Настоящий обзор ограничен изменениями в правовом режиме оборота персональных данных и смежных вопросах, имеющих значение для IT-сектора. Соответствующие нормы сосредоточены преимущественно в пункте 37 закона – поправках в Закон РК "О персональных данных и их защите".
Основная часть положений вводится в действие по истечении шестидесяти календарных дней после первого официального опубликования. Ниже изложены ключевые нововведения по схеме "суть изменения – требуемые действия".
1. Введена обязанность уведомления уполномоченного органа (ст. 10-1).
Существо изменения. Закон вводит обязанность собственника, оператора и третьего лица уведомлять уполномоченный орган о начале и о прекращении обработки персональных данных. Уведомление содержит сведения о применяемых мерах защиты, дате начала обработки, передаче данных третьим лицам, наличии трансграничной передачи, перечне обрабатываемых данных и месте нахождения базы. В тридцатидневный срок уполномоченный орган вносит сведения в соответствующий реестр либо исключает их из него.
Сфера применения. Обязанность не является всеобщей. Малые и средние операторы от уведомления освобождены; требование распространяется на крупных операторов. Категория определяется по статье 25-1 (см. раздел 2).
Рекомендуемые действия. Определить категорию оператора. Крупным операторам – подготовить типовую форму уведомления и закрепить ответственное лицо. Форму и порядок установит уполномоченный орган подзаконным актом, выход которого следует отслеживать.
2. Введена классификация операторов по объему обрабатываемых данных (ст. 25-1).
Существо изменения. Операторы подразделяются на три категории в зависимости от числа уникальных субъектов персональных данных:
– малые – до 10 000 субъектов;
– средние – от 10 000 до 500 000;
– крупные – 500 000 и более.
Существенная оговорка. При обработке персональных данных ограниченного доступа (в частности, биометрических данных и сведений о состоянии здоровья) категория повышается на один уровень. Так, база, охватывающая восемь тысяч субъектов, формально относится к малым; однако при наличии в ней биометрических данных оператор переходит в категорию средних.
Правовое значение. От категории зависят как обязанность уведомления, так и состав требований к защите данных, подлежащих установлению уполномоченным органом.
Рекомендуемые действия. Провести инвентаризацию: определить общее число уникальных субъектов по всем базам и наличие данных ограниченного доступа. Этот расчет является исходным для всего режима комплаенса.
3. Законодательно закреплен перечень идентификаторов персональных данных (ст. 6).
Существо изменения. Введено понятие идентификатора персональных данных и установлен закрытый перечень относимых к нему сведений:
– фамилия, имя, отчество в совокупности;
– индивидуальный идентификационный номер;
– изображение лица субъекта;
– биометрический вектор лица и его производные, допускающие восстановление до первоначального значения.
Практическое значение для IT. Перечень прямо определяет, какие атрибуты в информационной системе квалифицируются как идентифицирующие и, следовательно, требуют согласия субъекта, защиты и контролируемого обращения. Положение имеет особое значение для систем распознавания лиц: биометрический вектор лица прямо отнесен к идентификаторам.
Рекомендуемые действия. Идентифицировать соответствующие атрибуты в базах данных и привести порядок их хранения, передачи и удаления в соответствие с требованиями закона.
4. Разграничены операции с данными: удаление, анонимизация, маскирование, хеширование (ст. 1, 18, 23).
Существо изменения. Закон вводит и определяет самостоятельные операции, ранее охватывавшиеся преимущественно понятием "уничтожение":
– удаление – исключение данных из цифрового объекта без возможности восстановления;
– анонимизация – необратимое преобразование, исключающее установление принадлежности данных субъекту;
– маскирование – замена части реальных данных недействительными или обезличенными;
– хеширование – преобразование данных в строку фиксированной длины в целях защиты.
Маскирование и хеширование в цифровых объектах отнесены к обязательным методам защиты (новая редакция ст. 23). Порядок их применения подлежит установлению уполномоченным органом.
Пределы права на удаление. Право субъекта на удаление не носит абсолютного характера: требование не подлежит исполнению в случаях, определенных пунктом 4 статьи 41 Цифрового кодекса РК. Оператор вправе ссылаться на установленные законом основания для отказа в удалении.
Рекомендуемые действия. Реализовать в информационных системах удаление и анонимизацию как самостоятельные функции с различными правовыми последствиями, а также маскирование и хеширование на уровне хранения. Заблаговременная реализация предпочтительнее доработки по предписанию регулятора.
5. Учреждены два государственных реестра (ст. 23-2, 27-1).
- Реестр лиц, осуществляющих обработку данных. Перечень собственников, операторов и третьих лиц, обрабатывающих персональные данные; формируется на основании уведомлений по статье 10-1.
- Реестр нарушений безопасности персональных данных. Ведется уполномоченным органом по сведениям, поступающим от структур кибербезопасности (оперативных и отраслевых центров, Государственного оперативного центра, Национального координационного центра кибербезопасности). Основанием для внесения сведений выступает факт несанкционированного доступа третьих лиц без согласия субъекта.
Правовое значение. Инцидент безопасности утрачивает характер внутреннего события организации: сведения о нем поступают в государственный реестр через каналы кибербезопасности независимо от позиции оператора. Это формирует прямой репутационный и регуляторный риск.
Рекомендуемые действия. Заблаговременно утвердить регламент реагирования на инциденты с распределением функций: фиксация факта нарушения, установление обстоятельств, направление уведомления по утвержденной форме.
6. Иные положения, значимые для IT-сектора.
- Хостинг-провайдеры (п. 44, ст. 13-5 Закона РК "О кибербезопасности"). Введена самостоятельная фигура хостинг-провайдера с прямыми обязанностями: информационное взаимодействие с Национальным координационным центром кибербезопасности, незамедлительное уведомление владельца ресурса о выявленном инциденте или уязвимости, защита собственной цифровой инфраструктуры.
- Кэширующие серверы и CDN (п. 25, Закон РК "О связи"). Введено понятие кэширующего сервера контента онлайн-платформы; операторы связи присоединяют такие серверы к своим сетям. Функционирование CDN на территории страны получает правовую регламентацию.
- Служебная информация об абонентах (п. 25, ст. 23-1 Закона РК "О связи"). Закреплен перечень служебной информации: абонентские номера, идентификаторы устройств, адреса в сети передачи данных, адреса обращения к интернет-ресурсам, протоколы. Отдельные положения реализуются в режиме пилотного проекта до 31 декабря 2027 года под контролем КНБ.
- Электронное резидентство (п. 29). Введены индивидуальный идентификационный номер е-резидента и программа электронного резидентства, позволяющая иностранному гражданину получить соответствующий статус удаленно, без физического присутствия, для доступа к финансовым, банковским и коммуникационным услугам.
Перечень мер для подготовки
1. Определить число уникальных субъектов в базах и установить категорию оператора (малый / средний / крупный).
2. Проверить наличие данных ограниченного доступа, повышающих категорию на уровень.
3. Крупным операторам – подготовить уведомление о начале и прекращении обработки данных.
4. Идентифицировать в системах атрибуты, отнесенные к идентификаторам по статье 6 (ФИО, ИИН, изображение и вектор лица).
5. Реализовать удаление, анонимизацию, маскирование и хеширование как самостоятельные функции.
6. Утвердить регламент реагирования на инциденты с учетом внесения нарушений в государственный реестр.
7. Хостинг-провайдерам – обеспечить взаимодействие с Национальным координационным центром кибербезопасности.
8. Отслеживать подзаконные акты: формы уведомлений, меры защиты по категориям, порядок маскирования и хеширования.
Материал подготовлен в информационных целях по состоянию на дату публикации и не является юридической консультацией. Применение приведенных норм к конкретным обстоятельствам требует отдельного анализа.