В частности, правила изложены в новой редакции.
Правила определяют порядок осуществления собственником или оператором, а также третьим лицом мер по защите персональных данных.
Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами РК не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.
Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством республики.
Собственник или оператор, а также третье лицо осуществляют выделение бизнес-процессов, содержащих персональные данные.
При выделении бизнес-процессов определяются виды деятельности собственника или оператора, а также третьего лица, при которых осуществляется сбор и обработка персональных данных.
В частности, определяется перечень лиц, осуществляющих сбор и обработку персональных данных, либо имеющих к ним доступ. А также утверждают документы, определяющие порядок в отношении сбора, обработки и защиты персональных данных.
При этом назначают лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.
Действие настоящего пункта не распространяется на обработку персональных данных в деятельности судов.
Лицо, ответственное за организацию обработки персональных данных, обязано:
- осуществлять внутренний контроль за соблюдением собственником или оператором и его работниками законодательства республики о персональных данных и их защите, в том числе требований к защите персональных данных;
- доводить до сведения работников собственника и (или) оператора положения законодательства РК о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
- осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
Собственник, оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с законом и данными правилами, обеспечивающие:
- предотвращение несанкционированного доступа к персональным данным;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
- минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;
- предоставление доступа государственной технической службе к цифровым объектам, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в цифровых ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в цифровых ресурсах в порядке, определяемом уполномоченным органом.
- регистрацию и учет действий, предусмотренных подпунктами 3, 4, 5 и 6 пункта 4 статьи 8 Закона.
При взаимодействии с государственными цифровыми объектами, содержащими персональные данные собственник или оператор обеспечивают интеграцию собственных цифровых объектов с государственным сервисом контроля доступа к персональным данным.
В течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных указанные лица осуществляют уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).
Собственник и оператор при обработке персональных данных ограниченного доступа:
- устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями;
- определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта. Блокирование персональных данных осуществляется до принятия решения по обращению субъекта;
- оповещают уполномоченный орган об инцидентах кибербезопасности, связанных с незаконным доступом к персональным данным ограниченного доступа. Оповещение осуществляется для принятия мер по предотвращению дальнейшего незаконного доступа к персональным данным;
- обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа для обеспечения безопасности обработки персональных данных;
- обеспечивают ведение журнала событий систем управления базами для регистрации событий, связанных с обработкой персональных данных ограниченного доступа;
- обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа для учета действий при работе с персональными данными ограниченного доступа;
- применяют средства контроля целостности персональных данных ограниченного доступа для предотвращения несанкционированного изменения персональных данных;
- обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных для предотвращения несанкционированного доступа;
- обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа.
Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту РК СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".
Подпункт не распространяется на случаи трансграничной передачи данных.
- применяют средства идентификации или аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.
Обязанность применения идентификации или аутентификации пользователей распространяется исключительно на лиц, имеющих доступ к базе персональных данных.
Сбор и обработка персональных данных ограниченного доступа осуществляются посредством цифровых объектов, размещенных на территории РК.
Хранение персональных данных, содержащихся в цифровых ресурсах, осуществляется собственником или оператором, а также третьим лицом в базе, находящейся в серверном помещении или центре обработки данных, расположенном на территории республики, с принятием необходимых мер по защите персональных данных.
Приказ вводится в действие с 12 июля 2026 года.