В соответствии с Законом Республики Казахстан «О персональных данных и их защите», а также подпунктом 268-6) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан № 501, ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных согласно приложению к настоящему приказу.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
| Исполняющий обязанности министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
К. Тулеушин |
| Утвержден приказом Исполняющий обязанности министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ |
Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных
Глава 1. Общие положения
1. Настоящие Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных (далее – Правила) разработаны в соответствии с Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон), а также подпунктом 268-6) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан № 501, и определяют порядок осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) база, содержащая персональные данные (далее – база) – совокупность упорядоченных персональных данных;
3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
4) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
6) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
7) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
8) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
9) оператор информационно-коммуникационной инфраструктуры «электронного правительства» – юридическое лицо, определяемое Правительством Республики Казахстан, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры «электронного правительства»;
10) кабинет пользователя на веб-портале «электронного правительства» – компонент веб-портала «электронного правительства», предназначенный для официального информационного взаимодействия физических и юридических лиц с государственными органами по вопросам оказания услуг в электронной форме, вопросам обращения к субъектам, рассматривающим обращения указанных лиц, а также использования персональных данных.
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан «Об информатизации».
Глава 2. Порядок уведомления субъектов персональных данных о нарушении безопасности персональных данных
3. В течение 1 (одного) рабочего дня c момента обнаружения нарушения безопасности персональных данных собственник и (или) оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);
меры, предпринятые для устранения нарушения;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи.
4. Оперативный центр информационной безопасности, служба реагирования на инциденты информационной безопасности, национальный координационный центр информационной безопасности, отраслевой центр информационной безопасности, национальная служба реагирования на компьютерные инциденты информационной безопасности, государственный оперативный центр информационной безопасности в пределах своей компетенции в течение одного рабочего дня c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.
5. Уведомление (оповещение) направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих Закону.
6. Уполномоченный орган в течение 1 (одного) рабочего дня с момента получения уведомления о нарушении безопасности персональных данных направляет оператору информационно-коммуникационной инфраструктуры «электронного правительства» следующую информацию:
возможные риски нарушения прав и законных интересов субъектов;
меры, рекомендуемые субъектам для защиты своих персональных данных;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).
7. Оператор информационно-коммуникационной инфраструктуры «электронного правительства» на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.