В этом алерте делимся полученными комментариями в отношении запрета на сбор копий удостоверений личности.

В#nbsp;феврале 2024#nbsp;г.#nbsp;вступила в#nbsp;силу часть дополнений в#nbsp;Закон#nbsp;Р#nbsp;К «О#nbsp;персональных данных и#nbsp;их#nbsp;защите» («Закон о#nbsp;персональных данных»). Как мы#nbsp;писали ранее, Закон о#nbsp;персональных данных был дополнен положением о#nbsp;запрете сбора копий документов, удостоверяющих личность.

Новое положение Закона о#nbsp;персональных данных попало на#nbsp;передовицы СМИ в#nbsp;декабре 2023#nbsp;г., а#nbsp;у#nbsp;нас вызывало много вопросов. Почти все консультанты отрапортовали об#nbsp;изменении законодательства, но#nbsp;никто не#nbsp;давал рекомендаций, как применять данную норму.

Мы#nbsp;попытались разобраться в#nbsp;вопросе, в#nbsp;т.#nbsp;ч. направили запрос в#nbsp;Министерство цифрового развития, инноваций и#nbsp;аэрокосмической промышленности Республики Казахстан («МЦРИАП») и#nbsp;получили письменные и#nbsp;устные комментарии на#nbsp;наш запрос.

В#nbsp;этом алерте делимся полученными комментариями в#nbsp;отношении запрета на#nbsp;сбор копий удостоверений личности.

Запрет на#nbsp;сбор и#nbsp;обработку копий документов, удостоверяющих личность, действует исключительно в#nbsp;отношении бумажных носителей. Это ситуация, когда предприниматель делает копию документа на#nbsp;бумагу, хранит и#nbsp;обрабатывает копии в#nbsp;папках в#nbsp;помещении предприятия.

Предусмотрены исключения, когда такой сбор копий на бумажных носителях допустим:

1) отсутствие интеграции с объектами информатизации государственных органов и (или) государственных предприятий;
2) невозможность идентификации субъекта с помощью технологических средств (например, отсутствие доступа к Интернету).

Перечень исключений является открытым и другие акты РК могут предусматривать ситуации, когда документы, удостоверяющие личность, могут собираться и обрабатываться на бумаге. Например, ряд ситуаций в рамках трудовых отношений.

Осуществлять сбор и#nbsp;обработку копий документов, удостоверяющих личность, допускается в#nbsp;электронном формате. Это означает, что можно собирать и#nbsp;обрабатывать цифровые документы, которые формируются государственным сервисом eGov.kz.

Согласно ответу МЦРИАП, электронный формат предполагает также копирование документа, удостоверяющего личность, на#nbsp;бумажный носитель, изготовление сканированной копии и#nbsp;последующее хранение такой копии в#nbsp;информационной системе предпринимателя. Бумажный носитель должен быть уничтожен.

И, конечно, не забываем, что почти любой сбор и обработка персональных данных может осуществляться на основе согласия субъекта.

Вернемся к#nbsp;вопросу цифровых документов в#nbsp;государственных базах. Хотим рассказать о#nbsp;возможности использования бизнесом государственного сервиса цифровых документов. Считаем, что это полезный инструмент, который может решить определённые сложности с#nbsp;получением согласия субъекта на#nbsp;сбор и#nbsp;обработку персональных данных.

Бизнес может подключиться к#nbsp;государственной базе данных цифровых документов (как и#nbsp;другим базам с#nbsp;персональными данными). Правовое основание этому заложено в#nbsp;ст.#nbsp;10 Закона о#nbsp;персональных данных.

Статья говорит о#nbsp;том, что субъекты могут получать персональные данные, содержащиеся в#nbsp;информационных системах государственных органов и (или) государственных предприятий, через веб- портал «Электронного правительства». Конечно, при условии согласия субъекта, которое также должно быть получено через государственный сервис.

Ниже приводим краткую информацию о#nbsp;том, как подключиться к#nbsp;государственным базам данных.

Подключение к государственной информационной системе осуществляется через АО «Национальные информационные технологии» («НИТ»).

Алгоритм подключения следующий:

1) подача заявки в#nbsp;НИТ;
2) НИТ выдает технические условия для подключения;
3) заявитель обеспечивает выполнение технических условий НИТ;
4) заявитель проводит тестовые испытания на#nbsp;информационную безопасность его системы (испытания могут быть произведены частными компаниями);
5) Комитет информационной безопасности МЦРИАП выдает акт испытаний на#nbsp;основе протоколов испытания системы заявителя на#nbsp;информационную безопасность;
6) производится интеграция информационной системы заявителя с#nbsp;государственной базой данных.

Заявитель также должен произвести интеграцию с#nbsp;Государственным сервисом контроля доступа к персональным данным. Этот сервис обеспечивает получение согласия гражданина на#nbsp;доступ к#nbsp;его персональным данным посредством SMS-сообщений.

Описанный государственный сервис решает определенные проблемы с#nbsp;получением согласия, когда, например, предприниматель не#nbsp;имеет прямого контакта с#nbsp;субъектом данных и#nbsp;данные субъекта собирают контрагенты предпринимателя. Сервис позволяет исключить риски, связанные с#nbsp;тем, что согласие субъектов не#nbsp;будет собрано.

Если вам необходимы контакты компаний, которые помогают в осуществлении интеграции с государственными базами данных, также можете написать, мы будем рады поделиться контактами.