Глава 2 Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
Порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных
Пункт 3. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.
Пункт 4. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Пункт 5. Для обеспечения защиты персональных данных необходимо:
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона ;
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.
Пункт 6. Иные особенности защиты персональных данных при их сборе и обработке в объектах информатизации устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.
Пункт 7. Собственник и (или) оператор при обработке персональных данных ограниченного доступа:
1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
2) оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
4) обеспечивают ведение журнала событий систем управления базами;
5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
6) применяют средства контроля целостности персональных данных ограниченного доступа;
7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;
8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
10) применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.
Пункт 8. Сбор и обработка персональных данных ограниченного доступа осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.
Пункт 9. Хранение персональных данных, содержащихся в электронных информационных ресурсах, осуществляется собственником и (или) оператором, а также третьим лицом в электронной базе, находящейся в серверном помещении или центре обработки данных, расположенном на территории Республики Казахстан, с принятием необходимых мер по защите персональных данных согласно настоящим Правилам.