В соответствии с Законом Республики Казахстан «О персональных данных и их защите», а также подпунктом 268-6) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан № 501, утверждены Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных согласно приложению к настоящему приказу. В течение 1 (одного) рабочего дня c момента обнаружения нарушения безопасности персональных данных собственник и (или) оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации: контактные данные лица, ответственного за организацию обработки персональных данных (при наличии); меры, предпринятые для устранения нарушения; персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи. Оперативный центр информационной безопасности, служба реагирования на инциденты информационной безопасности, национальный координационный центр информационной безопасности, отраслевой центр информационной безопасности, национальная служба реагирования на компьютерные инциденты информационной безопасности, государственный оперативный центр информационной безопасности в пределах своей компетенции в течение одного рабочего дня c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации: персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи; необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические. Уведомление (оповещение) направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих Закону. Уполномоченный орган в течение 1 (одного) рабочего дня с момента получения уведомления о нарушении безопасности персональных данных направляет оператору информационно-коммуникационной инфраструктуры «электронного правительства» следующую информацию: возможные риски нарушения прав и законных интересов субъектов; меры, рекомендуемые субъектам для защиты своих персональных данных; персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи; контактные данные лица, ответственного за организацию обработки персональных данных (при наличии). Оператор информационно-коммуникационной инфраструктуры «электронного правительства» на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных путем направления информации об этом в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения. Приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования. |