ҚАЗ РУС
Войти или зарегистрироваться

Единый контакт-центр

1414

8-800-080-7777

Расширенный поиск

Категория

Условие поиска

Государственный орган *

Публичное обсуждение до

С По

Тип

Статус

Дата создания

С По

 


Скачать (docx)

Поправки по внесению изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных

Краткое содержание:
Статус: На рассмотрении
Версия проекта:   Версия 1   
Тип НПА: Закон
Дата создания: 19/03/2021
Публичное обсуждение до: 07/04/2021
Дата запуска онлайн-обсуждения:
Дата окончания онлайн-обсуждения:
Приложенные документы:

СРАВНИТЕЛЬНАЯ ТАБЛИЦА

по внесению изменений в законодательные акты Республики Казахстан по вопросам защиты персональных данных

 

Структурный

элемент

Редакция законодательного акта

Редакция предлагаемого изменения и дополнения

Обоснование

1

2

3

4

5

Гражданский кодекс Республики Казахстан от 27 декабря 1994 года

 

Статья 145

Статья 145. Право на собственное изображение

 

1. Никто не имеет право использовать изображение какого-либо лица без его согласия, а в случае его смерти - без согласия наследников.

2. Опубликование, воспроизведение и распространение изобразительного произведения (картина, фотография, кинофильм и другие), в котором изображено другое лицо, допускается лишь с согласия изображенного, а после его смерти с согласия его детей и пережившего супруга. Такого согласия не требуется, если это установлено законодательными актами, либо изображенное лицо позировало за плату.

Статья 145. Право на собственное изображение

 

Использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица, а после его смерти с согласия его детей и пережившего супруга, а при их отсутствии - с согласия родителей. Такое согласие не требуется, если:

1) изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

2) лицо позировало за плату;

3) это установлено законодательными актами.

В целях защиты персональных данных необходимо устранить противоречия между пунктами 1 и 2 статьи 145 Гражданского кодекса, а также установить конкретные случаи, при которых допускается использование и распространение изображения другого лица без его согласия.

Аналогичная норма содержится в Гражданском кодексе Российской Федерации.

Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года
  1.  

Новый подпункт 117) статьи 138

Статья 138. Сферы деятельности субъектов предпринимательства, в которых осуществляется контроль

Контроль осуществляется:

117) отсутствует

Статья 138. Сферы деятельности субъектов предпринимательства, в которых осуществляется контроль

Контроль осуществляется:

 

117) за соблюдением законодательства Республики Казахстан о персональных данных и их защите

 

В целях наделения уполномоченного органа в сфере защите персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.

Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.

 

Закон Республики Казахстан «О государственных услугах» от 15 апреля 2013 года
  1.  

Новый подпункт 6) пункта 2 статьи 19-1

Статья 19-1. Отказ в оказании государственных услуг услугодателями

6) отсутствует

Статья 19-1. Отказ в оказании государственных услуг услугодателями

6) в случае отказа услугополучателя на доступ к персональным данным ограниченного доступа, которые требуются для оказания государственной услуги.

В целях реализации принципов законности и прозрачности персональные данные должны быть получены с согласия субъекта данных. В этой связи ведутся работы по внедрению Сервиса обеспечения безопасности персональных данных, посредством которого предоставляется разрешение на сбор и обработку в случае подтверждения личности субъекта персональных данных.

Это позволит гражданам контролировать использование их персональных данных путем разрешения или отказа в доступе к ним.

Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года
  1.  

Подпункт 11-2) статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

2-1) отсутствует

11-2) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;

Статья 1. Основные понятия, используемые в настоящем Законе

2-1) реестр операторов – электронный информационный ресурс, содержащий сведения об операторах, обрабатываемых ими персональных данных и условиях сбора, обработки перснальных данных, формируемый на основании уведомлений о факте, начале или прекращении сбора и обработки персональных данных;

11-2) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников, уполномоченного органа и (или) операторов с субъектом, включая получение (отзыв) от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам;

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях функционал Сервиса дополняется модулями по формированию Реестра согласия, реестра операторов, а также функцией по направлению жалобы уполномоченному органу в случае нарушения прав субъектов.
  1.  

Абзац 3 статьи 6

Статья 6. Доступность персональных данных

 

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

 

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

 

      В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

 

      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

 

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

 

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

 

      Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

Статья 6. Доступность персональных данных и особенности сбора, обработки персональных данных из общедоступных источников

 

1. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

 

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

 

2. Распространение персональных данных в общедоступных источниках, а также сбор, обработка и распространение персональных данных из общедоступных источников допускается при наличии согласия субъекта или его законного представителя.

 

Требования настоящего пункта не распространяются на случаи выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, по публикации информации, подлежащей к обязательному раскрытию.

 

3.      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя,  уполномоченного органа либо по решению суда.

 

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

 

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

 

4. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

 

 

В КИБ поступает большое количество жалоб на различные интернет-ресурсы (www.adata.kz, www.fa-fa.kz, телеграмм-бот «ShtrafKZBOT» и т.п.), касающиеся незаконной публикации персональных данных.

В ходе проведенного анализа установлено, что источниками получения публикуемых ими персональных данных являются государственные органы размещающие на общедоступных интернет-ресурсах открытые данные в соответствии с требованиями законодательства.

Вышеописанные обстоятельства поспособствовали частным интернет-ресурсам создать собственную базу данных и распространять их посредством сервиса проверки физических лиц по ФИО и ИИН, в том числе на возмездной основе.

Данные нормы необходимы для пресечения сбора и выгрузки, использования персональных данных, опубликованных в общедоступных источниках.

 
  1.  

Пункт 1 статьи 7

Статья 7. Условия сбора, обработки персональных данных

1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона.

Статья 7. Условия сбора, обработки персональных данных

1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона, а также при условии уведомления уполномоченного органа в соответствии со статьей 7-1 настоящего Закона.

 

Данная инициатива поддержана Межведомственной комиссией при Совете Безопасности РК по вопросам информационной безопасности 19.06.2020 г.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.
  1.  

Новый пункт 6 статьи 7

Статья 7. Условия сбора, обработки персональных данных

6. отсутствует

Статья 7. Условия сбора, обработки персональных данных

6. Сбор и обработка персональных данных, не соответствующие условиям, предусмотренным  пунктами 1-5 настоящей статьи, являются незаконными.

В целях обеспечения законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.
  1.  

Новая статья 7-1

Статья 7-1.  Отсутствует

Статья 7-1. Уведомление о факте, начале или прекращении сбора и обработки персональных данных

 

1. Оператор до начала сбора,  обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган.

Данное требование не распространяется на сбор и обработку персональных данных производимых в случаях, предусмотренных статьей 9 настоящего Закона.

2. Уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся собственником и (или) оператором в порядке, установленном законодательством о разрешениях и уведомлениях.

3. Уведомление о факте, начале или прекращении сбора и обработки персональных данных содержит следующие сведения:

  1. наименование (фамилия, имя, отчество (при наличии)), адрес оператора;
  2. дата начала сбора и обработки персональных данных;
  3. срок или условие прекращения сбора и обработки персональных данных;
  4. наименование персональных данных;
  5. категории субъектов, персональные данные которых собираются и обрабатываются;
  6. цель сбора и обработки персональных данных;
  7. правовое основание для сбора и обработки персональных данных;
  8. перечень действий с персональными данными;
  9. сведения о наличии или об отсутствии трансграничной передачи персональных данных;
  10. описание принимаемых мер по защите персональных данных;
  11. сведения о месте нахождения базы, содержащей персональные данные;
  12. контактные данные (номера телефонов, почтовые адреса и адреса электронной почты) лица ответственного за организацию обработки персональных данных.

4. На основании сведений, представленных в уведомлении о факте, начале или прекращении сбора и обработки персональных данных уполномоченный орган формирует реестр операторов.

Сведения, содержащиеся в реестре операторов, являются общедоступными.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.
  1.  

Пункт 1 статьи 8

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или посредством сервиса обеспечения безопасности персональных данных.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

 
  1.  

Пункт 3 статьи 8

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

     …

3. Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале «электронного правительства», сервис обеспечения безопасности персональных данных, а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      …

   3. исключить

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

 
  1.  

Новые пункты 4, 5, 6 статьи 8

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

4. отсутствует.

5. отсутствует.

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

4. Предоставление доказательства получения согласия субъекта на сбор и обработку персональных данных или доказательства наличия оснований, предусмотренных статьей 9 настоящего Закона, возлагается на оператора.

5. Согласие на сбор, обработку персональных данных дается посредством четкого утвердительного действия, при помощи которого субъект или его законный представитель демонстрирует добровольное, определенное и однозначное согласие на обработку относящихся к нему (доверителю) персональных данных.

6. Согласие на сбор и обработку персональных данных включает сведения о действиях оператора с персональными данными, в том числе:

1) наименование (фамилия, имя, отчество (при наличии)), адрес оператора;

2) перечень персональных данных, на сбор и обработку которых дается согласие субъекта или его законного представителя;

3) цель сбора и обработки персональных данных;

4) перечень действий с персональными данными, на совершение которых дается согласие, в том числе передача третьим лицам;

5) срок, в течение которого действует согласие на сбор, обработку персональных данных, а также срок хранения персональных данных.

Если сбор и обработка служит нескольким целям, согласие должно быть дано для каждой из них.  

Для распространения в общедоступных источниках,  трансграничной передачи персональных данных необходимо предоставление отдельного согласия субъекта.

В целях обеспечения законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.
  1.  

Новая статья 8-1

Статья 8-1.

Отсутствует

Статья 8-1. Сервис обеспечения безопасности персональных данных

  1. Посредством Сервиса обеспечения безопасности персональных данных обеспечивается:
  1. предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;
  2. отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных;
  3. прием уведомлений о факте, начале или прекращении сбора и обработки персональных данных;
  4. ведение реестра операторов персональных данных;
  5. подача субъектами уполномоченному органу жалобы на действия (бездействия) операторов при реализации прав субъектов;
  6. предоставление субъекту информации о действиях с его персональными данными.
    1.  Собственники и (или) операторы обеспечивают интеграцию собственных информационных систем, задействованных в процессах сбора и обработки персональных данных, с Сервисом обеспечения безопасности персональных данных с соблюдением норм  законодательства по предоставлению сведений,   отнесенных к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам.      

Порядок интеграции с Сервисом обеспечения защиты персональных данныхопределяется уполномоченным органом и правилами интеграции объектов информатизации «электронного правительства».

  1. При интеграции обеспечивается доступ к сведениям необходимым для полноценного функционирования Сервиса обеспечения защиты персональных данных, в том числе о:

инициаторах запросов на доступ (сбор и обработку) к персональным данным;

субъектах, в отношении которых осуществлялись запросы;

перечне персональных данных, содержащихся в запросе;

целях и основаниях инициирования запросов;

действиях над персональными данными (изменение, дополнение, передача, блокирование, уничтожение).

В целях обеспечения полноценного функционирования Сервиса необходимо законодательно предусмотреть обязательную интеграцию с Сервисом, перечень сведений, передаваемых при интеграции.
  1.  

Статья 9

Статья 9. Сбор, обработка персональных данных без согласия субъекта

Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

9-1) получения органами государственных доходов для осуществления налогового администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

9-2) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;

10) в иных случаях, установленных законами Республики Казахстан.

Статья 9. Сбор, обработка персональных данных без согласия субъекта

Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

6) осуществления законной профессиональной деятельности журналиста при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

10) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

11) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;

 

 

 

 

 

 

 

 

 

 

 

 

12) получения информации для рассмотрения обращений физических и юридических лиц в целях реализации и защиты их прав, свобод и законных интересов в порядке, установленном законодательством об административных процедурах;

 

13) получения адвокатами сведений, необходимых для осуществления адвокатской деятельности в порядке, установленном законодательством Республики Казахстан об адвокатской деятельности и юридической помощи;

 

14) получения сведений должностными лицами государственных органов при проведении контроля и надзора за проверяемыми субъектами в соответствии с Предпринимательским Кодексом Республики Казахстан;

 

15) рассмотрения административных дел уполномоченными органами в соответствии с Кодексом Республики Казахстан «Об административных правонарушениях»;

 

16) предоставления банками информации, сведений и документов в соответствии с Законом Республики Казахстан «О банках и банковской деятельности»;

 

17) предоставления медицинскими работниками, осуществляющими законную деятельность, персональных медицинских данных в соответствии с  законодательством Республики Казахстан в области здравоохранения;

 

18) получения государственным органом, осуществляющим противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма,  информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

В целях соблюдения принципов открытости и гласности необходимо определить полный перечень исключений, когда государственные органы и организации вправе собирать и обрабатывать персональные данные без согласия граждан, и сосредоточить их в одном законодательном акте.

Кроме того, требуется исключить случаи, когда осуществление сбора без согласия граждан необоснованно.
  1.  

Пункт 2 статьи 10

Статья 10. Доступ к персональным данным

2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан

Статья 10. Доступ к персональным данным

2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или через Сервис обеспечения безопасности персональных данных.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

 
  1.  

Пункт 4 статьи 10

 Статья 10. Доступ к персональным данным

4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства» или сервиса обеспечения безопасности персональных данных.

 Статья 10. Доступ к персональным данным

4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через сервис обеспечения безопасности персональных данных.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях функционал Сервиса дополняется модулями по формированию Реестра согласия, реестра операторов, а также функцией по направлению жалобы уполномоченному органу в случае нарушения прав субъектов.
  1.  

Пункт 1 статьи 15

Статья 15. Распространение персональных данных

 

      1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц.

 

 

Статья 15. Распространение персональных данных

 

      1. Распространение персональных данных допускается при условии согласия субъекта, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

 

  

В целях пресечения незаконного распространения персональных данных
  1.  

 

Статья 18. Уничтожение персональных данных

 

Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

 

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

 

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

 

      3) при вступлении в законную силу решения суда;

 

      4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

Статья 18. Уничтожение персональных данных

Персональные                                          данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

 

1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

 

2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

 

3) при вступлении в законную силу решения суда;

 

3-1) при выявлении незаконного сбора и обработки персональных данных;

 

4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

В целях обеспечения прекращения обработки персональных данных собранных неправомерно.
  1.  

Пункт 1 статьи 22

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

 

1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с порядком, определяемым Правительством Республики Казахстан, обеспечивающие:

.

5) отсутствует.

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

 

1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым Правительством Республики Казахстан, обеспечивающие:

;

5) регистрацию и учет всех действий, совершаемых с персональными данными.

 
  1.  

Подпункт 5) пункта 1 статьи 24

Статья 24. Права и обязанности субъекта

 

1. Субъект имеет право:

5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

Статья 24. Права и обязанности субъекта

 

1. Субъект имеет право:

5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

В целях приведения в соответствие со статьей 6 настоящего Закона.
  1.  

 

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

1-1) отсутствует;

3-1) отсутствует;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

 

 1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных, а также локальные акты, подтверждающие  соблюдение обязательств, предусмотренных настоящим Законом;

3-1) предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения собственником и (или) оператором требований  настоящего Закона;

 
  1.  

Подпункт 6) пункта 2 статьи 25

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

6) сообщать информацию, относящуюся к субъекту, в течение пяти рабочих дней со дня получения обращения субъекта или его законного представителя;

В целях устранения коллизий с ЗРК «О порядке рассмотрения обращений физических и юридических лиц».

Обращения по предоставлению
  1.  

Подпункт 7) пункта 2 статьи 25

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

2. Собственник и (или) оператор обязаны:

7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ;

В целях устранения коллизий с ЗРК «О порядке рассмотрения обращений физических и юридических лиц».

Обращения по предоставлению
  1.  

Новые подпункты 1-1) и 1-2) статьи 27-1

 

 

 

 

Статья 27-1. Компетенция уполномоченного органа

Уполномоченный орган в пределах своей компетенции:

1-1) Отсутствует;

1-2) Отсутствует;

1-3) Отсутствует;

1-4) Отсутствует;

6-1) Отсутствует;

7-2) Отсутствует;

 

 

Статья 27-1. Компетенция уполномоченного органа

Уполномоченный орган в пределах своей компетенции:

1-1) осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите;

 

1-2) направляет для исполнения предписания при выявлении нарушений требований законодательства Республики Казахстан о персональных данных и их защите;

 

1-3) осуществляет прием уведомлений от собственников и (или) операторов о факте, начале или прекращении сбора и обработки персональных данных, а также ведение государственного электронного реестра разрешений и уведомлений в соответствии с Законом Республики Казахстан «О разрешениях и уведомлениях»;

 

1-4) ведет реестр операторов;

6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;

7-2) утверждает правила функционирования и использования Сервиса обеспечения защиты персональных данных;

 

 

В целях наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах.
  1.  

Новая статья 27-2

Статья 27-2. Отсутствует.

Статья 27-2. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите

 

Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме проверок и профилактического контроля в соответствии с Предпринимательским кодексом Республики Казахстан.

В целях наделения уполномоченного органа в сфере защите персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.

Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.

Закон Республики Казахстан «О разрешениях и уведомлениях» от 16 мая 2014 года
  1.  

Приложение 3 к Закону РК

«О раз-решениях и уведомлениях»

ПЕРЕЧЕНЬ уведомлений

1. Уведомление о начале или прекращении деятельности по проведению морских научных исследований

59. Отсутствует

ПЕРЕЧЕНЬ уведомлений

1. Уведомление о начале или прекращении деятельности по проведению морских научных исследований

59. Уведомление о факте, начале или прекращении сбора и обработки персональных данных

Данная инициатива поддержана Межведомственной комиссией при Совете Безопасности РК по вопросам информационной безопасности 19.06.2020 г.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.
  1.  

Новый подпункт 1-2) статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

….

1-2) отсутствует

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

….

1-2) автоматический режим проверки заявителя и выдачи разрешения – режим, при котором рассмотрение заявления производится без участия ответственного лица разрешительного органа.

В настоящее время уровень информационно-коммуникационных технологий позволяет проводить проверку заявителя квалификационным или разрешительным требованиям на основе алгоритмов, заложенных в систему, без участия человека. В целях закрепления такого порядка выдачи разрешений, а также  регламентации сферы защиты персональных данных, целесообразно  внесение дополнений в Закон РК «О разрешениях и уведомлениях» ввиду этого вводится соответствующее понятие и ряд других норм, направленных на его регулирование.
  1.  

Новый подпункт 2-2) статьи 15

Статья 15. Компетенция уполномоченного органа в сфере информатизации

      К компетенции уполномоченного органа в сфере информатизации относятся:

….

2-2) отсутствует

Статья 15. Компетенция уполномоченного органа в сфере информатизации

      К компетенции уполномоченного органа в сфере информатизации относятся:

….

2-2) разрабатывает и утверждает перечень разрешений, по которым проверка заявителя квалификационным или разрешительным требованиям и выдача разрешения либо мотивированного отказа осуществляются в автоматическом режиме в  государственной информационной системе разрешений и уведомлений;

В настоящее время уровень информационно-коммуникационных технологий позволяет проводить проверку заявителя квалификационным или разрешительным требованиям на основе алгоритмов, заложенных в систему, без участия человека. В связи с этим для определения видов разрешений, в которых проверка заявителя и выдачи разрешения проводится в автоматическом режиме, необходимо уполномоченному органу в сфере информатизации определить перечень таких видов разрешений.
  1.  

Новый пункт 7 статьи 48

Статья 48. Осуществление лицензирования, разрешительных процедур и уведомлений в электронной форме

….

7. отсутствует

 

Статья 48. Осуществление лицензирования, разрешительных процедур и уведомлений в электронной форме

….

7. Допускается осуществление проверки заявителя квалификационным или разрешительным требованиям и выдача разрешения в автоматическом режиме в  государственной информационной системе разрешений и уведомлений.

В этом случае результат соответствующей государственной услуги удостоверяется электронной цифровой подписью владельца  государственной информационной системы разрешений и уведомлений. При этом ответственность за результат государственной услуги несет разрешительный орган.

Перечень разрешений, по которым проверка заявителя квалификационным или разрешительным требованиям и выдача разрешения либо мотивированного отказа осуществляются в автоматическом режиме в  государственной информационной системе разрешений и уведомлений, определяется уполномоченным органом в сфере информатизации на основании утвержденного нормативно-правового акта разрешительного органа.

В настоящее время уровень информационно-коммуникационных технологий позволяет проводить проверку заявителя квалификационным или разрешительным требованиям на основе алгоритмов, заложенных в систему, без участия человека. В связи с этим закрепляется вышеназванная возможность проверки заявителя и выдачи разрешений в автоматическом режиме по определенному уполномоченным органом в сфере информатизации перечню разрешений. При этом, поскольку автоматическая проверка заявителя и выдача разрешений проводится в  государственной информационной системе разрешений и уведомлений подписание соответствующего разрешения осуществляется ЭЦП владельца данной системы, но ответственность за результат соответствующей государственной услуги сохраняется за разрешительными органами.

Закон Республики Казахстан «О доступе к информации» от 16 ноября 2015 года
  1.  

Подпункт 8) статьи 1

   Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

8) информация с ограниченным доступом – информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, а также служебная информация с пометкой "Для служебного пользования";

   Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

8) информация с ограниченным доступом – информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, персональные данные ограниченного доступа, а также служебная информация с пометкой «Для служебного пользования»;

В целях недопущения публикации персональных данных в общедоступных ресурсах и их использования в целях причинения вреда субъектам персональных данных необходимо отнести их в соответствии с ЗРК о персональных данных и их защите к информации ограниченного доступа.

 

 

 

 

 

 

Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года
  1.  

Пункт 24) статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

24) критически важные объекты информационно-коммуникационной инфраструктуры - объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, «электронного правительства»;

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

24) критически важные объекты информационно-коммуникационной инфраструктуры – объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к незаконному сбору и обработке персональных данных, ограниченного доступа и иных сведений, содержащих охраняемую законом тайну, к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, «электронного правительства».

 

 

Во исполнение протокольного поручения Главу государства по улучшению защиты персональных данных на совещании по вопросам цифровизации (рег.№), в целях повышения эффективности организационных, правовых, технических и контрразведывательных мер по защите персональных данных ограниченного доступа и охраняемых законодательством Казахстана тайн предлагается объекты информационно-коммуникационной инфраструктуры, осуществляющие сбор, обработку, хранение, поиск, передачу и защиту такого рода информации признать критически важными объектами информационно-коммуникационной инфраструктуры. Признание таких объектов информационно-коммуникационной инфраструктуры критически важными позволит распространить на них действующие механизмы, предусмотренные законодательством Казахстана на критически важные объекты информационно-коммуникационной инфраструктуры.
  1.  

Новый подпункт статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

46-2) отсутствует

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

46-2) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных факторов, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

В ходе правоприменительной практики выявлено множество случаев доступа к персональным данным лиц, не имевших право на доступ. Такие случаи были возможны по причине того, что для доступа к ЭИР, содержащим персональные данные, достаточно было знать логин и пароль сотрудника, имевшего законный доступ к ним.

В целях усиления мер по предотвращению несанкционированного доступа к персональным данным, содержащимся на электронных информационных ресурсах, необходимо предусмотреть многофакторную аутентификацию. Данная мера существенно снижает риски несанкционированного доступа. 
  1.  

Подпункт 70 статьи 1

   Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

 70) кабинет пользователя на веб-портале «электронного правительства» – компонент веб-портала «электронного правительства», предназначенный для официального информационного взаимодействия физических и юридических лиц с государственными органами по вопросам оказания услуг в электронной форме, вопросам обращения к субъектам, рассматривающим обращения указанных лиц, а также использования персональных данных;

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

 70) кабинет пользователя на веб-портале «электронного правительства» – компонент веб-портала «электронного правительства», предназначенный для официального информационного взаимодействия физических и юридических лиц с государственными органами по вопросам оказания услуг в электронной форме, вопросам обращения к субъектам, рассматривающим обращения указанных лиц.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.
  1.  

Пункт 1 статьи 36

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

      1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа.

      К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных или на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.

      К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан.

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

      1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа.

      К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных и на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.

      К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан.

При доступе к информационным системам, содержащим персональные данные ограниченного доступа, применяется многофакторная аутентификация.

В ходе правоприменительной практики выявлено множество случаев доступа к персональным данным лиц, не имевших право на доступ. Такие случаи были возможны по причине того, что для доступа к ЭИР, содержащим персональные данные, достаточно было знать логин и пароль сотрудника, имевшего законный доступ к ним.

В целях усиления мер по предотвращению несанкционированного доступа к персональным данным, содержащимся на электронных информационных ресурсах, необходимо предусмотреть многофакторную аутентификацию. Данная мера существенно снижает риски несанкционированного доступа. 
  1.  

Новый пункт статьи 36

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

  1. отсутствует

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

  1. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите при формировании и защите электронных информационных ресурсов, содержащих персональные данные, осуществляется уполномоченным органом в сфере защиты персональных данных.

В целях наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах.
  1.  

Пункт 3 статьи 26

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

  3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется в форме электронного документа или иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      Субъект персональных данных также вправе давать согласие на сбор и обработку персональных данных посредством зарегистрированного на веб-портале «электронного правительства» его абонентского номера сотовой связи путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

 

4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

  3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется через Сервис обеспечения безопасности персональных данных.

Абзац 2 пункта 3 статьи 36 исключить.

4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через Сервис обеспечения безопасности персональных данных в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

 

  • 5
  • Министерство цифрового развития, инноваций и аэрокосмической промышленности РК
  • 1 3
  • 772
    • Посмотреть отчет
Посмотреть отчет

Комментарий

"Кесарев Консалтинг" жауапкершілігі шектеулі серіктестігі

СРАВНИТЕЛЬНАЯ ТАБЛИЦА... посмотреть текст 06/04 - 16:45 / Подписаться

сравнительная таблица с предложениями ТОО Кесарев Консалтинг


Прикреплённые файлы:     Kesarev_Proposals_PD_20210406 short.docx

"Кесарев Консалтинг" жауапкершілігі шектеулі серіктестігі

по внесению изменений в законодательные акты Респу... посмотреть текст 06/04 - 16:44 / Подписаться

предложения ТОО Кесарев Консалтинг


Прикреплённые файлы:     Кесарев_Письмо в КИБ_20210406.docx

СЕЙТИМОВ ТОЛЬЖАН

по внесению изменений в законодательные акты Респу... посмотреть текст 01/04 - 22:01 / Подписаться

Статья 145 ГК РК изложена в новой редакции, при этом учитывают аналогию ГК РК. Считаю что пп.3) это установлено законодательными актами - необходимо исключить т.к. данный пункт является отсылочной нормой, и как в ГК РФ включить вместо него пп. 3) использование изображения осуществляется в государственных, общественных или иных публичных интересах; К примеру: для публикации изображения на цветной фотографии административного государственного служащего входящего в состав руководства на официальном сайте государственного органа где он работает необходимо его согласие (официальное разъяснение АГС), но поступая на государственную службу гражданин являясь государственным служащим он занимает государственную должность в государственном органе и осуществляет должностные полномочия в целях реализации задач и функций государства. Т.е. считаю так как гражданин осуществляет должностные полномочия в целях реализации задач и функций государства то его согласия не требуется для публикации его изображения в государственных интересах. Таким образом, одним из обосновании указана аналогия ГК РФ, необходимо привести ее согласно аналогии.

КРАЙБЕКОВ ЧИНГИЗ

№ Структурный элемент Ре... посмотреть текст 27/03 - 18:05 / Подписаться

В ст.6(3) закона "О персональных данных и их защите" вредная поправка. Что плохого в том, что частные сервисы создают собственную базу данных и предоставляют услуги, в том числе на возмездной основе? Во всем мире такие сервисы существуют (см. DNB, СПАРК Интерфакс и др.). Такие частные базы, наоборот, позволяют не связываться с недобросовестными лицами, уменьшают риски стать жертвой мошенников и т.п.

ГИНАТУЛЛИН ТИМУР

№ Структурный элемент Ре... посмотреть текст 25/03 - 20:56 / Подписаться

По статье 145: поддерживаю. Эта норма позволит проще выполнять общественный контроль работы частных компаний.