Внесены изменения в Правила по защите персональных данных
Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 28 февраля 2024 года № 100/НҚ внесены изменения в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных».
Правки вступают в силу с 15 марта 2024 года, за исключением абзаца тридцать третьего пункта 1, который вводится в действие с 1 июля 2024 года.
Согласно внесенным изменениям в Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 2 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным;
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона;
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
Также согласно внесенным изменениям необходимо оповещать уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа.
Правки вступают в силу с 15 марта 2024 года, за исключением абзаца тридцать третьего пункта 1, который вводится в действие с 1 июля 2024 года.
Согласно внесенным изменениям в Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 2 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным;
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона;
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
Также согласно внесенным изменениям необходимо оповещать уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа.
