Какие меры по защите персональных данных должен предпринять собственник или оператор

Министерство цифрового развития приказом от 12 июня 2023 года утвердило "Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных", сообщает Zakon.kz.

Под персональными данными в правилах понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

В свою очередь, защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом "О персональных данных и их защите".

Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в т.ч. случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

Защита персональных данных осуществляется в целях:

Что необходимо для обеспечения защиты персональных:

  1. выделение бизнес-процессов, содержащих персональные данные;
  2. разделение персональных данных на общедоступные и ограниченного доступа;
  3. определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
  4. назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в п.3 ст.25 закона. Действие данного не распространяется на обработку персональных данных в деятельности судов.
  5. установление порядка доступа к персональным данным.
  6. утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
  7. по запросу уполномоченного органа в рамках рассмотрения обращений граждан и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

Также при сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечить сохранность носителей персональных данных.

Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

Сбор и обработку персональных данных ограниченного доступа осуществляют при помощи объектов информатизации, находящихся на территории РК.

Хранят и передают персональные данные ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования". Однако данные требования не распространяется на случаи трансграничной передачи данных.

Приказ вводится в действие 30 июня 2023 года.

МЦРИАП Законодательство Казахстан
Следите за новостями zakon.kz в: