Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909
Вводится в действие с 25 ноября 2013 года.
В соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.
2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.
Премьер-Министр
Республики Казахстан С. Ахметов
Утверждены
постановлением Правительства
Республики Казахстан
от 3 сентября 2013 года № 909
Правила
осуществления собственником и (или) оператором, а также
третьим лицом мер по защите персональных данных
1. Общие положения
1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее — Правила) разработаны в соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» (далее -Закон) и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
1) сбор персональных данных — действия, направленные на получение персональных данных;
2) база, содержащая персональные данные (далее — база), — совокупность упорядоченных персональных данных;
3) собственник базы, содержащей персональные данные (далее — собственник) — государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
4) оператор базы, содержащей персональные данные (далее — оператор) — государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
5) защита персональных данных — комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
6) обработка персональных данных — действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
7) субъект персональных данных (далее — субъект) — физическое лицо, к которому относятся персональные данные;
8) третье лицо — лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
2. Порядок осуществления собственником и (или)
оператором, а также третьим лицом мер
по защите персональных данных
3. Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
4. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
6. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.
7. Для обеспечения защиты персональных данных при их сборе и обработке, необходимо обособлять персональные данные от иной информации, в частности путем фиксации их на носителях.
8. При сборе и обработке персональных данных необходимо определить места их хранения (носители) и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
9. При хранении носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Меры, необходимые для обеспечения таких условий, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются собственником и (или) оператором, а также третьим лицом.