В соответствии с пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан ПРИКАЗЫВАЕМ:
1. Утвердить проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан |
__________ Н. Байбазаров |
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
__________ Б. Мусин |
«СОГЛАСОВАН»
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан
Утвержден совместным приказом Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан от 19 марта 2024 года № 12 и Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 14 марта 2024 года № 149/НҚ |
Проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц
Государственный орган, назначивший проверку
____________________________________________________________________
____________________________________________________________________
Акт о назначении проверки
_____________________________________________________________ №, дата
Наименование субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный
номер субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
Адрес места нахождения
____________________________________________________________________
____________________________________________________________________
№ |
Перечень требований |
Соответствует требованиям |
Не соответствует требованиям |
1 |
2 |
3 |
4 |
1. |
осуществление сбора, обработки персональных данных с согласия субъекта или его законного представителя |
||
2. |
соблюдение требований по ограничению обработки персональных данных достижением конкретных, заранее определенных и законных целей |
||
3. |
соблюдение запрета сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе |
||
4. |
в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивание интеграции объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным |
||
5. |
обеспечение конфиденциальности персональных данных ограниченного доступа путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания |
||
6. |
осуществление хранения персональных данных в базе, находящейся на территории Республики Казахстан |
||
7. |
использование персональных данных только для ранее заявленных целей их сбора |
||
8. |
осуществление трансграничной передачи персональных данных на территорию иностранных государств только в случае обеспечения этими государствами защиты персональных данных |
||
9. |
обезличивание персональных данных при их передаче для проведения статистических, социологических, научных, маркетинговых исследований |
||
10. |
применение многофакторной аутентификаций при доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа |
||
11. |
утверждение собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач |
||
12. |
утверждение собственником и (или) оператором документов, определяющих политику в отношении сбора, обработки и защиты персональных данных |
||
13. |
принятие собственником и (или) оператором необходимых мер, в том числе правовых, организационных и технических, для защиты персональных данных |
||
14. |
предоставление по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона Республики Казахстан «О персональных данных и их защите» |
||
15. |
в случае отказа в предоставлении информации субъекту или его законному представителю соблюдение требований по представлению собственником и (или) оператором мотивированного ответа в установленные сроки |
||
16. |
предоставление собственником и (или) оператором безвозмездно субъекту или его законному представителю возможности ознакомления с персональными данными, относящимися к данному субъекту |
||
17. |
назначение собственником и (или) оператором лица, ответственного за организацию обработки персональных данных, являющимся юридическими лицами |
||
18. |
выделение бизнес-процессов, содержащих персональные данные |
||
19. |
разделение персональных данных на общедоступные и ограниченного доступа |
||
20. |
установление собственником и (или) оператором целей обработки персональных данных ограниченного доступа |
||
21. |
определение собственником и (или) оператором порядка обработки, распространения и доступа к персональным данным ограниченного доступа |
||
22. |
определение собственником и (или) оператором порядка блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта |
||
23. |
определение перечня лиц, имеющих доступ к персональным данным ограниченного доступа |
||
24. |
оповещение уполномоченного органа об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа |
||
25. |
обеспечение установки средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа |
||
26. |
обеспечение ведения журнала событий систем управления базами при обработке персональных данных ограниченного доступа |
||
27. |
обеспечение ведения журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа; |
||
28. |
применение средств контроля целостности персональных данных ограниченного доступа |
||
29. |
передача персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных |
||
30. |
применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа |
||
31. |
применение средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа |
||
32. |
осуществление сбора и обработки персональных данных ограниченного доступа посредством объектов информатизации, размещенных на территории Республики Казахстан |
||
33. |
осуществление хранения и передачи персональных данных ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» |
Должностное (ые) лицо (а) ________________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля ___________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)