Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Приказ МЦРИАП РК № 395/НҚ от 21.10.2020

Правила сбора, обработки персональных данных

Правила

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Правила сбора, обработки персональных данных
Глава 1. Общие положения
1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 268) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501 и определяют порядок сбора, обработки персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
- персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
- блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
- накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
- сбор персональных данных – действия, направленные на получение персональных данных;
- уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
- обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
- база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;
- собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
- оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
- негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
- государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
- уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.
3. Настоящие Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных.
4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.
Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.
4-1. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.
4-2. Требования пункта 4-1 настоящих Правил не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.
4-3. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 4-1 и 4-2 настоящих Правил, при условии наличия ссылки на источник информации.
4-4. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.
5. Сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее – Перечень персональных данных).
Перечень персональных данных определяется и утверждается Правилами определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 июня 2023 года № 199/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 32889), в соответствии с подпунктом 1) пункта 2 статьи 25 Закона.
6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.
При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.
7. Сбор и обработка персональных данных осуществляется при условии обеспечения мер по защите персональных данных в соответствии Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденными приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 32810).
Глава 2. Сбор персональных данных
8. Сбор персональных данных осуществляется после получения согласия субъекта или его законного представителя, предоставленного в соответствии со статьей 8 Закона, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.
9. Субъект согласно пункту 2 статьи 24 Закона обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
Глава 3. Обработка персональных данных
Параграф 1. Накопление и хранение персональных данных
10. Накопление персональных данных производится в соответствии с главой 2 настоящих Правил, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
11. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.
12. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Параграф 2. Изменение и дополнение персональных данных
13. Субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами.
14. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
15. Субъект имеет право знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения.
При этом для получения информации субъектом или его законным представителем направляется обращение (запрос) собственнику и (или) оператору либо третьему лицу письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
16. Собственник и (или) оператор сообщает информацию, относящуюся к субъекту, в течение 3 (трех) рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан.
В случае отказа в предоставлении информации субъекту или его законному представителю, собственник и (или) оператор в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан.
Параграф 3. Использование, распространение и обезличивание персональных данных
17. Использование персональных данных осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых Перечнем персональных данных.
17-1. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
18. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.
19. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
20. Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим законодательству Республики Казахстан способом обезличивания, позволяющим решать поставленные задачи обработки персональных данных.
21. Процедура обезличивания персональных данных исключает возможность обратного восстановления исходных персональных данных.
Возмещение расходов собственника и (или) оператора либо третьего лица на обезличивание персональных данных осуществляется за счет лица, запросившего обезличенные персональные данные, если иное не будет определено соглашением с собственником и (или) оператором либо третьим лицом.
22. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
23. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Параграф 4. Блокирование и уничтожение персональных данных
24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.
Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные пунктами 1 и 3 статьи 76 Административного процедурно-процессуального кодекса Республики Казахстан.
25. В случае наличия информации о нарушении условий сбора, обработки персональных данных, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных.
Персональные данные, сбор и обработка которых произведены собственником и (или) оператором, а также третьим лицом с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан, по требованию субъекта подлежат уничтожению.
26. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
27. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
28. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
Параграф 5. Обработка персональных данных в деятельности судов
Сноска. Параграф 5 исключен приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 03.02.2023 № 41/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.