Какие меры по защите персональных данных должен предпринять собственник или оператор (Казахстан)

Под персональными данными в правилах понимаются сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

В свою очередь, защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных законом “О персональных данных и их защите”.

Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в т.ч. случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

Защита персональных данных осуществляется в целях:

• реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
• обеспечения их целостности и сохранности;
• соблюдения их конфиденциальности;
• реализации права на доступ к ним;
• предотвращения незаконного их сбора и обработки.

Что необходимо для обеспечения защиты персональных:

1. выделение бизнес-процессов, содержащих персональные данные;
2. разделение персональных данных на общедоступные и ограниченного доступа;
3. определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4. назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в п.3 ст.25 закона. Действие данного не распространяется на обработку персональных данных в деятельности судов.
5. установление порядка доступа к персональным данным.
6. утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7. по запросу уполномоченного органа в рамках рассмотрения обращений граждан и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

Также при сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечить сохранность носителей персональных данных.

Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

• устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
• определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
• определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

• определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
• оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
• обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
• обеспечивают ведение журнала событий систем управления базами;
• обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
• применяют средства контроля целостности персональных данных ограниченного доступа;
• обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством РК;
• выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
• обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
• применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

Сбор и обработку персональных данных ограниченного доступа осуществляют при помощи объектов информатизации, находящихся на территории РК.

Хранят и передают персональные данные ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту СТ РК 1073-2007 “Средства криптографической защиты информации. Общие технические требования”. Однако данные требования не распространяется на случаи трансграничной передачи данных.

Приказ вводится в действие 30 июня 2023 года.