Согласно документу, в пункт по обеспечению защиты персональных данных с 1 июля 2024 года вводится новая норма об уведомлении рабочего органа в течение 1 рабочего дня «c момента обнаружения нарушения безопасности персональных данных» с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии такового).
Напомним, что понятие «нарушения безопасности персональных данных» введено новым Законом № 44-VIII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов».
Под ним понимается нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним
Помимо нормы об уведомлении уполномоченного органа об утечках, в тот же самый пункт по обеспечению защиты персональных данных входят следующие меры:
✓ выделение бизнес-процессов, содержащих персональные данные;
✓ разделение персональных данных на общедоступные и ограниченного доступа;
✓ определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
✓ назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник или оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона (это не распространяется на обработку персональных данных в деятельности судов);
✓ установление порядка доступа к персональным данным;
✓ утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
✓ по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц - представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником или оператором требований закона;
✓ в случае взаимодействия с объектами информатизации государственных органов или государственных юридических лиц, содержащими персональные данные - обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением ряда случаев. При этом во время сбора и обработки персданных в объектах информатизации дополнительно необходимо обеспечение сохранности информационных носителей.
В последующем государственный орган по защите персональных данных направляет оператору информационно-коммуникационной инфраструктуры “электронного правительства” информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов (п. 6-2 ст. 27-1 Закона РК «О персональных данных и их защите»).
Напомним, что эксперты юридической фирмы DRCQ Елжан Кабышев и Руслан Дайырбеков, входившие в рабочую группу по разработке и принятию этого закона, более двух лет назад впервые обратили внимание депутатов Мажилиса РК статью 33 GDPR (Общего регламента по защите персональных данных Европейского союза) «Уведомление надзорного органа о нарушении безопасности персональных данных», которая предусматривает требование задокументировать любые нарушения безопасности персональных данных (personal data breach) в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации.
Итоговая работа над законопроектом повысила качество и эффективность разработки последнего, а также сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
Напомним, что понятие «нарушения безопасности персональных данных» введено новым Законом № 44-VIII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов».
Под ним понимается нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним
Помимо нормы об уведомлении уполномоченного органа об утечках, в тот же самый пункт по обеспечению защиты персональных данных входят следующие меры:
✓ выделение бизнес-процессов, содержащих персональные данные;
✓ разделение персональных данных на общедоступные и ограниченного доступа;
✓ определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
✓ назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник или оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона (это не распространяется на обработку персональных данных в деятельности судов);
✓ установление порядка доступа к персональным данным;
✓ утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
✓ по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц - представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником или оператором требований закона;
✓ в случае взаимодействия с объектами информатизации государственных органов или государственных юридических лиц, содержащими персональные данные - обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением ряда случаев. При этом во время сбора и обработки персданных в объектах информатизации дополнительно необходимо обеспечение сохранности информационных носителей.
В последующем государственный орган по защите персональных данных направляет оператору информационно-коммуникационной инфраструктуры “электронного правительства” информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов (п. 6-2 ст. 27-1 Закона РК «О персональных данных и их защите»).
Напомним, что эксперты юридической фирмы DRCQ Елжан Кабышев и Руслан Дайырбеков, входившие в рабочую группу по разработке и принятию этого закона, более двух лет назад впервые обратили внимание депутатов Мажилиса РК статью 33 GDPR (Общего регламента по защите персональных данных Европейского союза) «Уведомление надзорного органа о нарушении безопасности персональных данных», которая предусматривает требование задокументировать любые нарушения безопасности персональных данных (personal data breach) в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации.
Итоговая работа над законопроектом повысила качество и эффективность разработки последнего, а также сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.