Правила работы государственного сервиса контроля доступа к персональным данным изменили в Казахстане

В частности, дополнен новыми терминами понятийный аппарат:

• токен аутентификации – электронный ключ, в виде набора определенного количества цифр и букв, предназначенный для дополнительной проверки подлинности инициатора и (или) оператора;
• банк – юридическое лицо, являющееся коммерческой организацией, которое в соответствии с законом "О банках и банковской деятельности в Республике Казахстан" правомочно осуществлять банковскую деятельность;

• инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

• услугодатель – центральные государственные органы, загранучреждения Республики Казахстан, местные исполнительные органы областей, городов республиканского значения, столицы, районов, городов областного значения, акимы районов в городе, городов районного значения, поселков, сел, сельских округов, а также физические и юридические лица, оказывающие государственные услуги в соответствии с законодательством Республики Казахстан;
• SMS-шлюз Единого контакт-центра "1414" информационной системы "Мобильное правительство" – компонент "электронного правительства" для отправления и приема SMS-сообщений;

• проактивная услуга – государственная услуга, оказываемая без заявления услугополучателя по инициативе услугодателя;

• оператор информационно-коммуникационной инфраструктуры "электронного правительства" (далее – оператор "электронного правительства") – юридическое лицо, определяемое правительством Республики Казахстан, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры "электронного правительства".

При соответствии информационных систем единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности процесс получения доступа к персональным данным осуществляется следующими способами:

• посредством отправки инициатором и (или) оператором запроса на доступ к персональным данным и получение ответа от субъекта SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (запрос/ответ через Единый контакт-центр "1414");
• посредством отправки инициатором и (или) оператором, в том числе банками и организациями, имеющими согласование с уполномоченным органом в сфере защиты персональных данных, запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора и (или) оператора о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (запрос/ответ средствами инициатора и (или) оператора);
• посредством отправки инициатором, оказывающим проактивные услуги, запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (запрос/ответ средствами инициатора, оказывающего проактивные услуги);
• посредством отправки инициатором запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (запрос/ответ в режиме протоколирования);
• посредством отправки инициатором и (или) оператором запроса в Государственный сервис в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом, отправленным через информационную систему "Мобильное правительство" на доступ к персональным данным и получение ответа в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом в Государственный сервис согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (запрос/ответ в Государственный сервис посредством SMS-сообщений, отправленных через информационную систему "Мобильное правительство").

Напомним, ранее были доступны только два способа:

• запрос/ответ через Единый контакт-центр "1414";
• запрос/ответ средствами инициатора и (или) оператора.

Детализирован процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора.

Так, процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги, состоит из получения инициатором согласия у субъекта на доступ к его персональным данным следующими способами:

• системы биометрии;
• электронные цифровые подписи;
• бумажные носители информации;
• отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом электронно-цифровой подписи (далее – эцп) в токене верификации и кода проактивной услуги (предоставляется инициатором);
• проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;
• проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;
• проверки государственным сервисом соответствия бизнес-идентификационного номера и кода проактивной услуги;
• проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;
• проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;
• проверки государственным сервисом даты формирования токена верификации;
• формирования государственным сервисом токена безопасности на период оказания проактивной услуги при прохождении всех проверок токена верификации;
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору;

Процесс получения доступа к персональным данным посредством запроса/ответа в режиме протоколирования, состоит из:

• отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом эцп в токене верификации (с пометкой об отсутствии полученного согласия) и кода из справочника оснований получения доступа к персональным данным без получения согласия субъекта персональным данных;
• проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;
• проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;
• проверки государственным сервисом бизнес-идентификационного номера на предмет возможности получения токена безопасности в режиме протоколирования;
• проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;
• проверки государственным сервисом даты формирования токена верификации;
• формирования государственным сервисом токена безопасности на период 15 минут при прохождении всех проверок токена верификации;
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляется посредством sms-сообщений, отправленных через информационную систему "мобильное правительство", и состоит из:

• отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;
• проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;
• при наличии запроса на доступ к персональным данным в процессе обработки государственный сервис отправляет статус "ожидание ответа от субъекта".
• при отсутствии запроса на доступ к персональным данным в процессе обработки государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к бмг.
• при отсутствии абонентского номера сети сотовой связи субъекта в бмг, субъект осуществляет регистрацию на веб-портале "электронного правительства".
• после получения абонентского номера сети сотовой связи субъекта от бмг государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через информационную систему "мобильное правительство";
• после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса государственного сервиса инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;
• отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через информационную систему "мобильное правительство";
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Запрос на доступ к персональным данным направляется в формате согласно Единым требованиям и содержит следующие данные:

• индивидуальный идентификационный номер субъекта;
• наименование организации, инициатора и (или) оператора;
• бизнес-идентификационный номер или индивидуальный идентификационный номер инициатора и (или) оператора;
• идентификационные данные работника (фамилия имя отчество, учетная запись, индивидуальный идентификационный номер) инициатора и (или) оператора или при запросе на доступ к персональным данным без участия работника инициатора и (или) оператора указывается наименование организации или наименование информационной системы;
• идентификатор справочника, сформированный государственным сервисом, который включает следующие данные, предоставленные инициатором и (или) оператором:

- наименование услуг, в рамках которых будет получен доступ к персональным данным;

- список идентификаторов сервисов "ServiceID" ШЭП;

- период оказания услуги;

- время хранения и обработки персональных данных;

• признак способа отправки запроса и получения ответа от субъекта;
• идентификатор справочника, сформированный государственным сервисом, с причинами получения согласия способами 3 и 4;
• токен верификации указывается при выборе способа 2,3 и 4 в соответствии с пунктом 4 настоящих правил;
• токен аутентификации;
• данные для проверки подлинности инициатора (логин/пароль или токен аутентификации).

При этом из данного перечня исключен токен верификации.

При получении согласия у субъекта способами, запрос/ответ средствами инициатора и (или) оператора и запрос/ответ средствами инициатора в рамках оказания проактивной услуги, инициатор и (или) оператор формирует запрос на доступ к персональным данным с отображением информации, к каким персональным данным будет предоставлен доступ и на какой период.

Также говорится, что полезная информация токена безопасности контроля доступа к персональным данным, помимо прочего, содержит уникальный идентификатор токена безопасности, сформированный государственным сервисом.

При получении запроса на доступ к персональным данным собственник извлекает из токена безопасности полезную информацию, используя открытый ключ ЭЦП, приложенную к запросу на доступ к персональным данным, и проверяет ее по следующим параметрам:

• соответствие индивидуального идентификационного номера в запросе на доступ к персональным данным и токене безопасности;
• наличие кодового наименования сервиса собственника в перечне кодовых наименований сервисов;
• дата и время получения запроса на доступ к персональным данным не менее даты и времени получения положительного ответа от субъекта при запросе/ответе через Единый контакт-центр "1414" или даты и времени формирования токена при запросе/ответе средствами инициатора и/или оператора;
• дата и время получения запроса на доступ к персональным данным не более даты и времени окончания действия токена безопасности;
• проверка открытого ключа ЭЦП, приложенной к запросу на доступ к персональным данным.
• проверка токена безопасности в государственном сервисе на предмет создания в государственном сервисе и отзыв со стороны субъекта. (новый)

Также поправками регламентирован процесс отзыва токена безопасности.

В частности, говорится, что запрос на отзыв токена безопасности формируется субъектом посредством систем "электронного правительства".

На основании запроса на отзыв токена безопасности государственный сервис формирует заявку на отзыв токена безопасности к инициатору и (или) оператору для рассмотрения;

Инициатор и (или) оператор рассматривает заявку на отзыв токена безопасности в течение 15 рабочих дней. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства согласно статье 8 Закона "О персональных данных и их защите";

При условии положительного рассмотрения инициатором и (или) оператором заявки на отзыв токена безопасности государственный сервис переводит токен безопасности в статус "не активный";

При условии отрицательного рассмотрения инициатором и (или) оператором заявки на отзыв токена безопасности инициатор и (или) оператор должны указать причины и основание отказа в отзыве токена безопасности;

В основании для отказа в отзыве токена безопасности указывается ссылка на нормативный документ, договор (номер, дата, наименование) или иное неисполненное обязательство;

При условии отсутствия рассмотрения инициатором и (или) оператором заявки на отзыв токена безопасности в течение 15 рабочих дней государственный сервис переводит токен безопасности в статус "не активный".

Приказ вводится в действие с 4 июля.

Мы рассказывали, что важно знать казахстанцам о государственном сервисе контроля доступа к персональным данным.