Бесплатный чек-лист и диагностика деятельности по сбору и обработке персональных данных на соответствие законодательству Казахстана

Бесплатный чек-лист и диагностика деятельности по сбору и обработке персональных данных на соответствие законодательству Казахстана

Цель настоящей заметки – подготовить для предпринимателей чек-лист с перечнем требований по сбору и обработке персональных данных, которые каждый предприниматель должен имплементировать в свои бизнес-процессы.  А обязательств у предпринимателей в данной сфере достаточно много.

Летом 2020 г. дважды вносились изменения, дополнения в Закон РК «О персональных данных и их защите» («Закон о персональных данных»). Дополнения возлагают ряд новых обязательств на предпринимателей. Одно из дополнений – назначить лицо, ответственное за организацию обработки персональных данных в компании (требование только для юридических лиц).

Кроме новых обязательств, есть и «старые» обязательства по обработке персональных данных, о которых предприниматели могут забыть. В 2013 г. утверждены Правила осуществления собственником, оператором, третьим лицом мер по защите персональных данных. Большая часть названных правил – это общие положения, которые повторяют Закон о персональных данных, но ряд конкретных мер по защите персональных данных указанные правила содержат.

В чек-листе ниже мы приводим требования законодательства, которые должны быть выполнены предпринимателями независимо от сферы деятельности.   

Отметим, что наши юристы готовы провести бесплатную диагностику документации по сбору и обработке персональных данных Вашей компании на предмет выполнения нижеперечисленных требований законодательства. Детальная информация об условиях бесплатной диагностики изложена ниже.

Требование

НПА

Комментарий

Утвердить перечень персональных данных, необходимых и достаточных для выполнения задач предприятия

Пункт 1 ст. 12 и ст. 25 Закона о персональных данных и Постановление Правительства РК № 1214 от 12 ноября 2013 г.

В нормативных актах детально описана процедура, каким образом данный перечень персональных данных должен быть утвержден. Процедура должна быть формализована документами компании, например, приказом о назначении ответственного лица за подготовку проекта перечня персональных данных или договором с консультантами на подготовку такого перечня

Разработать письмо-согласие на сбор и обработку персональных данных

Статьи 7 и 8 Закона о персональных данных

Письмо-согласие может быть имплементировано в Политику по сбору и обработке персональных данных. В таком случае, перед тем как дать согласие, индивидуум должен ознакомиться с названной политикой.  Полученные письма-согласия предприниматели должны хранить для подтверждения того, что согласие на обработку данных было дано

Утвердить Политику по обеспечению конфиденциальности персональных данных

Вытекает из ряда положений НПА, в т.ч. из ст. 11 Закона о персональных данных, а также из Постановления Правительства РК № 909 от 3 сентября 2013 г.

Нормативные акты указывают, что компании должны обеспечивать конфиденциальность персональных данных, соблюдать условия хранения носителей с персональными данными, назначить перечень лиц, ответственных за реализацию мер по обеспечению конфиденциальности. Указанные и другие меры должны быть зафиксированы в политиках компании, иначе невозможно наладить и соблюдать указанные процедуры.   Данная политика может быть шире и описывать не только меры конфиденциальности персональных данных, но и иные процессы сбора и обработки данных

Определить места хранения персональных данных, носители и установить перечень лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ

Постановление Правительства РК № 909 от 3 сентября 2013 г.

 

Эти положения могут быть частью политики по обеспечению конфиденциальности персональных данных

Назначить лицо, ответственное за организацию обработки персональных данных

Статья 25 Закона о персональных данных

Новое требование закона. Данное лицо имеет основную функцию – осуществлять контроль за соблюдением законодательства о персональных данных  

 

Утвердить политику по осуществлению контроля за соблюдением компанией и его работниками законодательства о персональных данных

Вытекает из ст. 25 Закона о персональных данных

Данное требование не является прямым, но вытекает из закона. Закон о персональных данных возлагает на лицо, ответственное за организацию обработки персональных данных, определенные функции. Процедуры, которые позволят выполнять данные функции, необходимо разработать, описать, а потом реализовывать

 

Отметим, что ответственность за незаконный сбор и (или) обработку персональных данных, а также несоблюдение мер по защите персональных имела место и ранее, как административная, так и уголовная ответственность. Решение о привлечении к административной ответственности за указанные правонарушения ранее принимал суд. Сейчас определен государственный орган РК, который будет осуществлять функции регулятора отношений, связанных с обработкой персональных данных – это Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан («Министерство цифрового развития»). Министерство цифрового развития наделено компетенцией привлекать к ответственности предпринимателей за нарушение законодательства о персональных данных.

Министерство цифрового развития будет также определять конкретные обязательства предпринимателей в сфере обработки персональных данных. Ожидается, что министерство разработает порядок осуществления мер по защите персональных данных, а также правила сбора и обработки персональных данных. О новом регулировании в данной сфере мы будем вас информировать. 

***

Компания TKL готова провести бесплатную диагностику ограниченного количества предпринимателей на предмет выполнения указанных требований законодательства. А именно, проанализировать документы компании на предмет содержат ли они необходимые процедуры, процессы, которые в компании должны быть имплементированы. Мы проверим также содержание письма-согласия на обработку персональных данных, а также способ получения согласия (посредством Интернет, мобильного приложения или другим образом) на предмет соответствия законодательству Казахстана.

Продуктом диагностики будут краткие рекомендации по устранению несоответствий законодательству Казахстана. Язык рекомендаций может быть выбран предпринимателем (английский или русский язык).  

В зависимости от нашей загруженности, мы можем в любой момент прекратить приём заявок. Внедрение рекомендаций/устранение нарушений законодательства в бесплатную диагностику не входит.

В случае возникновения вопросов, пожалуйста, свяжитесь с компанией TKL, мы будем рады быть полезными Вашему бизнесу. Просим Вас направлять заявки на бесплатную диагностику Наталии Шаповаловой по электронному адресу ns@tkl.kz, контактный номер: 8 701 768 64 27.