В Казахстане трансграничная передача персональных данных требует строгого соблюдения законодательства и защиты прав владельцев данных. Начальник юридического отдела группы компаний «ЩИТ» Петр Кодаш разъяснил, что это процесс передачи данных о физических лицах между различными государствами, особенно за пределы национальной юрисдикции. Для такой передачи необходимо соблюдение ряда условий, в частности, защита данных на территории принимающего государства. Законодательство требует, чтобы компании были прозрачны в отношении использования персональных данных (ПД) и информировали граждан о их правах и возможностях контроля.
Персональные данные, которые могут быть идентифицированы как трансграничные при их передаче, включают: ФИО, дата и место рождения, адрес и телефон, паспортные данные, а также более чувствительную информацию – физиологические или биометрические данные. Примеры трансграничной передачи данных включают передачу данных работников для командировок, исполнение контрактов, использование зарубежных облачных сервисов и CRM-систем.
Петр Кодаш отметил, что не всякая передача данных считается трансграничной. Если данные используются иностранной компанией без их фактической передачи за рубеж или когда доступ к данным осуществляется из-за пределов Казахстана без передачи, это не квалифицируется как трансграничная передача. Для признания передачи трансграничной, данные должны быть физически переданы и обработаны за границей.
Трансграничная передача данных возможна при согласии субъекта данных, в рамках международных договоров или при необходимости для охраны общественного порядка и прав граждан. Закон также устанавливает ответственность за нарушение правил работы с персональными данными. В зависимости от тяжести нарушения, могут применяться административные штрафы или уголовные наказания, включая штрафы и лишение свободы до двух лет за нарушение конфиденциальности личной жизни и законодательства о ПД.
Подход к защите данных в Казахстане требует доказательств «существенного вреда», что может быть сложно в случае нарушений, не имеющих явных последствий. Важно, чтобы граждане чувствовали, что их персональные данные защищены, а компании соблюдали установленные принципы законности и прозрачности.