Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz) «О назначении на должность лица, ответственного за организацию обработки персональных данных»

Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz)

Вопрос:

Обращаюсь к Вам с запросом, связанным с регулированием сбора и обработки персональных данных в Казахстане.

1. В Закон РК «О персональных данных и их защите» внесены изменения в июне 2020 г.

В соответствии с этими изменениями, компании (собственники и (или) операторы базы данных с персональными данными) должны назначить лицо, ответственное за организацию обработки персональных данных.

Сообщите, пожалуйста, можно ли данную функцию передать на внешний подряд (компания или ИП будут по договору с собственником или оператором базы данных осуществлять все функции, которые возложены на лицо, ответственное за организацию обработки персональных данных)?

2. В соответствии с Законом РК «О персональных данных и их защите», субъект дает согласие на сбор, обработку персональных данных посредством сервиса обеспечения безопасности персональных данных.

Это изменение также было внесено в названный закон в июне 2020 г.

Поясните, пожалуйста, что может быть таким сервисом?

Может ли этот сервис обеспечения безопасности персональных данных, например, быть мобильным приложением компании по реализации товаров и (или) услуг, которое в т.ч. обеспечивает сбор и обработку персональных данных пользователей такого мобильного приложения или Интернет-сайтом по реализации товаров и (или) услуг, посредством которого лицо собирает персональные данные пользователей?

3. Закон РК «О персональных данных и их защите» указывает, что согласие на сбор, обработку персональных данных может быть дано иным способом с применением элементов защитных действий, не противоречащих законодательству РК.

Пожалуйста, поясните, что является таким «иным способом…»?

Пожалуйста, приведите примеры сбора согласия таким образом. Заранее благодарю за ответ.

Ответ:

Здравствуйте!

По первому вопросу сообщаю, собственник и (или) оператор обязаны назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами (подпункт 10) пункта 2 статьи 25 Закона Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года, далее - Закон).

Вместе с тем указанным законодательством не запрещается назначение ответственным за организацию обработки персональных данных лица, не являющегося сотрудником данной организации.

Кроме того, в международном опыте часто практикуется привлечение сторонних специалистов для защиты персональных данных.

Например, в государствах-членах Европейского союза, где действует Генеральный регламент по защите персональных данных (General Data Protection Regulation, GPDR), предусмотрено привлечение инспектора по защите персональных данных (Data Protection Officer, DPO), который может быть назначен извне на основе его профессиональной квалификации.