ЗРК о ПД под термином «оператор базы, содержащей ПД» понимает государственный орган, физическое и/ или юридическое лицо, осуществляющее сбор, обработку и защиту ПД. Вопросы: a) означает ли это, что филиалы и представительства иностранных юридических лиц, зарегистрированные в Казахстане, не обязаны соблюдать требования ЗРК о ПД, и на такие филиалы и представительства иностранных юридических лиц не распространяются требования ЗРК о ПД, включая, требования о защите ПД? Т.е. филиалы и представительства иностранных юридических лиц не признаются субъектами правоотношений в области защиты ПД? b) если филиал или представительство иностранного юридического лица, зарегистрированное в Казахстане, осуществляет сбор и обработку ПД лиц, находящихся на территории Казахстана, в том числе передает ПД ограниченного доступа на территорию иностранного государства, на кого распространяются требования статьи 16 ЗРК о ПД: • филиал или представительство, зарегистрированное в Казахстане; • материнская компания филиала или представительства, как иностранное юридическое лицо; • все иностранные лица (физические и юридические), которые участвуют в обработке ПД; • ни на кого, поскольку ЗРК о ПД не регулирует данные случаи? c) В случае последующего нарушения иностранным юридическим лицом прав субъектов ПД, закрепленных в ЗРК о ПД, кто из перечисленных лиц несет ответственность: • филиал/ представительство иностранного юридического лица, • иностранное юридическое лицо, • никто (поскольку ЗРК о ПД не регулирует данные случаи)? d) обладает ли ЗРК о ПД принципом экстерриториальности? С учетом выше заданных вопросов.

Комитет по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, рассмотрев Ваше обращение, сообщает следующее.  

По первому вопросу  

Законом Республики Казахстан «О персональных данных и их защите» (далее - Закон) регулируются все отношения, связанные со сбором, обработкой и защитой персональных данных на территории Республики Казахстан. Операторы баз, содержащих персональные данные, в том числе государственные органы, физические и (или) юридические лица Республики Казахстан, а также иностранцы, иностранное юридическое лицо, филиалы и представительства иностранных юридических лиц, осуществляющие сбор и обработку персональных данных на территории Республики Казахстан, обязаны соблюдать меры по защите персональных данных.  

По второму вопросу.  

В соответствии с пунктом 6 статьи 7 Закона обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 настоящего Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта. Так, указанное требование, а также статьи 16 Закона распространяется на собственников и (или) операторов, а также третьих лиц, осуществляющих трансграничную передачу персональных данных.  

По третьему вопросу.  

В соответствии с частью второй статьи 3 Кодекса Республики Казахстан «Об административных правонарушениях» административным правонарушением, совершенным на территории Республики Казахстан, признается деяние, которое начато или продолжилось либо было окончено на территории Республики Казахстан. Следовательно, ответственность за нарушение требований законодательства Республики Казахстан о персональных данных и их защите возлагается на собственников и (или) операторов, а также третьих лиц с учетом наличия в их действиях состава и события административного правонарушения. Закон не обладает принципом экстерриториальности.  

Отмечаем, что в случае несогласия с представленным ответом, Вы вправе его обжаловать в соответствии со статьей 89 Административного процедурно-процессуального кодекса.

Заместитель председателя Киб Жукенов Амангельды Серикбаевич