Минцифры обновило правила защиты персональных данных
Что произошло
12 июля вступает в силу приказ министра искусственного интеллекта и цифрового развития, согласно которому внесут ряд изменений в правила по защите персональных данных граждан в Казахстане.
Детали
В основном изменения коснулись правил обработки персональных данных ограниченного доступа, к которым, например, относятся ИИН, адрес проживания, сведения о доходах и прочая информация, доступ к которой ограничен Законом "О персональных данных и их защите".
Также было изменено само понятие "персональные данные". В предыдущей версии оно имело следующую формулировку:
"Персональные данные – данные, в том числе биометрические, относящиеся к определённому или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе", – следует из приказа министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года.
В новой редакции понятие персональных данных имеет более точную формулировку:
"Персональные данные – сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных", – следует из последнего приказа.
Что изменится для компаний
Теперь операторы должны составлять перечни бизнес-процессов и видов деятельности, при которых осуществляется сбор и обработка персональных данных, а также перечень лиц, участвующих в этих процессах.
Контроль за выполнением этих правил будет осуществлять лицо, ответственное за организацию обработки персональных данных. В новой редакции правил были уточнены его обязанности. Помимо осуществления надзорной деятельности, ответственный также должен будет проводить работу с обращениями субъектов персональных данных.
Также изменились правила уведомления об утечках данных. Теперь операторы должны будут сообщать о нарушениях безопасности в уполномоченный орган не позднее одного рабочего дня после их обнаружения.
Требования к защите крупных баз данных
Новые правила также устанавливают, что в случае, если база данных содержит более 100 тысяч записей, то для доступа к ней предусматривается применение идентификации и аутентификации пользователей, в том числе биометрической. А хранение и обработка данных ограниченного доступа должна осуществляться только через цифровые объекты, расположенные на территории Казахстана.