15 марта вступил в действие Приказ МЦРИАП от 28 февраля 2023 года, согласно которому меняются Правила осуществления собственником или оператором, а также третьим лицом мер по защите персональных данных.
Согласно документу, в пункт по обеспечению защиты персональных данных с 1 июля 2024 года вводится новая норма об уведомлении рабочего органа в течение 1 рабочего дня «c момента обнаружения нарушения безопасности персональных данных» с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии такового).
Напомним, что 11 декабря 2023 года Президентом Республики Казахстан был подписан Закон № 44-VIII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов».
С принятием данного закона, в законодательстве Казахстана появились требования для операторов и собственников персональных данных, а также для уполномоченного госоргана предпринимать меры по оперативному реагированию при утечке. В частности, впервые установлены обязательства по уведомлению регулятора для собственника и (или) оператора при утечке персональных данных
Именно эксперты юридической фирмы DRCQ Елжан Кабышев и Руслан Дайырбеков, входившие в рабочую группу по разработке и принятию этого закона, более двух лет назад впервые обратили внимание депутатов Мажилиса РК статью 33 GDPR (Общего регламента по защите персональных данных Европейского союза) «Уведомление надзорного органа о нарушении безопасности персональных данных», которая предусматривает требование задокументировать любые нарушения безопасности персональных данных (personal data breach) в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации.
Итоговая работа над законопроектом повысила качество и эффективность разработки последнего, а также сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
Помимо нормы об уведомлении уполномоченного органа об утечках, в тот же самый пункт в пункт по обеспечению защиты персональных данных входят следующие меры:
✓ выделение бизнес-процессов, содержащих персональные данные;
✓ разделение персональных данных на общедоступные и ограниченного доступа;
✓ определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
✓ назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник или оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона (это не распространяется на обработку персональных данных в деятельности судов);
✓ установление порядка доступа к персональным данным;
✓ утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
✓ по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц - представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником или оператором требований закона;
✓ в случае взаимодействия с объектами информатизации государственных органов или государственных юридических лиц, содержащими персональные данные - обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением ряда случаев. При этом во время сбора и обработки персданных в объектах информатизации дополнительно необходимо обеспечение сохранности информационных носителей.
Согласно документу, в пункт по обеспечению защиты персональных данных с 1 июля 2024 года вводится новая норма об уведомлении рабочего органа в течение 1 рабочего дня «c момента обнаружения нарушения безопасности персональных данных» с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии такового).
Напомним, что 11 декабря 2023 года Президентом Республики Казахстан был подписан Закон № 44-VIII ЗРК «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов».
С принятием данного закона, в законодательстве Казахстана появились требования для операторов и собственников персональных данных, а также для уполномоченного госоргана предпринимать меры по оперативному реагированию при утечке. В частности, впервые установлены обязательства по уведомлению регулятора для собственника и (или) оператора при утечке персональных данных
Именно эксперты юридической фирмы DRCQ Елжан Кабышев и Руслан Дайырбеков, входившие в рабочую группу по разработке и принятию этого закона, более двух лет назад впервые обратили внимание депутатов Мажилиса РК статью 33 GDPR (Общего регламента по защите персональных данных Европейского союза) «Уведомление надзорного органа о нарушении безопасности персональных данных», которая предусматривает требование задокументировать любые нарушения безопасности персональных данных (personal data breach) в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации.
Итоговая работа над законопроектом повысила качество и эффективность разработки последнего, а также сформировала эффективное партнерство государственных структур с институтами гражданского общества, СМИ, академическими и иными организациями в решении проблемы защиты персональных данных.
Помимо нормы об уведомлении уполномоченного органа об утечках, в тот же самый пункт в пункт по обеспечению защиты персональных данных входят следующие меры:
✓ выделение бизнес-процессов, содержащих персональные данные;
✓ разделение персональных данных на общедоступные и ограниченного доступа;
✓ определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
✓ назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник или оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона (это не распространяется на обработку персональных данных в деятельности судов);
✓ установление порядка доступа к персональным данным;
✓ утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
✓ по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц - представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником или оператором требований закона;
✓ в случае взаимодействия с объектами информатизации государственных органов или государственных юридических лиц, содержащими персональные данные - обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением ряда случаев. При этом во время сбора и обработки персданных в объектах информатизации дополнительно необходимо обеспечение сохранности информационных носителей.