Примечание ИЗПИ!
Порядок введения в действие см. п. 4.
ПРИКАЗЫВАЮ:
1. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ "Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 32810) следующие изменения:
в Правилах осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных:
пункт 2 изложить в следующей редакции:
"2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
3) сбор персональных данных – действия, направленные на получение персональных данных;
4) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
5) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
6) база, содержащая персональные данные (далее – база) – совокупность упорядоченных персональных данных;
7) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
8) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
9) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
10) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
11) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
12) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение, и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
13) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
14) общедоступные персональные данные – персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта;
15) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан;
16) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;
17) электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации;
18) обследование обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах (далее – обследование), – оценка применяемых мер безопасности и защитных действий при осуществлении обработки, хранения, распространения и защите персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "Об информатизации".";
пункт 5 изложить в следующей редакции:
"5. Для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона;
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.";
подпункт 2 части 2 пункта 7 изложить в следующей редакции:
"2) оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;".
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования.
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, за исключением абзаца тридцать третьего пункта 1, который вводится в действие с 1 июля 2024 года.
|
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
Б. Мусин |
