В феврале 2024 г. вступила в силу часть дополнений в Закон Р К «О персональных данных и их защите» («Закон о персональных данных»). Как мы писали ранее, Закон о персональных данных был дополнен положением о запрете сбора копий документов, удостоверяющих личность.
Новое положение Закона о персональных данных попало на передовицы СМИ в декабре 2023 г., а у нас вызывало много вопросов. Почти все консультанты отрапортовали об изменении законодательства, но никто не давал рекомендаций, как применять данную норму.
Мы попытались разобраться в вопросе, в т. ч. направили запрос в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан («МЦРИАП») и получили письменные и устные комментарии на наш запрос.
В этом алерте делимся полученными комментариями в отношении запрета на сбор копий удостоверений личности.
Новое положение Закона о персональных данных попало на передовицы СМИ в декабре 2023 г., а у нас вызывало много вопросов. Почти все консультанты отрапортовали об изменении законодательства, но никто не давал рекомендаций, как применять данную норму.
Мы попытались разобраться в вопросе, в т. ч. направили запрос в Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан («МЦРИАП») и получили письменные и устные комментарии на наш запрос.
В этом алерте делимся полученными комментариями в отношении запрета на сбор копий удостоверений личности.
Какие копии нельзя собирать?
Запрет на сбор и обработку копий документов, удостоверяющих личность, действует исключительно в отношении бумажных носителей. Это ситуация, когда предприниматель делает копию документа на бумагу, хранит и обрабатывает копии в папках в помещении предприятия.
Предусмотрены исключения, когда такой сбор копий на бумажных носителях допустим:
1) отсутствие интеграции с объектами информатизации государственных органов и (или) государственных предприятий;
2) невозможность идентификации субъекта с помощью технологических средств (например, отсутствие доступа к Интернету).
Перечень исключений является открытым и другие акты РК могут предусматривать ситуации, когда документы, удостоверяющие личность, могут собираться и обрабатываться на бумаге. Например, ряд ситуаций в рамках трудовых отношений.
Предусмотрены исключения, когда такой сбор копий на бумажных носителях допустим:
1) отсутствие интеграции с объектами информатизации государственных органов и (или) государственных предприятий;
2) невозможность идентификации субъекта с помощью технологических средств (например, отсутствие доступа к Интернету).
Перечень исключений является открытым и другие акты РК могут предусматривать ситуации, когда документы, удостоверяющие личность, могут собираться и обрабатываться на бумаге. Например, ряд ситуаций в рамках трудовых отношений.
А что с цифровыми документами?
Осуществлять сбор и обработку копий документов, удостоверяющих личность, допускается в электронном формате. Это означает, что можно собирать и обрабатывать цифровые документы, которые формируются государственным сервисом eGov.kz.
Согласно ответу МЦРИАП, электронный формат предполагает также копирование документа, удостоверяющего личность, на бумажный носитель, изготовление сканированной копии и последующее хранение такой копии в информационной системе предпринимателя. Бумажный носитель должен быть уничтожен.
И, конечно, не забываем, что почти любой сбор и обработка персональных данных может осуществляться на основе согласия субъекта.
Согласно ответу МЦРИАП, электронный формат предполагает также копирование документа, удостоверяющего личность, на бумажный носитель, изготовление сканированной копии и последующее хранение такой копии в информационной системе предпринимателя. Бумажный носитель должен быть уничтожен.
И, конечно, не забываем, что почти любой сбор и обработка персональных данных может осуществляться на основе согласия субъекта.
Государственная база цифровых документов
Вернемся к вопросу цифровых документов в государственных базах. Хотим рассказать о возможности использования бизнесом государственного сервиса цифровых документов. Считаем, что это полезный инструмент, который может решить определённые сложности с получением согласия субъекта на сбор и обработку персональных данных.
Бизнес может подключиться к государственной базе данных цифровых документов (как и другим базам с персональными данными). Правовое основание этому заложено в ст. 10 Закона о персональных данных.
Статья говорит о том, что субъекты могут получать персональные данные, содержащиеся в информационных системах государственных органов и (или) государственных предприятий, через веб- портал «Электронного правительства». Конечно, при условии согласия субъекта, которое также должно быть получено через государственный сервис.
Ниже приводим краткую информацию о том, как подключиться к государственным базам данных.
Подключение к государственной информационной системе осуществляется через АО «Национальные информационные технологии» («НИТ»).
Алгоритм подключения следующий:
1) подача заявки в НИТ;
2) НИТ выдает технические условия для подключения;
3) заявитель обеспечивает выполнение технических условий НИТ;
4) заявитель проводит тестовые испытания на информационную безопасность его системы (испытания могут быть произведены частными компаниями);
5) Комитет информационной безопасности МЦРИАП выдает акт испытаний на основе протоколов испытания системы заявителя на информационную безопасность;
6) производится интеграция информационной системы заявителя с государственной базой данных.
Заявитель также должен произвести интеграцию с Государственным сервисом контроля доступа к персональным данным. Этот сервис обеспечивает получение согласия гражданина на доступ к его персональным данным посредством SMS-сообщений.
Описанный государственный сервис решает определенные проблемы с получением согласия, когда, например, предприниматель не имеет прямого контакта с субъектом данных и данные субъекта собирают контрагенты предпринимателя. Сервис позволяет исключить риски, связанные с тем, что согласие субъектов не будет собрано.
Бизнес может подключиться к государственной базе данных цифровых документов (как и другим базам с персональными данными). Правовое основание этому заложено в ст. 10 Закона о персональных данных.
Статья говорит о том, что субъекты могут получать персональные данные, содержащиеся в информационных системах государственных органов и (или) государственных предприятий, через веб- портал «Электронного правительства». Конечно, при условии согласия субъекта, которое также должно быть получено через государственный сервис.
Ниже приводим краткую информацию о том, как подключиться к государственным базам данных.
Подключение к государственной информационной системе осуществляется через АО «Национальные информационные технологии» («НИТ»).
Алгоритм подключения следующий:
1) подача заявки в НИТ;
2) НИТ выдает технические условия для подключения;
3) заявитель обеспечивает выполнение технических условий НИТ;
4) заявитель проводит тестовые испытания на информационную безопасность его системы (испытания могут быть произведены частными компаниями);
5) Комитет информационной безопасности МЦРИАП выдает акт испытаний на основе протоколов испытания системы заявителя на информационную безопасность;
6) производится интеграция информационной системы заявителя с государственной базой данных.
Заявитель также должен произвести интеграцию с Государственным сервисом контроля доступа к персональным данным. Этот сервис обеспечивает получение согласия гражданина на доступ к его персональным данным посредством SMS-сообщений.
Описанный государственный сервис решает определенные проблемы с получением согласия, когда, например, предприниматель не имеет прямого контакта с субъектом данных и данные субъекта собирают контрагенты предпринимателя. Сервис позволяет исключить риски, связанные с тем, что согласие субъектов не будет собрано.
Для получения дополнительной информации, пожалуйста, направьте запрос юристу 3i Улжан Ашимбай по электронному адресу: u.ashimbay@3ilaw.kz.
Если вам необходимы контакты компаний, которые помогают в осуществлении интеграции с государственными базами данных, также можете написать, мы будем рады поделиться контактами.