Содержание настоящей статьи конечно же не претендует на исчерпывающий правовой анализ ситуации, возникшей в связи с обнаружением некорректной, с точки зрения раскрытия персональных данных, настройки портала Электронного правительства РК www.egov.kz (http://www.nur.kz/1010608-elektronnoe-pravitelstvo-ne-zashchishcha.html), однако хотелось бы попытаться разобраться в данном вопросе с точки зрения НПА РК, а также, в рамках данной публикации, поделиться с неравнодушными гражданами мыслями и размышлениями относительно состояния дел с защитой персональных данных, существующих проблем и возможных путях их решения.
Как было показано в нашей статье, выяснить номер мобильного телефона гражданина РК, который он внес при настройке личного Кабинета портала «электронного правительства» egov.kz, зная лишь его ФИО (или ИИН), не составляет никаких проблем и для этого не требуется никаких специальных программ, утилит и т.п. Портал сам выдает данную информацию, хотя и в непривычной для обычного пользователя форме. (На данный момент уязвимость была оперативно устранена в течение суток и это хорошию плюс для разработчиков.)
Возникает вопрос: относится ли в Республике Казахстан телефонный номер сети сотовой связи к персональной информации и обязана ли организация, получившая его тем или иным способом от гражданина, обеспечить защиту от свободного ознакомления с этим номером других лиц? Исходя из логики – конечно да. Лично мы бы не хотели бы светить на весь Интернет свой мобильный номер.
Однако давайте посмотрим как дело обстоит с точки зрения действующих НПА РК.
Для начала надо понять каким образом мобильный номер попадает в распоряжение портала egov.kz (Мы рассматриваем портал электронного правительства как пример).
В п.п. 60) ст. 7 Закона РК от 24 ноября 2015 года № 418-V ЗРК «Об информатизации» указано, что в компетенцию уполномоченного органа в сфере информатизации (в настоящее время им определено Министерство по инвестициям и развитию Республики Казахстан) входит утверждение правил регистрации и подключения абонентского номера абонента, предоставленного оператором сотовой связи, к учетной записи веб-портала «электронного правительства» для получения государственных и иных услуг в электронной форме посредством абонентского устройства подвижной сети.
В момент написания данной статьи сведения об утверждении данных правил в базе данных ИПС “Адилет” Министерства юстиции” найдены не были, однако на сайте МИР РК (http://mir.gov.kz/ru/pages/ob-utverzhdenii-pravil-registracii-i-podklyuc…) был найден проект данных правил.
В то же время процедура внесения сведений о номере сотовой связи в личный Кабинет портала egov.kz в настоящее время успешно работает. В связи с этим не совсем понятна легитимность действующей в настоящее время на портале процедуры привязки номера сотовой связи абонента к его Кабинету.
Кстати, в приложении к проекту Правил “Заявление на регистрацию и подключение абонентского номера к учетной записи веб-портал «электронного правительства»” имеется следующий текст: “С Соглашением о подключении абонентского номера к учетной записи веб-портала «электронного правительства» с использованием абонентского устройства подвижной сети ознакомлен, возражений не имею. Согласен на использование сведений, составляющих охраняемую законом тайну и содержащихся в информационных системах.”.
В то же время проект данного Соглашения на сайте МИР так и не был найден.
Но это так, небольшое отступление.
По нашему мнению, здесь важно то, что, при внесении сведений о номере мобильной связи в Кабинет пользователя портала egov.kz, идет привязка сведений об абонентском номере сотовой связи гражданина к его учетным данным, т.е. к ФИО гражданина.
Таким образом, если до этого момента номер был обезличенным набором цифр, то после внесения в Кабинет пользователя номер сотовой связи уже четко привязан к конкретному физическому лицу.
Конечно, здесь можно возразить, что не обязательно указанный в Кабинете номер сотовой связи реально зарегистрирован на данное физическое лицо. Однако, согласно п. 22 Правил оказания услуг сотовой связи (утв. Приказом и.о. Министра по инвестициям и развитию Республики Казахстан от 24 февраля 2015 года № 171) при оказании услуг сотовой связи оператор сотовой связи должен заключить с абонентом договор об оказании услуг сотовой связи, который в свою очередь, согласно п.19 Правил, должен включать в себя сведения об абоненте – фамилия, имя и отчество, номер абонента, место жительства и другую информацию. Т.е. в настоящее время ситуация, когда мобильным номером пользуется один, а зарегистрирован он на другое лицо, встречается все реже и это скорее исключение, чем правило.
Согласно Закону Республики Казахстан от 21 мая 2013 года N 94-V «О персональных данных и их защите» персональные данные – это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
Кроме того, согласно п.п. 70) ст. 1 Закона Республики Казахстан от 24 ноября 2015 года № 418-V «Об информатизации»:
70) кабинет пользователя на веб-портале «электронного правительства» – компонент веб-портала «электронного правительства», предназначенный для официального информационного взаимодействия физических и юридических лиц с государственными органами по вопросам оказания услуг в электронной форме, вопросам обращения к субъектам, рассматривающим обращения указанных лиц, а также использования персональных данных;
По-моему, в вопросе относится ли номер сети сотовой связи пользователя портала egov к персональным данным все очевидно.
Далее хотелось бы привести только выписки из НПА РК, регламентирующие порядок обращения с персональными данными. В них все достаточно четко написано и не требуются какие-либо дополнительные пояснения.
Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909
2. Порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
3. Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
4. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Об информатизации Закон Республики Казахстан от 24 ноября 2015 года № 418-V ЗРК
Статья 56. Защита электронных информационных ресурсов, содержащих персональные данные
Собственники и владельцы информационных систем, получившие электронные информационные ресурсы, содержащие персональные данные, обязаны принимать меры по их защите в соответствии с настоящим Законом и действующими на территории Республики Казахстан стандартами.
Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, и до их уничтожения либо обезличивания.
КОДЕКС РЕСПУБЛИКИ КАЗАХСТАН ОБ АДМИНИСТРАТИВНЫХ правонарушениях от 5.06.2014 # 235-V
Статья 79. Нарушение законодательства Республики Казахстан о персональных данных и их защите
3. Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных – влечет штраф на физических лиц в размере ста, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере ста пятидесяти, на субъектов среднего предпринимательства – в размере двухсот, на субъектов крупного предпринимательства – в размере трехсот месячных расчетных показателей.
С обеспечением конфиденциальности обрабатываемых на портале egov.kz данных, в том персональных, ситуация мягко говоря неоднозначная. И администраторы портала понимают, что здесь имеется ввиду. Необходимо понимать, что приведенная в статье ЦАРКА информация о наличии ошибки в работе портала, связанной с раскрытием информация о номере сотовой связи, лишь один звонок, количество инцидентов с публичным опубликованием уязвимостей в государственных информационных системах будет только расти.
Возникает вопрос – что делать? По нашему мнению, нужно, как минимум, отнестись серьезно к реальному обеспечению конфиденциальности персональных данных граждан РК, собранных в огромном количестве в государственных информационных системах, базах и банках данных. Тем более что они все имеют подключения к сети Интернет. Данные системы построены на средства налогоплательщиков и, по нашему мнению, они имеют право требовать обеспечения защиты своих ПД на должном уровне, вне зависимости от мнения по данному вопросу администраторов этих систем.
Быть может (мы на это надеемся по крайней мере) изложенные в статье и в комментариях к ней мысли будут услышаны (увидены) уполномоченными представителями соответствующих организаций, которым граждане доверили свои персональные данные, и они наконец поймут, что нынешняя ситуация с защитой персональных данных граждан РК не может долго находиться в подобном состоянии. И прежде всего потому, что, в случае отсутствия какой-либо положительной реакции со стороны вышеуказанных организаций на инциденты с раскрытием ПД, правовая оценка действий (вернее бездействия) ответственных лиц не заставит себя долго ждать. По крайней мере очень хотелось бы в это верить.