В частности, в правила добавлено понятие "деидентификация" – это процесс обработки персональных данных, в ходе которого данные обрабатываются таким образом, что они не могут быть использованы для идентификации конкретного субъекта данных без использования дополнительных данных, которые хранятся отдельно и защищены.
Базы данных в деидентифицированном виде для использования в научной и научно-технической деятельности предоставляют на основании разовой заявки:
- организациям, реализующим программу высшего и послевузовского образования в РК (вузам);
- организациям научной и научно-технической деятельности в РК;
- международным организациям в целях проведения научной и научно-технической деятельности.
Правилами установлено, что вузам и организациям научной и научно-технической деятельности данные передают в деидентифицированном виде на электронном носителе (CD диск) или представляют возможность работы с базами данных в деидентифицированном виде в кабинете исследователя.
Международным организациям представляется возможность работы с базами данных в деидентифицированном виде исключительно в кабинете исследователя.
При этом под кабинетом исследователя понимают специальное оборудованное помещение в территориальных подразделениях городов Астана и Алматы ведомства уполномоченного органа для работы с базами данных в деидентифицированном виде.
Заявка формируется и подается через личный кабинет на интернет-ресурсе www.stat.gov.kz ведомства уполномоченного органа.
Заявка удостоверяется ЭЦП с приложением следующих документов:
- официальное письмо от организации с указанием реквизитов исследователя (фамилия, имя, отчество (при его наличии), номер документа, удостоверяющего личность исследователя);
- копия документа, удостоверяющего личность исследователя;
- заявка;
- обязательство получателя о неразглашении и об ограничении передачи третьим лицам базы данных в деидентифицированном виде;
- копия документа, подтверждающего наличие у организации разрешения на осуществление научной и научно-технической деятельности (государственная лицензия и приложение к лицензии на право ведения образовательной деятельности или свидетельство об аккредитации; рекомендательное письмо от казахстанских ученых и справка об идентификации в международных базах данных).
При формировании и подаче заявки исследователь, ознакомившись с политикой конфиденциальности, дает согласие на обработку персональных данных и на публикацию информации о заявке (дата подачи заявки, наименование организации, фамилия, имя, отчество (при его наличии) исследователя, описание запрашиваемой базы данных, цель и результат научно-исследовательской работы).
Служба документационного обеспечения в день получения заявки регистрирует ее в ИАС "Электронные обращения" и направляет на рассмотрение руководству ведомства уполномоченного органа. Срок рассмотрения обращения – 15 рабочих дней.
Далее, после согласования заявки, она передается для формирования базы данных в деидентифицированном виде в подведомственную организацию РГП на ПХВ "Информационно-вычислительный центр Бюро национальной статистики Агентства по стратегическому планированию и реформам Республики Казахстан" (подведомственная организация).
Порядок формирования баз данных в деидентифицированном виде подведомственной организацией:
- согласно полученной заявке формируется база из первичных статистических данных;
- определяется перечень первичных статистических данных, подлежащих деидентификации;
- с целью обеспечения конфиденциальности и защиты первичных статистических данных осуществляется деидентификация баз данных: путем удаления идентифицирующей информации о респонденте (фамилия, имя, отчество (при его наличии), наименование предприятия/организации, идентификационный номер, дата регистрации, адрес местонахождения, контактные данные, адрес электронной почты), взамен применяется нумерация, которая не может быть использована для идентификации;
- после завершения процесса деидентификации база данных в деидентифицированном виде направляется в СП через систему управления ИТ-службой.
Подведомственная организация формирует базы данных в деидентифицированном виде в течение семи рабочих дней с момента поступления.
Структурное подразделение, ответственное за представление баз данных, проверяет сформированную базу данных в деидентифицированном виде в течение одного рабочего дня с момента поступления на ее соответствие заявке и через систему управления ИТ-службой направляет в структурное подразделение, ответственное за информационную безопасность.
Структурное подразделение, ответственное за информационную безопасность, при обнаружении необеспечения информационной безопасности первичных статистических данных возвращает базу данных в деидентифицированном виде в СП с указанием конкретных причин необеспечения информационной безопасности первичных статистических данных для доработки подведомственной организацией.
При обеспечении информационной безопасности первичных статистических данных СП посредством ИАС "Электронные обращения" согласовывает ответ с соответствующими структурными подразделениями и направляет на электронную почту исследователя ответ о положительном рассмотрении заявки и готовности представить базу данных в деидентифицированном виде.
Исследователь по завершении работ представляет в ведомство уполномоченного органа результат исследования для размещения на интернет-ресурсе www.stat.gov.kz ведомства уполномоченного органа.
Порядок уничтожения электронного носителя
Представители вузов и организаций научной и научно-технической деятельности в РК по завершении исследования уничтожают представленную им на электронном носителе (CD диск) базу данных в деидентифицированном виде самостоятельно.
Уничтожение электронного носителя (CD диск) производится путем его деформирования до состояния, которое исключает его повторное использование.
После уничтожения электронного носителя (CD-диск) составляется акт в двух экземплярах, один из которых представляется в ведомство уполномоченного органа.
СП делает отметку в журнале об уничтожении электронного носителя (CD-диск), содержащего базу данных в деидентифицированном виде.
Порядок работы в кабинете исследователя
График посещения кабинета исследователя формируют в соответствии с рассмотренными заявками с учетом графика работы соответствующих территориальных подразделений ведомства уполномоченного органа.
Кабинет исследователя оборудован персональным компьютером, исключающим возможность подключения внешних устройств, а также оснащен системами видеонаблюдения.
Руководителем территориального подразделения ведомства уполномоченного органа назначается ответственный работник, отвечающий за работу кабинета исследователя.
Ответственный работник загружает базу данных с электронного носителя (CD-диск) на персональный компьютер для дальнейшей работы исследователя и уничтожает CD-диск путем его деформирования до состояния, которое исключает его повторное использование.
После уничтожения электронного носителя ответственный работник составляет акт и делает отметку в Журнале об уничтожении электронного носителя (CD-диск), содержащего базу данных в деидентифицированном виде.
Передвижение исследователя осуществляется в сопровождении ответственного работника.
Не допускается внесение исследователем в кабинет исследователя фото- и видеоаппаратуры, записывающих устройств, носителей информации, визуальных средств наблюдения, вычислительной техники, радиотехнической и другой аппаратуры двойного назначения, технических устройств, в том числе и беспроводных, имеющих возможность передачи данных, мобильных средств индивидуальной связи и мобильных устройств, оснащенных интернет-модулями, фото- и видеокамерами, а также других электронных носителей.
В случае несоблюдения указанных выше ограничений ответственный работник блокирует доступ к базе данных в кабинете исследователя и составляет акт о несоблюдении исследователем ограничений.
Ответственный работник загружает исследователю в кабинете исследователя результат его работы на электронный носитель (CD-диск) и подтверждает эти действия подписями в журнале.
Отказать в представлении баз данных в деидентифицированном виде могут в случаях:
- отсутствия технической возможности для обезличивания баз данных;
- если запрашиваемая информация не собирается и не может быть получена на основании расчетов сведений, формируемых органами государственной статистики;
- если заявка не позволяет однозначно определить содержание запрашиваемой информации (наименование статистического наблюдения, перечень показателей, периодичность, динамический ряд, территориальный разрез);
- не предоставлены требуемые документы;
- если в ранее рассмотренных заявках были не выполнены требования о размещении результатов исследования и уничтожении электронного носителя;
- несоблюдения исследователем ограничений касательно работы в кабинете исследователя;
- несоблюдения исследователем обязательств о неразглашении и об ограничении передачи третьим лицам базы данных в деидентифицированном виде.
Приказ вводится в действие с 18 октября 2024 года.
Мы рассказывали, что серверы для хранения персональных данных должны находиться в Казахстане.
