Защита персональных данных сотрудников в Казахстане: требования GDPR и местного права

Как работодателю соблюдать закон и избегать штрафов

Аннотация
В Казахстане ужесточаются требования к защите персональных данных работников. Ошибки в обработке и хранении грозят штрафами и уголовной ответственностью. Для компаний с зарубежными партнёрами актуальны требования GDPR. В статье — что нужно сделать работодателю для законной работы с персональными данными сотрудников, примеры рисков и проверенные практики.

---

1. Какие данные считаются персональными

• ФИО, дата рождения, ИИН, паспортные данные

• Контакты, адрес проживания

• Информация о семье, образовании, квалификации

• Сведения о зарплате, медицинские документы, фотографии

• Электронные логи, записи видеонаблюдения

---

2. Законодательная база

• Закон РК «О персональных данных и их защите»

• Стандарты GDPR (для международных компаний и при передаче данных в ЕС)

• Локальные подзаконные акты: правила хранения, согласие, уничтожение данных

---

3. Обязанности работодателя

• Получить письменное согласие на обработку и хранение данных

• Назначить ответственное лицо по защите персональных данных

• Обеспечить хранение данных на защищённых серверах в РК

• Соблюдать сроки хранения (не дольше, чем требуется законом)

• При передаче данных за границу — получить отдельное согласие

---

4. За что могут наказать работодателя

• Утечка данных (включая «случайные» письма и флешки)

• Хранение данных на незащищённых устройствах

• Отсутствие согласия работника

• Передача данных третьим лицам без законных оснований

Штрафы — до 2000 МРП, в отдельных случаях уголовная ответственность.

---

5. Рекомендации для компаний

• Регулярно обучайте сотрудников по кибербезопасности

• Используйте антивирусы, VPN, корпоративные облака

• Разработайте политику по работе с данными и журналы доступа

• Проводите внутренние аудиты и проверяйте, кто и когда обращается к персональным данным

• Быстро реагируйте на жалобы и запросы сотрудников

---

Заключение

Защита персональных данных — это зона риска для любого работодателя в РК. Чем крупнее бизнес, тем выше требования к процессам хранения и обработки данных. Комплексный подход, политика прозрачности и современные IT-решения позволяют минимизировать риски и избежать штрафов.

---

FAQ — 10 вопросов и ответов

1. Какие данные считаются персональными?
Любые сведения, позволяющие идентифицировать работника (ФИО, ИИН, фото, контакты и т.д.).

2. Нужно ли получать согласие сотрудника на обработку данных?
Да, обязательно — в письменной форме.

3. Где можно хранить персональные данные?
На защищённых серверах в РК, с контролем доступа.

4. Как быть, если нужен доступ зарубежному подрядчику?
Получить отдельное согласие на трансграничную передачу.

5. Кто отвечает за утечку данных?
Работодатель и назначенное ответственное лицо.

6. Какие штрафы за нарушение?
До 2000 МРП, иногда — уголовная ответственность.

7. Нужно ли удалять данные после увольнения сотрудника?
Да, если не требуется их хранить по закону (например, для расчётов с налоговой).

8. Применим ли GDPR в Казахстане?
Да, если компания работает с гражданами ЕС или передаёт туда данные.

9. Как реагировать на жалобу работника по данным?
Провести проверку и устранить нарушение, ответить официально.

10. Как повысить безопасность персональных данных?
Внедрить политику защиты, обучать персонал, регулярно проводить аудит.