ФИО, ИИН, e-mail, IP-адрес, геном и история покупок: что относится к персональным данным, а что – нет

Вопросы эти особенно актуальны в связи активной цифровизацией общественных отношений и расширением сфер обработки информации о гражданах, уточняет юрист, кандидат юридических наук Сайкен Айсин.

"На практике возникает неопределенность: какие именно сведения подлежат защите – и значит, влекут ответственность? А какими сведениями можно оперировать без ограничений? Где проходит граница между персональными и неперсональными данными?".Сайкен Айсин

Персональные данные в будущемА.Г.: А давайте тоже говорить конкретно. Есть официальный документ – ответ министра внутренних дел РК от 7 декабря 2019 года на вопрос от 26 ноября 2019 года № 582584. Там сказано:

"В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации)".

"Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством РК. К ним относятся установочные данные лица (фамилия, имя, отчество, год, дата рождения, национальность), сведения о месте жительства (место регистрации), индивидуальном идентификационном номере (ИИН), документах, удостоверяющих личность (номер) и другие сведения".

Предположим, вы опубликовали в масс-медиа статью и подписались: ФИО, кандидат юридических наук. Такие данные будут считаться общедоступными, "доступ к которым является свободным с согласия субъекта" (согласно статье 6 Закона РК "О персональных данных и их защите").

Однако если такое согласие человек не давал, то по умолчанию эти данные будут считаться "персональными данными ограниченного доступа", которые, собственно, и находятся под защитой.

Разве такого разъяснения недостаточно?

С.А.: Проблема в том, что подробного разъяснения нет в законодательных актах. И не только в Законе РК "О персональных данных и их защите" от 21 мая 2013 года. Но и в Правилах сбора, обработки персональных данных, утвержденных приказом министра цифрового развития, инноваций и аэрокосмической промышленности РК от 21 октября 2020 года. Да и массив информации, который должен разграничиваться, гораздо шире вышеперечисленного в ответе.

Сейчас в нормативных актах под персональными данными понимаются:

"Данные, в том числе биометрические, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе".

Как видите, действующее определение не дает четких пояснений, какие именно сведения граждан следует отнести к персональным данным, и по большому счету мы можем лишь догадываться, что к ним относится.

Теперь другой момент. С 11 июля 2026 года вступают в силу поправки, предусмотренные Законом РК от 9 января 2026 года "О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам цифровизации, транспорта и предпринимательства". В их числе и изменение формулировки, что такое персональные данные.

"Сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных". Новая редакция пп. 2) статьи 1 Закона РК "О персональных данных и их защите"