В соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые Правила сбора, обработки персональных данных.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет – ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице – министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
|
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан |
Б. Мусин |
| Утверждены приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ |
Правила сбора, обработки персональных данных
Глава 1. Общие положения
1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон) и определяют порядок сбора, обработки персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
3) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
4) сбор персональных данных – действия, направленные на получение персональных данных;
5) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;
6) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
7) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;
8) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
9) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
10) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
11) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;
12) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
13) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
14) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
15) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
16) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
17) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;
18) веб-портал "электронного правительства" – информационная система, представляющая собой единое окно доступа ко всей консолидированной правительственной информации, включая нормативную правовую базу, и к государственным услугам, услугам по выдаче технических условий на подключение к сетям субъектов естественных монополий и услугам субъектов квазигосударственного сектора, оказываемым в электронной форме.
3. Настоящие Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных.
4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных статьей 9 Закона.
Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.
5. Сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее – Перечень персональных данных).
Перечень персональных данных определяется и утверждается в соответствии с Правилами, определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214.
6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
7. Сбор и обработка персональных данных осуществляется при условии обеспечения мер по защите персональных данных в соответствии Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденными постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909.
Глава 2. Сбор персональных данных
8. Для сбора персональных данных собственник и (или) оператор, а также третье лицо запрашивают у субъекта согласие на сбор, обработку отнесенных к нему персональных данных в порядке, определяемом настоящими Правилами.
В соответствии с пунктом 3 статьи 8 Закона субъект вправе дать согласие на сбор персональных данных через кабинет пользователя на веб-портале "электронного правительства", сервис обеспечения безопасности персональных данных, а также посредством зарегистрированного на веб-портале "электронного правительства" абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала "электронного правительства".
При запросе у субъекта персональных данных, необходимо соответствие их наименований, целей их сбора и обработки наименованиям, целям сбора и обработки указанным в Перечне персональных данных.
9. Субъект согласно пункту 2 статьи 24 Закона обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
Глава 3. Обработка персональных данных
Параграф 1. Накопление и хранение персональных данных
10. Накопление персональных данных производится в соответствии с главой 2 настоящих Правил, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
11. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан.
12. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.
Параграф 2. Изменение и дополнение персональных данных
13. Субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами.
14. Собственник и (или) оператор в течение одного рабочего дня изменяет и (или) дополняет персональные данные на основании соответствующих документов, подтверждающих их достоверность.
15. Субъект имеет право знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения.
При этом для получения информации субъектом или его законным представителем направляется обращение (запрос) собственнику и (или) оператору либо третьему лицу письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
16. Собственник и (или) оператор сообщает информацию, относящуюся к субъекту, в течение 3 (трех) рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан.
В случае отказа в предоставлении информации субъекту или его законному представителю, собственник и (или) оператор в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан.
Параграф 3. Использование, распространение и обезличивание персональных данных
17. Использование персональных данных осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых Перечнем персональных данных.
18. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.
19. Персональные данные обезличиваются для проведения статистических, социологических, научных, маркетинговых исследований.
20. Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим законодательству Республики Казахстан способом обезличивания, позволяющим решать поставленные задачи обработки персональных данных.
21. Процедура обезличивания персональных данных исключает возможность обратного восстановления исходных персональных данных.
Возмещение расходов собственника и (или) оператора либо третьего лица на обезличивание персональных данных осуществляется за счет лица, запросившего обезличенные персональные данные, если иное не будет определено соглашением с собственником и (или) оператором либо третьим лицом.
22. Описание процедуры обезличивания обеспечивает однозначную трактовку проводимых действий по обезличиванию персональных данных и включает алгоритмы обезличивания и характеристики процедуры, связанные с качеством обезличенных данных, ее трудоемкостью, стойкость к различным атакам.
23. Персональные данные и обезличенные данные хранятся отдельно при использовании собственником и (или) оператором, а также третьим лицом процедуры обезличивания.
Параграф 4. Блокирование и уничтожение персональных данных
24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.
Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные Законом Республики Казахстан от 12 января 2007 года "О порядке рассмотрения обращений физических и юридических лиц".
В случае выявления фактов нарушения условий сбора, обработки персональных данных, а также подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, уполномоченный орган требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных, или полученных незаконным путем персональных данных, а также приведения в соответствие с законодательством процедур сбора и обработки персональных данных.
25. В случае наличия информации о нарушении условий сбора, обработки персональных данных, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных.
Персональные данные, сбор и обработка которых произведены собственником и (или) оператором, а также третьим лицом с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан, по требованию субъекта подлежат уничтожения.
26. Собственник и (или) оператор в течение одного рабочего дня блокируют персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки.
Собственник и (или) оператор в течение одного рабочего дня уничтожают персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.
27. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:
1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;
2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;
3) при вступлении в законную силу решения суда;
4) в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан.
28. Уничтожение персональных данных осуществляется путем удаления информации либо уничтожения материальных носителей персональных данных.
Параграф 5. Обработка персональных данных в деятельности судов
29. Тексты судебных актов Верховного Суда Республики Казахстан, местных и других судов Республики Казахстан, за исключением текстов судебных актов, предусматривающих положения, которые содержат сведения, составляющие государственную или иную охраняемую законом тайну, а также судебные акты по делам, рассмотренным в закрытом судебном разбирательстве, размещаются на сервисах "Судебный кабинет", "Банк судебных актов" интернет-ресурса Верховного Суда Республики Казахстан в полном объеме.
30. В целях обеспечения безопасности участников судебного процесса и защиты охраняемой законом тайны при сборе и использовании либо распространении третьими лицами судебных актов Верховного Суда Республики Казахстан, местных и других судов Республики Казахстан, из них исключаются (обезличиваются) персональные данные. При этом третьи лица принимают на себя обязательства по обеспечению выполнения требований Закона.
Персональными данными применительно к судебным актам являются:
1) фамилии, имена и отчества, дата и место рождения, место жительства или пребывания, номера телефонов, реквизиты паспорта или иного документа, удостоверяющего личность, индивидуальный идентификационный номер – физического лица, идентификационный номер налогоплательщика – физического лица, состоящего на регистрационном учете в качестве индивидуального предпринимателя участников судебного процесса;
2) сведения о месте нахождения земельного участка, здания, сооружения, жилого дома, квартиры, транспортного средства, иные сведения об имуществе и о находящихся в банках или иных кредитных организациях денежных средствах участников судебного процесса, если эти сведения относятся к существу дела.
31. В отдельных случаях, в целях защиты личных прав и законных интересов участников судопроизводства, общий доступ интернет-ресурса Верховного Суда Республики Казахстан к персональным данным, содержащимся в судебных актах и протоколах судебных заседаний по конкретным делам, рассмотренным в открытом производстве, ограничивается по обращению участника судопроизводства, а также по решению Председателя и председателей коллегий Верховного Суда Республики Казахстан, председателей областных и приравненных к ним судов.