Действительно, обеспечение реальных возможностей для проведения независимой общественной экспертизы проектов нормативных правовых актов, разработанных органами исполнительной власти, является важным условием обеспечения качества правового регулирования. Необходимо обратить внимание на то, как Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, в рамках общественного обсуждения проекта закона по внесению изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных, учитывало в своей нормотворческой деятельности объективные оценки и профессиональные рекомендации независимых экспертов, в том числе членов Экспертной группы по цифровым правам, в которую входит представитель Eurasian Digital Foundation.
1 июля 2021 года на сайте Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан была опубликована 4 версия проекта закона по внесению изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных. Четвертая редакция поправок наглядно показывает сколько раз менялся текст проекта закона в рамках публичного обсуждения с гражданским обществом.
«Проект поправок трижды прошел публичные обсуждения на портале “Открытые НПА” с февраля этого года. Документ всесторонне обсуждался на разных уровнях и площадках с различными представителями гражданского общества, субъектов бизнеса. И у нас есть основания полагать, что нам удалось все-таки найти золотую середину», отметила Асем Маденова, руководитель управления по защите персональных данных комитета информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в своем выступлении на онлайн-дискуссии «Регулирование сферы персональных данных в Казахстане в 2021 году».
Рассматривая первые версии поправок независимые эксперты, среди прочего, отметили большой объем регуляторного воздействия поправок на субъектов бизнеса. Эксперты проанализировали виды, установленных в настоящем проекте, административных процедур и процессуальных действий. Исполнение указанных правоприменительных процедур стало бы проблемой для многих операторов персональных данных, поскольку для этого требуются немалые финансовые, технические и организационные ресурсы. Однако, проделанная работа позволила сформировать общую позицию с разработчиком о необходимости исключить из законопроекта отдельные правовые процедуры и нормы.
Таким образом, четвертая редакция поправок более не содержит требования, что «сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом при условии уведомления уполномоченного органа», а также закрепления требования, что «оператор до начала сбора, обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган». Кроме этого, исключена норма, предусматривающая введение реестра операторов персональных данных. И наконец, в четвертой редакции законопроекта не содержится положения об обязательной интеграции и использовании государственного сервиса контроля доступа к персональным данным, кроме случаев когда обрабатываемые персональные данные содержатся в объектах информатизации государственных органов. В этой связи, важно отметить, закрепленную законопроектом, возможность субъектам персональных данных давать и отзывать согласие на сбор, обработку персональных данных посредством «негосударственного» сервиса контроля доступа к персональным данным.
Кроме этого, эксперты на очередном мероприятии по публичному обсуждению поправок поддержали инициативу уполномоченного органа о дополнении функционала «Сервиса контроля доступа к персональным данным» регистрацией действий должностных лиц. В редакции от 09.04.2021 разработчик, включил обязанность уведомления субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации «электронного правительства» через Сервис контроля доступа к персональным данным.
Следует приветствовать включение нормы о «переходных положениях», предложенной Eurasian Digital Foundation. Так называемая «отлагательная» норма, была предусмотрена по аналогии с практикой Европейского Союза, а именно Общего регламента по защите персональных данных, General Data Protection Regulation (GDPR). Учитывая, что поправки содержат ряд весьма обременительных для организаций обязательств, реализация которых потребует времени, разработчик предусмотрел норму, что интеграция собственных информационных систем, задействованных в процессах сбора и обработки персональных данных с государственным сервисом будет обеспечена собственниками и (или) операторами персональных данных в течение одного года со дня введения в действие настоящих поправок.
Безусловно, проведенная работа повысила качество и эффективность разработки законопроекта и сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных
Наделение поправками Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан государственно властными полномочиями по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных данных, среди всего прочего должно формировать новый уровень взаимодействия институтов гражданского общества, бизнеса и уполномоченного органа по защите персональных данных.
В настоящее время, поправки согласовывают в правительстве, а осенью законопроект поступит на рассмотрение Мажилиса Казахстана. «На этом этапе мы работу с обществом завершаем. Параллельно начали работу с большинством государственных органов. И там у нас есть отдельные вопросы, которые мы хотели бы вынести на суд общественности. И венцом нашей работы будет участие в рабочей группе в стенах парламента, где соберутся все участники и где депутаты будут, можно сказать, судьями и станут решать, какая норма проходная, какая преждевременная, а какая избыточная», сказал Руслан Абдикаликов, председатель комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
Учет разработчиком высказываемых представителями гражданского общества мнений и предложений при принятии законодательных решений, должен укрепить доверие и поддержку обществом деятельности уполномоченного органа по защите персональных данных.
