Досье ITS на проект Закона Республики Казахстан «О персональных данных» (29 марта 2012 года) (принят)

Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта.

2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.

Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных

1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона.

В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту.

2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя.

3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан.

4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя.

Глава 6. Государственное регулирование в сфере персональных данных

Статья 25. Компетенция Правительства Республики Казахстан в сфере персональных данных

1. Правительство Республики Казахстан:

1) разрабатывает основные направления государственной политики в сфере защиты прав и свобод человека при обработке его персональных данных;

2) утверждает порядок хранения биометрических персональных данных;

3) утверждает порядок передачи персональных данных;

4) выполняет иные функции, возложенные на него Конституцией, настоящим Законом, иными законами Республики Казахстан и актами Президента Республики Казахстан.

Статья 26. Компетенция органов в области социальной защиты населения в сфере обработки персональных данных

Органы в области социальной защиты населения координируют деятельность держателей персональных данных.

Статья 27. Компетенция органов информатизации в сфере

обработки персональных данных

Органы в области информатизации координируют деятельность держателей в сфере автоматизации обработки персональных данных.

Статья 28. Компетенция иных государственных органов в сфере обработки персональных данных

Иные государственные органы в пределах своей компетенции осуществляют обработку персональных данных в порядке, установленном законодательством Республики Казахстан.

Глава 7. Заключительные положения и переходные положения

Статья 29. Государственный контроль и надзор в области обработки персональных данных

1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».

2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.

Статья 30. Ответственность за нарушение законодательства Республики Казахстан о персональных данных

Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.

Статья 31. Порядок введения в действие настоящего Закона

Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.

Президент

Республики Казахстан

Министерство внутренних дел

Республики Казахстан

На Ваш исх. № 1-33-13/2010-4 от 21 июня 2011 года

ЭКСПЕРТНОЕ ЗАКЛЮЧЕНИЕ

Национальная экономическая палата «Атамекен»

Рассмотрев проект Закона Республики Казахстан «О персональных данных» и проект Закона Республики Казахстан Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных» (далее - проекты Законов) сообщаем следующее.

В целях выработки консолидированного мнения проекты Законов были представлены на рассмотрение членам НЭП «Атамекен».

По результатам рассмотрения проектов Законов имеются следующие замечания и предложения.

I. По проекту Закона Республики Казахстан «О персональных данных (далее - проект Закона)

1. Предлагаем п.1 ст.6 проекта Закона изложить в следующей редакции:

«1. Обработка персональных данных осуществляется их держателем только с согласия объекта персональных данных, либо его законного представителя.

Обоснование: Проект Закона распространяется на всех физических лиц, следовательно на несовершеннолетних и не дееспособных граждан, которые в силу своих физических возможностей не могут осуществлять какие либо юридические действия самостоятельно.

2. Предлагаем в п.2 ст.3 проекта Закона добавить пп.17) в следующей редакции:

«17) заключении международных коммерческих контрактов».

Обоснование: В соответствии со ст. 12 проекта Закона передача персональных данных на территории иностранных государств допускается, только в случае обеспечения ими защиты прав объектов персональных данных. Однако данная норма будет существенно тормозить процесс обмена сведениями с зарубежными партнерами, делая невозможными многие коммерчески перспективные проекты. В связи с чем, предлагаем не распространять действие Закона на международные коммерческие проекты.

Просим учесть представленные замечания при обсуждении проекта и согласно абзацу 2 пункта 5 статьи 5 Закона Республики Казахстан «О частном предпринимательстве» и абзацу 2 пункта 4 статьи 14-1 Закона Республики Казахстан «О нормативных правовых актах» в случае несогласия с экспертным заключением направить обоснованный ответ.

Председатель Правления А. Перуашев

Исп.: Джумадилов С.

serikbol.j@gmail.com

Тел. 51-69-04

проект

Закон Республики Казахстан

«О персональных данных»

(сентябрь 2011 года)

Настоящий Закон определяет цели, задачи, принципы и правовые основы деятельности, связанные с обработкой персональных данных, осуществляемые государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без использования таких средств.

Глава 1. Общие положения

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

1) биометрические персональные данные - сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность;

2) персональные данные - информация (зафиксированная на материальном носителе) о физическом лице, позволяющая установить его личность. К персональным данным относятся фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессия и биометрические персональные данные;

3) объект персональных данных - физическое лицо, к которому относятся

4) соответствующие персональные данные;

5) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;

6) сбор персональных данных - процедура получения держателем персональных данных от объекта;

6) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных;

7) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному объекту;

8) обработка персональных данных - отдельные действия (операции) с персональными данными или их совокупность, включая сбор, систематизацию, накопление, хранение, обновление (изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

9) держатель персональных данных - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;

10) использование персональных данных - действия (операции) с персональными данными, совершаемые держателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении объекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы объекта или других лиц;

11) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационных телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

12) международная передача персональных данных - передача персональных данных держателем через государственную границу Республики Казахстан органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

13) общедоступные персональные данные - персональные данные, включенные в общедоступные источники персональных данных (биографические, библиографические справочники, телефонные, адресные книги, частные объявления и т.д.) или в средства массовой информации и на которые не распространяются требования сохранение тайн, установленных действующим законодательством Республики Казахстан;

14) информационная система персональных данных - совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять их обработку с использованием средств автоматизации или без использования таких средств;

15) третье лицо - лицо, не являющееся объектом или держателем персональных данных, но связанное обстоятельствами или иными правоотношениями с одной из этих сторон в ходе обработки персональных данных.

Статья 2. Цель настоящего Закона

Целью настоящего Закона является обеспечение защиты прав и свобод человека при обработке его персональных данных.

Статья 3. Сфера действия настоящего Закона

1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами для решения задач в пределах своей компетенции с использованием средств автоматизации или без них.

2. Действие настоящего Закона не распространяется на отношения, возникающие при:

1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных объектов персональных данных;

2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством об архивном деле;

3) обработке персональных данных, отнесенных в установленном порядке к разведывательной, контрразведывательной, антитеррористической деятельности, а также сведениям, составляющих государственные секреты;

4)обработке государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;

5) обработке персональных данных в соответствии с требованиями финансового законодательства Республики Казахстан, а также законодательства Республики Казахстан, регулирующего деятельность финансовых организаций и финансового рынка;

6) заключении международных коммерческих контрактов;

7) использовании персональных данных для статистических или научных целей с условием обязательного обезличивания персональных данных;

8) защите жизни, здоровья или иных законных интересов объекта персональных данных, если получение его согласия невозможно;

9) доставке почтовых отправлений организациями почтовой связи, осуществлении оператором связи расчетов с пользователями за оказанные услуги, а так же для рассмотрения их претензий;

10) использовании в профессиональной деятельности журналиста либо литературной или иной творческой деятельности при условии соблюдения прав и свобод объекта персональных данных;

11) опубликовании персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

12) обработке персональных данных в соответствии с законами Республики Казахстан об оперативно-розыскной деятельности, правовой статистике и специальных учетах, исполнительном производстве, национальных реестрах идентификационных номеров, а также о противодействии легализации (отмыванию) доходов, полученных незаконным путем, и финансированию терроризма;

13)осуществлении уголовно-процессуального, уголовно- исполнительного, административного законодательства Республики Казахстан, а также в целях обороны страны, безопасности государства и охраны правопорядка;

14) осуществлении органами прокуратуры надзорных полномочий;

15) осуществлении национальной переписи населения в соответствии с законодательством Республики Казахстан;

16) обработке персональных данных органами и организациями здравоохранения (государственным, негосударственным секторами) в медико-профилактических целях, для установления медицинского диагноза и оказания медицинских услуг с соблюдением врачебной тайны;

17) обработке персональных данных органами социальной защиты населения и местными исполнительными органами в целях социальной защиты, защиты прав и законных интересов объекта персональных данных;

18)осуществлении общественными объединениями обработки персональных данных в отношении своих участников (членов);

19) обработке персональных данных получателей пенсий и пособий из республиканского бюджета в соответствии с действующим законодательством Республики Казахстан в области пенсионного и социального обеспечения;

20) обработке, хранении персональных данных в соответствии с Законом Республики Казахстан «Об обязательном социальном страховании»;

21) отправлении правосудия;

22) получении персональных данных АО «Компания по страховании) жизни «Государственная аннуитетная компания» от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан;

23)иных случаях, предусмотренных законодательными актами Республики Казахстан.

Статья 4. Принципы обработки персональных данных

Обработка персональных данных осуществляется в соответствии с принципами законности целей и способов обработки, уважения и защиты прав и свобод человека, конфиденциальности, добросовестности, ответственности, достоверности, защиты информации.

Статья 5. Законодательство Республики Казахстан в области персональных данных

1. Законодательство Республики Казахстан в области персональных данных основывается на Конституции Республики Казахстан и состоит та настоящего Закона и иных нормативных правовых актов Республика Казахстан.

2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.

3. Государственные органы в соответствии с настоящим Законом в пределах своих полномочий принимают нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных.

Глава 2. Правовой режим обработки персональных данных

Статья 6. Порядок получения или отзыва согласия объекта на обработку персональных данных

1.Обработка персональных данных осуществляется их держателем только с согласия объекта персональных данных либо его законного представителя.

2. Объект персональных данных дает или отзывает согласие на обработку своих персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, удостоверенного посредством электронной цифровой подписи в соответствии с законодательством Республики Казахстан об электронном документе и электронной цифровой подписи.

Согласие или отзыв согласия объекта на обработку персональных данных должно включать в себя:

1) фамилию, имя, отчество (при его наличии), дату и место рождения, индивидуальный идентификационный номер, юридический адрес, номер документа, удостоверяющего его личность, семейное и социальное положение, наличие движимого и недвижимого имущества, образование, профессию, доходы;

2) наименование и адрес держателя персональных данных, получающего согласие или отзыв согласия объекта;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых дается или отзывается согласие объекта;

5) перечень действий с персональными данными, на совершение которых дается или отзывается согласие, общее описание используемых держателем способов их обработки, включая возможную или обязательную передачу другому держателю или третьему лицу на основании законов Республики Казахстан;

6) дату дачи или отзыва согласия, срок, в течение которого действует согласие объекта на обработку его персональных данных.

3. В случае недееспособности или ограниченной дееспособности объекта согласие на обработку его персональных данных дает его законный представитель.

4. В случае смерти объекта согласие на обработку его персональных данных дают его наследники в соответствии законодательством Республики Казахстан

5. Обязанность предоставить доказательство получения согласия объекта на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на держателя.

Статья 7. Особенности обработки биометрических персональных данных

1.Обработка биометрических персональных данных осуществляется только с согласия объекта персональных данных, за исключением случаев обработки биометрических персональных данных на основании законов Республики Казахстан об оперативно-розыскной деятельности, национальной безопасности, правовой статистике и специальных учетах, исполнительном производстве, в связи с осуществлением правосудия, а также в случаях, предусмотренных уголовно-процессуальным, уголовно-исполнительным и административным законодательством Республики Казахстан.

2. Сбор биометрических данных производится держателем персональных данных без унижения чести, достоинства и причинения вреда здоровью объекта персональных данных.

3. Порядок и условия сбора биометрических данных определяются Правительством Республики Казахстан.

Статья 8. Особенности обработки общедоступных персональных данных

1. В целях информационного обеспечения населения создаются общедоступные источники персональных данных. В общедоступные источники персональных данных с письменного согласия объекта персональных данных могут включаться его фамилия, имя, отчество (при его наличии), дата и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные объектом.

2. Сведения об объекте исключаются из общедоступных источников персональных данных по требованию объекта либо по решению суда.

Статья 9. Конфиденциальность персональных данных

Держатели и третьи лица, получающие доступ к персональным данным, обеспечивают их конфиденциальность, за исключением обезличенных и общедоступных сведений. Держатель, получивший доступ к персональным данным физического лица, обязан соблюдать требование о недопущении их распространения без согласия объекта персональных данных.

Статья 10. Обезличивание персональных данных

Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.

Статья 11. Передача персональных данных

1. Передача персональных данных возможна только в случае, если их использование третьим лицом или другим держателем соответствует целям их получения.

2. Передача персональных данных в случаях, выходящих за рамки ранее заявленных оснований их получения, осуществляется с согласия объекта.

3. Порядок передачи персональных данных определяется нормативными правовыми актами Республики Казахстан.

Статья 12. Международная передача персональных данных

В соответствии с настоящим Законом и международными договорами передача персональных данных на территории иностранных государств осуществляется держателем только в случае обеспечения ими защиты прав объектов персональных данных.

Передача персональных данных на территории иностранных государств запрещается или ограничивается в целях защиты основ конституционного строя Республики Казахстан, здоровья, прав и законных интересов человека, обеспечения обороны страны, национальной безопасности.

Глава 3. Права объекта персональных данных

Статья 13. Права объекта на доступ к своим персональным данным, отзыв согласия, требование их обновления, блокирования

1. Объект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение.

2. Объект персональных данных имеет право на получение информации в доступной документированной форме, содержащей:

1) подтверждение факта обработки персональных данных;

2) указание цели и способов обработки персональных данных;

3) сведения о лицах, которые имеют доступ к персональным данным;

4) перечень обрабатываемых персональных данных и источник их получения;

5) сроки обработки персональных данных, в том числе сроки их хранения.

3. При наличии оснований, подтвержденных соответствующими документами, объект персональных данных вправе требовать от держателя обновления этих данных.

4. В случае, если объект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя их блокирования либо уничтожения.

5. Объект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 6 настоящего Закона.

Статья 14. Права объектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды

1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия объекта персональных данных.

2. Держатель персональных данных обязан немедленно прекратить по требованию объекта обработку его персональных данных, указанную в пункте 1 настоящей статьи.

Статья 15. Право на обжалование действий или бездействия держателя персональных данных

1.Если объект персональных данных считает, что держатель

осуществляет обработку его персональных данных с нарушением требований

настоящего Закона, он вправе обжаловать действия или бездействие держателя

в вышестоящий государственный орган (организацию) или в судебном порядке.

2. Объект персональных данных имеет право на защиту своих прав и

законных интересов, в том числе на возмещение убытков и (или) компенсацию

морального вреда в судебном порядке.

Глава 4. Обязанности держателя персональных данных

Статья 16. Обязанности держателя при сборе персональных данных

1. При сборе персональных данных держатель обязан предоставить объекту по его просьбе информацию, предусмотренную пунктом 2 статьи 13 настоящего Закона.

2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить объекту правовые последствия его отказа предоставить свои персональные данные.

Статья 17. Обязанности держателя по обеспечению защиты персональных данных при их обработке

1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного

доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.

3. При использовании автоматизированных информационных систем держатель обязан обеспечить соблюдение требований стандартов информационной безопасности, принятых на территории Республики Казахстан.

Статья 18. Обязанности держателя при обращении либо при получении запроса объекта персональных данных или его законного представителя

1. При обращении объекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 13 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему объекту, а также предоставить возможность ознакомления с персональными данными. Запрос объекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения.

2. В случае отказа в предоставлении информации о персональных данных объекту или его законному представителю держатель обязан дать мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения запроса.

Статья 19. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных

1. Принятие решений, затрагивающих права и законные интересы объектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия объекта.

2. Держатель обязан предоставить объекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение объекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан.

Статья 20. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных

1. В случае выявления держателем, либо при обращении (запроса) объекта или его законного представителя факта недостоверности персональных данных или нарушения правового режима их обработки в соответствии с настоящим Законом, держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему объекту.

2.В случае подтверждения факта недостоверности персональных данных держатель на основании документов, представленных объектом или его законным представителем, или иных необходимых документов обязан в течение одного рабочего дня обновить персональные данные и снять их блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить объекта или его законного представителя.

3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан.

4. В случае отзыва объектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить объекта или его законного представителя.

Глава 5. Заключительные положения

Статья 21. Государственный контроль и надзор в области обработки персональных данных

1. Государственный контроль и надзор за соблюдением законов Республики Казахстан в области обработки персональных данных осуществляется государственными органами в пределах своей компетенции в соответствии с Законом Республики Казахстан «О государственном контроле и надзоре в Республике Казахстан».

2. Высший надзор за применением норм настоящего Закона осуществляется органами прокуратуры.

Статья 22. Ответственность за нарушение законодательства Республики Казахстан о персональных данных

Нарушение законодательства Республики Казахстан о персональных данных влечет ответственность в соответствии с законами Республики Казахстан.

Статья 23. Порядок введения в действие настоящего Закона

Настоящий Закон вводится в действие по истечении десяти календарных дней после его первого официального опубликования.

Президент

Республики Казахстан

Мажилис Парламента

Республика Казахстан

Пояснительная записка

к проекту Закона Республики Казахстан

«О персональных данных»

Законопроект разработан в соответствии с Планом законопроектных работ Правительства Республики Казахстан на 2011 год.

Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), блокирование, уничтожение персональных данных, в том числе его фамилии, имени, отчества, года, месяца, даты и места рождения, адреса, семейного, социального положения, образования, профессии, биометрических данных и другой информации).

Так, согласно статье 18 Конституции каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и достоинства.

Указанная конституционная норма свидетельствует о том, что согласно Конституции, наиболее защищённой в государстве информацией, наряду с информацией, составляющей государственную тайну, являются сведения о частной жизни человека.

Сведениям о частной жизни можно относить персональные данные человека. Поскольку под персональными данными понимается информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

Однако в действующем казахстанском законодательстве не регламентируется правовое положение персональных данных, в том числе и биометрических.

Таким образом, отмечается насущность и жизненная необходимость урегулирования на уровне закона отношений связанных со сбором и использованием персональных данных.

В этой связи законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Принятие законопроекта повлечет положительные правовые и социально-экономические последствия.

Реализация настоящего законопроекта не потребует выделения дополнительных финансовых средств из республиканского бюджета.

Проект

Закон

Республики Казахстан

«О ПЕРСОНАЛЬНЫХ ДАННЫХ»

(июнь 2011 года)

Настоящий Закон регулирует общественные отношения, возникающие при обработке персональных данных физических лиц.

Глава 1. Общие положения

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

1) персональные данные - информация о физическом лице (субъекте персональных данных), позволяющая установить его личность, в том числе: его фамилия, имя, отчество (при его наличии), дата и место рождения, индивидуальный идентификационный номер, место жительства, юридический адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, специальные, биометрические персональные данные и другая информация;

2) субъект персональных данных (далее субъект)- физическое лицо, к которому относятся соответствующие персональные данные;

3) держатель персональных данных (далее держатель) - государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных;

4) обработка персональных данных - отдельные действия (операции) с персональными данными или их совокупность, включая сбор, систематизацию, накопление, хранение, обновление (изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

5) блокирование персональных данных - временное прекращение использования, распространения персональных данных, в том числе их передачи;

6) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных к конкретному субъекту;

7 ) общедоступные персональные данные - персональные данные, включенные в общедоступные источники персональных данных (биографические, библиографические справочники, телефонные, адресные книги, частные объявления и т.д.) или в средства массовой информации и на которые не распространяются требования сохранение тайн, установленных действующим законодательством Республики Казахстан

8) специальные категории персональных данных - это персональные данные о расовой, национальной принадлежности, наличии судимости, политических взглядах, религиозных или философских убеждениях, членстве в профессиональном союзе, состоянии здоровья, интимной жизни;

9) биометрические персональные данные - сведения, характеризующие физиологические и поведенческие особенности человека, на основе которых можно установить его личность.

10) третье лицо - лицо, не являющееся субъектом или держателем персональных данных.

Статья 2. Цель настоящего Закона

Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Статья 3. Сфера действия настоящего Закона

1. Настоящим Законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими и физическими лицами с использованием средств автоматизации или без них.

2. Действие настоящего Закона не распространяется на отношения, возникающие при:

1) обработке физическими лицами своих персональных данных исключительно для личных и семейных нужд, если при этом не нарушаются права иных субъектов персональных данных;

2) организации хранения, комплектования, учета и использования документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законами Республики Казахстан об архивном деле;

3) обработке персональных данных субъекта в связи с его деятельностью в качестве индивидуального предпринимателя, если такая обработка осуществляется в соответствии с законами Республики Казахстан;