правовых дисциплин Академии КНБ РК В.В. Мамонов
Старший преподаватель кафедры экологии,
юридического факультета
КазНУ имени аль-Фараби, к.ю.н. А.К. Джангабулова
Письмо Научно-исследовательского института правового мониторинга, экспертизы и анализа Республики Казахстан от 12 декабря 2011 года № 01/4-5073
Министерство
внутренних дел
Республики Казахстан
Министерство юстиции
Республики Казахстан
На Ваш № 1-33-13/5049-и от 05 декабря 2011 года направляем заключение дополнительной научной антикоррупционной экспертизы проекта Закона Республики Казахстан «О персональных данных».
Также сообщаем, что согласно пункту 36 Правил проведения научной экспертизы, утвержденных постановлением Правительства Республики Казахстан от 30 мая 2002 года № 598, в течение семи рабочих дней после получения заключения научной правовой, антикоррупционной, криминологической экспертиз государственные органы, в компетенцию которых входит рассмотрение вопросов, затрагиваемых в экспертном заключении, обязаны принять меры по рассмотрению данных замечаний и предложений и предоставить соответствующую информацию в Министерство юстиции Республики Казахстан.
Второму адресату направляем для сведения.
Научно-исследовательский институт правового мониторинга,
экспертизы и анализа
ЗАКЛЮЧЕНИЕ
дополнительной научной антикоррупционной экспертизы проекта
Закона Республики Казахстан «О персональных данных»
1. Общие положения
Организация и/или лицо, привлеченное организацией, проводившее научную экспертизу - Научно-исследовательский институт правового мониторинга, экспертизы и анализа
Отрасли законодательства - 020.000.000. Законодательство о государственном и общественном устройстве.
Государственный орган - разработчик - Министерство внутренних дел Республики Казахстан
Предмет и цели научной антикоррупционной экспертизы
Целями анализа коррупциогенности проекта нормативного правового акта являются:
выявление в проекте нормативного правового акта коррупционных факторов и норм (дефектов норм), создающих возможности совершения коррупционных действий и (или) решений;
рекомендации по устранению коррупционных факторов и устранению (коррекции) коррупциогенных норм.
Предметом экспертизы являются нормы представленного законопроекта.
Наименование проекта нормативного правового акта - «О персональных данных» (далее - законопроект).
Назначение проекта нормативного правового акта - законопроект разработан в соответствии с пунктом 30 Плана законопроектных работ Правительства Республики Казахстан на 2011 год.
Разработка законопроекта обусловлена необходимостью законодательного закрепления порядка работы с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, передачу, блокирование, уничтожение персональных данных.
Структура проекта нормативного правового акта - законопроект состоит из 32 статей.
2. Описание проблемных вопросов, на решение которых направлен проект нормативного правового акта, в том числе: оценка обоснованности и своевременности принятия проекта нормативного правового акта.
Разработка и принятие представленного законопроекта обоснованны и своевременны и будут способствовать повышению эффективности правового регулирования в данной сфере после устранения высказанных замечаний.
3. Описание всех известных и эффективных способов, механизмов, подходов к разрешению проблемных вопросов, на решение которых направлено принятие нормативного правового акта, в том числе применявшихся на разных исторических этапах, зарубежной практике, а также описание смежных сфер правоотношений и влияния на них в виде последствий от принятия нормативного правового акта.
Разработка проблемных вопросов, поднятых разработчиком законопроекта, не имеет аналогов в литературных источниках, интернет-ресурсах и носит национальный характер. Последствия от принятия законопроекта будут носить положительный характер после тщательной доработки законопроекта, с учетом высказанных замечаний.
4. Анализ предлагаемых проектом нормативного правового акта способов, механизмов, подходов к разрешению поставленных проблемных вопросов, возможных последствий от принятия тех или иных способов разрешения проблемных ситуаций, в том числе ответы на вопросы, поставленные перед научной антикоррупционной экспертизой.
Законопроект содержит коррупционный потенциал и требует доработки. Способы, механизмы, подходы к разрешению поставленных проблемных вопросов, в целом, адекватны целям и задачам антикоррупционной экспертизы.
Законопроектом предлагается создание правовой основы для обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Документы, представленные для проведения научной экспертизы
Сроки проведения научной экспертизы
Сведения об экспертах, проводивших научную экспертизу
1. Директор НИИ ПМЭиА к.ю.н. Г.Б. Кысыкова
2. Управляющий директор к.э.н. М.В. Сандрачук
3. Административный директор к.ю.н. М.Ш. Асатов
4. Главный научный сотрудник д.ю.н., профессор Г.С. Мауленов
5. Главный научный сотрудник д.ю.н., профессор Г.Р. Рустемова
6. Старший научный сотрудник к.ю.н. Е.З. Бекбаев
7. Старший научный сотрудник к.ю.н. А.Б. Габбасов
8. Эксперт Мухамеджанов А.О.
9. Старший эксперт А. Ахметова
Вопросы, поставленные перед научной антикоррупционной экспертизой
проектов нормативных правовых актов (замечания и рекомендации по факторам коррупциогенности)
В процессе экспертного исследования выявлены следующие дефектные нормы, содержащие признаки коррупциогенных факторов:
1. В пункте 1 статьи 6 закрепляется основополагающие правило - персональные данные собираются при согласии физического лица, за исключением случаев, предусмотренных статьей 7.
Вместе с тем пункт 3 статьи 6 устанавливает:
«Передача держателем обработки персональных данных другому лицу возможна только при условии обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке».
Таким образом, если при первоначальном сборе персональных данных согласие лица требуется, то в последующем их передача возможна без согласия субъекта персональных данных. Данное положение, на наш взгляд, существенно ущемляет правовые интересы граждан, может повлечь неконтролируемое распространение личных персональных данных, так как согласие дается конкретному государственному органу, физическому или юридическому лицу. В данном случае коррупциогенным фактором выступает широта дискреционных полномочий, проявляющиеся в возможности тех или иных держателей персональных данных на неограниченное их использование, в том числе и передачу иным юридическим лицам. (Габбасов А.Б.)
2. В рамках предыдущей экспертизы было дано следующее замечание: «В соответствии с пунктом 2 статьи 20 законопроекта в случае отказа в предоставлении информации о персональных данных субъекту персональных данных или его законному представителю держатель персональных данных обязан дать мотивированный ответ. Полагаем необходимым установить в законопроекте закрытый исчерпывающий перечень оснований отказа в предоставлении персональных данных. Отсутствие оснований отказа в законопроекте дает возможность уполномоченному лицу самостоятельно определять такие основания отказа, что в свою очередь может затруднить реализацию прав субъекта персональных данных, закрепленных в статье 14 законопроекта». (Кысыкова Г.Б.)
Замечание не учтено.
Пункт 1 статьи 17 законопроекта закрепляет право субъекта «знать о наличии у держателя относящихся к себе персональных данных и на их получение», также пункт 2 статьи 17 законопроекта предоставляет право субъекту на получение информации, касающейся его персональных данных. Как известно, в целях реализации прав одного субъекта правоотношений, в нормативных правовых актах устанавливается соответствующая обязанность другого субъекта по выполнению данных прав, в связи с чем в главе 5 законопроекта определены обязанности держателя персональных данных. Однако если статья 20 законопроекта «Обязанности держателя при сборе персональных данных» однозначно оговаривает необходимость предоставления информации субъекту по его просьбе, то статья 22 предусматривает возможность отказа в предоставлении информации о персональных данных субъекту, не устанавливая причины такого отказа.
Таким образом, уполномоченное лицо государственного органа (держателя), в случае обращения субъекта или его представителя на основании статьи 17 законопроекта, может по своему усмотрению отказать в предоставлении информации о персональных данных заявителя либо поставить «предоставление информации» в зависимость от «определенных действий субъекта». (Кысыкова Г.Б.)
3. В рамках предыдущей экспертизы было дано следующее замечание: «Согласно пункту 1 статьи 21 законопроекта «При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 14 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными.». При этом, статья 14 законопроекта не оговаривает какой-либо порядок сообщения информации.
Согласно пункту 3 статьи 21 законопроекта «Держатель персональных данных при получении от субъекта или его законного представителя документов, подтверждающих недостоверность персональных данных, незаконность их получения или факта обработки, не соответствующей заявленной цели, обязан устранить допущенные при обработке персональных данных нарушения в порядке, предусмотренном статьей 21 настоящего Закона.». Между тем, статья 21 законопроекта также не содержит порядок устранения указанного нарушения». (Мухамеджанов А.О.)
Замечание учтено разработчиком законопроекта.
4. Статья 31 законопроекта устанавливает:
«Держатели персональных данных, осуществляющие их обработку, в течение шести месяцев со дня введения в действие настоящего Закона обязаны провести организационно-технические меры согласно требованиям настоящего Закона».
Буквальное понимание указанной статьи свидетельствует об установлении дополнительного срока только для проведения организационно-технических мер, осуществление иных мероприятий невозможно. Соответственно встает закономерный вопрос о понятии категории «организационно-технические меры».
В данном случае законопроект характеризуется юридико-лингвистической коррупциогенностью, заключающейся в использовании неясных формулировок, допускающих различное понимание. При этом за нарушение законодательства в сфере обработки персональных данных предусмотрена административная ответственность. На практике данные дефекты законопроекта создают возможность самостоятельно определять, является ли данная деятельность организационно-технической или нет только исходя из личных субъективно-оценочных суждений того или иного должностного лица, что в правоприменительной практике может повлечь совершение коррупционных правонарушений при принятии решения о привлечение или не привлечении к ответственности.
В соответствии со статьей 32 законопроект вводится в действие по истечению десяти календарных дней после его официального опубликования.
Таким образом, возникает правовая ситуация, заключающаяся в том, что с момента введения законопроекта в действие деятельность держателей персональных данных должна соответствовать всем требованиям законопроекта, за исключением организационно-технической деятельности (в течение 6 месяцев). Как было отмечено выше, разграничение организационно-технической деятельности и иной деятельности является проблематичной. Решение указанной проблемы возможно путем установления более поздних сроков введения в действия законопроекта с момента первого официального опубликования, что позволит всем заинтересованным субъектам подготовиться к обработке персональных данных в соответствии с новым Законом. (Габбасов А.Б.)
Системный анализ законопроекта позволил экспертам сформулировать следующие рекомендации:
1. Эксперт рекомендует при регламентировании вопроса сбора персональных данных следует использовать следующие механизмы. При фиксировании первоначального согласия на сбор персональных данных закрепить возможность их последующего распространения или дополнительно истребовать согласие на каждый факт передачи персональных данных. Вероятность же соблюдения таких условий, как обеспечение конфиденциальности и безопасности (пункт 3 статьи 6), в современных правовых условиях мала.
В данном случае наиболее действенным гарантом правовой защищенности частных лиц является наличие их согласия, в связи с чем полагаем необходимым внести соответствующие поправки в пункт 3 статьи 6. (Габбасов А.Б.)
2. В рамках предыдущей экспертизы была высказана следующая рекомендация: «Используемые законопроектом в пункте 2 статьи 7 «Условия обработки персональных данных» и пункте 1 статьи 9 «Особенности обработки биометрических персональных данных» формулировки «законодательством» и «законодательством Республики Казахстан» следует заменить на формулировки «законом» и «законами Республики Казахстан», поскольку данный Закон и другие законы предоставляют заинтересованным государственным органам право самим принимать нормативные правовые акты по условиям обработки персональных данных, то есть дополнять и изменять действующее «законодательство Республики Казахстан» по своему усмотрению. Более корректным представляется закрепить, что обработка персональных данных ведется в соответствии с нормами Закона, а не подзаконных актов». (Бекбаев Е.З.)
Рекомендация учтена разработчиком законопроекта.
3. Эксперт рекомендует статью 31 законопроекта исключить, а в статье 32 законопроекта слова «десяти календарных дней» заменить на слова «трех месяцев» или «шести месяцев». (Габбасов А.Б.)
4. Предлагаемый абзац 1 пункта 1 статьи 6 «Условия доступа обработки персональных данных», по мнению эксперта, следует изложить в следующей редакции: «Сбор персональных данных о физическом лице допускается для исполнения задач, стоящих перед держателем, их собирающим». (Мауленов Г.С.)
5. В пункте 2 статьи 6 законопроекта словосочетание «... и в дальнейшем не обрабатывается каким-либо образом, не совместимым с указанными целями» следует заменить на словосочетание «... и в дальнейшем не подлежат иной обработке». (Мауленов Г.С.)
Предложения по устранению выявленных пробелов в рассматриваемом законопроекте.
Предложений нет.
Общая оценка последствий принятия проекта нормативного правового акта в части возможности совершения коррупционных правонарушений
В случае принятия в представленном виде анализируемого проекта Закона Республики Казахстан «О персональных данных» риск совершения коррупционных правонарушений возрастает.
Определение возможной эффективности борьбы с коррупционными правонарушениями
Эффективность борьбы с возможными коррупционными правонарушениями будет повышаться в случае неукоснительного исполнения рекомендаций и предложений экспертов по выявленным коррупциогенным факторам.
Выводы и предложения
Представленный на дополнительную научную антикоррупционную экспертизу проект Закона Республики Казахстан «О персональных данных» может быть внесен на дальнейшее рассмотрение после устранения указанных замечаний.
Директор НИИ ПМЭиА к.ю.н. Г.Б. Кысыкова
Управляющий директор к.э.н. М.В. Сандрачук
Административный директор к.ю.н. М.Ш. Асатов
Главный научный сотрудник
д.ю.н., профессор Г. С. Мауленов
Главный научный сотрудник
д.ю.н., профессор Г. Р. Рустемова
Старший научный сотрудник к.ю.н. Е.З. Бекбаев
Старший научный сотрудник к.ю.н. А.Б. Габбасов
Эксперт А. О. Мухамеджанов
Старший эксперт А.Б. Ахметова
Письмо от 25 июля 2011 года № 30-17/1371
Министерство Внутренних Дел
Республики Казахстан
На письмо МЭРТ РК от 03.07.2011 г. № 25-1/6771
Настоящим направляем Заключения научной экономической экспертизы по проектам Законов Республики Казахстан «О персональных данных» и «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных».
Заключение
научной экономической экспертизы законопроекта