Национальные особенности обработки персональных данных в странах ОДКБ

В этой статье впервые представляется попытка сравнительного анализа законодательств в области персональных/личных данных стран — участников Организации договора о коллективной безопасности (ОДКБ). Авторы проводят сравнение республиканских нормативных актов преимущественно с российскими. Опыт оказался удачным, и в дальнейшем BIS Journal планирует развивать его и по другим направлениям информационной безопасности (оценка рисков, обработка инцидентов и др.). 

Согласно приказу Роскомнадзора № 128 от 05.08.2022 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных», следующие страны не являются сторонами Конвенции Совета Европы: Республика Беларусь (РБ), Киргизская Республика (КР), Республика Казахстан (РК), Республика Таджикистан (РТ). Но в то же время во всех странах — участниках ОДКБ (Республика Армения (РА), РБ, КР, РК, РФ, РТ) есть законы по защите персональных/личных данных: 

• Закон Республики Армения № 3Р-49-Н от 18 мая 2015 года «О защите личных данных»;
• Закон Республики Беларусь № 99-3 от 07 мая 2021 года «О защите персональных данных»;
• Закон Республики Казахстан № 94-V от 21 мая 2013 года «О персональных данных и их защите»;
• Закон Кыргызской Республики № 58 от 14 апреля 2008 года «Об информации персонального характера»;
• Федеральный закон РФ № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
• Закон Республики Таджикистан № 1537 от 3 августа 2018 года «О защите персональных данных».

Попробуем разобраться в их особенностях.

РЕСПУБЛИКА АРМЕНИЯ (РА)

В Республике Армения законодательство в области защиты личных данных можно назвать одним из самых «простых». Тут принят всего один закон№ 3Р-49-Н от 18.05.2015 и пять раз были внесены дополнения в него. 

В отличие от Федерального закона РФ № 152-ФЗ, который не распространяется на обработку персональных данных физическими лицами исключительно для личных и семейных нужд, в Законе РА прописано, что «установленные настоящим Законом ограничения обработки личных данных не распространяются на личные данные, обрабатываемые исключительно в целях журналистики, литературы и в художественных целях» (ст. 1 п. 3). 

В РА отсутствует различие между передачей и распространением ПД. Установлено общее понятие «передача личных данных третьим лицам» — действие, направленное на передачу личных данных определённому или неопределённому кругу других лиц либо на ознакомление с ними определённого или неопределённого круга других лиц, в том числе обнародование личных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление другому лицу доступа к личным данным иным способом. 

Своеобразно определено также понятие «общедоступные данные». Это сведения, которые становятся доступными определённому или неопределённому кругу лиц с согласия субъекта данных или при совершении сознательных действий, направленных на их общедоступность. 

Статья 5 «Принцип соразмерности» определяет, что «запрещается обработка личных данных, если цель обработки данных может быть достигнута способом обезличивания». В российском законодательстве аналогичная норма отсутствует. 

Статья 7 определяет «принцип минимального вовлечения субъектов». Данный принцип описан только в этом законе, в нормативных актах других стран — участниц ОДКБ мы такого не встречали. 

В отличие от принятой в российском законодательстве нормы получения согласия на обработку ПД, в соответствии с которой согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом, в соответствии с Законом РА «Согласие субъекта данных считается полученным и оператор имеет право на их обработку, когда:<…>3) субъект данных добровольно передаёт в устной форме сведения о своих личных данных оператору в целях использования» (ст. 9. п. 4.). При этом «Согласие субъекта данных даётся в письменной или электронной форме с подтверждённой электронной цифровой подписью, а при устном согласии —посредством таких достоверных действий, которые явно будут свидетельствовать о согласии субъекта данных на использование личных данных» (ст. 9 п. 7). Интересно узнать правоприменительную практику этой нормы, а именно каким образом может быть получено подтверждение устного согласия? 

Особенностью получения согласия на обработку ПД в РА является также необходимость перед получением согласия направлять субъекту уведомление о намерении обработки данных, в котором необходимо указать достаточно широкий перечень информации о правовых основаниях, целях обработки и иных условиях обработки данных субъекта. 

В части технических мер защиты ПД Законом РА установлена обязанность Оператора использовать средства криптографической защиты вне зависимости от актуальности угроз защиты информации и типа нарушителя: «Оператор при обработке личных данных обязан использовать шифровальные средства для обеспечения защиты информационных систем, содержащих личные данные, от случайной потери, незаконного проникновения в информационные системы, незаконных использования, записи, уничтожения, преобразования, блокирования, копирования, распространения личных данных и другого вмешательства» (ст. 16. п. 2). 

РЕСПУБЛИКА БЕЛАРУСЬ (РБ)

Законодательство РБ в области защиты персональных данных — одно из самых «молодых» в нашем обзоре. Несмотря на давнюю предысторию (например, первые упоминания об отдельных аспектах данного права появляются в Конституции БССР 1937 года в виде закрепления права граждан на тайну переписки, а позднее были приняты и использовались Законы «О регистре населения» и «Об информации, информатизации и защите информации»), Закон Республики Беларусь «О защите персональных данных» от 7 мая 2021 года № 99-З был принят сравнительно недавно и вступил в действие лишь 15.11.2021. Его основной целью является «обеспечение защиты персональных данных, прав и свобод физических лиц при обработке их персональных данных». Основой закона явилась Конвенция о защите физических лиц при автоматизированной обработке персональных данных — Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (г. Страсбург, 28 января 1981 г. № 108). 

Для реализации положений закона была организована отдельная структура — специальный регулятор — Национальный центр по защите персональных данных (НЦЗПД, www.cpd.by). На данный момент этот регулятор имеет ограниченные полномочия по мерам воздействия на нарушителей. Текущие меры — требование приостановки обработки ПД, что зачастую может привести к остановке деятельности компании. Для нарушителей предусмотрена как административная, так и уголовная ответственность. 

Основные термины и положения данного закона схожи с российским Федеральным законом № 152-ФЗ (с учётом единого прародителя в виде Конвенции № 108).

Особенностями являются:

• выделение отдельного вида ПД — «генетические персональные данные — информация, относящаяся к наследуемым либо приобретённым генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца»;
• определение понятия, связанного с идентификацией субъекта, — «физическое лицо, которое может быть идентифицировано», т. е. физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

Одно из правовых оснований обработки ПД — согласие субъекта. Закон № 99-З детализирует способы получения согласия на обработку ПД, включая получение согласия по электронной почте, проставления отметки на интернет-ресурсе и иные способы, позволяющие установить факт получения согласия. До получения согласия субъекта персональных данных оператор обязан простыми ясным языком разъяснить субъекту персональных данных его права, связанные с обработкой персональных данных, механизм реализации таких прав, а также последствия дачи согласия субъекта персональных данных или отказа от дачи такого согласия. Эта информация должна быть предоставлена оператором субъекту персональных данных в письменной либо электронной форме, соответствующей форме выражения его согласия, отдельно от иной предоставляемой ему информации.

Особенностью белорусского законодательства также является наличие у граждан РБ уникального идентификационного номера, который наравне с Ф. И. О. и датой рождения необходимо указывать при направлении субъектом согласия на обработку ПД.

Статья 6 Закона № 99-З определяет широкий перечень случаев, когда обработка разрешается без согласия субъекта. В отличие от российского закона, в этот перечень попадают:

• осуществление учёта, расчёта и начисления платы за жилищно-коммунальные услуги, платы за пользование жилым помещением и возмещение расходов на электроэнергию, платы за другие услуги и возмещение налогов;
• рассмотрение вопросов, связанных с гражданством Республики Беларусь, предоставлением статуса беженца, дополнительной защиты, убежища и временной защиты в Республике Беларусь;
• назначение и выплата пенсий, пособий;
• случаи, когда ПД указаны в документе, адресованном оператору и подписанном субъектом.

Срок ответа оператора ПД на запрос субъекта на получение информации, касающейся обработки своих персональных данных, установлен 5 дней. В российском Законе № 152-ФЗ в настоящее время этот срок составляет 10 дней. На внесение уточнений и изменений в ПД по заявлению субъекта отводится 15 дней. 

Также особенностью законодательства РБ является то, что субъект один раз в год может бесплатно получать от оператора информацию о предоставлении своих персональных данных третьим лицам. Очевидно, что предусмотрено получение ответов на повторные запросы на платной основе, что, по мнению разработчиков закона, должно отсечь излишние запросы, а также монетизировать обработку ПД. 

Вместо назначаемого в соответствии с 152-ФЗ лица, ответственного за организацию обработки ПД, в РБ требуется назначить лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных. Одним из требований для него является прохождение обучения по вопросам защиты персональных данных не реже одного раза в пять лет. 

В соответствии со ст. 19 Закона № 99-З моральный вред, причинённый субъекту персональных данных вследствие нарушения его прав, установленных Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесённых субъектом персональных данных убытков. В российской практике возмещение морального вреда при нарушении прав субъектов ПД реализуется крайне редко. 

РЕСПУБЛИКА КАЗАХСТАН (РК)

В Казахстане обработка персональных данных и их защита основана на Законе № 94-V от 21.05.2013, а также на основе Приказа министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан 395/НҚ от 21.10.2020 «Об утверждении Правил сбора, обработки персональных данных». Основной закон претерпел уже 12 изменений и дополнений.

Закон РК в части регулирования в основном оперирует не просто понятием «персональные данные», а понятием «база, содержащая персональные данные» — совокупность упорядоченных персональных данных. В отличие от российского понятия «оператор персональных данных», используются понятия «собственник базы, содержащей персональные данные» и «оператор базы, содержащей персональные данные». 

Одна из основных особенностей Закона РК — направленность закона на взаимодействие с сервисами «электронного правительства», наличие нормы об использовании для сбора и хранения согласий на обработку ПД государственного либо негосударственного сервиса контроля доступа к персональным данным (Закон РА допускает также получение иным способом, позволяющим подтвердить получение согласия). При этом под данными сервисами понимается «услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в государственных/негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам». С использованием указанных сервисов кроме сбора согласий на обработку осуществляется также отзыв согласий, информирование субъекта о действиях с его ПД, предоставление сведений о наличии согласий на обработку у собственников или операторов баз персональных данных, уведомление субъекта о доступе третьих лиц к его персональным данным. В других законах нам подобной нормы не встречалось. 

Своеобразно определено понятие «хранение персональных данных» — действия по обеспечению целостности, конфиденциальности и доступности персональных данных. В нашем понимании эти действия относятся к понятию защиты персональных данных. 

Закон РК определяет также вопросы страхования рисков информационной безопасности при обработке ПД. Статья 23-1, пункты 1 и 2: «Целью добровольного киберстрахования является возмещение имущественного вреда, причинённого субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности. Добровольное киберстрахование осуществляется в силу волеизъявления сторон». Больше такого нет ни в одном законодательстве. 

Очень необычной нормой является также возможность без согласия субъекта передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов. В Российской Федерации и других странах ОДКБ аналогичная платформа отсутствует. 

По закону уполномоченным органом в сфере персональных данных является Правительство Республики Казахстан.

КЫРГЫЗСКАЯ РЕСПУБЛИКА (КР)

В КР защита персональных данных основана на Законе № 58 от 14.04.2008. Были также приняты следующие подзаконные акты:

1. Постановление Правительства КР № 759 от 21.11.2017 «Об утверждении Порядка получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядка и формы уведомления субъектов персональных данных о передаче их персональных данных третьей стороне»;
2. Постановление Правительства КР № 760 от 21.11.2017 «Об утверждении Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищённости персональных данных»;
3. Приказы, издаваемые уполномоченным государственным органом по персональным данным, об утверждении:

• типового перечня угроз безопасности персональных данных при обработке персональных данных в информационных системах, содержащего все виды и типы предполагаемых угроз;
• методики определения угроз безопасности в информационных системах персональных данных;
• формы перечня видов угроз.

Закон КР № 58 даёт расширенное понятие персональных данных: «Информация персонального характера (персональные данные) — зафиксированная информация на материальном носителе о конкретном человеке, отождествлённая с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее» (ст. 3). Очень интересное определение. Похоже, одно из самых удачных. 

Вместо применяемого в аналогичных законах других стран понятия «база данных персональных данных» вводится понятие «массив персональных данных» — любая структурированная совокупность персональных данных неопределённого числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т. п.), а также понятие «общедоступные массивы персональных данных». Аналог нашего понятия «оператор персональных данных» — понятие «держатель (обладатель) массива персональных данных». В явном виде также вводится понятие «обработчика персональных данных», которого может определить держатель (обладатель) массива ПД. Обработчик даёт гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель (обладатель) самостоятельно возлагает на себя функции и обязанности обработчика (ст. 17). 

В отличие от Закона РА, Закон КР распространяется на журналистику и литературное творчество. При этом «работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях: <…> если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут согласовываться с субъектом персональных данных с соблюдением права на неприкосновенность частной жизни и свободу слова». 

Как и в других государствах, в КР требуется уничтожение ПД по достижении цели обработки (ст. 4), при этом уточняется, что «для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты». 

Закон КР по умолчанию устанавливает, что персональные данные относятся к конфиденциальной информации (ст.6). При этом режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных либо — по желанию субъекта персональных данных.

«Субъект персональных данных имеет право на возмещение причинённого ущерба и на компенсацию морального вреда в судебном порядке» (ст. 14). В РФ, как правило, суды ограничиваются только штрафами в пользу государства и наказаниями. 

При трансграничной передаче ПД держатель (обладатель) массива ПД должен исходить из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике (ст. 25). Порядок ведения какого-либо перечня адекватных государств в рассматриваемом законе не определён. 

Уполномоченным государственным органом, осуществляющим контроль за соответствием обработки персональных данных требованиям Закона КР, является Государственное агентство по защите персональных данных при Кабинете министров Кыргызской Республики. 

РЕСПУБЛИКА ТАДЖИКИСТАН (РТ)

Также, как и в РА, одно из самых «простых» законодательств в области защиты личных данных. В РТ принят всего один Закон № 1537 от 03.08.2018. 

Некоторые пункты статей закона очень интересны для понимания. Например, «персональные данные — сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность» (ст. 1). Данное определение полностью совпадает с понятием «информация о гражданах (персональные данные)», существовавшее в Российском законодательстве в период с 1995 по 2006 год (Федеральный закон от 20.02.1995 № 2-ФЗ «Об информации, информатизации и защите информации»). По сути, это определение не полностью отражает элементы его аналога в правовых документах ЕС, Совета Европы и законодательства РФ, в соответствии с которыми персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Различия в определении этого базового понятия могут приводить к разночтениям при заключении договоров и подписании иных документов, определяющих взаимодействие с организациями Республики Таджикистан, а также в иных вопросах правового характера. 

Имеются особенности и в определении других понятий, связанных с персональными данными. Вместо понятия «оператор персональных данных», существующего в российском законодательстве, или понятия «контролёр», существующего в GDPR, в РТ вводится понятие «оператор базы данных» — государственный орган, физическое или юридическое лицо, осуществляющее на основании законодательства Республики Таджикистан или договора с обладателем обработку и защиту персональных данных. При этом под «обладателем базы персональных данных» понимается государственный орган, физическое или юридическое лицо, имеющее в соответствии с законодательством РТ право владения, пользования, распоряжения базой данных. 

Под «защитой персональных данных» понимается комплекс мер, осуществляемых в целях предотвращения несанкционированного доступа к персональным данным. По нашему мнению, это сужает набор мер, которые требуются для защиты персональных данных с учётом существующих рисков. 

Понятие действий (операций) с персональными данными определено только для обладателя персональных данных и содержит закрытый перечень действий — сбор, хранение, уточнение, передача, изъятие, обезличивание и уничтожение. 

«Государственная гарантия защиты персональных данных». Защита персональных данных гарантируется государством. При этом определено, что сбор и обработку ПД возможно осуществлять только «при наличии сертификата соответствия уполномоченного государственного органа по защите персональных данных и информационной безопасности» (ст. 5). Этим же государственным органом утверждается перечень персональных данных, необходимых и достаточных для осуществления деятельности обладателем, оператором и третьими лицами. 

В соответствии со статьёй 8 «Условия сбора и обработки персональных данных», сбор и обработка ПД осуществляются обладателем и (или) оператором с согласия субъекта или его законного представителя, за исключением обработки общедоступных данных. В отличие от российского законодательства, которое, кроме согласия субъекта, разрешает обрабатывать ПД по целому ряду других оснований, включая договор с субъектом, законный интерес оператора и т. п., это ограничение закона РТ может создавать ряд проблем при необходимости организации в обработке персональных данных. 

Статья 8, пункт 5 Закона РТ определяет, что «Субъект данных должен быть уведомлён о собираемых в отношении него данных, ему обеспечивается доступ к касающимся его данным, а также он вправе требовать исправления неточных или вводящих в заблуждение данных, если законодательством Республики Таджикистан не предусмотрено иное». В соответствии со ст. 21 обладателем или оператором ПД, а также третьим лицом, получившим ПД, субъекту также должны направляться уведомления о направлении ПД третьим лицам. При этом уведомление должно быть направлено в течение трёх дней. 

«Персональные данные подразделяются на общедоступные и ограниченного доступа» (ст. 9 п. 1). Отдельные категории персональных данных не выделяются. 

Персональные данные подлежат уничтожению обладателем, оператором и третьим лицом: <…> при прекращении правоотношений между субъектом и обладателем, оператором или третьим лицом» (ст. 20). Если бы такой пункт был в законодательстве РФ, то как бы в банке смогли уничтожить данные клиента? А что показывать при проверке уполномоченного органа или регулятора? Интересно.

Согласно указу Президента Республики Таджикистан № 1537 от 16.05.2020 уполномоченным государственным органом по защите персональных данных является Служба связи при Правительстве Республики Таджикистан.

Даже краткий обзор законов стран ОДКБ показывает, что, несмотря на схожий подход к нормативному регулированию вопросов работы с персональными данными и их защиты, в законодательстве каждой страны имеются свои нюансы, которые следует учитывать при взаимодействиях с государственными и иными организациями этих стран, требующими передачи и обработки персональных данных, а также при оформлении договоров и соглашений между операторами персональных данных этих стран. 

Авторы:

Александр Виноградов, ФГУП «ЦНИИХМ»

Сергей Меньшиков, Belarusian InfoSecurity Community

Андрей Ситнов, Независимый эксперт

https://ib-bank.ru/bisjournal/post/2114 

Мнение авторов может не совпадать с позицией Организации