Утечка персональных данных в Казахстане

ОБЩИЙ

1. ЮРИДИЧЕСКОЕ ТРЕБОВАНИЕ ** ОФИЦИАЛЬНАЯ РЕКОМЕНДАЦИЯ

Защита данных в Казахстане в основном регулируется Законом от 21 мая 2013 года № 94-V ЗРК «О персональных данных и их защите» («Закон о персональных данных»), Законом от 24 ноября 2015 года № 418-V «Об информатизации» («Закон об информатизации») и соответствующими подзаконными актами. Закон о персональных данных содержит общую правовую основу для защиты персональных данных, тогда как Закон об информатизации регулирует, среди прочего, защиту данных, содержащихся в так называемых «объектах информатизации». К объектам информатизации относятся электронные информационные ресурсы (например, веб-сайты), программное обеспечение, интернет-ресурсы и информационно-коммуникационная инфраструктура (ст. 1.4 Закона об информатизации).

Соответствующим органом в сфере защиты персональных данных и информационной безопасности является Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан («МЦИАИ»).

Закон о персональных данных не содержит требования уведомлять об утечке персональных данных. Однако Закон об информатизации содержит общее требование об уведомлении о так называемых «инцидентах информационной безопасности». Инцидент информационной безопасности – отдельно или периодически возникающие сбои в работе информационно-коммуникационной инфраструктуры или отдельных ее объектов, создающие угрозу их нормальному функционированию и (или) условиям незаконного получения, копирования, распространения, изменения, уничтожения или блокирования электронных информационных ресурсов.

Наша интерпретация закона предполагает, что общее требование уведомлять о нарушениях информационной безопасности влечет за собой, среди прочего, требование уведомлять об утечках данных.

Закон об информатизации содержит следующие требования:

• Оперативный центр информационной безопасности (ОЦИБ) (юридическое лицо или структурное подразделение юридического лица, осуществляющее деятельность по защите электронных информационных ресурсов, информационных систем, сетей телекоммуникаций и иных информационных объектов) обязан незамедлительно уведомить владельца информационно-коммуникационной инфраструктуры и Национальный координационный центр информационной безопасности (НИЦБ) (юридическое лицо, координирующее обмен информацией между ОЦБИ) об инциденте информационной безопасности (статья 7-2.1.2 Закона об информатизации);
• Служба реагирования на инциденты информационной безопасности («ИСИРБ») (юридическое лицо или структурное подразделение юридического лица, осуществляющее анализ информации о событиях информационной безопасности в целях оказания консультативной и технической помощи в ликвидации последствий инцидентов информационной безопасности) уведомляет владельцев и владельцев информационных объектов и НИСКИ об известных инцидентах и ​​угрозах информационной безопасности (статья 7-3.1.3 Закона об информатизации); и
• собственники или владельцы объектов «электронного правительства» или «критически важных» объектов информационно-коммуникационной инфраструктуры обязаны принять меры, обеспечивающие немедленное уведомление ННЦИК о произошедшем инциденте информационной безопасности (статья 54.2.6 Закона об информатизации).

Подводя итог, казахстанское законодательство предусматривает уведомление об утечке данных (в рамках инцидента информационной безопасности) только в тех случаях, когда такие данные содержатся в электронных информационных ресурсах.

Читать дальше →

Авторы: Марина Кахиани, Партнер; Лола Абдухалыкова, советник GRATA International, Казахстан.