Обзор судебной практики по персональным данным в Казахстане
- Кого касаются требования по обработке персональных данных в Казахстане?
- Кейс 1
- Кейс 2
- Кейс 3
- Заключение
- Напишите нашему юристу, если у вас возникли вопросы
В последние годы защита персональных данных в Казахстане приобрела особую актуальность. Государство ужесточает регулирование в этой сфере, а ответственность за нарушения становится все более серьезной. Причина этого очевидна: в открытом доступе регулярно появляются новости о масштабных утечках информации, затрагивающих казахстанцев. Одним из громких примеров стали факты продажи персональных данных граждан банками, а также случаи их утечки в Китай. Такие инциденты не могли остаться без внимания, и теперь государство вводит новые правила, согласно которым защита персональных данных становится приоритетом. Уже с марта 2025 года штрафы за незаконный сбор и обработку персональных данных увеличатся в два-три раза. Теперь малый и средний бизнес могут столкнуться со штрафами в размере 450 и 750 евро соответственно, а крупный бизнес – около 1500 евро. Причем эти суммы применяются за каждый выявленный факт незаконного сбора и обработки персональных данных.
Такой подход приближает Казахстан к уровню регулирования в странах региона. Например, в Беларуси за аналогичное нарушение предусмотрен штраф до 600 евро, тогда как в России за те же деяния штрафы значительно выше — до 7 000 евро для юридических лиц.
При этом, если сравнивать с европейскими странами, где за нарушение законодательства о персональных данных (GDPR) компании могут получить штрафы в миллионы евро, казахстанские меры остаются относительно мягкими.
Ранее мы обсуждали, как правильно оформлять документы, регулирующие обработку персональных данных, включая согласия и политики. Сегодня мы пойдем дальше и рассмотрим, как эти нормы применяются на практике: какие кейсы уже рассматривались судами в Казахстане, кого привлекали к ответственности и насколько эта проблема касается малого и среднего бизнеса.
Кого касаются требования по обработке персональных данных в Казахстане?
Распространено мнение, что регулирование персональных данных затрагивает только крупные корпорации, поскольку их деятельность связана с обработкой больших массивов информации. Это мнение во многом обусловлено сложностью нормативных требований, включающих локализацию серверов, разработку внутренних политик, назначение ответственных сотрудников и внедрение технических мер защиты данных. Эти требования действительно требуют значительных ресурсов, и их выполнение может оказаться сложным для малого и среднего бизнеса. Однако законодательство не делает различий по размеру компании — все субъекты бизнеса обязаны соблюдать требования по обработке и защите персональных данных. На практике это означает, что даже небольшие компании могут столкнуться с санкциями за халатное отношение к обработке персональных данных, если не уделят этому вопросу должного внимания.
Кейс 1
Небольшая компания, оказывающая услуги проводной телекоммуникационной связи для государственных органов, была привлечена к ответственности за незаконное использование персональных данных бывшего сотрудника. Компания участвовала в тендере, для которого требовалось наличие квалифицированного персонала, и включила в конкурсную документацию данные бывшего сотрудника без его явного согласия.
Обнаружив это, бывший сотрудник подал жалобу в уполномоченный орган по защите персональных данных, что привело к внеплановой проверке и составлению административного протокола. По итогам рассмотрения компании был назначен штраф в размере 140 евро.
Не согласившись с решением, компания обратилась в суд, заявив, что согласие сотрудника было получено устно, а доступ к документам имели только участники закупок. Однако суд указал, что устного согласия недостаточно — требуется письменное подтверждение. Кроме того, штраф был оплачен в порядке сокращенного производства, что фактически расценивается как признание нарушения. В итоге суд подтвердил законность наложенного штрафа.
Кейс 2
Гражданин Казахстана оформил кредит в местном банке и при подаче заявки указал в качестве контактных данных ФИО и телефон своего знакомого, не имея на это его явного согласия. В результате банк на протяжении двух лет систематически звонил по этому номеру с целью поиска заемщика.
Обладатель номера, не имеющий отношения к кредитному договору, неоднократно сообщал сотрудникам банка, что его ФИО и контактные данные используются без его согласия, и требовал прекратить обработку. Однако звонки продолжались.
В итоге суд установил, что банк не имел законных оснований для обработки персональных данных данного гражданина, поскольку он не давал согласия на их использование. Более того, банк не предпринял мер для проверки правомерности обработки данных, несмотря на поступавшие обращения.
Суд квалифицировал действия банка как незаконный сбор и обработку персональных данных и назначил административный штраф в размере 400 евро.
Кейс 3
Государственное учреждение в городе Алматы было привлечено к ответственности за использование персональных данных граждан в информационной системе без получения их согласия. Суд установил, что в системе хранились персональные данные граждан, при этом согласие на их обработку не было оформлено надлежащим образом.
Представители учреждения пытались оспорить составленный протокол, указывая на процессуальные недостатки и на то, что данные обрабатывались сторонней организацией. Однако суд признал нарушение обоснованным и отказал в удовлетворении жалобы и назначил учреждению административный штраф в размере 140 евро.
Заключение
Таким образом, судебная практика Казахстана по персональным данным показывает, что субъектами правонарушений могут быть не только крупный и средний бизнес, но и малый бизнес, и даже государственные органы. Реальность такова, что практически любая организация работает с персональными данными сотрудников, клиентов или партнеров, однако не все уделяют этому должное внимание.
Несмотря на активную работу уполномоченного органа по защите персональных данных, проверки бизнеса, как правило, проводятся только после поступления жалобы от лица, чьи права были нарушены. На практике это означает, что государственные органы не осуществляют систематический контроль малого и среднего бизнеса. Однако отсутствие проверок не освобождает от необходимости соблюдать закон, так как любая жалоба может привести к проверке и наложению штрафа.
Сегодня в Казахстане наиболее распространенные нарушения связаны с отсутствием корректно оформленного согласия на обработку персональных данных и их незаконным распространением (например, публикация в открытом доступе в интернете, включение в тендерную документацию или передача третьим лицам без законных оснований). Судебная практика однозначно даёт понять, что это является основанием для штрафов и проверок.
Соблюдение требований – четкое документирование согласий и контроль за обработкой данных – поможет бизнесу не только защитить свою репутацию, но также минимизировать риски финансовых потерь.
Авторы: Жанстуре Ташкараев
Напишите нашему юристу, если у вас возникли вопросы
Написать юристуУважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera
