Под персональными данными в правилах понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.
В свою очередь, защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом "О персональных данных и их защите".
Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в т.ч. случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.
Защита персональных данных осуществляется в целях:
- реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
- обеспечения их целостности и сохранности;
- соблюдения их конфиденциальности;
- реализации права на доступ к ним;
- предотвращения незаконного их сбора и обработки.
Что необходимо для обеспечения защиты персональных:
- выделение бизнес-процессов, содержащих персональные данные;
- разделение персональных данных на общедоступные и ограниченного доступа;
- определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
- назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в п.3 ст.25 закона. Действие данного не распространяется на обработку персональных данных в деятельности судов.
- установление порядка доступа к персональным данным.
- утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
- по запросу уполномоченного органа в рамках рассмотрения обращений граждан и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.
Также при сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечить сохранность носителей персональных данных.
Собственник и (или) оператор при обработке персональных данных ограниченного доступа:
- устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
- определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
- определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:
- определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
- оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
- обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
- обеспечивают ведение журнала событий систем управления базами;
- обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
- применяют средства контроля целостности персональных данных ограниченного доступа;
- обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством РК;
- выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
- обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
- применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.
Сбор и обработку персональных данных ограниченного доступа осуществляют при помощи объектов информатизации, находящихся на территории РК.
Хранят и передают персональные данные ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования". Однако данные требования не распространяется на случаи трансграничной передачи данных.
Приказ вводится в действие 30 июня 2023 года.