11 февраля 2024 года был введен в действие Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» (далее – «Закон») от 11 декабря 2023 года № 44-VIII ЗРК. Законом предусматривается ряд существенных изменений и дополнений в Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года N 94-V (далее – «Закон о Персональных Данных»).
Отметим ключевые изменения:
1. Введено понятие «нарушение безопасности персональных данных».
2. С 1 июля 2024 года вводится обязанность уведомлять Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП) о нарушении безопасности персональных данных.
3. Введен запрет на сбор и обработку бумажных копий документов, удостоверяющих личность.
4. Введен государственный контроль за соблюдением законодательства о персональных данных и их защите с наделением МЦРИАП соответствующими полномочиями.
Внесенные в Закон о Персональных Данных изменения требуют от субъектов предпринимательства более ответственного подхода к сбору и обработке персональных данных. Закон наделил МЦРИАП соответствующими полномочиями проводить внеплановую проверку субъектов предпринимательства на предмет соблюдения требований Закона о Персональных Данных. Для проверки требуется наличие конкретного факта и обстоятельства в отношении конкретного субъекта предпринимательства, к примеру обращение физического лица. О назначении внеплановой проверки МЦРИАП выносит акт, который обязательно регистрируется в Комитете по правовой статистике и специальным учетам Генеральной прокуратуры РК. В процессе проверки МЦИРАП проверяет исполнение субъектом предпринимательства требований, содержащихся в проверочном листе. В отношении законодательства о персональных данных проверочный лист содержит 33 требования. Однако, для некоторых субъектов предпринимательства не все требования являются обязательными. По результатам государственного контроля (проверки) МЦРИАП вынесет акт и предписание об устранении выявленных нарушений согласно проверочному листу. При этом, отдельно от государственного контроля, субъект предпринимательства может быть привлечен к административной ответственности, если будут основания для возбуждения дела об административном правонарушении.
В приложении приводится обзор последних изменений и дополнений в Закон о Персональных Данных.
Как минимизировать риски ответственности и обеспечить соблюдение законодательства о персональных данных?
Чтобы минимизировать риски возможного нарушения законодательства о защите персональных данных и ответственности, компаниям необходимо:
1. Определить цели обработки персональных данных ограниченного доступа.
2. Определить порядок обработки, распространения и доступа к персональным данным ограниченного доступа.
3. Определить порядок блокирования персональных данных ограниченного доступа при обращении субъекта данных.
4. Утвердить перечень персональных данных, необходимых и достаточных для выполнения осуществляемых задач.
5. Иметь базу на территории РК, в которой хранятся персональные данные ограниченного доступа.
6. Утвердить политику сбора, обработки и защиты персональных данных.
7. Выделить бизнес-процессы, содержащие персональные данные ограниченного доступа.
8. Разделить персональные данные на общедоступные и ограниченного доступа.
9. Определить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
10. Назначить лицо, ответственное за организацию обработки персональных данных (для юридических лиц).
11. Обеспечить установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа.
12. Внедрить ведение (1) журнала событий систем управления базами при обработке персональных данных ограниченного доступа и (2) журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа.
13. Внедрить применение средств контроля целостности персональных данных ограниченного доступа.
14. Внедрить использование криптографических средств защиты информации и шифрования при хранении и передаче персональных данных.
15. Внедрить применение средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.
16. Иметь возможность подтвердить обеспечение защиты персональных данных в государствах, в которые осуществляется трансграничная передача персональных данных.
Выполнение указанных обязательств является комплексной задачей, которую следует выполнять отделу информационных технологий компаний совместно с юристами с целью минимизации негативных последствий и рисков.
Этот обзор предоставлен только в информационных целях. Хотя он предлагает общее понимание, он не является юридической консультацией. Для получения подробной помощи, адаптированной к вашей конкретной ситуации, мы рекомендуем вам связаться с юридической фирмой GRATA по адресу almaty@gratanet.com.