Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909

Действующий

      Примечание РЦПИ!
      Вводится в действие с 25 ноября 2013 года.

      В соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
      1. Утвердить прилагаемые Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.
      2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

      Премьер-Министр
      Республики Казахстан                       С. Ахметов

Утверждены       
постановлением Правительства
Республики Казахстан   
от 3 сентября 2013 года № 909

Правила
осуществления собственником и (или) оператором, а также
третьим лицом мер по защите персональных данных

1. Общие положения

      1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее - Правила) разработаны в соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» (далее -Закон) и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.
      2. В настоящих Правилах используются следующие основные понятия:
      1) сбор персональных данных - действия, направленные на получение персональных данных;
      2) база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
      3) собственник базы, содержащей персональные данные (далее - собственник) - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
      4) оператор базы, содержащей персональные данные (далее - оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
      5) защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
      6) обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
      7) субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
      8) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

2. Порядок осуществления собственником и (или)
оператором, а также третьим лицом мер
по защите персональных данных

      3. Собственник и (или) оператор, а также третьи лица обеспечивают защиту персональных данных, которая гарантируется государством и принимают необходимые меры по защите персональных данных, обеспечивающие:
      1) предотвращение несанкционированного доступа к персональным данным;
      2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
      3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
      Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
      4. Сбор и обработка персональных данных осуществляется только в случаях обеспечения их защиты.
      5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
      2) обеспечения их целостности и сохранности;
      3) соблюдения их конфиденциальности;
      4) реализации права на доступ к ним;
      5) предотвращения незаконного их сбора и обработки.
      6. Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.
      7. Для обеспечения защиты персональных данных при их сборе и обработке, необходимо обособлять персональные данные от иной информации, в частности путем фиксации их на носителях.
      8. При сборе и обработке персональных данных необходимо определить места их хранения (носители) и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ.
      9. При хранении носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Меры, необходимые для обеспечения таких условий, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются собственником и (или) оператором, а также третьим лицом.