, информатизации и защите информации» является комплексным нормативным правовым актом, направленным на регулирование общественных отношений, возникающие при: 1) поиске, получении, передаче, сборе, обработке, накоплении, хранении, распространении и (или) предоставлении информации, а также пользовании информацией; 2) создании и использовании информационных технологий, информационных систем и информационных сетей, формировании информационных ресурсов; 3) организации и обеспечении защиты информации. При этом Закон «Об информации, информатизации и защите информации» делает прямую оговорку, что его действие не распространяется на общественные отношения, связанные с деятельностью средств массовой информации и охраной информации, являющейся объектом интеллектуальной собственности. В законе определены следующие участники информационных отношений: - обладатели информации; - пользователи информации, информационных систем и (или) информационных сетей; - собственники и владельцы программно-технических средств, информационных ресурсов, информационных систем и информационных сетей; - информационные посредники; - операторы информационных систем. Информация в процессе информатизации структурируется определенным образом по звеньям: - база данных - совокупность структурированной и взаимосвязанной информации, организованной по определенным правилам на материальных носителях; - банк данных - организационно-техническая система, включающая одну или несколько баз данных и систему управления ими; - информационная система - совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств; - информационная сеть - совокупность информационных систем либо комплексов программно-технических средств информационной системы, взаимодействующих посредством сетей электросвязи. Государственное регулирование и управление в области информации, информатизации и защиты информации осуществляются Президентом Республики Беларусь, Советом Министров Республики Беларусь, Национальной академией наук Беларуси, Оперативно-аналитическим центром при Президенте Республики Беларусь, Министерством связи и информатизации Республики Беларусь, иными государственными органами в пределах их компетенции. В Законе Республики Беларусь «Об информации, информатизации и защите информации» в зависимости от категории доступа информация делится на общедоступную информацию и информацию, распространение и (или) предоставление которой ограничено. К информации, распространение и (или) предоставление которой ограничено, относится, в частности, информация о частной жизни физического лица и персональные данные. Законом отдельно установлено, что никто не вправе требовать от физического лица предоставления информации о его частной жизни и персональных данных, включая сведения, составляющие личную и семейную тайну, тайну телефонных переговоров, почтовых и иных сообщений, касающиеся состояния его здоровья, либо получать такую информацию иным образом помимо воли данного физического лица, кроме случаев, установленных законодательными актами Республики Беларусь. Сбор, обработка, хранение информации о частной жизни физического лица и персональных данных, а также пользование ими осуществляются с согласия данного физического лица. Законом «Об информации, информатизации и защите информации» также установлены отдельные требования к защите персональных данных. В частности установлено, что меры по защите персональных данных от разглашения должны быть приняты с момента, когда персональные данные были предоставлены физическим лицом, к которому они относятся, другому лицу либо когда предоставление персональных данных осуществляется в соответствии с законодательными актами Республики Беларусь. Последующая передача персональных данных разрешается только с согласия физического лица, к которому они относятся, либо в соответствии с законодательными актами Республики Беларусь. Ответственность за нарушение законодательства об информации, информатизации и защите информации установлена Кодексом Республики Беларусь об административных правонарушениях и Уголовным кодексом Республики Беларусь. Закон Украины «О защите персональных данных» от 01 июня 2010 года № 2297-VI, который вступил в законную силу 1 января 2011 года, регулирует отношения, связанные с защитой персональных данных при их обработке. Действие закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах: физическим лицом - исключительно для непрофессиональных личных или бытовых нужд; журналистом - в связи с исполнением им служебных или профессиональных обязанностей; профессиональным творческим работником - для осуществления творческой деятельности и определяет: - термины; - субъекты отношений, связанных с персональными данными; - объекты защиты; - общие требования к обработке персональных данных; - особые требования к обработке персональных данных; - права субъекта персональных данных; - регистрацию баз персональных данных; - использование персональных данных; - основания возникновения права на использование персональных данных; - сбор, накопление и хранение, распространение, уничтожение персональных данных; - порядок доступа к персональным данным; - отсрочку или отказ в доступе к персональным данным; - обжалование решения об отсрочке или отказе в доступе к персональным данным; - оплату доступа к персональным данным; - изменения и дополнения к персональным данным; - сообщение о действиях с персональными данными; - контроль за соблюдением законодательства о защите персональных данных; - уполномоченный государственный орган по вопросам защиты персональных данных; - обеспечение защиты персональных данных в базах персональных данных; - ограничение действия отдельных статей закона; - финансирование работ по защите персональных данных; - применение положений закона; - ответственность за нарушение законодательства о защите персональных данных; - международное сотрудничество. Таким образом, мировой опыт показал, что, несмотря на имеющуюся национальную специфику и различные подходы стран к законодательному регулированию работы с персональными данными, в целом законодательство, регулирующее отношения, связанные со сбором, хранением, автоматической обработкой и использованием персональных данных обеспечивает: - защиту персональных данных от несанкционированного доступа к ним со стороны других лиц, в том числе и представителей государственных органов и служб, не имеющих на то необходимых полномочий; - сохранность целостности и достоверности данных в процессе работы с ними, в том числе и при передаче по международным телекоммуникациям; - надлежащий правовой режим этих данных при работе с ними для различных категорий субъектов персональных данных; - контроль за использованием персональных данных со стороны самого субъекта. | ||||||||
4. Анализ предлагаемых законопроектом способов, механизмов, подходов к разрешению поставленных проблемных вопросов, возможных последствий от принятия тех или иных способов разрешения проблемных ситуаций, в том числе: | ||||||||
4.1. Влияние положений законопроекта на макроэкономическую эффективность (в краткосрочном и долгосрочном периодах) | ||||||||
Оценка влияния на объемы и темпы роста Валового внутреннего продукта (ВВП) | Согласно Постановлению Правительства Республики Казахстан «Основные направления социально-экономической политики по обеспечению семипроцентного роста экономики в 2011-2015 годах» от 23 июня 2011 года № 699 прогнозируется следующая тенденция роста ВВП: | |||||||
№ п/п | Наименование показателей | Прогноз | ||||||
2011г. | 2012г. | 2013г. | 2014г. | 2015г. | ||||
1 | ВВП, млрд. тенге | 23 159,7 | 24 750,5 | 26 354,9 | 28 319,1 | 30 373,7 | ||
2 | Реальный рост ВВП, % к предыдущему году | 107,0 | 106,9 | 106,5 | 107,1 | 107,4 | ||
Законопроектом предусмотрено создание необходимой общей правовой основы для регулирования отношений, связанных с обработкой персональных данных в различных сферах жизнедеятельности общества и государства. Реализация законопроекта предполагает дополнительные государственные расходы: в 2012 году - 16,5 млн. тенге; в 2013 году - 43,3 млн. тенге; в 2014 году - 141,7 млн. тенге; что составляет 0,00035% и 0,00088% от запланированных, соответственно, на 2012- 2013 гг., государственных расходов в соответствии с Законом Республики Казахстан «О республиканском бюджете на 2011-2013гг.». Международный опыт показывает, что доля государственных расходов в ВВП до 23% положительно влияют на темпы роста ВВП, свыше 23% - наблюдается негативное влияние. Влияние принимаемого законопроекта минимально, так как при учете дополнительных затрат на его реализацию доля государственных расходов останется примерно на том же запланированном уровне - 19%. В целом, предусмотренное законопроектом создание правовой основы для обеспечения защиты прав и свобод человека и гражданина улучшит политическую и экономическую устойчивость страны, что косвенно может повлиять на достижение запланированных ключевых показателей развития страны и способствует стабильному развитию ВВП. | ||||||||
Оценка влияния на объемы и темпы роста Валового регионального продукта (ВРП) | Поскольку действие законопроекта распространяется на всю территорию Республики Казахстан, то аналогично влиянию на ВВП его нормы воздействуют на показатели объема и темпа роста ВРП. | |||||||
Оценка влияния на объемы доходов и расходов государственного бюджета | Законопроект направлен на создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. В рамках реализации законопроекта запланированы расходы из республиканского бюджета на 2012-2014 годы в размере 201,4 млн. тенге: - 2012 год - 16,4 млн. тенге, на интеграцию прикладного программного обеспечения Интегрированного банка данных с АДИС «Папилон»; - 2013-2014 годы - 185 млн. тенге, на создание комплексной медицинской информационной системы ведомственного здравоохранения. Реализация законопроекта не окажет существенного влияния на доходную часть государственного бюджета. | |||||||
Оценка влияния на параметры инфляции | Для реализации законопроекта в период 2012-2014 годы планируется выделить денежные средства из республиканского бюджета в размере 201,4 млн. тенге. Увеличение расходов государственного бюджета будет способствовать росту денежной массы в экономике страны. Согласно количественной теории денег, увеличение денежного предложения (превышающие темпы роста валового национального продукта) будет способствовать росту цен. Доля денежных средств на реализацию законопроекта, выделяемых из республиканского бюджета, в общем объеме денежной массы по годам составит: в 2012 году - 0,0002%, в 2013 году - 0,0005% (в соответствии с прогнозом основных показателей денежно-кредитной политики Национального Банка Республики Казахстан на 2011-2013 годы). Согласно расчетам влияние норм законопроекта на параметры инфляции будут незначительными. | |||||||
Оценка влияния на инвестиционную активность | Законопроектом создается правовая основа по обеспечению защиты прав и свободы человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Реализация законопроекта окажет косвенное влияние на инвестиционную- активность путем регулирования отношений, связанных с обработкой персональных данных в различных сферах жизнедеятельности общества и государства. | |||||||
Оценка влияния на элементы платежного баланса | В рамках законопроекта регламентируется трансграничная передача персональных данных на территории иностранных государств, обеспечивающих защиту прав субъектов персональных данных, которая осуществляется в соответствии с настоящим законопроектом (ст. 14) и запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов граждан, обеспечения обороны страны. Принятие законопроекта будет способствовать укреплению внешнеполитических позиций Республики Казахстан как государства, обеспечивающего адекватную международному уровню защиту физических лиц при обработке их персональных данных, что может благоприятно повлиять на внешнеэкономическую деятельность и элементы платежного баланса. | |||||||
Вывод: - предполагаемые законопроектом затраты не окажут негативного влияния на объемы и темпы роста ВВП и ВРП; - в рамках реализации законопроекта запланированы расходы из республиканского бюджета на 2012-2014 годы в объеме 201,4 млн. тенге, вместе с тем влияния на доходную часть государственного бюджета не ожидается; - законопроект не окажет существенного влияния на параметры инфляции; - реализация законопроекта окажет косвенное влияние на инвестиционную активность путем создания необходимой общей правовой основы для регулирования отношений, связанных с обработкой персональных данных; - законопроект может оказать положительное косвенное влияние на элементы платежного баланса путем обеспечения международного уровня защиты физических лиц при обработке их персональных данных. | ||||||||
4.2. Влияние положений законопроекта на социальное развитие | ||||||||
Оценка влияния на доходы населения | Принятие законопроекта повлечет создания правового поля, возникающего при обработке персональных данных физических лиц. С целью защитить права и свободы гражданина при обработке его персональных данных, в том числе права и неприкосновенность частной жизни, личную и семейную тайну законопроектом; предусмотрена административная ответственность за нарушение установленных законопроектом порядка обработки персональных данных физических лиц. Согласно расчетам в разделе макроэкономики правовые и социально-экономические последствия принятия законопроекта не окажут негативного влияния на социально-экономические показатели развития страны. Прогнозируемый тренд роста ВВП на душу населения в Казахстане предполагает также рост доходов населения. Так, согласно расчетам, при увеличении ВВП на душу населения на 1%, доходы населения, в среднем на душу, увеличатся на 0,95%. | |||||||
Оценка влияния на уровень бедности (глубина, острота бедности, коэффициент Джини) | Принятие законопроекта не окажет отрицательного влияния на социально-экономические показатели развития страны, в этой связи будут достигнуты поставленные цели по предполагаемому увеличению затрат государственного бюджета на социальное обеспечение. Так, при увеличении на 1% затрат государственного бюджета на социальное обеспечение и социальную помощь, ожидается снижение следующих показателей бедности: - глубины бедности на 1,39%; - остроты бедности на 1,53%; - коэффициента Джини на 0,1%. | |||||||
Оценка влияния на уровень безработицы | Законопроект направлен на создание правового поля, защищающего права и свободы гражданина при обработке его персональных данных и не несет значительных затрат для государства и предпринимательства. В связи с чем, принятие законопроекта не окажет отрицательного влияния на основные социально-экономические показатели, в том числе и на уровень безработицы. | |||||||
Оценка влияния на демографические параметры | В соответствии с пп. 4 п. 1 ст. 8 законопроекта обработка специальных категорий данных производится органами здравоохранения и социальной защиты в медико-профилактических целях, установления медицинского диагноза, оказания медицинских и медико-социальных услуг с соблюдением врачебной тайны. Для реализации данной нормы законопроекта предусмотрены расходы по реализации комплексной медицинской информационной системы ведомственного здравоохранения, которая направлена на создание информационной системы персональных данных в сумме 185,0 млн. тенге. Создание автоматизированной системы управления и мониторинга позволило бы оперативно отслеживать результаты оказания медицинской помощи в разных регионах республики, эффективно использовать финансовые ресурсы материально-технических баз медицинских организаций органами внутренних дел и своевременно принимать управленческие решения по устранению недостатков и совершенствованию оказания медицинской помощи. Такая оперативная информация в медицине и оперативное оказание медицинской помощи населению окажет положительное влияние на здоровье нации и его демографических параметрах. При этом коэффициент эластичности влияния увеличения затрат на здравоохранение на 1% на увеличение численности населения составит 0,018, т.е. при увеличении затрат на здравоохранение на 1%, численность населения возрастет на 0,018%. | |||||||
Вывод: - принятие законопроекта не окажет отрицательного влияния на социально-экономические показатели, в том числе на доходы населения, показатели бедности и безработицы; - норма законопроекта, предусматривающая обработку специальных категорий данных органами здравоохранения и социальной защиты в медико-профилактических целях, установления медицинского диагноза, оказания медицинских и медико-социальных услуг окажет в долгосрочной перспективе положительное влияние на здоровье нации и его демографических параметрах. | ||||||||
4.3. Влияние положений законопроекта на развитие предпринимательства | ||||||||
Выгоды (улучшение бизнес-климата и предсказуемость условий для ведения бизнеса, облегчение бизнесу доступа к НПА, повышение конкурентоспособности и экспорто-ориентированности продукции субъектов МСБ, институциональная поддержка предпринимательства, фискальные стимулы) | Законопроект предусматривает поднятие на качественно новый уровень защиту интересов личности, общества. При этом законопроект определяет субъекта персональных данных как физическое лицо, к которому относятся персональные данные. Косвенное положительное воздействие законопроекта будет проявляться в создании правовой основы для обеспечения защиты прав и свобод человека и гражданина, в том числе осуществляющих предпринимательскую деятельность. Законопроект также не предусматривает ограничение деятельности, связанной с обработкой персональных данных, уполномоченных органов в осуществлении административных производств, оперативно-розыскной деятельности, уголовного преследования, исполнения наказания, что сохранит общественную безопасность, и будет способствовать сокращению уровня преступности. Так, расчеты показали, что изменение уровня преступности на 1% приводит к изменению численности субъектов малого и среднего предпринимательства (МСП) на 0,82% в обратной зависимости при прочих равных условиях. В свою очередь, эффективная деятельность правоохранительных органов в обеспечении экономической безопасности будет способствовать сокращению уровня скрытой экономики. Так, изменение уровня скрытой экономики на 1% влияет на рост численности субъектов МСП на 0,99% в обратной зависимости при прочих равных условиях. Сохранение прав субъектов при обработке их персональных данных, в частности в целях продвижения товаров, работ, услуг на рынке, будет также способствовать усилению правовой защиты, обеспечивающей адекватную международному уровню защиту физических лиц, что косвенно может повысить имидж предпринимателя и инвестиционную привлекательность государства. Принятие законопроекта может вызвать увеличение спроса на услуги IT-компаний, в частности разработку систем управления базами данных и иного программного обеспечения для обработки, защиты персональных данных. Также возможен рост сопутствующей отрасли реализующих соответствующие технические средства, обеспечивающих сохранность персональных данных и информационную безопасность. | |||||||
Издержки (производственные и имущественные затраты, финансовые и временные затраты на соблюдение законодательства, порядка регистрации и закрытия предприятий, административные издержки, информационная ассиметрия) | Установление обязанности по обеспечению сохранности, конфиденциальности, особенности передачи и обработки персональных данных и т.д. держателями персональных данных, вызовет необходимость несения соответствующих временных, трудовых, материальных (в случае создания новых технических баз учета данных) административных и иных издержек. Установление предусмотренных законопроектом обязанностей держателей персональных данных будут сопровождаться определенными проверками уполномоченных органов. В данном случае возникает необходимость приведения существующих в организациях баз данных в соответствии с нормами принимаемого законопроекта, немаловажным являются сроки, отведенные на мероприятия и разъяснение норм принятого законопроекта, так, в частности, предусмотрено введение в действие законопроекта по истечении десяти календарных дней после его официального опубликования. Влияние законопроекта распространяется на всех предпринимателей, имеющих какие-либо персональные данные о потребителях своей продукции или услуг. Предприниматели, чья деятельность непосредственно связана с хранением персональных данных потребителей, необходимой для осуществления их профильной деятельности понесут некоторые временные, административные, трудовые издержки, связанные с получением согласия физического лица на обработку его персональных данных. Крупные предприятия, банки второго уровня, справочные организации обладают значительными массивами информации, требующей соответствующей актуализации. Предусмотренное законопроектом право субъекта персональных данных на получение информации, содержащей сведения, предусмотренные п.2 ст. 15 законопроекта, для держателя персональных данных будет означать необходимость значительного увеличения массива баз данных, соответственно, издержек на его содержание. | |||||||
Вывод: в целом законопроект в краткосрочном периоде вызовет у предпринимателей дополнительные издержки, но в среднесрочной перспективе окажет положительное воздействие на развитие предпринимательской деятельности посредством обеспечения правовой защиты персональных данных, повышения имиджа и инвестиционной привлекательности предприятий и государства. | ||||||||
4.4. Влияние положений законопроекта на параметры конкурентоспособности отрасли экономики Законопроект предусматривает поднятие на качественно новый уровень защиту интересов личности, общества, при этом может способствовать укреплению внешнеполитических позиций Республики Казахстан как государства, обеспечивающего адекватную международному уровню защиту физических лиц при обработке их персональных данных. Данное обстоятельство в экономической интерпретации может воздействовать на инвестиционную привлекательность, приходу на внутренний рынок новых субъектов предпринимательской деятельности, что, следовательно, повысит конкурентоспособность экономики Казахстана. Согласно рейтингу глобальной конкурентоспособности Международного института развития менеджмента (IMD, Швейцария, Лозанна) одним из параметров субфактора «Общественная безопасность» является обеспечение личной безопасности населения и защищенность частной собственности. Защита персональных данных физических лиц, а также исключение ограничения деятельности уполномоченных органов в осуществлении административных производств, оперативно-розыскной деятельности, уголовного преследования, исполнения наказания, связанной с обработкой персональных данных, косвенно будет способствовать сохранению общественной безопасности. Так, по итогам отчета 2011 года, Казахстан занял 48-е место из 59-ти стран, спустившись на 2 позиции по данному параметру по сравнению с предшествующим периодом. Законопроект также обязывает держателей персональных данных затрачивать трудовые, временные, материальные (в случае создания новых технических баз учета данных) ресурсы на выполнение норм по защите персональных данных. В связи с этим реализация законопроекта в конечном итоге вызовет дополнительные издержки предпринимателей. Учитывая объемы затрат, держатель персональных данных, поступив рационально, переложит указанные расходы на субъектов - потребителей своих услуг, что, соответственно, повысит себестоимость и отразится на конкурентоспособности предприятий. Законопроект содержит дополнительный рычаг воздействия на недобросовестных конкурентов. Это связано с возможностью подачи конкурентом заявления от лица субъекта персональных данных о нарушении его прав, при этом соответствующая проверка уполномоченным органом вызовет как денежные издержки в виде штрафов, так и временные в виде отвлечения сил от основного бизнеса. Данное обстоятельство вынудит всех участников рынка соблюдать законодательство в области персональных данных и позволит осуществлять свою предпринимательскую деятельность в равных конкурентных условиях. В целом принятие законопроекта в краткосрочном периоде создаст некоторые ограничения для повышения конкурентоспособности, но в среднесрочной перспективе устранение предпринимателями несоответствия их деятельности нормам законопроекта и совершенствование своей деятельности в сфере обеспечения защиты персональных данных окажет положительное воздействие. Придание особого юридического статуса персональным данным физических лиц, и соответствующее совершенствование законодательства позволит сохранить общественную безопасность граждан, что будет способствовать повышению конкурентоспособности экономики Казахстана. | ||||||||
4.5. Влияние положений законопроекта на экономическую безопасность отрасли и/или страны В соответствии с Законом РК «О национальной безопасности Республики Казахстан» от 26.06.1998 года № 233-1 под экономической безопасностью следует понимать «состояние защищенности национальной безопасности Республики Казахстан от внутренних и внешних условий, процессов и факторов, ставящих под угрозу ее устойчивое развитие и экономическую независимость». Экономическая безопасность, как фактор построения конкурентоспособной экономики, остается особо значимой для Казахстана. Законопроект, главным образом, направлен на обеспечение личной безопасности, которая определяется s уверенностью гражданина в будущем, чувством защищенности и благополучия, и является частью общего благосостояния. При этом воздействие на экономическую безопасность будет проявляться посредством влияния другого вида безопасности - информационной. Так, в соответствии с законопроектом, обеспечение информационной безопасности будет заключаться в сокращении угроз нелегитимной передачи персональных данных с целью совершения противоправных действий, в том числе получения экономической выгоды. Таким образом, своевременное и эффективное устранение внутренних угроз информационной безопасности, а также профилактика их недопущения необходима для смягчения их негативных последствий. В современных условиях для обеспечения личной информационной безопасности необходимо соответствующее совершенствование законодательства, при этом законопроект, создает правовую основу и закрепляет принципы обработки персональных данных, и соответствует ст. 18 Конституции Республики Казахстан, предоставляющий каждому право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства. Положительным моментом в обеспечении информационной безопасности также будет являться, предусмотренное законопроектом, регламентирование особенностей трансграничной передачи персональных данных. Таким образом, посредством обеспечения информационной безопасности будет обеспечена экономическая безопасность Казахстана, что в свою очередь повысит соответствующий имидж государства обеспечивающего адекватную международному уровню защиту физических лиц при обработке их персональных данных и может увеличить инвестиционную привлекательность Казахстана. | ||||||||
5. Общий вывод. Принятие проекта Закона Республики Казахстан «О персональных данных» не окажет негативного влияния на основные макроэкономические показатели страны, что косвенно предполагает положительный эффект для стабильного экономического и социального развития Казахстана. | ||||||||
|
|
|
|
|
|
|
|
|
Аубакирова Ж. _________________ Мамбетова С. ______________
(подпись) (подпись)
Белоусов A. __________________ Тілеуберген Д. _______________
(подпись) (подпись)
Габдуллаева Э. __________________
(подпись)
Заключение научной лингвистической экспертизы
в части аутентичности текстов на казахском и русском языках
проекта Закона Республики Казахстан «О персональных данных»
1. Основание научной лингвистической экспертизы:
Проект Закона Республики Казахстан «О персональных данных» направленный Министерством внутренних дел Республики Казахстан исходящим письмом за № № 33-1-12/355-и от 16 августа 2011 года.
2. Методические основания научного лингвистического исследования:
При проведении научной лингвистической экспертизы были использованы такие общие научные методы: обзор, синтез, логический анализ, сравнение и методы языкознания как лексико-семантический, грамматический, лингво-стилистический анализ.
3. Результаты исследования:
Замечания по тексту проекта Закона нет.
4. Заключение:
Проект Закона Республики Казахстан «О персональных данных» может быть вынесен на дальнейшее рассмотрение.
Эксперты:
Начальник Центра
лингвистики - главный эксперт,
к.ю.н. Н. Примашев
Старший научный сотрудник
Центра лингвистики Н. Хамзина
Письмо Национальной экономической палаты Казахстана «Атамекен» от 3 августа 2011 года № 2287
Министерство внутренних дел
Республики Казахстан
На Ваш исх. № 1-33-13/2010-4 от 21 июня 2006 года
ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ
«Национальная экономическая палата «Атамекен»
Рассмотрев проект Закона Республики Казахстан «О персональных данных» и Закон проект Закона Республики Казахстан Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных» (далее - проекты Законов) сообщаем следующее.
В целях выработки консолидированного мнения проекты Законов были представлены на рассмотрение членам НЭП «Атамекен».
По результатам рассмотрения проектов Законов имеются следующие замечания и предложения.
I. По проекту Закона Республики Казахстан «О персональных данных (далее проект Закона)
1.Предлагаем п.1 ст.6 проекта Закона изложить в следующей редакции:
«1. Обработка персональных данных осуществляется их держателем только с согласия объекта персональных данных, либо его законного представителя.
Обоснование: Проект Закона распространяется на всех физических лиц, следовательно на несовершеннолетних и не дееспособных граждан, которые в силу своих физических возможностей не могут осуществлять какие либо юридические действия самостоятельно.
2. Предлагаем в п.2 ст.3 проекта Закона добавить пп.17) в следующей редакции:
«17) заключении международных коммерческих контрактов».
Обоснование: В соответствии со ст. 12 проекта Закона. передача персональных данных на территории иностранных государств допускается, только в случае обеспечения ими защиты прав объектов персональных данных. Однако данная норма будет существенно тормозить процесс обмена сведениями с зарубежными партнерами, делая невозможными многие коммерчески перспективные проекты. В связи с чем, предлагаем не распространять действие Закона на международные коммерческие проекты.
Просим учесть представленные замечания при обсуждении проекта и согласно абзацу 2 пункта 5 статьи 5 Закона Республики Казахстан «О частном предпринимательстве» и абзацу 2 пункта 4 статьи 14-1 Закона Республики Казахстан «О нормативных правовых актах» в случае несогласия с экспертным заключением направить обоснованный ответ.
Председатель Правления | А. Перуашев |
Письмо «Ассоциация охранных организаций Республики Казахстан»
На № 1-33-13/2010-И
от 21.06.2011 года
Министерство внутренних дел
Республики Казахстан
Рассмотрев проекты законов РК «О персональных данных» и «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных» Ассоциация охранных организации РК предлагает:
1. По проекту закона «О персональных данных»:
В абзаце втором пояснительной записки Правительства слово «его» исключить, а в конце этого абзаца убрать скобку.
В подпункте 1) Статьи 1. отредактировать окончания слов.
Подпункт 7) Статьи 8. дополнить словами «и национальной безопасности» (в интересах нацбезопасности тоже целесообразно узаконить обработку персональных данных без согласия субъекта)
Пункт 1. Статьи 15. дополнить словами «и национальной безопасности» (обоснование выше)
2. По проекту закона «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных»:
Статью 1. дополнить пунктом 9., в котором предусмотреть соответствующие полномочия для органов внутренних дел (ведут оперативно-розыскную деятельность, учёты, в том числе по вопросам профилактики, миграции граждан, владельцев оружия и т.д.).
Других замечаний и предложений не имеем.
Президент Ассоциации | Б. Баекенов |