Исследователи: Нурбек Арзымбаев, Талант Султанов, Айпери Бозоева,Жазгуль Зуридинова
Главной задачей исследования было выяснить, как «рынок», коммерческий[1] сектор в Кыргызской Республике обеспечивают исполнение законодательства при сборе и обработке персональных данных, непосредственно предоставленных пользователями[2], в условиях отсутствия органа, контролирующего исполнение законодательства.
По результатам нашего исследования мы можем утверждать, что подавляющее большинство изученных нами компаний нелегитимно собирают персональные данные, не ознакамливают пользователей о перечне собираемых персональных данных, целях их сбора и обработки, их правах, сроках хранения и об их защите.
Из просмотренных нами более 500 веб-сайтов компаний около 180 непосредственно собирают персональные данные (далее ПД) от пользователей. Подавляющее большинство собирают контактные данные пользователей для обратной связи и отправки информации об акциях и продукции компании.
Из 180 собирающих ПД только 44 компании получают согласие. Однако, по данным нашего исследования, абсолютное большинство онлайн-форм получения согласия по обработке персональных данных не соответствуют законодательству по персональным данным КР. По действующему законодательству, отсутствуют нормы дачи электронного согласия на сбор и обработку ПД, кроме использования электронной подписи. Несмотря на то, что в законе имеется более упрощенная форма – «простая электронная подпись», из просмотренного количества лишь единичные веб-ресурсы используют ее для получения согласия на сбор и обработку ПД.
Из 180 веб-сайтов, которые запрашивали ПД, более 40 % веб-сайтов находились за пределами страны. При этом только шесть компаний в форме согласия отобразили пункты о трансграничной передаче данных.
Из 519 веб-сайтов только 17 (или 3 %) опубликовали на веб-сайтах Политику по обработке персональных данных[3]. Соответственно, они не ознакамливают пользователей с целями сбора ПД, условиями их обработки, хранения, уничтожения, правами и другими важными аспектами, связанными с ПД. Также необходимо отметить, что только одна компания из 519 разработала и опубликовала Политику обработки данных на кыргызском языке.
Достаточно сложно сделать однозначные выводы об объемах и чрезмерности собираемых данных из-за отсутствия целей сбора, опубликованных компаниями. Но нами зафиксированы случаи сбора специальных категорий ПД[4] и сбор ПД, не соответствующих тексту получаемых согласий.
В целом можно составить портрет компаний в коммерческом секторе – компания собирает непосредственно от пользователей персональные данные только для маркетинговых рассылок, обратной связи или предоставления скидок; не получает легитимного согласия от пользователей на сбор и обработку ПД; не уведомляет пользователей о мерах, предпринимаемых для защиты ПД, о правах пользователей.
По результатам исследования можно сделать вывод, что отсутствие уполномоченного органа негативно сказывается на взаимоотношениях субъекта ПД с частным сектором. Субъекты ПД не могут реализовать свои законные права, коммерческий сектор фактически не соблюдает законодательство и другие акты по защите персональных данных страны. Также в ходе исследования, изучив законодательство страны, проверив исполнение прав субъектов ПД, проанализировав утечку ПД, мы считаем, что имеются существенные пробелы в законодательстве страны. К примеру, к основным можно отнести следующее: нечетко прописаны права по отзыву согласия, сложности при даче электронного согласия (только электронная подпись), отсутствуют нормы по уведомлению об утечке, возможность отписки от маркетинговых рассылок и защиты ПД детей и др..
[1]Вопрос сбора и обработки данных государственным сектором требует отдельного исследования.
[2]Необходимо отметить, что в исследовании мы разделяем понятия «непосредственно предоставляемые персональные данные» и «косвенно предоставляемые персональные данные». Исследование было проведено только по изучению непосредственно предоставляемых персональных данных. В последующих исследованиях мы рассмотрим косвенно предоставляемые персональные данные и отношение пользователей к ним.
[3]Документ, который часто также называют политикой конфиденциальности, определяет политику держателя/обработчика в отношении обработки персональных данных (далее Политика).
[4]В законе об информации персонального характера под специальными категориями понимаются расовое или этническое происхождение, национальная принадлежность, политические взгляды, религиозные или философские убеждения, а также данные, касающиеся состояния здоровья и сексуальных наклонностей.
Источник: Исследование по персональным данным в коммерческом секторе Кыргызской Республики