Биометрические персональные данные: защищены ли казахстанцы
Стремительная цифровизация государственных и коммерческих структур обостряет эту проблему и в Казахстане. Законодательные нормы совершенствуются каждый год, предлагая все более надежную защиту. Но на деле казахстанцы сталкиваются с незаконным использованием своих данных и часто даже не знают об этом. Правоприменительная практика работает выборочно, что подтверждается несколькими крупными утечками данных за последние годы, информацию о которых можно найти в открытом доступе.
Достаточно ли мы знаем об особенностях использования наших данных? Можно ли утверждать, что персональные данные казахстанцев защищены? При каких условиях существуют шансы на восстановление нарушенных прав граждан? Развития каких событий ожидать в области персональных данных в Казахстане?
Для начала разберемся, что такое персональные данные, чем они отличаются от биометрических данных, и какие нововведения нас ждут в 2024 году.
Вопросы персональных данных регулируются Законом Республики Казахстан от 21 мая 2013 года № 94-V "О персональных данных и их защите". До изменений 2016 года, которыми операторов обязали хранить персональные данные на территории Республики Казахстан, Закон не привлекал внимание ни бизнеса, ни общественности. Можно сказать, что впервые о персональных данных мы заговорили около семи лет назад.
Персональные данные – это сведения о лице, которые включают любую информацию о нем, в том числе имя, возраст, ИИН, номер телефона, пол, место работы и другие данные, позволяющие установить его личность. Биометрические данные – это более чувствительная часть персональных данных. Это физиологические и биологические особенности индивида, а именно, отпечатки пальцев, снимки лица, структура радужки глаза, голос. Такие данные используются для идентификации личности в сфере информационных технологий, банковских и государственных системах, прочих областях.
Как используется биометрия? Основные процессы – это идентификация, верификация и аутентификация. Идентификация подразумевает процедуру сопоставления уникальных параметров субъекта с данными, уже хранящимися в системе, для автоматического распознавания конкретного человека. Верификация сопоставляет два набора данных для определения того, принадлежат ли эти данные одному лицу. Аутентификация – это доступ к системе или устройству с использованием биометрических данных в качестве метода идентификации.
Именно в процессе биометрической идентификации идет сбор персональных данных и их обработка. Законодательно в Казахстане установлены определенные требования к этим процессам. Так, например, понятие обработки включает в себя весь спектр действий, направленных на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.
Рассмотрим некоторые особенности этих процессов с точки зрения действующего законодательства.
Сбор персональных данных. Основная идея регулирования состоит в том, что организация может собирать и обрабатывать персональные данные, не являющиеся общедоступными, только по письменному согласию человека (либо с использованием других средств, позволяющих подтвердить получение согласия). Гражданин дает свое разрешение собственнику и/или оператору базы данных до того, как сообщит все сведения о себе. Использование персональных данных без такого согласия не допускается.
Обработка персональных данных. В середине 2020 года в законодательстве появилась норма, касающаяся объемов и целей работы с данными. Теперь запрещено проводить обработку персональных данных без конкретной цели и использовать избыточное количество данных. Операторам и собственникам баз данных предписано собирать минимально возможный перечень данных для своих целей. Более того, в тексте согласия на сбор и обработку персональных данных должны быть прямо указаны сведения о возможности оператора (или ее отсутствии) передавать данные третьим лицам, а также сведения о наличии (либо отсутствии) трансграничной передачи данных в процессе их обработки. Однако, зачастую невозможно отследить незаконную передачу данных в адрес третьих лиц до наступления ущерба.
Трансграничная передача персональных данных. В соответствии с Законом отправлять персональные данные на территорию иностранных государств можно только в случае, если эти государства обеспечивают защиту данных. Иными словами, в государства, принявшие те или иные законы и правила о персональных данных. В страны, не принявшие подобные законы, персональные данные казахстанцев могут быть направлены только с согласия последних. Данное правило по трансграничной передаче, однако, не совсем коррелируется с императивной нормой, согласно которой персональные данные подлежат хранению на территории Республики Казахстан, фактически разрешая дупликацию данных без соответствующего согласия субъекта.
Если провести корреляцию с GDPR (General Data Protection Regulation/Общий регламент по защите данных Европейского Союза), который на данный момент является флагманом в части защиты персональных данных, – можно говорить о том, что казахстанское законодательство содержит ключевые нормы по защите персональных данных, существующие в развитых странах. Вместе с тем, вопрос реализации указанных норм, включая вопросы соразмерности санкций за нарушение законодательства в сфере персональных данных, остается не до конца решенным, несмотря на 10-летний путь становления Закона.
Сбор биометрических персональных данных: проблемы и риски
Биометрическая идентификация сегодня используется преимущественно государственными органами и операторами финансового сектора. С предполагаемым введением в действие новых законодательных норм, перечень организаций, собирающих биометрические данные, а также количество таких данных, могут значительно увеличиться.
Так, закон Республики Казахстан от 30 декабря 2016 года № 40-VІ ЗРК "О дактилоскопической и геномной регистрации" был принят в один год с Законом о персональных данных, однако, его отдельные положения вводятся в действие только с 2024 года. В частности, Законом предусмотрена обязательная дактилоскопическая регистрация граждан РК и отдельных категорий иностранных граждан старше 16 лет. Накоплением и хранением дактилоскопической информации займется Министерство внутренних дел РК. Кроме того, в стадии разработки и обсуждения находится Приказ Министерства цифрового развития, инноваций и аэрокосмической промышленности РК, согласно которому планируется наделить операторов сотовой связи возможностью внедрения биометрической идентификации при регистрации номера телефона.
Таким образом, применение биометрии набирает популярность в Казахстане. Но вернемся к банкам, крупнейшим после государства институтам, которые собирают персональные данные. Несмотря на привычные процедуры передачи данных в адрес банков, отметим некоторые неоднозначные моменты.
Во-первых, большинство банков используют весьма размытые трактовки в типовых соглашениях на сбор и обработку персональных данных, допуская возможность их трансграничной передачи без указания причин и оснований для этого. Обратим внимание, что клиент не может изменить типовое согласие. А его отказ согласиться на широкую, практически неограниченную обработку персональных данных, влечет за собой отказ в предоставлении банковских услуг. То есть, банки предлагают гражданам весьма несвободные условия.
Во-вторых, для внедрения и поддержки работы механизмов биометрической идентификации, верификации и аутентификации банки привлекают подрядчиков - разработчиков технологий распознавания и идентификации, которые в некоторых случаях являются собственниками соответствующих баз данных (если таковая база находится вне инфраструктуры банка-заказчика). В практике банков стандартным является положение о возможности передачи персональных данных третьим лицам - партнерам банка, что фактически не ограничивает круг этих лиц.
Таким образом, несмотря на наличие у банков политик по защите персональных данных, сами процессы обработки и трансграничной передачи остаются непрозрачными. Одно дело, когда субъект самостоятельно передает свои данные в иностранные органы и организации, понимая и принимая последствия таких действий. Другое дело, когда большие массивы данных, переданных физлицами в адрес казахстанского юридического лица, хранятся вне территории Республики Казахстан без соответствующего разрешения.
Важно также понимать, что закон о персональных данных, формально защищающий граждан Республики Казахстан, в отличие от GDPR, не имеет экстерриториального действия. Это означает, что у государства отсутствует полноценная возможность контроля за использованием данных и защиты интересов субъекта при наступлении последствий незаконной трансграничной передачи его персональных данных и/или их хранения за пределами территории страны.
Шансы на восстановление нарушенных прав субъекта при предъявлении требований к локальным казахстанским компаниям намного выше, чем к зарубежным, на которые законодательство Казахстана, как мы выяснили, не распространяется в полной мере.
Применение современных технологий биометрии, безусловно, помогает надежной идентификации граждан, что способствует улучшению качества государственных и коммерческих услуг и повышению эффективности борьбы с мошенничеством и преступностью. Вместе с тем, сбор и хранение биометрических данных неизбежно поднимают вопросы об их приватности и безопасности.
По мере того, как граждане становятся более сознательными в отношении своих персональных данных, являющихся не только личной собственностью, но и ценным цифровым активом, – будут расти и их ожидания к ответственности организаций и государства. Существующие политики по защите персональных данных, не содержащие четких и прозрачных механизмов сбора и обработки персональных данных, в скором времени перестанут удовлетворять общественность.
На фоне возрастающего к этой теме интереса, можно ожидать увеличения количества индивидуальных и групповых запросов в государственные органы и коммерческие организации с требованиями повышения прозрачности процессов, что потребует увеличения контрольных и надземных мероприятий со стороны государства. В свою очередь, перечисленные тенденции создадут импульс для совершенствования правоприменительной практики в Казахстане.
Автор: Рината Жулаева, юрист