В декабре 2023 г. был принят Закон РК «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII от 11 декабря 2023 г. («Закон»). Законом, помимо прочего, вносятся изменения и дополнения в Закон Р К «О персональных данных и их защите» № 94-V от 21 мая 2013 г. («Закон о персональных данных»).
В этом алерте мы обсуждаем дополнения, которые, на наш взгляд, заслуживают особого внимания со стороны бизнеса.
Уведомление об обнаружении нарушения безопасности персональных данных
Изменения коснулись обязанностей собственников и операторов баз данных с персональными данными. Собственники и (или) операторы баз данных теперь будут обязаны уведомлять Министерство цифрового развития, инноваций и аэрокосмической промышленности РК («МЦРИАП») о нарушении безопасности персональных данных. Такое уведомление должно указывать контактные данные лица, ответственного за организацию обработки персональных данных.
Срок уведомления — 1 (один) рабочий день c момента обнаружения нарушения безопасности персональных данных. Указанное дополнение вступит в силу с 1 июля 2024 г.
Нарушение безопасности персональных данных: что это?
Закон указывает, что считать нарушением безопасности персональных данных и вводит термин «нарушение безопасности персональных данных».
Под нарушением безопасности персональных данных понимается нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним.
Таким образом, если были нарушены организационные и (или) технические и (или) правовые меры защиты персональных данных, которые повлекли указанные последствия, то собственник и оператор базы данных с персональными данным обязаны уведомить МЦРИАП об инциденте.
Государственный контроль за соблюдением законодательства РК о персональных данных
Следует отметить, что контроль предпринимателей за соблюдением законодательства о персональных данных не изменился. Предпринимателю, как и ранее, может быть назначена только внеплановая проверка по заявлению субъекта персональных данных.
Плановых проверок предпринимателей пока не вводится. Мы не исключаем такие изменения в Законе о персональных данных в ближайшем будущем. Такие проверки есть в других юрисдикциях и проводятся они в соответствие с планом проверок, который анонсируется в начале года. Изменения в Закон о персональных данных последних лет показали, что режим защиты персональных данных в Казахстане активно гармонизируется с режимом в других странах.
Мы полагаем, что реестр уведомлений о нарушении защиты персональных данных, может служить источником информации для инициирования плановых проверок.
Пока же плановые проверки операций по сбору и обработке персональных данных введены только в отношении государственных органов.
Каких действий требуют изменения в Закон о персональных данных от предпринимателей?
Мы считаем, что нужно, как минимум, сделать внутреннюю ревизию следующего:
1) проверить назначено ли в компании лицо, ответственное за организацию обработки персональных данных (это приказ первого руководителя компании), а также описаны ли во внутренних политиках компании процедуры работы такого лица;
2) описать в политиках компании, каким образом выстроен внутренний процесс информирования о нарушении защиты персональных данных, а также указать лицо, ответственное за подготовку и направление уведомления МЦРИАП о нарушении безопасности персональных данных. Это специалист информационной безопасности или лицо, ответственное за организацию обработки персональных данных или иное лицо? Описать в политиках данные процедуры, а также информировать работников о таких процедурах необходимо, прежде всего, потому что срок для уведомления составляет всего 1 (один) рабочий день. С учетом данного короткого срока, рекомендуется, чтобы все процедуры и процессы были описаны и отработаны заранее.
В этом алерте мы обсуждаем дополнения, которые, на наш взгляд, заслуживают особого внимания со стороны бизнеса.
Уведомление об обнаружении нарушения безопасности персональных данных
Изменения коснулись обязанностей собственников и операторов баз данных с персональными данными. Собственники и (или) операторы баз данных теперь будут обязаны уведомлять Министерство цифрового развития, инноваций и аэрокосмической промышленности РК («МЦРИАП») о нарушении безопасности персональных данных. Такое уведомление должно указывать контактные данные лица, ответственного за организацию обработки персональных данных.
Срок уведомления — 1 (один) рабочий день c момента обнаружения нарушения безопасности персональных данных. Указанное дополнение вступит в силу с 1 июля 2024 г.
Нарушение безопасности персональных данных: что это?
Закон указывает, что считать нарушением безопасности персональных данных и вводит термин «нарушение безопасности персональных данных».
Под нарушением безопасности персональных данных понимается нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним.
Таким образом, если были нарушены организационные и (или) технические и (или) правовые меры защиты персональных данных, которые повлекли указанные последствия, то собственник и оператор базы данных с персональными данным обязаны уведомить МЦРИАП об инциденте.
Государственный контроль за соблюдением законодательства РК о персональных данных
Следует отметить, что контроль предпринимателей за соблюдением законодательства о персональных данных не изменился. Предпринимателю, как и ранее, может быть назначена только внеплановая проверка по заявлению субъекта персональных данных.
Плановых проверок предпринимателей пока не вводится. Мы не исключаем такие изменения в Законе о персональных данных в ближайшем будущем. Такие проверки есть в других юрисдикциях и проводятся они в соответствие с планом проверок, который анонсируется в начале года. Изменения в Закон о персональных данных последних лет показали, что режим защиты персональных данных в Казахстане активно гармонизируется с режимом в других странах.
Мы полагаем, что реестр уведомлений о нарушении защиты персональных данных, может служить источником информации для инициирования плановых проверок.
Пока же плановые проверки операций по сбору и обработке персональных данных введены только в отношении государственных органов.
Каких действий требуют изменения в Закон о персональных данных от предпринимателей?
Мы считаем, что нужно, как минимум, сделать внутреннюю ревизию следующего:
1) проверить назначено ли в компании лицо, ответственное за организацию обработки персональных данных (это приказ первого руководителя компании), а также описаны ли во внутренних политиках компании процедуры работы такого лица;
2) описать в политиках компании, каким образом выстроен внутренний процесс информирования о нарушении защиты персональных данных, а также указать лицо, ответственное за подготовку и направление уведомления МЦРИАП о нарушении безопасности персональных данных. Это специалист информационной безопасности или лицо, ответственное за организацию обработки персональных данных или иное лицо? Описать в политиках данные процедуры, а также информировать работников о таких процедурах необходимо, прежде всего, потому что срок для уведомления составляет всего 1 (один) рабочий день. С учетом данного короткого срока, рекомендуется, чтобы все процедуры и процессы были описаны и отработаны заранее.
***
Для получения дополнительной информации, пожалуйста, направьте Ваш запрос юристу 3i Улжан Ашимбай по электронному адресу: u.ashimbay@3ilaw.kz.
Если вам необходим перечень требований законодательства РК в сфере защиты персональных данных, пожалуйста, также направьте Ваш запрос по указанному электронному адресу. Данный перечень будет полезен для компаний в целях самодиагностики на предмет соответствия операций законодательству РК по персональным данным.
Отметим также, что в Закон о персональных данных внесены и иные дополнения, изменения, которые мы не затрагиваем в данном выпуске
Отметим также, что в Закон о персональных данных внесены и иные дополнения, изменения, которые мы не затрагиваем в данном выпуске