Мировые

Какие меры по защите персональных данных должен предпринять собственник или оператор (Казахстан)

Министерство цифрового развития приказом от 12 июня 2023 года утвердило “Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных”, сообщает Zakon.kz.

Под персональными данными в правилах понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

В свою очередь, защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом “О персональных данных и их защите”.

Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в т.ч. случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

Защита персональных данных осуществляется в целях:

  • реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
  • обеспечения их целостности и сохранности;
  • соблюдения их конфиденциальности;
  • реализации права на доступ к ним;
  • предотвращения незаконного их сбора и обработки.

Что необходимо для обеспечения защиты персональных:

  1. выделение бизнес-процессов, содержащих персональные данные;
  2. разделение персональных данных на общедоступные и ограниченного доступа;
  3. определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
  4. назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в п.3 ст.25 закона. Действие данного не распространяется на обработку персональных данных в деятельности судов.
  5. установление порядка доступа к персональным данным.
  6. утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
  7. по запросу уполномоченного органа в рамках рассмотрения обращений граждан и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

Также при сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечить сохранность носителей персональных данных.

Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

  • устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
  • определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
  • определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

  • определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
  • оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
  • обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
  • обеспечивают ведение журнала событий систем управления базами;
  • обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
  • применяют средства контроля целостности персональных данных ограниченного доступа;
  • обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством РК;
  • выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
  • обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
  • применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

Сбор и обработку персональных данных ограниченного доступа осуществляют при помощи объектов информатизации, находящихся на территории РК.

Хранят и передают персональные данные ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту СТ РК 1073-2007 “Средства криптографической защиты информации. Общие технические требования”. Однако данные требования не распространяется на случаи трансграничной передачи данных.

Приказ вводится в действие 30 июня 2023 года.

admin
Author: admin