13.03.2025
Дата публикации
В этом году спикеры из Казахстана порассуждали на тему приватности данных в бизнесе и о том, какое преимущество это дает компаниям на конкурентном цифровом рынке страны?
Открывая мероприятие, Управляющий партнёр DRCQ и основатель Eurasian Digital Foundation Руслан Дайырбеков отметил: «Бизнес и государство — крупнейшие операторы по обработке персональных данных. Открытый диалог поможет нам выработать эффективные подходы к их защите в Казахстане».
Елжан Кабышев, Глава юрпрактики Eurasian Digital Foundation
«Если в компании произошел кибер-инцидент и данные утекли третьим лицам, в законе предусмотрено понятие "нарушение безопасности персональных данных" и оператор, который допустил подобного рода нарушения, в течение одного дня обязан уведомить регулятор (Минцифры). После этого министерство рассылает уже свои уведомления в адрес пострадавших от этой утечки».
Руслан Дайырбеков, Основатель Eurasian Digital Foundation
«С 2021 года компании обязаны назначать ответственное лицо за обработку персональных данных. А функцией госконтроля в этой сфере был наделен КИБ. Однако по мировым стандартам такой госорган должен иметь правовой статус независимой структуры, чего пока что у нас нет».
Сравнение с GDPR (стандарт ЕС):
- Независимость: В РК ответственное лицо может совмещать должности (например, HR или IT-директор), а DPO в ЕС должен быть свободен от конфликта интересов.
- Взаимодействие с регулятором: В ЕС DPO контактирует с надзорным органом напрямую, в РК это не закреплено.
Данила Бектурганов, Директор ОФ «Гражданская экспертиза»
«Более удобной технологии для идентификации и авторизации пользователя, чем через биометрию, трудно представить, и в целом это очень удобная вещь. Но также, при неадекватном или даже криминальном использовании этой технологии, за этим стоит и большое количество угроз и рисков:
1. Утечки/несанкционированный доступ к биометрическим данным
2. Продажа данных третьим лицам
3. Сбор данных без согласия, например, через камеры видеонаблюдения
4. Регулирование не успевает за развитием технологий»
«Собирать биометрические данные нужно только те, которые действительно нужны для достижения цели их сбора. Биометрическая информация должна храниться не дольше, чем это необходимо».
«Несмотря на огромный поток больших данных, которые сегодня используются как бизнесом, так и государством, я бы сказала, что регуляторика не поспевает за технологиями. Каждая вторая новость сегодня — про ИИ и цифровые продукты, но госконтроль и защита персданных отстают: остаются правовые пробелы в ответственности, этике и трансграничной передаче данных».
«Цифровой кодекс РК всё ещё в разработке, идет активная работа с участием IT-сектора, госструктур и общества. При этом в мире таких примеров немного, и Казахстан стремится быть в авангарде цифрового регулирования. Но впереди ещё достаточно большой путь к успешной его реализации».
«Еще совсем недавно произошел случай, когда уроженке Алматы пришло СМС о том, что она теперь прикреплена к поликлинике в г. Кызылорда. Более того, когда девушка обратилась за медпомощью в Алматы, ее отказались принять, сказав, что она прикреплена в другом месте. Разбирательство показывает, что ее могли прикрепить в Кызылорде для повышения статистики той больницы, и пока остается открытым вопрос, как они получили данные алматинки. Таким образом, судебная практика в Казахстане есть, и мы продолжим видеть все больше похожих разбирательств».
Privacy Day 2025 объединил интересных казахстанских экспертов и не менее актуальные темы были затронуты на ежегодном мероприятии, приуроченном к Международному дню защиты персональных данных.
Полную запись трансляции всего дня мероприятия смотрите на YouTube.
Открывая мероприятие, Управляющий партнёр DRCQ и основатель Eurasian Digital Foundation Руслан Дайырбеков отметил: «Бизнес и государство — крупнейшие операторы по обработке персональных данных. Открытый диалог поможет нам выработать эффективные подходы к их защите в Казахстане».
Елжан Кабышев, Глава юрпрактики Eurasian Digital Foundation
- Комплаенс в сфере защиты персональных данных в бизнесе
«Если в компании произошел кибер-инцидент и данные утекли третьим лицам, в законе предусмотрено понятие "нарушение безопасности персональных данных" и оператор, который допустил подобного рода нарушения, в течение одного дня обязан уведомить регулятор (Минцифры). После этого министерство рассылает уже свои уведомления в адрес пострадавших от этой утечки».
«Бизнесу стоит руководствоваться не только Законом о персональных данных, но и общими положениями, которые предусмотрены в Предпринимательском кодексе. При этом стоит помнить, что госконтроль за соблюдением закона усиливается – теперь возможны плановые и внеплановые проверки. Бизнесу важно заранее готовиться и внедрять эталонные практики по защите данных».
Руслан Дайырбеков, Основатель Eurasian Digital Foundation
- Становление института Data Protection Officer в Казахстане
«С 2021 года компании обязаны назначать ответственное лицо за обработку персональных данных. А функцией госконтроля в этой сфере был наделен КИБ. Однако по мировым стандартам такой госорган должен иметь правовой статус независимой структуры, чего пока что у нас нет».
Сравнение с GDPR (стандарт ЕС):
- Независимость: В РК ответственное лицо может совмещать должности (например, HR или IT-директор), а DPO в ЕС должен быть свободен от конфликта интересов.
- Взаимодействие с регулятором: В ЕС DPO контактирует с надзорным органом напрямую, в РК это не закреплено.
«В целом Казахстан действительно еще на пути формирования данного института и во многих аспектах деятельности DPO движется в сторону мировых стандартов, но ключевые требования (независимость, детализация прав) требуют доработки».
Данила Бектурганов, Директор ОФ «Гражданская экспертиза»
- Угрозы приватности при использовании биометрических данных в бизнесе
«Более удобной технологии для идентификации и авторизации пользователя, чем через биометрию, трудно представить, и в целом это очень удобная вещь. Но также, при неадекватном или даже криминальном использовании этой технологии, за этим стоит и большое количество угроз и рисков:
1. Утечки/несанкционированный доступ к биометрическим данным
2. Продажа данных третьим лицам
3. Сбор данных без согласия, например, через камеры видеонаблюдения
4. Регулирование не успевает за развитием технологий»
«Собирать биометрические данные нужно только те, которые действительно нужны для достижения цели их сбора. Биометрическая информация должна храниться не дольше, чем это необходимо».
Дана Утеген, Teaching professor Высшей школы права Maqsut Narikbayev University
- Кодификация национального законодательства в сфере персональных данных
«Несмотря на огромный поток больших данных, которые сегодня используются как бизнесом, так и государством, я бы сказала, что регуляторика не поспевает за технологиями. Каждая вторая новость сегодня — про ИИ и цифровые продукты, но госконтроль и защита персданных отстают: остаются правовые пробелы в ответственности, этике и трансграничной передаче данных».
«Цифровой кодекс РК всё ещё в разработке, идет активная работа с участием IT-сектора, госструктур и общества. При этом в мире таких примеров немного, и Казахстан стремится быть в авангарде цифрового регулирования. Но впереди ещё достаточно большой путь к успешной его реализации».
Роман Реймер, Сооснователь ОФ «Еркіндік қанаты»
- Судебная практика по делам защиты персональных данных
«В 2023 году был интересный кейс, когда группа граждан из г. Павлодар неожиданно получила СМС от Damumed о постановке на психиатрический учёт, хотя никогда не обращались за такой помощью. По какой-то причине их персданные были использованы для этой рассылки. Тогда они обратились в суд г. Павлодар и судья вынес решение в их пользу, взыскав компенсацию морального вреда в размере 50 000 тг на человека».
«Еще совсем недавно произошел случай, когда уроженке Алматы пришло СМС о том, что она теперь прикреплена к поликлинике в г. Кызылорда. Более того, когда девушка обратилась за медпомощью в Алматы, ее отказались принять, сказав, что она прикреплена в другом месте. Разбирательство показывает, что ее могли прикрепить в Кызылорде для повышения статистики той больницы, и пока остается открытым вопрос, как они получили данные алматинки. Таким образом, судебная практика в Казахстане есть, и мы продолжим видеть все больше похожих разбирательств».
Privacy Day 2025 объединил интересных казахстанских экспертов и не менее актуальные темы были затронуты на ежегодном мероприятии, приуроченном к Международному дню защиты персональных данных.
Полную запись трансляции всего дня мероприятия смотрите на YouTube.
