|
|
Досье на проект Закона Республики Казахстан
«О внесении изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных»
(по состоянию на 17 сентября 2021 года) 1. Сравнительная таблица (март 2021 года) 2. Сравнительная таблица (9 апреля 2021 г.) 3. Сравнительная таблица (30 апреля 2021 г.) 4. Сравнительная таблица (24 мая 2021 г.) 5. Сравнительная таблица (30 апреля 2021 г.) 6. Сравнительная таблица (30 июня 2021 г.) 7. Письмо Аппарата Верховного Суда (июнь 2021 года) 8. Сравнительная таблица (17 сентября 2021 года) 9. Новости, обсуждения по проекту Приложение к письму МЦРИАП № ______________ от «__» __________ 2021 года СРАВНИТЕЛЬНАЯ ТАБЛИЦА по внесению изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных (17 сентября 2021 года) | № | Структурный элемент | Редакция законодательного акта | Редакция предлагаемого изменения и дополнения | Обоснование | | 1 | 2 | 3 | 4 | 5 | | Закон Республики Казахстан «О государственных услугах» от 15 апреля 2013 года | | 1. | Новый подпункт 6) пункта 2 статьи 19-1 | Статья 19-1. Отказ в оказании государственных услуг услугодателями … 2. Услугодатели отказывают в оказании государственных услуг по следующим основаниям: … 6) отсутствует | Статья 19-1. Отказ в оказании государственных услуг услугодателями … 2. Услугодатели отказывают в оказании государственных услуг по следующим основаниям: … 6) в случае отказа услугополучателя на доступ к персональным данным ограниченного доступа, которые требуются для оказания государственной услуги. | В целях реализации принципов законности и прозрачности персональные данные должны быть получены с согласия субъекта данных. В этой связи ведутся работы по внедрению Сервиса контроля доступа к персональным данным, посредством которого предоставляется разрешение на сбор и обработку персональных данных. Это позволит гражданам контролировать использование их персональных данных путем разрешения или отказа в доступе к ним. | | Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года | | 2. | Подпункт 11-2) статьи 1, новый подпункт 11-3) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе … 11-2) сервис обеспечения безопасности персональных данных - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно; 11-3) отсутствует | Статья 1. Основные понятия, используемые в настоящем Законе … 11-2) Государственный сервис контроля доступа к персональным данным (далее - государственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов; 11-3) Негосударственный сервис контроля доступа к персональным данным (далее - негосударственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом при доступе к персональным данным, содержащимся в негосударственных объектах информатизации; | Предлагается изменить определение Сервиса в соответствии с его функционалом и задачами, а также предусмотреть возможность создания частных коммерческих сервисов для взаимодействия частных компаний с субъектами. Государственный сервис контроля доступа к персональным данным позволит гражданам контролировать использование их персональных данных, содержащихся в государственных базах данных, путем разрешения или отказа в доступе к ним. Реализуется право граждан отслеживать действия с их персональными данными, содержащимися в государственных базах данных, тем самым исключается возможность необоснованного, бесконтрольного доступа государственных служащих и иных лиц к базам данных. | | 3. | Статья 6 | Статья 6. Доступность персональных данных Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта. В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации). Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов. При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо. Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан. | Статья 6. Доступность персональных данных и особенности сбора, обработки персональных данных из общедоступных источников 1. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа. Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта. 2. Распространение персональных данных в общедоступных источниках, допускается при наличии согласия субъекта или его законного представителя. 3. Требования пункта 2 настоящей статьи не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан. 4. Допускается сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 2-3 настоящей статьи, при условии наличия ссылки на источник информации. В целях обеспечения безопасности участников судебного процесса и защиты охраняемой законом тайны при сборе и использовании либо распространении третьими лицами судебных актов, из них исключаются (обезличиваются) персональные данные. При этом третьи лица принимают на себя обязательства по обеспечению выполнения требований настоящего Закона. 5. Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя, уполномоченного органа либо по решению суда. При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо. Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке. 6. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан. | В КИБ поступает большое количество жалоб на различные коммерческие интернет-ресурсы, касающиеся незаконной публикации персональных данных. Данные нормы необходимы для пресечения массового сбора и выгрузки, использования персональных данных, опубликованных в общедоступных источниках. | | 4. | Пункт 1 статьи 7, новые пункты 6 и 7 статьи 7 | Статья 7. Условия сбора, обработки персональных данных 1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона. … 6. Отсутствует 7. Отсутствует | Статья 7. Условия сбора, обработки персональных данных 1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 и пунктом 4 статьи 6 настоящего Закона. … 6. Обработка персональных данных в виде трансграничной передачи персональных данных, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта. Не допускаются действия, предусмотренные настоящим пунктом, в случаях отсутствия цели и оснований к их осуществлению. 7. Запрещается сбор и обработка персональных данных, не соответствующие условиям, предусмотренным пунктами 1-6 настоящей статьи. | В целях обеспечения законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных. | | 5. | Статья 8 | Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных 1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. 2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства. 3. Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале «электронного правительства», сервис обеспечения безопасности персональных данных, а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства». 4. Отсутствует | Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных 1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия. При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов, согласие предоставляется посредством государственного сервиса. 2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства. 3. Предоставление доказательства получения согласия субъекта на сбор и обработку персональных данных или доказательства наличия оснований, предусмотренных статьей 9 настоящего Закона, возлагается на оператора. 4. Согласие на сбор и обработку персональных данных включает: 1) наименование (фамилия, имя, отчество (при наличии)), бизнес идентификационный номер (индивидуальный идентификационный номер) оператора; 2) фамилия, имя, отчество (при наличии) субъекта; 3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных; 4) сведения о возможности оператора или его отсутствия передавать персональные данные третьим лицам; 5) наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки; 6) сведения о распространении персональных данных в общедоступных источниках информации; 7) иные сведения, определяемые собственником и (или) оператором. | В целях обеспечения законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных. | | 6. | Новая статья 8-1 | Статья 8-1. Отсутствует | Статья 8-1. Государственный сервис 1. Собственники и (или) операторы, третьи лица в случаях взаимодействия с объектами информатизации государственных органов, содержащими персональные данные, обеспечивают интеграцию собственных информационных систем, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 настоящего Закона. Интеграция осуществляется с соблюдением норм законодательства по предоставлению сведений, отнесенных к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и иным охраняемым законом тайнам, а также другой конфиденциальной информации. В иных случаях интеграция с государственным сервисом осуществляется на добровольной основе. Порядок интеграции с государственным сервисом определяется уполномоченным органом и правилами интеграции объектов информатизации «электронного правительства». 2. Посредством государственного сервиса обеспечивается: 1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов; 2) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов; 3) уведомление субъекта о действиях с его персональными данными, содержащимися в объектах информатизации государственных органов (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение); 4) предоставление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в объектах информатизации государственных органов. 3. В случаях, предусмотренных подпунктами 4), 6), 8), 9-3) статьи 9 настоящего Закона, обеспечивается уведомление субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации государственных органов, через государственный сервис. | В целях обеспечения полноценного функционирования государственного сервиса необходимо законодательно предусмотреть обязательную интеграцию с государственным сервисом собственников и (или) операторов в случаях взаимодействия последних с объектами информатизации «электронного правительства». Таким образом, реализуется право граждан отслеживать действия с их персональными данными, содержащимися в государственных базах данных, тем самым исключается возможность необоснованного, бесконтрольного доступа государственных служащих и иных лиц к данным. Понятие «врачебная тайна» заменяется термином «тайна медицинского работника» в соответствии с Кодексом о здоровье народа и системе здравоохранения. | | 7. | Новая статья 8-2 | Статья 8-2. Отсутствует | Статья 8-2. Негосударственный сервис 1. Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных, в случаях отсутствия взаимодействия с объектами информатизации государственных органов, содержащими персональные данные, вправе использовать негосударственные сервисы. 2. Посредством негосударственного сервиса обеспечивается: 1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных; 2) уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение); 3) уведомление субъекта о доступе третьих лиц к его персональным данным. | В целях развития отечественной IT и ИБ отрасли предусматривается возможность создания и использования коммерческих сервисов по контролю доступа к персональным данным. Негосударственный сервис может использоваться на добровольной основе операторами для оптимизации собственных процессов по получению согласия на сбор и обработку персональных данных. | | 8. | Подпункты 1), 6), 9) и 9-1) статьи 9 | Статья 9. Сбор, обработка персональных данных без согласия субъекта Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях: 1) осуществления деятельности правоохранительных органов и судов, исполнительного производства; … 6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина; … 9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан; 9-1) получения органами государственных доходов для осуществления налогового администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан; 10) в иных случаях, установленных законами Республики Казахстан. | Статья 9. Сбор, обработка персональных данных без согласия субъекта Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях: 1) осуществления деятельности правоохранительных органов и судов, исполнительного производства и производства по делам об административных правонарушениях; … 6) осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина; … 9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан и передачи данной информации третьим лицам; 9-1) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан; 10) в иных случаях, установленных законами Республики Казахстан. | Подпункт 1) дополняется в целях обеспечения законности получения персональных данных административными органами при проведении проверок, оформления и вынесения административных актов и т.д. Данная норма обусловлена невозможностью получения данных (ФИО, ИИН, адрес и т.п.) от привлекаемого к административной ответственности лица. Изменения в подпункт 6) направлены на устранение пробелов в законодательстве, нарушающих принципы сбора и обработки персональныхданных. Согласно Закону о СМИ все интернет-ресурсы отнесены к СМИ. При этом для интернет-ресурсов не предусмотрены какие-либо критерии требования по отнесению к СМИ, а также получению разрешительного документа или свидетельства о постановке на учет аналогичные иным видам СМИ. Из вышеуказанных норм этого следует, что каждый владелец интернет-ресурса вне зависимости от сферы деятельности и формы собственности имеет возможность публиковать персональные данные без согласия субъекта. По подпункту 9). В настоящее время мошеннические действия в финансовом секторе являются серьезной проблемой, требующей действенных контрмер. Оперативное информирование участников финансового рынка о мошеннических операциях и их организаторах является основой процесса реагирования и предотвращения финансовых потерь населения от действий мошенников. Предлагаемая поправка позволит реализовать оперативное информирование о мошенниках на финансовом рынке. | | 9. | Пункт 4 статьи 10 | Статья 10. Доступ к персональным данным … 4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства» или сервиса обеспечения безопасности персональных данных. | Статья 10. Доступ к персональным данным … 4. Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через государственный сервис. | В целях снижения неконтролируемого со стороны граждан обращения персональных данных в незаявленных и коммерческих целях. | | 10. | Пункт 1 статьи 15 | Статья 15. Распространение персональных данных 1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц. | Статья 15. Распространение персональных данных 1. Распространение персональных данных допускается при условии согласия субъекта, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц. | В целях пресечения незаконного распространения персональных данных | | 11. | Новый подпункт 3-1) статьи 18 | Статья 18. Уничтожение персональных данных Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом: … 3-1) Отсутствует; | Статья 18. Уничтожение персональных данных Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом: … 3-1) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя за исключением случаев, предусмотренных статьей 9 настоящего Закона; | В целях обеспечения прекращения обработки персональных данных собранных неправомерно. | | 12. | Пункт 1 статьи 22 | Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных 1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с порядком, определяемым Правительством Республики Казахстан, обеспечивающие: … . 5) отсутствует. | Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных 1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым Правительством Республики Казахстан, обеспечивающие: … ; 5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) пункта 4 статьи 8 настоящего Закона. | В целях пресечения незаконного распространения персональных данных действия по передаче персональных данных третьим лицам, опубликования их в общедоступных источниках и трансграничная передача должны фиксироваться. | | 13. | Подпункт 5) пункта 1 статьи 24 | Статья 24. Права и обязанности субъекта 1. Субъект имеет право: … 5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона; | Статья 24. Права и обязанности субъекта 1. Субъект имеет право: … 5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона; | В целях реализации прав субъектов, а также приведения в соответствие со статьями 6 и 7 настоящего Закона. | | 14. | Новые подпункты 1-1) и 3-1) пункта 2 статьи 25, подпункты 6) и 7) пункта 2 статьи 25 | Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных … 2. Собственник и (или) оператор обязаны: … 1-1) отсутствует; … 3-1) отсутствует; … 6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан; 7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан; | Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных … 2. Собственник и (или) оператор обязаны: … 1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных; … 3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона; … 6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан; 7) в случае отказа предоставить информацию субъекту или его законному представителю, представлять мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан; | Предусматриваются дополнительные обязанности оператора в целях усиления мер по защите персональных данных. Также подпункты 6) и 7) приводятся в соответствие со сроками, предусмотренными законодательством Республики Казахстан об административных процедурах. | | 15. | Новый подпункт 3-1) статьи 27 | Статья 27. Компетенция государственных органов Государственные органы в пределах своей компетенции: … 3-1) отсутствует | Статья 27. Компетенция государственных органов Государственные органы в пределах своей компетенции: … 3-1) согласовывают проекты законов и нормативных правовых актов, затрагивающие вопросы доступа к персональным данным, сбор и обработку персональных данных, с уполномоченным органом. | В целях обеспечения соблюдения норм законодательства о персональных данных и их защите. | | 16. | Новые подпункты 6-1), 7-2) и 7-3) статьи 27-1 | Статья 27-1. Компетенция уполномоченного органа Уполномоченный орган в пределах своей компетенции: … 6-1) Отсутствует; … 7-2) Отсутствует; 7-3) Отсутствует; | Статья 27-1. Компетенция уполномоченного органа Уполномоченный орган в пределах своей компетенции: … 6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности; … 7-2) утверждает правила функционирования государственного сервиса; 7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным; | В целях наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, созданию совета для рассмотрения проблемных вопросов сферы, согласовывать интеграцию ИС, обрабатывающих персональные данные. | | 17. | Новая статья 30-1 | Статья 30-1. Отсутствует. | Статья 30-1. Переходные положения 1. Собственники и (или) операторы, взаимодействующие с объектами информатизации государственных органов, содержащими персональные данные на момент введения в действие настоящего Закона, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 настоящего Закона, в течение одного года со дня введения в действие настоящего Закона. 2. Собственники и (или) операторы, получившие согласие субъекта или его законного представителя на сбор и (или) обработку персональных данных до введения в действие настоящего Закона, направляют сведения в государственный сервис об указанном согласии в случае последующего осуществления сбора и (или) обработки персональных данных субъекта, содержащихся в объектах информатизации государственных органов. Предоставление информации, указанной в настоящем пункте, в государственный сервис осуществляется собственниками и (или) операторами в течение одного года со дня введения в действие настоящего Закона. | По предложениям, поступившим в ходе обсуждения поправок с государственными органами и бизнес сообществом, предусматривается отлагательная норма для приведения в соответствие с новыми требованиями законодательства. | | Закон Республики Казахстан «О доступе к информации» от 16 ноября 2015 года | | 18. | Подпункт 8) статьи 1 | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: … 8) информация с ограниченным доступом - информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, а также служебная информация с пометкой «Для служебного пользования»; | Статья 1. Основные понятия, используемые в настоящем Законе В настоящем Законе используются следующие основные понятия: … 8) информация с ограниченным доступом - информация, отнесенная к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и иным охраняемым законом тайнам, персональные данные ограниченного доступа, а также служебная информация с пометкой «Для служебного пользования»; | В целях недопущения публикации персональных данных в общедоступных ресурсах и их использования в целях причинения вреда субъектам персональных данных необходимо отнести их в соответствии с ЗРК о персональных данных и их защите к информации ограниченного доступа. Понятие «врачебная тайна» заменяется термином «тайна медицинского работника» в соответствии с Кодексом о здоровье народа и системе здравоохранения. | | Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года | | 19. | Пункт 1 статьи 36 | Статья 36. Электронные информационные ресурсы, содержащие персональные данные 1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа. К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных или на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности. К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан. | Статья 36. Электронные информационные ресурсы, содержащие персональные данные 1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа. К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных и на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности. К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан. При доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, применяется многофакторная аутентификация. | В ходе правоприменительной практики выявлено множество случаев доступа к персональным данным лиц, не имевших право на доступ. Такие случаи были возможны по причине того, что для доступа к ЭИР, содержащим персональные данные, достаточно было знать логин и пароль сотрудника, имевшего законный доступ к ним. В целях усиления мер по предотвращению несанкционированного доступа к персональным данным, содержащимся на электронных информационных ресурсах, необходимо предусмотреть многофакторную аутентификацию. Данная мера существенно снижает риски несанкционированного доступа. | | 20. | Пункты 3 и 4 статьи 26 | Статья 36. Электронные информационные ресурсы, содержащие персональные данные … 3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется в форме электронного документа или иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. Субъект персональных данных также вправе давать согласие на сбор и обработку персональных данных посредством зарегистрированного на веб-портале «электронного правительства» его абонентского номера сотовой связи путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства». 4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства». | Статья 36. Электронные информационные ресурсы, содержащие персональные данные … 3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется через государственный сервис контроля доступа к персональным данным. Абзац 2 пункта 3 статьи 36 исключить. 4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через государственный сервис контроля доступа к персональным данным в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия за исключением осуществления деятельности правоохранительных органов, специальных государственных органов, судов и исполнительного производства при условии регистрации субъектов персональных данных на веб-портале «электронного правительства». | В целях снижения неконтролируемого со стороны граждан обращения персональных данных, содержащихся в государственных базах, вводится государственный сервис контроля доступа к персональным данным. | | 21. | Новый пункт 3 статьи 44 | Статья 44. Требования к негосударственной информационной системе, интегрируемой с информационной системой государственного органа … 3. Отсутствует | Статья 44. Требования к негосударственной информационной системе, интегрируемой с информационной системой государственного органа … 3. Интеграция негосударственной информационной системы с информационной системой государственного органа, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным, проводится по согласованию с уполномоченным органом в сфере защиты персональных данных. | В целях обеспечения законного сбора и обработки персональных данных, а также прозрачности доступа и действий с персональными данными. |
Доступ к документам и консультации
от ведущих специалистов
|
|
