Возможности предоставления Банком, который будет Национальным институтом развития, доступа к государственным базам данных (вопросы интеграции) с целью сбора и обработки персональных данных граждан, нуждающихся в жилье, а также ведения Банком единой базы очередников и базы «Центр обеспечения жильем»
В соответствии с подпунктом 2) статьи 1 Закона Республики Казахстан «О персональных данных и их защите» (далее – Закон о персональных данных), персональные данные — это сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
Подпунктами 9) и 10) статьи 1 Закона о персональных данных даны определения понятиям собственника и оператора базы, содержащей персональные данные. Согласно данным понятиям собственником базы, содержащей персональные данные, является государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные. Оператором базы, содержащей персональные данные, являются — государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
Подпункт 8) статьи 1 Закона о персональных данных раскрывает понятие базы, содержащей персональные данные, согласно которому это совокупность упорядоченных персональных данных.
Таким образом, каждый собственник и (или) оператор самостоятельно определяет перечень персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.
В соответствии с пунктами 2, 3 статьи 37 Закона Республики Казахстан «Об информатизации» (далее – Закон об информатизации) информационные системы, создаваемые или развиваемые за счет бюджетных средств, а также полученные государственными юридическими лицами иными способами, установленными законами Республики Казахстан, являются государственными.
Информационные системы, создаваемые или развиваемые за счет средств физических и юридических лиц, а также полученные ими иными способами, установленными законами Республики Казахстан, являются негосударственными.
Негосударственные информационные системы, отнесенные к критически важным объектам информационно — коммуникационной инфраструктуры, а также предназначенные для формирования государственных электронных информационных ресурсов, приравниваются к информационным системам государственных органов в части соблюдения требований по обеспечению информационной безопасности.
Подпунктом 4) статьи 6 Закона об информатизации утверждение перечня критически важных объектов информационно-коммуникационной инфраструктуры, а также правил и критерий отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры отнесено к компетенции Правительства Республики Казахстан.
Таким образом, создаваемая Банком информационная система, включающая единую республиканскую электронную базу очередников и базу «ЦОЖ» будет относиться к негосударственным информационным системам. Между тем, следует учесть, что Банк включен в перечень критически важных объектов информационно-коммуникационной инфраструктуры, что при соблюдении установленных законодательством требований по обеспечению информационной безопасности, может предоставлять определенные преимущества при интеграции с информационными системами государственных органов.
Относительно доступа к государственным базам данных (вопросы интеграции).
Пункт 3 статьи 17 Закона «О государственной регистрации прав на недвижимое имущество» и пункт 6 Приказа Министра юстиции Республики Казахстан от 28 марта 2012 года № 131 «Об утверждении Правил предоставления информации из правового кадастра» не наделяют Банк полномочиями по доступу к персональным данным граждан, имеющих право на получение жилья из жилищного фонда.
В соответствии со статьей 6 Закона Республики Казахстан «О доступе к информации» (далее – Закон о доступе к информации) информация, содержащаяся в единой республиканской электронной базе данных очередников и базе «ЦОЖ», к информации с ограниченным доступом не относится.
Во-первых, не все персональные данные охраняются режимом конфиденциальности (некоторые должны быть обнародованы в соответствии с законами, например, персональные данные кандидатов в депутаты, другие могут быть обнародованы по решению субъекта персональных данных, например, содержащиеся в профессиональных энциклопедиях).
Во-вторых, персональные данные могут охраняться и охраняются различными режимами ограниченного доступа. Так, в режиме государственной тайны охраняются персональные данные ряда лиц, имеющих доступ к государственным секретам. В режиме коммерческой тайны могут охраняться персональные данные авторов ноу-хау, используемых в производстве. В режиме коммерческой или профессиональной тайны охраняется информация персонального характера, характеризующая пользователей предоставляемых услуг.
В режиме личной тайны – сведения об особенностях личности, ее пристрастиях, привычках, интересах.
Анализируя классификацию охраняемых законами тайн, выявлено, что информацию, содержащуюся в единой республиканской электронной базе очередников и базе «ЦОЖ», следует отнести к так называемым «производным» (передаваемые субъекту профессиональной деятельности от физических лиц) тайнам.
Для обеспечения режима охраны «производных тайн» необходимо в законодательном порядке определить: обязанность лиц, которым доверена информация, обеспечивать ее конфиденциальность; меры ответственности за нарушение конфиденциальности доверенной информации; условия предоставления доверенной информации третьим лицам; в отдельных случаях требования к используемым средствам защиты конфиденциальности информации или ограничения на использование таких средств.
В соответствии с пунктами 1, 2 статьи 35 Закона об информатизации государственные электронные информационные ресурсы Республики Казахстан являются общедоступными, за исключением электронных информационных ресурсов ограниченного доступа.
Условия и порядок доступа к электронным информационным ресурсам ограниченного доступа определяются законодательством Республики Казахстан и собственником данных ресурсов, в том числе путем заключения соглашений между собственниками электронных информационных ресурсов.
Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа.
К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных или на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.
К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан (пункт 1 статьи 36).
Собственник или владелец электронных информационных ресурсов, содержащих персональные данные, при передаче электронных информационных ресурсов, содержащих персональные данные, собственнику или владельцу информационной системы обязан получить согласие субъекта персональных данных или его законного представителя на сбор и обработку персональных данных с использованием информационных систем, за исключением случаев, предусмотренных Законом о персональных данных (пункт 2 статьи 36).
Согласно пункту 1 статьи 43 Закона об информатизации интеграция информационных систем государственных органов осуществляется в соответствии с правилами интеграции объектов информатизации «электронного правительства» и при соблюдении требований информационной безопасности, определяемых профилем защиты и оформляемых договором совместных работ по информационной безопасности государственных и негосударственных информационных систем.
Пункт 3 статьи 37 Закона об информатизации устанавливает, что негосударственные информационные системы, отнесенные к критически важным объектам информационно-коммуникационной инфраструктуры, а также предназначенные для формирования государственных электронных информационных ресурсов, приравниваются к информационным системам государственных органов в части соблюдения требований по обеспечению информационной безопасности.
Статья 44 Закона об информатизации определяет следующие требования к негосударственной информационной системе, интегрируемой с информационной системой государственного органа:
— негосударственная информационная система интегрируется с информационной системой государственного органа исключительно через внешний шлюз «электронного правительства», введенный в промышленную эксплуатацию, или платежный шлюз «электронного правительства» (для целей осуществления платежей) в соответствии с правилами интеграции объектов информатизации «электронного правительства».
— электронные информационные ресурсы, интерфейс, техническая документация и другие сопутствующие документы негосударственной информационной системы, интегрируемой с информационной системой государственного органа или предназначенной для формирования государственных электронных информационных ресурсов, создаются и хранятся на казахском и русском языках.
Согласно пункту 2-1 статьи 38 Закона об информатизации информационная система государственного юридического лица и негосударственная информационная система, предназначенные для формирования государственных электронных информационных ресурсов, создаются, эксплуатируются и развиваются в соответствии с законодательством Республики Казахстан, действующими на территории Республики Казахстан стандартами, жизненным циклом информационной системы и при условии выполнения следующих требований:
1) согласованного с уполномоченным органом и уполномоченным органом в сфере обеспечения информационной безопасности технического задания;
2) акта испытаний с положительным результатом испытаний на соответствие требованиям информационной безопасности;
3) интеграции информационной системы государственного органа с негосударственной информационной системой только через внешний шлюз «электронного правительства», введенный в промышленную эксплуатацию;
4) единых требований информационно-коммуникационных технологий и обеспечения информационной безопасности.
Интеграция информационных систем государственных органов осуществляется в соответствии с правилами интеграции объектов информатизации «электронного правительства» и при соблюдении требований информационной безопасности, определяемых профилем защиты и оформляемых договором совместных работ по информационной безопасности государственных и негосударственных информационных систем (пункт 1 статьи 43).
Таким образом, законодательство в целом допускает возможность интеграции информационных систем государственных органов с негосударственными информационными системами посредством заключения договора совместных работ по обеспечению информационной безопасности.
В то же время, следует учесть наличие определенных ограничений по доступу к конфиденциальным электронным информационным ресурсам.
Предполагается, что в дополнение к основной деятельности Банка будет осуществлять следующие функции:
- ведение и учет граждан, состоящих в единой республиканской электронной базе очередников;
- создание, постановка на учет и ведение базы «ЦОЖ»;
- администрирование процесса выдачи жилищных сертификатов;
- субсидирование арендных платежей арендодателям за частное арендное жильё.
Качественная реализация вышеуказанной деятельности требует осуществления на систематической основе аналитики персональных данных очередников и граждан, нуждающихся в жилье, в т.ч. относящихся к конфиденциальным и находящимся в распоряжении уполномоченных государственных органов (о наличии в собственности недвижимости, пенсионных накоплений, семейного положения, инвалидности и др.).
Между тем законодательством Республики Казахстан осуществление такой деятельности банком не регламентировано.
По общему правилу, сбор, обработка персональных данных осуществляется с согласия субъекта, которому принадлежат эти персональные данные, или его законного представителя в порядке, определяемом уполномоченным органом (статья 7 Закона о персональных данных.
Согласно пункту 2 статьи 20 Закона о персональных данных сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.
Пункт 2-1 статьи 35 Закона об информатизации предусматривает, что порядок доступа к электронным информационным ресурсам, являющимся конфиденциальными, для осуществления аналитики данных в целях реализации функций государственными органами осуществляется с учетом обеспечения обезличивания электронных информационных ресурсов. Данные предоставляются оператору в соответствии с правилами по сбору, обработке, хранению, передаче электронных информационных ресурсов для осуществления аналитики данных в целях реализации функций государственными органами.
Справочно: Электронные информационные ресурсы, содержащие сведения, доступ к которым ограничен законами Республики Казахстан либо их собственником или владельцем в случаях, установленных законодательством Республики Казахстан, являются электронными информационными ресурсами ограниченного доступа.
Между тем, Закон различает общедоступные персональные данные и данные ограниченного доступа. К источникам общедоступных данных отнесены биографические справочники, телефонные и адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации.
Электронные информационные ресурсы ограниченного доступа подразделяются на электронные информационные ресурсы, содержащие сведения, составляющие государственные секреты, и конфиденциальные.
Электронные информационные ресурсы, содержащие сведения, не составляющие государственные секреты, но доступ к которым ограничен законами Республики Казахстан либо их собственником или владельцем, являются конфиденциальными электронными информационными ресурсами (пункты 5, 7 статьи 32).
В соответствии с Законом о доступе к информации информацией с ограниченным доступом является информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, а также служебная информация с пометкой «Для служебного пользования».
Следует также отметить, что в силу требований статья 5 Закона о персональных данных сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов (физические лица, к которым относятся персональные данные, пп.16 статьи 1), собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Справочно: за нарушение требований законодательства о персональных данных и их защите предусмотрена уголовная ответственность статьей 147 Уголовного Кодекса Республики Казахстан («Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите»), а также административная по статье 79 Кодекса Республики Казахстан «Об административных правонарушениях» («Нарушение законодательства Республики Казахстан о персональных данных и их защите»).
Гражданско-правовая ответственность наступает при оспаривании действия (бездействия) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных и могут быть обжалованы в порядке, установленной главой 29 Гражданского процессуального кодекса Республики Казахстан. А также при возникновении споров при сборе, обработке и защите персональных данных, которые подлежат рассмотрению в порядке, установленном Гражданским процессуальным кодексом Республики Казахстан.
Следует также отметить, что необходимые персональные данные содержатся в Национальных реестрах идентификационных номеров:
1) сведения об идентификационных номерах, содержащих данные о дате рождения, поле физического лица, государственной регистрации юридического лица (филиала и представительства) и индивидуального предпринимательства в виде совместного предпринимательства;
2) сведения, получаемые от регистрирующих и других государственных органов, и иных государственных учреждений;
3) информация о всех изменениях сведений, входящих в состав национальных реестров идентификационных номеров.
Однако, пункт 2 статьи 7 Закона Республики Казахстан «О национальных реестрах идентификационных номеров» определяет, что Национальные реестры идентификационных номеров являются электронным информационным ресурсом для информационных систем только государственных органов, иных государственных учреждений и фонда социального медицинского страхования.
В этой связи данная норма подлежит изменению и дополнению для обеспечения доступа Банку, обладающему статусом НИР к государственным базам данных.
Во-первых, следует учесть наличие определенных законодательством ограничений и требований по доступу к конфиденциальным электронным информационным ресурсам государственных органов.
Во-вторых, Банк, обладающему статусом НИР, необходимо определить конкретный (необходимый и достаточный для выполнения осуществляемых задач) перечень персональных данных, подлежащих сбору, обработке, хранению, передаче для осуществления аналитики данных в целях реализации функций, а также государственных информационных систем, в т.ч. интегрированных и не интегрированных с объектами информационно-коммуникационной инфраструктуры «электронного правительства».
В-третьих, осуществление деятельности банком второго уровня по аналитике персональных данных очередников и граждан, нуждающихся в жилье, в т.ч. относящихся к конфиденциальным и находящимся в распоряжении уполномоченных государственных органов (о наличии в собственности недвижимости, пенсионных накоплений, семейного положения, инвалидности и др.), законодательством Республики Казахстан не регламентировано.
Учитывая изложенное, можно сделать вывод, что для получения Банк, обладающего статусом НИР, доступа к государственным информационным ресурсам, формальных препятствий (в случае исполнения предусмотренных законодательством условий) не имеется.
Ограничения, связанные с доступом к персональным данным граждан, находящимся в распоряжении государственных органов (государственных базах данных), законодательством установлены только в отношении «конфиденциальных» и «секретных» данных.
Между тем, законодательством в сфере информатизации привилегий обладателям статуса «Национальный институт развития» по доступу к государственным базам данных не предусматривается. В то же время следует отметить, что Банк Правительством Республики Казахстан включен в перечень критически важных объектов информационно-коммуникационной инфраструктуры.
Для решения проблемы, Банку, обладающему статусом НИР необходимо определить конкретный (необходимый и достаточный для выполнения осуществляемых задач) перечень персональных данных, подлежащих сбору, обработке, хранению, передаче для осуществления аналитики данных в целях реализации функций, а также государственных информационных систем, в т.ч. интегрированных и не интегрированных с объектами информационно-коммуникационной инфраструктуры «электронного правительства». Данное условие необходимо для более детальной разработки вопроса по получению доступа к государственным информационным базам данных.
Также, для исключения разночтений необходимо законодательно закрепить право доступа Банка, обладающего статусом НИР, к конкретным государственным базам данных с целью сбора и обработки персональных данных граждан, нуждающихся в жилище. Кроме того, необходимо предусмотреть право Банка, обладающего статусом НИР, получать информацию по конкретному объекту недвижимого имущества и обобщенные данные о правах физического или юридического лица на имеющиеся у него объекты недвижимости, заверенные регистрирующим органом по мотивированным запросам и на основании учредительных документов жилищного строительного сберегательного банка, путем внесения изменений и дополнений в пункт 3 статьи 17 Закона Республики Казахстан «О государственной регистрации прав на недвижимое имущество» (далее – Закон о регистрации прав на недвижимое имущество) и пункт 6 приказа Министра юстиции Республики Казахстан от 28 марта 2012 года № 131 «Об утверждении Правил предоставления информации из правового кадастра».
Учитывая изложенное, необходимо разработать законопроект по внесению изменений и дополнений в законы об информатизации, о персональных данных, о регистрации прав на недвижимое имущество,
«О жилищных отношениях», «О жилищных строительных сбережениях в Республике Казахстан», и пункт 6 приказа Министра юстиции Республики Казахстан от 28 марта 2012 года № 131 «Об утверждении Правил предоставления информации из правового кадастра».
Согласно подпункту 12) пункта 1 статьи 31 Закона о местном госуправлении, пунктам 1, 5 статьи 71, п. 1 статьи 77, статье 78 Закона о жилищных отношениях функция распределения жилищного фонда находится в компетенции районного (города областного значения) акимата.
Принципы ведения, мониторинг и актуализация единой республиканской электронной базы очередников и формирование, ведение, мониторинг и актуализация базы ЦОЖ и использование информации не соответствуют:
1) требованиям информационной безопасности, таких как конфиденциальность и целостность, сформированных в соответствии с международным стандартом «Сертификация ISO 27001»;
2) принципам доступа информации являются достоверность и полнота, а также актуальности и своевременность ее предоставления (пункты 3 и 4 статьи 4 Закона о доступе к информации);
3) ч. 3 статьи 18 Конституции, в соответствии с которой государственные органы, общественные объединения, должностные лица и средства массовой информации обязаны обеспечить каждому гражданину возможность ознакомиться с затрагивающими его права и интересы документами, решениями и источниками информации;
4) статье 6 Закона о доступе к информации, в соответствии с которой информация, размещаемая в единой республиканской электронной базе очередников, базе ЦОЖ должностным лицом Банка, обладающим статусом НИР, не относится к информации с ограниченным доступом;
5) пунктам 1-3 и 5-7 статьи 7 Закона о доступе к информации, в соответствии с которой пользователь информации имеет право получать и распространять информацию любым не запрещенным законом способом; обращаться с запросом о предоставлении информации; проверять достоверность и полноту получаемой информации; не обосновывать необходимость получения информации; обжаловать незаконное ограничение права на доступ к информации, действия (бездействие) должностных лиц; требовать в установленном законом порядке возмещения материального ущерба и морального вреда, причиненного ему нарушением его права на доступ к информации.
Осуществление банком второго уровня деятельности по ведению единой республиканской электронной базы очередников (граждан, нуждающихся в жилье) и базы ЦОЖ законодательством Республики Казахстан не регламентировано.
Законы Республики Казахстан о жилищных отношениях, о жилищных сбережениях не содержат определения понятий единой республиканской электронной базы очередников и базы ЦОЖ, не определяют правовой статус Банка, обладающего статусом НИР, и его компетенцию по единой республиканской электронной базе очередников и базе ЦОЖ, а также распределению жилья очередникам.
В настоящее время, в соответствии с пунктом 2 статьи 10-5 Закона о жилищных отношениях централизованный сбор, анализ и хранение, обеспечение сохранности и конфиденциальности электронных информационных ресурсов, полученных из объектов информатизации в сфере жилищных отношений и жилищно-коммунального хозяйства, с соблюдением требований, установленных Законом о персональных данных осуществляет Центр развития жилищно-коммунального хозяйства (создан Постановлением Правительства Республики Казахстан от 30 октября 2009 года № 1725).
На центр возложено также осуществление анализа жилищного фонда и жилищно-коммунального хозяйства; методологическое обеспечение функционирования и формирования электронных информационных ресурсов жилищного фонда и жилищно-коммунального хозяйства и др.
Согласно пунктам 1, 2 статьи 74 Закона о жилищных отношениях жилище из государственного жилищного фонда или жилище, арендованное МИО в частном жилищном фонде, за исключением случаев, предусмотренных статьей 98-1 Закона о жилищных отношениях, предоставляется гражданам, состоящим на учете нуждающихся, в порядке очередности, установленной списками, с момента подачи заявления со всеми необходимыми документами.
МИО района, города областного значения, города республиканского значения, столицы ведут раздельные списки учета нуждающихся в жилище из коммунального жилищного фонда или жилище, арендованном МИО в частном жилищном фонде.
Таким образом, для наделения Банком, обладающего статусом НИР, правами по ведению единой республиканской электронной базы очередников и базы ЦОЖ необходимы изменения и дополнения в национальное законодательство, в том числе в Закон о жилищных отношениях.
Учитывая изложенное, можно сделать вывод, что для ведения единой республиканской электронной базы очередников и базы ЦОЖ, препятствий (в случае исполнения предусмотренных законодательством условий) не имеется.
Для надлежащего и беспрепятственного ведения Банком, обладающего статусом НИР, указанных информационных ресурсов необходимо преодолеть законодательные ограничения, связанные с доступом к персональным данным граждан, находящимся в распоряжении государственных органов (государственных базах данных), которые установлены только в отношении «конфиденциальных» и «секретных» данных.
Кроме того, для исключения разночтений необходимо законодательно закрепить за Банком, обладающего статусом НИР, право доступа к конкретным государственным базам данных с целью сбора и обработки персональных данных граждан, нуждающихся в жилище.
Также необходимо принципы ведения, мониторинга и актуализации единой республиканской электронной базы очередников и формирования, ведения, мониторинга и актуализации базы ЦОЖ и использование информации привести в соответствие с:
1) такими составляющими информационной безопасности как конфиденциальность и целостность, сформированных в соответствии с международным стандартом «Сертификация ISO 27001»;
2) такими принципами доступа к информации как достоверность и полнота, а также актуальность и своевременность ее предоставления (пункты 3 и 4 статьи 4 Закона о доступе к информации), поскольку ведение единой республиканской электронной базы очередников и базы ЦОЖ должна вестись на основе строгой определенности, соответствия действительности, достаточности объема информации о лицах, имеющих право на предоставление жилья из жилищного фонда, а также своевременности обновления данных, содержащихся в единой республиканской электронной базе очередников и базе ЦОЖ.
Наряду с этим необходимо внести соответствующие изменения и дополнения в законы об информатизации, о жилищных сбережениях, о жилищных отношениях, о персональных данных. Это позволит законодательно закрепить компетенцию Банка, обладающего статусом НИР, по реализации новых функций (ведение единой республиканской электронной базы очередников и базы ЦОЖ с доступом к государственным базам данных), включающих сбор и обработку конфиденциальных персональных данных граждан.