Кто и как сможет использовать ваши данные: что меняет новый закон
Что произошло
Президент Касым-Жомарт Токаев подписал закон о цифровизации, защите персональных данных, дорожном движении и регулировании передовых технологий на транспорте.
Документ меняет сразу 51 законодательный акт. Один из ключевых блоков касается персональных данных: закон вводит новые понятия, делит операторов по объёму обрабатываемых данных, создаёт реестр нарушений безопасности и уточняет правила использования сведений из открытых источников.
В законе появятся определения, которых раньше не было. Они уточняют, что именно происходит с персональными данными: их удаляют, обезличивают, скрывают, защищают или незаконно раскрывают. Удаление персональных данных – это полное исключение данных из цифрового объекта, после которого их нельзя восстановить. Анонимизация – необратимое преобразование данных, после которого невозможно определить, кому они принадлежали.
Маскирование – это замена части реальных данных на недействительные или обезличенные. Например, когда часть данных скрыта от пользователя или системы. Хеширование – преобразование данных в строку фиксированной длины для их защиты. Это технический способ снизить риск раскрытия исходных данных.
Идентификатор персональных данных – это информация, по которой можно установить человека. К таким данным отнесут ФИО в совокупности, ИИН, изображение лица, биометрический вектор лица или его производные.
В законе появится понятие нарушения безопасности персональных данных. Речь идёт о незаконном распространении, изменении, уничтожении персональных данных или несанкционированном доступе к ним. Такой подход позволяет отдельно фиксировать инциденты, связанные с утечками и неправомерной обработкой данных.
Организации, которые собирают и обрабатывают персональные данные, разделят на три категории. Малые операторы – до 10 тысяч уникальных людей, средние – от 10 тысяч до 500 тысяч, крупные – 500 тысяч и более. От категории будут зависеть требования к защите данных.
Если организация обрабатывает персональные данные ограниченного доступа, её категорию автоматически повысят на один уровень. То есть дело будет не только в количестве людей, чьи данные обрабатываются, но и в чувствительности самих данных. Меры защиты для каждой категории определит уполномоченный орган.
До начала обработки персональных данных крупные и средние организации обязаны уведомить уполномоченный орган. Малые операторы от этой обязанности освобождены. В уведомлении нужно будет указать название организации, ИИН или БИН, меры защиты, дату начала обработки, сведения о передаче данных третьим лицам и о трансграничной передаче данных.
После уведомления уполномоченный орган в течение 30 рабочих дней внесёт организацию в реестр. Это означает, что крупные и средние операторы персональных данных должны будут заранее сообщать государству, какие данные они обрабатывают и как собираются их защищать.
Создаётся отдельный реестр нарушений безопасности персональных данных. Его будут вести на основе информации из открытых источников и от центров кибербезопасности. В него могут попадать сведения об утечках, незаконном распространении, изменении, уничтожении данных или несанкционированном доступе к ним.
Если человек сам разместил свои данные в публичном доступе, это не даёт организациям права свободно их собирать и использовать. Компания или госорган, которые взяли такие данные, должны будут доказать законность их сбора и дальнейшей обработки. Это важно для соцсетей, маркетинговых сервисов, сайтов, аналитических компаний и всех, кто работает с открытыми источниками.