Все сервисы
Все сервисы
+7 (727) 222-21-01
Перейти в полную версию сайта

Утверждены Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (аннотация к документу от 12.06.2023)

Утверждены Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

Аннотация к документу: Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных» (не введен в действие)

В соответствии с подпунктом 2-3) пункта 1 статьи 27-1 Закона Республики Казахстан «О персональных данных и их защите» утверждены Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

2) обеспечения их целостности и сохранности;

3) соблюдения их конфиденциальности;

4) реализации права на доступ к ним;

5) предотвращения незаконного их сбора и обработки.

Для обеспечения защиты персональных данных необходимо:

1) выделение бизнес-процессов, содержащих персональные данные;

2) разделение персональных данных на общедоступные и ограниченного доступа;

3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;

4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие подпункта 4) настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

5) установление порядка доступа к персональным данным.

6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;

7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.

Иные особенности защиты персональных данных при их сборе и обработке в объектах информатизации устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.

2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;

3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;

2) оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;

3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;

4) обеспечивают ведение журнала событий систем управления базами;

5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;

6) применяют средства контроля целостности персональных данных ограниченного доступа;

7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;

8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;

9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;

10) применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

Сбор и обработка персональных данных ограниченного доступа осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.

Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».

Требования настоящего пункта не распространяются на случаи трансграничной передачи данных.

Приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.