Закон о персональных данных: изменения, мимо которых пройти нельзя
Изменения в Закон о персональных данных, которые были подписаны Президентом РК 30 декабря 2021 года, вступят в силу уже через две недели.
Есть несколько изменений в закон, мимо которых пройти нельзя. В данной заметке мы обсуждаем изменения, которые заслуживают особого внимания. Отметим, что есть и иные нововведения, которые мы не затрагиваем в данном выпуске.
Повторный сбор и обработка персональных данных без согласия субъектов
Уже скоро закон разрешит повторный сбор и обработку персональных данных, которые были помещены с согласия субъекта в общедоступные источники информации.
Здесь мы видим, что победил тренд на доступ к информации для развития информационных сервисов. Одновременно это отход от принципа информированного использования персональных данных субъекта. Кроме того, новое правило будет ущемлять права владельцев баз данных, которые затратили значительные ресурсы для их сбора.
Данное нововведение может быть применимо к долгому IT-спору между сетью «ВКонтакте» и «Дабл» в России. «Дабл» с помощью своего программного обеспечения собирает и анализирует данные о пользователях сети «ВКонтакте». Собранные данные «Дабл» далее предоставляет банкам для определения кредитного рейтинга заемщиков, который формируется на основе профайлов сети.
В новых казахстанских реалиях владельцам баз данных мы рекомендуем обратить внимание на политики работы Интернет-ресурсов, мобильных приложений, так как базы данных можно защитить через нормы об интеллектуальной собственности. Полезным здесь будет и ознакомление с судебным опытом «ВКонтакте» по спору с «Дабл».
Форма согласия на сбор и обработку персональных данных
Изменения коснулись и формы согласия на сбор и обработку персональных данных. Ряд способов сбора согласия были исключены. Сбор согласия можно будет осуществлять письменно (как это осуществляется сейчас) или посредством сервиса контроля доступа к персональным данным.
К функционалу сервиса контроля доступа к персональным данным предъявляются определенные требования. Сервис должен обеспечивать сбор согласия, уведомление субъекта о действиях с персональными данными (например, просмотр, изменение, дополнение, передача, блокирование, уничтожение), а также уведомление субъекта о доступе третьих лиц к персональным данным.
Хорошая новость состоит в том, что перечень способов сбора согласия будет открытым. Это значит, что осуществлять сбор согласия можно любым иным способом. Поэтому прижившиеся способы сбора согласия через Интернет-ресурсы/мобильные приложения можно использовать. Необходимо обеспечить, однако, чтобы используемый способ позволял подтвердить получение согласия (это требование не является новым).
Ведение учета операций по обработке персональных данных
Отметим изменение, которое связано с мерами защиты персональных данных. Это требование может показаться новым, но оно есть в действующих подзаконных актах. Закон требует от субъектов вести учет следующих действий в процессе обработки персональных данных: учет срока хранения данных, учет передачи данных, в т.ч. трансграничной, а также учет распространения данных в общедоступных источниках. Обсуждаемые поправки только детализировали требование учета операций с персональными данными.
Каких действий требуют изменения от предпринимателей?
В первую очередь, компаниям необходимо провести аудит своих операций и документов на соответствие законодательству по персональным данным. Аудит даст понять, какие действия необходимо предпринять, чтобы привести операции компании в соответствие с законодательством. С 2020 года «накопилось» много изменений в области персональных данных.
Мы будем рады поделиться с вами обзором изменений в законодательство по персональным данным за последние два года, а также полным перечнем требований законодательства в сфере защиты персональных данных. Этот перечень компании могут использовать для самодиагностики на предмет соответствия операций законодательству.
Для получения указанной информации, пожалуйста, направьте ваш запрос по электронному адресу: ss@tkl.kz.
Авторы: Наталия Шаповалова, Сания Султанова