О внесении изменений и дополнений в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ "Об утверждении Правил сбора, обработки персональных данных"

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 31 марта 2022 года № 102/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 31 марта 2022 года № 27344

Действующий

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ "Об утверждении Правил сбора, обработки персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 21498) следующие изменения и дополнения:

      в Правилах сбора, обработки персональных данных, утвержденных указанным приказом:

      пункты 1 и 2 изложить в следующей редакции:

      "1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок сбора, обработки персональных данных.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      3) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      4) сбор персональных данных – действия, направленные на получение персональных данных;

      5) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      6) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      7) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      8) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      9) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      10) негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      11) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      12) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.";

      пункт 4 изложить в следующей редакции:

      "4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.

      Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.";

      дополнить пунктами 4-1, 4-2, 4-3 и 4-4 в следующей редакции:

      "4-1. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

      4-2. Требования пункта 4-1 настоящих Правил не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

      4-3. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 4-1 и 4-2 настоящих Правил, при условии наличия ссылки на источник информации.

      4-4. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.";

      пункт 6 изложить в следующей редакции:

      "6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

      При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.";

      пункт 8 изложить в следующей редакции:

      "8. Согласие на сбор и обработку персональных данных включает:

      1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;

      2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;

      3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

      4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;

      5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

      6) сведения о распространении персональных данных в общедоступных источниках;

      7) перечень собираемых данных, связанных с субъектом персональных данных.";

      дополнить пунктом 17-1 в следующей редакции:

      "17-1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.";

      пункт 24 изложить в следующей редакции:

      "24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.

      "Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные пунктами 1 и 3 статьи 76 Административного процедурно-процессуального кодекса Республики Казахстан.";

      пункт 27 изложить в следующей редакции:

      "27. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

      3) при вступлении в законную силу решения суда;

      4) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона.".

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на официальном интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего Вице-министра Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Б. Мусин