Закон отстает от технологий: хранить личные данные за пределами РК не запрещено

Трактовка закона предусматривает хранение персональных данных в облачных хранилищах за рубежом, но только с согласия субъектов.

Заполняя те или иные анкеты, в том числе и в сети Интернет, мы не задумываемся о том, куда могут попасть наши персональные данные. Даже выкладывая свое фото в сети Facebook с описанием, пользователь не осознает, что храниться оно будет на серверах далеко за пределами страны, в которой он проживает.

В последнее время неправомерное использование персональных данных стало частым явлением. И казахстанцам не так-то просто обезопасить себя от попадания его личной информации не в те руки, учитывая, что большая ее часть сегодня хранится в «облаке», это упрощает доступ к ней. Некоторые облачные сервисы при этом располагаются в Казахстане, но большинство за рубежом.

Хранение персональных данных казахстанцев на зарубежных серверах вызывает опасение уже давно. Для большинства стран это является стратегически важным вопросом, так как утечка персональной информации граждан может привести к непредсказуемым необратимым последствиям.

На фоне этого, в целях защиты персональных данных правительство Казахстана решило внести поправки в Закон «О персональных данных», которые вступили в силу в 2016 году. В новой редакции закона, сказано, что «… хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан».

И все же в законе не был прописан термин «облачные технологии», в связи с чем после введения этих изменений многие казахстанские компании задумались, а могут ли они передавать свои данные, содержащие в том числе и персональные, через границы? Ведь прямого запрета вроде бы нет, но в то же время есть риск преступить черту закона. Затруднения возникли еще и потому, что многие предприниматели не смогли разобраться, какие из данных стоит причислять к персональным, а какие нет. Споры и домыслы об этом продолжаются до сих пор.

Закон предполагает «лазейки»

Юрист Наталия Шаповалова утверждает, что на сегодняшний день вся система регулирования сбора и обработки персональных данных центрирована на согласии субъекта. То есть с его согласия компания может осуществлять трансграничную передачу данных на свое усмотрение, если это прямо не противоречит закону. Для этого, по словам Шаповаловой, при сборе персональной информации компании должны привести форму согласия на сбор и обработку персональных данных в соответствие с законодательством.

— Наше законодательство не детализирует моменты, связанные с формой согласия, ее содержание остается на усмотрении предпринимателя, — отмечает Шаповалова.

По ее словам, если компания намерена в дальнейшем передать собранные персональные данные третьим лицам, к примеру, на хранение в дата-центре зарубежного провайдера, то при их сборе она должна информировать об этом субъектов.

Компания должна предупредить, кому, куда и с какой целью эти данные будут переданы

Эти три момента, по ее словам, должны быть отображены в форме согласия.

— Многие воспринимают требование локализации персональных данных как абсолютный запрет на трансграничную передачу, но это не так. Могут быть ситуации, когда компания не выполняет требования локализации персональных данных, передавая их третьим лицам за рубеж, потому что имеет на то согласие. Это хоть и пересекающиеся понятия, однако требуемая локализация данных не означает, что трансграничная передача запрещена. Требование локализации персональных данных было введено в законодательство одной фразой, суть которой в том, что их хранение должно осуществляться в базе, хранящейся на территории Казахстана. Больше у нас никакого регулирования в этом отношении нет — ни в законе, ни в подзаконных актах. Соответственно, мы можем говорить, что

многое в данном вопросе остается на усмотрение самих предпринимателей,

— утверждает юрист.

Все, что не запрещено — разрешено!

Шавкат Сабиров, президент «Интернет Ассоциации Казахстана», в свою очередь считает, что необходимость внесения в казахстанское законодательство поправок касательно использования облачных технологий все же есть. По его словам, вопрос о том, чтобы размещать данные внутри Казахстана, уже стоит давно. Необходимо вписать в законодательство термин «облачные технологии», использование которых является уже свершившимся фактом.

— Наши законы не поспевают за технологиями, чтобы отражать текущую ситуацию. Пока, к сожалению, на это особого внимания никто не обращает

Четких запретов нет. Но тенденция направлена на то, что если зарубежная компания заходит в Казахстан, она должна разворачивать облачные технологии уже здесь. Однако пока этого не происходит. Пока на нашем рынке спокойно работают те же Ebay, Amazon, Google, хотя облачные сервисы со всей собранной информацией у них находятся за рубежом. В законе нет прямого запрета на это. А все что не запрещено, у нас разрешено, — отмечает он.

На этот счет Наталия Шаповалова отмечает, что закон РК о локализации персональных данных распространяется только на тех предпринимателей, которые осуществляют свою деятельность на территории Казахстана

— Прежде всего это казахстанские юридические лица, индивидуальные предприниматели, а также иностранные компании, которые имеют бизнес на территории республики Казахстан, — отмечает Шаповалова.

Страны становятся более закрытыми

По наблюдениям Шавката Сабирова, в настоящее время весь мир уходит от глобализации на национальный уровень, стараясь защищать данные самостоятельно, в связи с этим, уверен он, и были внесены поправки в закон касательно использования персональных данных в облаке. При этом казахстанские компании, предлагающие услуги ЦОДов, заинтересованы, чтобы данные размещались в Казахстане.

— У сторонников хранения данных в Казахстане есть свои аргументы: ведь

когда данные находятся внутри страны, их легче обезопасить, а противники недоумевают — неужели такие гиганты как Google и Amazon захотят разместить у нас свое оборудование.

Хотя компании Visa и MasterСard в свое время решили разместить свои серверы в России, к нам они вряд ли придут. Поэтому может нам в рамках Евразийскго союза стоит разрешить размещать персональные данные в облачных сервисах? Правда, каким образом это все будет реализовано,не совсем понятно. На сегодня пока неясно, если, к примеру, какие-то данные в определенной компании хранятся в одной из стран евразийского союза, законно ли это? Что касается того, что является персональными данными, а что нет, в законе это давно прописано. Во всяком случае, определение «тайна частной жизни» существует даже в уголовном кодексе и за ее нарушение предусмотрена статья. В том числе персональной информацией является и банковская. Вопрос сейчас в другом: запрещать ли хранить данные за пределами Казахстана? Ясно одно:

обеспечивать защиту персональных данных казахстанцев кроме самого Казахстана особо никому не нужно,

— заключает Шавкат Сабиров.