Минцифры обновило правила защиты персональных данных

Теперь операторы обязаны уведомлять уполномоченные органы о нарушениях безопасности не позднее чем через день после их обнаружения.
Изображение сгенерировано нейросетью
Защита персональных данных в Казахстане

Что произошло

12 июля вступает в силу приказ министра искусственного интеллекта и цифрового развития, согласно которому внесут ряд изменений в правила по защите персональных данных граждан в Казахстане.

Детали

В основном изменения коснулись правил обработки персональных данных ограниченного доступа, к которым, например, относятся ИИН, адрес проживания, сведения о доходах и прочая информация, доступ к которой ограничен Законом "О персональных данных и их защите".

Также было изменено само понятие "персональные данные". В предыдущей версии оно имело следующую формулировку:

"Персональные данные – данные, в том числе биометрические, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе", – следует из приказа министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года.

В новой редакции понятие персональных данных имеет более точную формулировку:

"Персональные данные – сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных", – следует из последнего приказа.

Что изменится для компаний

Теперь операторы должны составлять перечни бизнес-процессов и видов деятельности, при которых осуществляется сбор и обработка персональных данных, а также перечень лиц, участвующих в этих процессах.

Контроль за выполнением этих правил будет осуществлять лицо, ответственное за организацию обработки персональных данных. В новой редакции правил были уточнены его обязанности. Помимо осуществления надзорной деятельности, ответственный также должен будет проводить работу с обращениями субъектов персональных данных.

Также изменились правила уведомления об утечках данных. Теперь операторы должны будут сообщать о нарушениях безопасности в уполномоченный орган не позднее одного рабочего дня после их обнаружения.

Требования к защите крупных баз данных

Новые правила также устанавливают, что в случае, если база данных содержит более 100 тысяч записей, то для доступа к ней предусматривается применение идентификации и аутентификации пользователей, в том числе биометрической. А хранение и обработка данных ограниченного доступа должна осуществляться только через цифровые объекты, расположенные на территории Казахстана.