Какие актуальные требования законодательства по сбору, обработке и хранению персональных данных?

Какие актуальные требования законодательства по сбору, обработке и хранению персональных данных?

23.09.2024 09:27
134
Раздел:  Все ответы

Вопрос:

Какие актуальные требования законодательства по сбору, обработке и хранению персональных данных?

Ответ:

Согласно пп.2-1), 2-2) и пп.8), 9), 10) пункта 1 Закона Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите» (далее – Закон о ПД):

Государственный сервис контроля доступа к персональным данным (далее - государственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов,

третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам.

Негосударственный сервис контроля доступа к персональным данным (далее - негосударственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам.

База, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных.

Собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные.

Оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных.

 В пункте 5 Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ «Об утверждении Правил сбора, обработки персональных данных» (далее – Правила СОПД) сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее - Перечень персональных данных).

Перечень персональных данных определяется и утверждается в соответствии с Правилами, определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ.

Согласно пункту 6 Правил СОПД субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

В пункте 5 Приказа Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных предусмотрено, что для обеспечения защиты персональных данных необходимо:

1) выделение бизнес-процессов, содержащих персональные данные;

2) разделение персональных данных на общедоступные и ограниченного доступа;

3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;

4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.

5) установление порядка доступа к персональным данным.

6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;

7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);

9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона «О персональных данных и их защите».

При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.

Оператор согласно пп.13-1) пункта 1 статьи 13 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных, осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.

Согласно пункту 2 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственник или владелец электронных информационных ресурсов, содержащих персональные данные, при передаче электронных информационных ресурсов, содержащих персональные данные, собственнику или владельцу информационной системы обязан получить согласие субъекта персональных данных или его законного представителя на сбор и обработку персональных данных с использованием информационных систем, за исключением случаев, предусмотренных Законом Республики Казахстан «О персональных данных и их защите».

В пункте 4 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных или их законных представителей через государственный сервис контроля доступа к персональным данным в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия, за исключением осуществления деятельности правоохранительных, специальных государственных органов Республики Казахстан и судов, исполнительного производства, при условии регистрации субъектов персональных данных или их законных представителей на веб-портале «электронного правительства».

В пункте 6 статьи 36 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” не допускается использование электронных информационных ресурсов, содержащих персональные данные о физических лицах, в целях причинения имущественного и (или) морального вреда, ограничения реализации прав и свобод, гарантированных законами Республики Казахстан.

Собственникам или владельцам электронных информационных ресурсов запрещается принятие решений на основании исключительно автоматизированной обработки электронных информационных ресурсов, в том числе посредством интеллектуального робота, в результате которых у субъектов персональных данных возникают, изменяются или прекращаются права, законные интересы, за исключением случаев, когда указанное решение принимается с согласия субъекта персональных данных или в случаях, предусмотренных законодательством Республики Казахстан.

Собственники или владельцы электронных информационных ресурсов обязаны информировать субъекта персональных данных об использовании автоматизированной обработки, в результате которой у субъекта персональных данных возникают, изменяются или прекращаются права, законные интересы.

Субъект персональных данных вправе обжаловать действия (бездействие) собственников или владельцев электронных информационных ресурсов в порядке, установленном законами Республики Казахстан.

В пункте 4 статьи 44 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” интеграция негосударственной информационной системы с информационной системой государственного органа, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным, проводится по согласованию с уполномоченным органом в сфере защиты персональных данных.

В статье 56 Закона Республики Казахстан от 24.11.2015 года №418-V “Об информатизации” собственники и владельцы информационных систем, содержащих персональные данные, собственник и (или) оператор базы, содержащей персональные данные, а также третьи лица обязаны принимать меры по их защите в соответствии с настоящим Законом и законодательством Республики Казахстан о персональных данных и их защите.

Данная обязанность возникает с момента получения электронных информационных ресурсов, содержащих персональные данные, или сбора персональных данных и до их уничтожения либо обезличивания.

     Более подробно можете ознакомиться со следующими нормативными правовыми актами:

  1. Закон Республики Казахстан от 21 мая 2013 года №94-V «О персональных данных и их защите».
  2. Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным.
  • Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ Об утверждении Правил интеграции с государственным сервисом контроля доступа к персональным данным.
  • Приказ и.о. Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 Об утверждении Правил интеграции объектов информатизации «электронного правительства».
  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ Об утверждении Правил сбора, обработки персональных данных.
  • Приказ Министра здравоохранения Республики Казахстан от 14 апреля 2021 года № ҚР ДСМ-30 Об утверждении правил осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения.
  • Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
  • СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».
  • Закон Республики Казахстан от 24.11.2015 года №418-V “Об информатизации”.
  • Приказ Министра здравоохранения Республики Казахстан от 14 апреля 2021 года № ҚР ДСМ-30 Об утверждении правил осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения

Уважаемые пользователи! Информация в ответе соответствует нормам законодательства Республики Казахстан, действовавшим на момент (дату) публикации.

Вам также может быть интересно: