Об утверждении Правил осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных

Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 9 августа 2024 года № 34919.

      В соответствии с Законом Республики Казахстан "О персональных данных и их защите", а также подпунктом 268-6) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан № 501, ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных согласно приложению к настоящему приказу.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Исполняющий обязанности
министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
К. Тулеушин

  Утвержден приказом
Исполняющий обязанности министра
цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 9 августа 2024 года № 481/НҚ

Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных

Глава 1. Общие положения

      1. Настоящие Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных (далее – Правила) разработаны в соответствии с Законом Республики Казахстан "О персональных данных и их защите" (далее – Закон), а также подпунктом 268-6) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан № 501, и определяют порядок осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) база, содержащая персональные данные (далее – база) – совокупность упорядоченных персональных данных;

      3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      4) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      6) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;

      7) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

      8) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      9) оператор информационно-коммуникационной инфраструктуры "электронного правительства" – юридическое лицо, определяемое Правительством Республики Казахстан, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры "электронного правительства";

      10) кабинет пользователя на веб-портале "электронного правительства" – компонент веб-портала "электронного правительства", предназначенный для официального информационного взаимодействия физических и юридических лиц с государственными органами по вопросам оказания услуг в электронной форме, вопросам обращения к субъектам, рассматривающим обращения указанных лиц, а также использования персональных данных.

      Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "Об информатизации".

Глава 2. Порядок уведомления субъектов персональных данных о нарушении безопасности персональных данных

      3. В течение 1 (одного) рабочего дня c момента обнаружения нарушения безопасности персональных данных собственник и (или) оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:

      контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);

      меры, предпринятые для устранения нарушения;

      персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи.

      4. Оперативный центр информационной безопасности, служба реагирования на инциденты информационной безопасности, национальный координационный центр информационной безопасности, отраслевой центр информационной безопасности, национальная служба реагирования на компьютерные инциденты информационной безопасности, государственный оперативный центр информационной безопасности в пределах своей компетенции в течение одного рабочего дня c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:

      персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;

      необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.

      5. Уведомление (оповещение) направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих Закону.

      6. Уполномоченный орган в течение 1 (одного) рабочего дня с момента получения уведомления о нарушении безопасности персональных данных направляет оператору информационно-коммуникационной инфраструктуры "электронного правительства" следующую информацию:

      возможные риски нарушения прав и законных интересов субъектов;

      меры, рекомендуемые субъектам для защиты своих персональных данных;

      персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;

      контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).

      7. Оператор информационно-коммуникационной инфраструктуры "электронного правительства" на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале "электронного правительства" или на их абонентский номер сотовой связи в виде короткого текстового сообщения.

Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 2024 жылғы 9 тамыздағы № 481/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 9 тамызда № 34919 болып тіркелді

      Қазақстан Республикасы "Дербес деректер және оларды қорғау туралы" Заңына, сондай-ақ Қазақстан Республикасы Үкіметінің № 501 қаулысымен бекітілген Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-6) тармақшасына сәйкес, БҰЙЫРАМЫН:

      1. Осы бұйрықтың қосымшасына сәйкес қоса беріліп отырған Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында ресми жарияланғаннан кейін орналастыруды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің міндетін атқарушы
К. Тулеушин

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің міндетін атқарушы
2024 жылғы 9 тамыздағы
№ 481/НҚ Бұйрықпен
бекітілген

Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидалары

1 тарау. Жалпы ережелер

      1. Осы Дербес деректердің қауіпсіздігін бұзу туралы дербес деректер субъектілерін хабардар етуді жүзеге асыру туралы қағидалары (бұдан әрі – Қағидалар) Қазақстан Республикасы "Дербес деректер және оларды қорғау туралы" Заңына (бұдан әрі – Заң), сондай-ақ Қазақстан Республикасы Үкіметінің № 501 қаулысымен бекітілген Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-6) тармақшасына сәйкес әзірленген және дербес деректер субъектілерінің дербес деректердің қауіпсіздігін бұзу туралы хабарламаларының жүзеге асырылуын айқындайды.

      2. Осы Қағидаларда келесі негізгі ұғымдар пайдаланылады:

      1) дербес деректер – олардың негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне жататын, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      2) дербес деректерді қамтитын база (бұдан әрі – база) – реттелген дербес деректердің жиынтығы;

      3) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – Қазақстан Республикасының заңдарына сәйкес дербес деректерді қамтитын базаны иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      4) дербес деректерді қамтитын база операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      5) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) - дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      6) дербес деректердің қауіпсіздігін бұзу-берілетін, сақталатын немесе өзге де жолмен өңделетін дербес деректерді заңсыз таратуға, өзгертуге және жоюға, рұқсатсыз таратуға немесе оларға рұқсатсыз қол жеткізуге әкеп соққан дербес деректерді қорғауды бұзу;

      7) дербес деректерді тарату-жасалуы нәтижесінде дербес деректерді беру, оның ішінде бұқаралық ақпарат құралдары арқылы беру немесе дербес деректерге қандай да бір өзге тәсілмен қол жеткізуді ұсыну жүргізілетін іс-әрекеттер;

      8) дербес деректер субъектісі (бұдан әрі – субъект) - Дербес деректер жататын жеке тұлға;

      9) "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторы – өзіне бекітілген "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының жұмыс істеуін қамтамасыз ету жүктелген Қазақстан Республикасының Үкіметі айқындайтын заңды тұлға;

      10) "Электрондық үкімет" веб-порталындағы пайдаланушы кабинеті – жеке және заңды тұлғалардың мемлекеттік органдармен электрондық нысанда қызметтер көрсету мәселелері, аталған адамдардың өтініштерін қарайтын субъектілерге жүгіну, сондай-ақ дербес деректерді пайдалану мәселелері бойынша ресми ақпараттық өзара іс-қимылына арналған "электрондық үкімет" веб-порталының құрамдас бөлігі.

      Осы Қағидаларда пайдаланылатын өзге де ұғымдар Заңға және "Ақпараттандыру туралы" Қазақстан Республикасының Заңына сәйкес қолданылады.

2 тарау. Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар ету тәртібі

      3. Дербес деректердің қауіпсіздігінің бұзылуы анықталған сәттен бастап 1 (бір) жұмыс күні ішінде меншік иесі және (немесе) оператор уәкілетті органды осы бұзушылық туралы келесі ақпаратты көрсете отырып хабардар етеді:

      дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректері (бар болса);

      дербес деректерді қорғау үшін қажетті шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар;

      субъектілердің кейіннен оларға хабарлама жіберу үшін қажетті дербес деректері: тегі, аты, әкесінің аты (бар болса) және (немесе) жеке сәйкестендіру нөмірі және (немесе) ұялы байланыстың абоненттік нөмірі.

      4. Ақпараттық қауіпсіздіктің жедел орталығы, ақпараттық қауіпсіздік инциденттеріне ден қою қызметі, ақпараттық қауіпсіздіктің ұлттық үйлестіру орталығы, ақпараттық қауіпсіздіктің салалық орталығы, ақпараттық қауіпсіздіктің компьютерлік инциденттеріне ден қоюдың ұлттық қызметі, ақпараттық қауіпсіздіктің мемлекеттік жедел орталығы өз құзыреті шегінде дербес деректердің қауіпсіздігінің бұзылуы анықталған сәттен бастап бір жұмыс күні ішінде уәкілетті органға келесі ақпаратты көрсетумен осы бұзушылық туралы хабарлайды:

      Құқық бұзушылықты жоюға бағытталған шаралар;

      субъектілердің кейіннен оларға хабарлама жіберу үшін қажетті дербес деректері: тегі, аты, әкесінің аты (бар болса) және (немесе) жеке сәйкестендіру нөмірі және (немесе) ұялы байланыстың абоненттік нөмірі.

      5. Хабардар ету (хабарлама) уәкілетті органға жазбаша немесе электрондық құжат нысанында не Заңға қайшы келмейтін қорғау іс-қимылдарының элементтерін қолдана отырып жіберіледі.

      6. Уәкілетті орган дербес деректердің қауіпсіздігін бұзу туралы хабарламаны алған сәттен бастап 1 (бір) жұмыс күні ішінде "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторына субъектілердің құқықтары мен заңды мүдделерін бұзу тәуекеліне әкеп соғатын осы бұзушылық туралы келесі ақпарат жібереді:

      субъектілерге өздерінің дербес деректерін қорғау үшін ұсынылатын шаралар;

      субъектілердің кейіннен оларға хабарлама жіберу үшін қажетті дербес деректері: тегі, аты, әкесінің аты (бар болса) және (немесе) жеке сәйкестендіру нөмірі және (немесе) ұялы байланыстың абоненттік нөмірі;

      дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректері (бар болса).

      7. "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторы уәкілетті органнан алынған ақпараттың негізінде субъектілерді дербес деректердің қауіпсіздігін бұзу туралы бұл туралы ақпаратты "электрондық үкіметтің" веб-порталындағы пайдаланушының кабинетіне немесе олардың ұялы байланыстың абоненттік нөміріне қысқа мәтіндік хабарлама түрінде жіберу арқылы хабардар етуді жүзеге асырады.