В соответствии с пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан ПРИКАЗЫВАЕМ:
1. Утвердить проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
"СОГЛАСОВАН"
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан
Проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц
Государственный орган, назначивший проверку
____________________________________________________________________
____________________________________________________________________
Акт о назначении проверки
_____________________________________________________________ №, дата
Наименование субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный
номер субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
Адрес места нахождения
____________________________________________________________________
____________________________________________________________________
№ | Перечень требований | Соответствует требованиям | Не соответствует требованиям |
1 | 2 | 3 | 4 |
1. | осуществление сбора, обработки персональных данных с согласия субъекта или его законного представителя | ||
2. | соблюдение требований по ограничению обработки персональных данных достижением конкретных, заранее определенных и законных целей | ||
3. | соблюдение запрета сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе | ||
4. | в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивание интеграции объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным | ||
5. | обеспечение конфиденциальности персональных данных ограниченного доступа путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания | ||
6. | осуществление хранения персональных данных в базе, находящейся на территории Республики Казахстан | ||
7. | использование персональных данных только для ранее заявленных целей их сбора | ||
8. | осуществление трансграничной передачи персональных данных на территорию иностранных государств только в случае обеспечения этими государствами защиты персональных данных | ||
9. | обезличивание персональных данных при их передаче для проведения статистических, социологических, научных, маркетинговых исследований | ||
10. | применение многофакторной аутентификаций при доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа | ||
11. | утверждение собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач | ||
12. | утверждение собственником и (или) оператором документов, определяющих политику в отношении сбора, обработки и защиты персональных данных | ||
13. | принятие собственником и (или) оператором необходимых мер, в том числе правовых, организационных и технических, для защиты персональных данных | ||
14. | предоставление по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона Республики Казахстан "О персональных данных и их защите" | ||
15. | в случае отказа в предоставлении информации субъекту или его законному представителю соблюдение требований по представлению собственником и (или) оператором мотивированного ответа в установленные сроки | ||
16. | предоставление собственником и (или) оператором безвозмездно субъекту или его законному представителю возможности ознакомления с персональными данными, относящимися к данному субъекту | ||
17. | назначение собственником и (или) оператором лица, ответственного за организацию обработки персональных данных, являющимся юридическими лицами | ||
18. | выделение бизнес-процессов, содержащих персональные данные | ||
19. | разделение персональных данных на общедоступные и ограниченного доступа | ||
20. | установление собственником и (или) оператором целей обработки персональных данных ограниченного доступа | ||
21. | определение собственником и (или) оператором порядка обработки, распространения и доступа к персональным данным ограниченного доступа | ||
22. | определение собственником и (или) оператором порядка блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта | ||
23. | определение перечня лиц, имеющих доступ к персональным данным ограниченного доступа | ||
24. | оповещение уполномоченного органа об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа | ||
25. | обеспечение установки средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа | ||
26. | обеспечение ведения журнала событий систем управления базами при обработке персональных данных ограниченного доступа | ||
27. | обеспечение ведения журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа; | ||
28. | применение средств контроля целостности персональных данных ограниченного доступа | ||
29. | передача персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных | ||
30. | применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа | ||
31. | применение средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа | ||
32. | осуществление сбора и обработки персональных данных ограниченного доступа посредством объектов информатизации, размещенных на территории Республики Казахстан | ||
33. | осуществление хранения и передачи персональных данных ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" |
Должностное (ые) лицо (а) ________________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля ___________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)