| В частности, правила изложены в следующей редакции: Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан. Собственник и (или) оператор, а также третье лицо осуществляют выделение бизнес-процессов, содержащих персональные данные. При выделении бизнес-процессов определяются виды деятельности собственника и (или) оператора, а также третьего лица, при которых осуществляется сбор и обработка персональных данных. Собственник и (или) оператор, а также третье лицо определяют перечень лиц, осуществляющих сбор и обработку персональных данных, либо имеющих к ним доступ. Собственник и (или) оператор, а также третье лицо утверждают документы, определяющие порядок в отношении сбора, обработки и защиты персональных данных. Собственник и (или) оператор, а также третье лицо назначают лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Действие настоящего пункта не распространяется на обработку персональных данных в деятельности судов. Лицо, ответственное за организацию обработки персональных данных, обязано: 1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных; 2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных; 3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с Законом и настоящими Правилами обеспечивающие: 1) предотвращение несанкционированного доступа к персональным данным; 2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить; 3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным; 4) предоставление доступа государственной технической службе к цифровым объектам, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в цифровых ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в цифровых ресурсах в порядке, определяемом уполномоченным органом. 5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 Закона. При взаимодействии с государственными цифровыми объектами, содержащими персональные данные собственник и (или) оператор, а также третье лицо обеспечивают интеграцию собственных цифровых объектов с государственным сервисом контроля доступа к персональным данным, кроме случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона. Интеграция осуществляется в соответствии с Правилами интеграции с государственным сервисом контроля доступа к персональным данным, утвержденными приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 28786). Собственник и (или) оператор, а также третье лицо в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных осуществляют уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии). Уведомление осуществляется в соответствии с Правилами осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных, утвержденными приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 34919). Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа: 1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями; 2) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта. Блокирование персональных данных осуществляется до принятия решения по обращению субъекта; 3) оповещают уполномоченный орган об инцидентах кибербезопасности, связанных с незаконным доступом к персональным данным ограниченного доступа. Оповещение осуществляется для принятия мер по предотвращению дальнейшего незаконного доступа к персональным данным; 4) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа для обеспечения безопасности обработки персональных данных; 5) обеспечивают ведение журнала событий систем управления базами для регистрации событий, связанных с обработкой персональных данных ограниченного доступа; 6) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа для учета действий при работе с персональными данными ограниченного доступа; 7) применяют средства контроля целостности персональных данных ограниченного доступа для предотвращения несанкционированного изменения персональных данных; 8) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных для предотвращения несанкционированного доступа; 9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа. Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования». Настоящий подпункт не распространяется на случаи трансграничной передачи данных в соответствии со статьей 16 Закона; 10) применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа. Обязанность применения идентификации и (или) аутентификации пользователей распространяется исключительно на лиц, имеющих доступ к базе персональных данных. Сбор и обработка персональных данных ограниченного доступа осуществляются посредством цифровых объектов, размещенных на территории Республики Казахстан. Хранение персональных данных, содержащихся в цифровых ресурсах, осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся в серверном помещении или центре обработки данных, расположенном на территории Республики Казахстан, с принятием необходимых мер по защите персональных данных согласно настоящим Правилам. Приказ вводится в действие 12 июля 2026 года и подлежит официальному опубликованию. |