Персональные данные: важные изменения, которые вступят в силу в 2024 г.

В#nbsp;декабре 2023#nbsp;г.#nbsp;был принят Закон#nbsp;РК «О#nbsp;внесении изменений и#nbsp;дополнений в#nbsp;некоторые законодательные акты#nbsp;РК по#nbsp;вопросам информационной безопасности, информатизации и#nbsp;цифровых активов» № 44-VIII от#nbsp;11#nbsp;декабря 2023#nbsp;г. («Закон»). Законом, помимо прочего, вносятся изменения и#nbsp;дополнения в#nbsp;Закон#nbsp;Р#nbsp;К «О#nbsp;персональных данных и#nbsp;их#nbsp;защите» № 94-V от#nbsp;21#nbsp;мая 2013#nbsp;г. («Закон о#nbsp;персональных данных»).

В#nbsp;этом алерте мы#nbsp;обсуждаем дополнения, которые, на#nbsp;наш взгляд, заслуживают особого внимания со#nbsp;стороны бизнеса.

Уведомление об#nbsp;обнаружении нарушения безопасности персональных данных

Изменения коснулись обязанностей собственников и#nbsp;операторов баз данных с#nbsp;персональными данными. Собственники и (или) операторы баз данных теперь будут обязаны уведомлять Министерство цифрового развития, инноваций и#nbsp;аэрокосмической промышленности#nbsp;РК («МЦРИАП») о#nbsp;нарушении безопасности персональных данных. Такое уведомление должно указывать контактные данные лица, ответственного за#nbsp;организацию обработки персональных данных.

Срок уведомления#nbsp;— 1 (один) рабочий день c#nbsp;момента обнаружения нарушения безопасности персональных данных. Указанное дополнение вступит в#nbsp;силу с#nbsp;1#nbsp;июля 2024#nbsp;г.

Нарушение безопасности персональных данных: что это?

Закон указывает, что считать нарушением безопасности персональных данных и#nbsp;вводит термин «нарушение безопасности персональных данных».

Под нарушением безопасности персональных данных понимается нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и#nbsp;уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к#nbsp;ним.

Таким образом, если были нарушены организационные и (или) технические и (или) правовые меры защиты персональных данных, которые повлекли указанные последствия, то#nbsp;собственник и#nbsp;оператор базы данных с#nbsp;персональными данным обязаны уведомить МЦРИАП об#nbsp;инциденте.

Государственный контроль за#nbsp;соблюдением законодательства#nbsp;РК о#nbsp;персональных данных

Следует отметить, что контроль предпринимателей за#nbsp;соблюдением законодательства о#nbsp;персональных данных не#nbsp;изменился. Предпринимателю, как и#nbsp;ранее, может быть назначена только внеплановая проверка по#nbsp;заявлению субъекта персональных данных.

Плановых проверок предпринимателей пока не#nbsp;вводится. Мы#nbsp;не#nbsp;исключаем такие изменения в#nbsp;Законе о#nbsp;персональных данных в#nbsp;ближайшем будущем. Такие проверки есть в#nbsp;других юрисдикциях и#nbsp;проводятся они в#nbsp;соответствие с#nbsp;планом проверок, который анонсируется в#nbsp;начале года. Изменения в#nbsp;Закон о#nbsp;персональных данных последних лет показали, что режим защиты персональных данных в#nbsp;Казахстане активно гармонизируется с#nbsp;режимом в#nbsp;других странах.

Мы#nbsp;полагаем, что реестр уведомлений о#nbsp;нарушении защиты персональных данных, может служить источником информации для инициирования плановых проверок.

Пока#nbsp;же плановые проверки операций по#nbsp;сбору и#nbsp;обработке персональных данных введены только в#nbsp;отношении государственных органов.

Каких действий требуют изменения в#nbsp;Закон о#nbsp;персональных данных от#nbsp;предпринимателей?

Мы#nbsp;считаем, что нужно, как минимум, сделать внутреннюю ревизию следующего:

1) проверить назначено#nbsp;ли в#nbsp;компании лицо, ответственное за#nbsp;организацию обработки персональных данных (это приказ первого руководителя компании), а#nbsp;также описаны#nbsp;ли во#nbsp;внутренних политиках компании процедуры работы такого лица;
2) описать в#nbsp;политиках компании, каким образом выстроен внутренний процесс информирования о#nbsp;нарушении защиты персональных данных, а#nbsp;также указать лицо, ответственное за#nbsp;подготовку и#nbsp;направление уведомления МЦРИАП о#nbsp;нарушении безопасности персональных данных. Это специалист информационной безопасности или лицо, ответственное за#nbsp;организацию обработки персональных данных или иное лицо? Описать в#nbsp;политиках данные процедуры, а#nbsp;также информировать работников о#nbsp;таких процедурах необходимо, прежде всего, потому что срок для уведомления составляет всего 1 (один) рабочий день. С#nbsp;учетом данного короткого срока, рекомендуется, чтобы все процедуры и#nbsp;процессы были описаны и#nbsp;отработаны заранее.

***

Если вам необходим перечень требований законодательства РК в сфере защиты персональных данных, пожалуйста, также направьте Ваш запрос по указанному электронному адресу. Данный перечень будет полезен для компаний в целях самодиагностики на предмет соответствия операций законодательству РК по персональным данным.

Отметим также, что в#nbsp;Закон о#nbsp;персональных данных внесены и#nbsp;иные дополнения, изменения, которые мы#nbsp;не#nbsp;затрагиваем в#nbsp;данном выпуске