Кого и как уведомят об утечке персональных данных
Правилами предусмотрено, что в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных собственник или оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:
- контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);
- меры, предпринятые для устранения нарушения;
- персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи.
Оперативный центр информационной безопасности, служба реагирования на инциденты информационной безопасности, национальный координационный центр информационной безопасности, отраслевой центр информационной безопасности, национальная служба реагирования на компьютерные инциденты информационной безопасности, государственный оперативный центр информационной безопасности в пределах своей компетенции в течение одного рабочего дня c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:
- персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
- необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.
Уведомление (оповещение) направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих закону "О персональных данных и их защите".
Уполномоченный орган в течение одного рабочего дня с момента получения уведомления о нарушении безопасности персональных данных направляет оператору информационно-коммуникационной инфраструктуры электронного правительства следующую информацию:
- возможные риски нарушения прав и законных интересов субъектов;
- меры, рекомендуемые субъектам для защиты своих персональных данных;
- персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
- контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).
Оператор информационно-коммуникационной инфраструктуры электронного правительства на основании информации, полученной от уполномоченного органа, уведомляет субъектов о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале электронного правительства или на мобильный телефон в виде СМС.
Приказ вводится в действие с 26 августа 2024 года.
Мы рассказывали, что в Казахстане изменились правила по защите персональных данных.
Также мы сообщали, какие последствия возможны в результате утечки персональных данных казахстанцев.