Новые обязанности для IT компаний с 1 июля 2024 года. Теперь утечка персональных данных не останется без обязательного уведомления о случившемся их собственника со стороны государства. Legal Alert. Апрель 2024 год.
С 1 июля 2024 в Казахстане вступают в силу нормы устанавливающие новые обязательства для участников IT рынка Казахстана, а также обязательный порядок уведомления собственника персональных данных о нарушении его прав.
11 декабря 2023 года был принят Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII.
Согласно статье 2 Закон вводится в действие по истечении 60 календарных дней после дня его первого официального опубликования (т.е. с 13 февраля 2024) года.
В то же время, указанная статья также предусматривает, что некоторые пункты Закона вводятся в действие с 1 июля 2024 года. Так что же изменится с 1 июля 2024 года и какие новые обязательства начнут действовать?
· подпункт 8) пункта 2 статьи 25 Закона Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года:
С 1 июля 2024 года собственник и (или) оператор базы персональных данных в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных (ПД) обязаны уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).
Таким образом, исходя из указанного пункта, среди прочего, в случаях, к примеру, обнаружения утечки ПД либо иного несанкционированного доступа к ПД компания, осуществляющая их хранение, обработку и сбор обязана в течение 1 дня уведомить МЦРИАП РК.
Думается, что у участников рынка возникают правильные вопросы, относительно того: что считать моментом обнаружения нарушения безопасности ПД? В какой форме и виде направляется такое уведомление в МЦРИАП РК? А самое главное, какие меры ответственности будут приниматься к тем, которые указанные требования не выполнят либо выполнят не вовремя?
· Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года:
С 1 июля 2024 года Оперативный центр информационной безопасности (и Служба реагирования на инциденты информационной безопасности) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных оповещает уполномоченный орган в сфере защиты персональных данных (МЦРИАП РК) о таком нарушении.
Кроме того, изменения в Закон об информатизации также предусматривают, что Оператор (т.е. АО «Национальные информационные технологии») на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных (т.е. МЦРИАП РК), осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.
Таким образом, резюмируя предстоящие изменения с 1 июля 2024 года те компании, которые осуществляют сбор, обработку, хранение и иные манипуляции с ПД казахстанцев обязаны сообщить МЦРИАП РК о нарушениях безопасности в отношении ПД в течение 1 рабочего дня.
Кроме того, насколько мы видим из положений законодательства, в итоге, информация о случившемся с ПД физического лица будет донесена до него путем уведомления со стороны АО «Национальные информационные технологии».
С учетом указанного выше, казахстанским компаниям следует обратить существенное внимание на выполнение требований закона о защите персональных данных. Серьезно отнестись к данному вопросу, так как не исключено, что при получении подобных уведомлений, многие казахстанцы для целей защиты своих прав могут обратиться не только в уполномоченные органы, но и суд.
Чингис Оралбаев
Юрист Solis Law Firm
+ 7 702 945 06 21 (WhatsApp)
Применимые ссылки:
1. Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года (https://adilet.zan.kz/rus/docs/Z1500000418#z1172);
2. Закон Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года (https://adilet.zan.kz/rus/docs/Z1300000094);
3. Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII (https://adilet.zan.kz/rus/docs/Z2300000044#z204).
Comments 0
Login to leave a comment