Какие актуальные требования законодательства по сбору, обработке и хранению персональных данных?
Вопрос:
Какие актуальные требования законодательства по сбору, обработке и хранению персональных данных?
Ответ:
Согласно пп.2-1), 2-2) и пп.8), 9), 10) пункта 1 Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» (далее – Закон о ПД):
Государственный сервис контроля доступа к персональным данным (далее - государственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов,
третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам.
Негосударственный сервис контроля доступа к персональным данным (далее - негосударственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам.
База, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных.
Собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.
Оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.
В пункте 5 Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных» (далее – Правила СОПД) сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее - Перечень персональных данных).
Перечень персональных данных определяется и утверждается в соответствии с Правилами, определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ.
Согласно пункту 6 Правил СОПД субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.
При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.
В пункте 5 Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных предусмотрено, что для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона «О персональных данных и их защите».
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
Оператор согласно пп.13-1) пункта 1 статьи 13 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.
Согласно пункту 2 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственник или владелец электронных информационных ресурсов, содержащих персональные данные, при передаче электронных информационных ресурсов, содержащих персональные данные, собственнику или владельцу информационной системы обязан получить согласие субъекта персональных данных или его законного представителя на сбор и обработку персональных данных с использованием информационных систем, за исключением случаев, предусмотренных Законом Республики Казахстан «О персональных данных и их защите».
В пункте 4 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных или их законных представителей через государственный сервис контроля доступа к персональным данным в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия, за исключением осуществления деятельности правоохранительных, специальных государственных органов Республики Казахстан и судов, исполнительного производства, при условии регистрации субъектов персональных данных или их законных представителей на веб-портале «электронного правительства».
В пункте 6 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.
Собственникам или владельцам электронных информационных ресурсов запрещается принятие решений на основании исключительно автоматизированной обработки электронных информационных ресурсов, в том числе посредством интеллектуального робота, в результате которых у субъектов персональных данных возникают, изменяются или прекращаются права, законные интересы, за исключением случаев, когда указанное решение принимается с согласия субъекта персональных данных или в случаях, предусмотренных законодательством Республики Казахстан.
Собственники или владельцы электронных информационных ресурсов обязаны информировать субъекта персональных данных об использовании автоматизированной обработки, в результате которой у субъекта персональных данных возникают, изменяются или прекращаются права, законные интересы.
Субъект персональных данных вправе обжаловать действия (бездействие) собственников или владельцев электронных информационных ресурсов в порядке, установленном законами Республики Казахстан.
В пункте 4 статьи 44 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” интеграция негосударственной информационной системы с информационной системой государственного органа, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным, проводится по согласованию с уполномоченным органом в сфере защиты персональных данных.
В статье 56 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственники и владельцы информационных систем, содержащих персональные данные, собственник и (или) оператор базы, содержащей персональные данные, а также третьи лица обязаны принимать меры по их защите в соответствии с настоящим Законом и законодательством Республики Казахстан о персональных данных и их защите.
Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, или сбора персональных данных и до их уничтожения либо обезличивания.
Более подробно можете ознакомиться со следующими нормативными правовыми актами:
- Закон Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите».
- Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным.
- Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ Об утверждении Правил интеграции с государственным сервисом контроля доступа к персональным данным.
- Приказ и.о. Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 Об утверждении Правил интеграции объектов информатизации «электронного правительства».
- Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ Об утверждении Правил сбора, обработки персональных данных.
- Приказ Министра здравоохранения Республики Казахстан от 14 апреля 2021 года № ҚР ДСМ-30 Об утверждении правил осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения.
- Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
- СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».
- Закон Республики Казахстан от 24.11.2015 года №418-V “Об информатизации”.
- Приказ Министра здравоохранения Республики Казахстан от 14 апреля 2021 года № ҚР ДСМ-30 Об утверждении правил осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения
Уважаемые пользователи! Информация в ответе соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.
-
Раздел: Все ответы
Ответ:
В соответствии с п. 3-1 ст. 1 Водного кодекса Республики Казахстан (далее по тексту - Кодекс), питьевое и (или) хозяйственно-питьевое водоснабжение (далее - питьевое водоснабжение) - технологический процесс, обеспечивающий забор, подготовку, хранение, транспортировку и подачу питьевой воды водопотребителям.
-
Раздел: Все ответы
Ответ:
Согласно статье 5 Закона Республики Казахстан от 7 июля 2004 года № 580-II «Об обязательном страховании гражданско-правовой ответственности владельцев объектов, деятельность которых связана с опасностью причинения вреда третьим лицам» (далее - Закон),
-
Раздел: Все ответы
Ответ:
В соответствии с п. 12 ст. 7 Закона Республики Казахстан от от 30 декабря 2021 года № 97-VII "Об ответственном обращении с животными" (далее - Закон), к компетенции уполномоченного органа в области ответственного обращения с животными относится: разработка и утверждение типовых правил содержания и выгула домашних животных.
-
Раздел: Все ответы
Ответ:
В соответствии с п. 4 ст. 4 Закона Республики Казахстан от 17 июля 2001 года № 245-II «Об автомобильных дорогах» (далее - Закон), частные автомобильные дороги являются собственностью физических и юридических лиц.
-
Раздел: Все ответы
Ответ:
В первую очередь Вам необходимо подготовить письменную досудебную претензию в адрес Контрагента следующего содержания:
-
Раздел: Все ответы
Ответ:
Компания может выбрать язык, который наиболее удобен или актуален для ее целевой аудитории. Однако, в соответствии с законами РК «О рекламе» (ст.6 п.2), «О языках» (ст.4 и 21) и «О регулировании торговой деятельности» (ст.32) информация распространяется на казахском языке, а по усмотрению также на русском и (или) других языках.
-
Раздел: Все ответы
Ответ:
Существуют различные законодательные акты, которые регулируют вопросы фото- и видеосъемки, а также защиту прав личности в контексте публичных мероприятий. Вот несколько ключевых нормативных актов, которые могут быть полезны для вашего изучения:
-
Раздел: Все ответы
Ответ:
Согласно ст. 7 Закона Республики Казахстан «Об архитектурной, градостроительной и строительной деятельности в Республике Казахстан» (далее-Закон) граждане как потребители результатов архитектурной, градостроительной и строительной деятельности имеют право:
-
Раздел: Все ответы
Согласно ст. 38 Закона Республики Казахстан от 22 апреля 1998 года № 220-I «О товариществах с ограниченной и дополнительной ответственностью», имущество товарищества с ограниченной ответственностью формируется за счет вкладов его учредителей (участников), доходов, полученных товариществом, а также иных источников, не запрещенных законодательством.
-
Раздел: Все ответы
Ответ:
Наличие досудебного спора, в том числе выставление претензии, само по себе не является автоматическим основанием для продления срока действия договора, если это не предусмотрено самим договором или законодательством.