Бұл жазба автоматты түрде аударылған. Бастапқы тіл: Орысша
2024 жылдың 1 шілдесінен бастап Қазақстанда жаңаларын белгілейтін нормалар күшіне енеді Қазақстанның IT нарығына қатысушылар үшін міндеттемелер, сондай ақ құқық бұзушылық туралы дербес деректердің меншік иесін хабардар етудің міндетті тәртібі оның құқықтары.
2023 жылғы 11 желтоқсанда "енгізу туралы" Қазақстан Республикасының Заңы қабылданды Қазақстан Республикасының кейбір заңнамалық актілеріне өзгерістер мен толықтырулар ақпараттық қауіпсіздік, ақпараттандыру және цифрлық активтер мәселелері бойынша" № 44-VIII.
2 бапқа сәйкес заң күнтізбелік 60 күн өткеннен кейін қолданысқа енгізіледі алғашқы ресми жарияланған күнінен кейінгі күндер (яғни 2024 жылдың 13 ақпанынан бастап) жыл.
Сонымен қатар, аталған мақалада кейбір адамдар қарастырылған Заңның тармақтары 2024 жылғы 1 шілдеден бастап қолданысқа енгізіледі. Сонымен не өзгереді 2024 жылдың 1 шілдесінен бастап және қандай жаңа міндеттемелер күшіне енеді?
· туралы " Қазақстан Республикасы Заңының 25 - бабы 2-тармағының 8) тармақшасы Дербес деректер және оларды қорғау " N 94-V 2013 жылғы 21 мамырдағы:
2024 жылғы 1 шілдеден бастап Дербес деректер базасының меншік иесі және (немесе) операторы жеке тұлғалардың қауіпсіздігін бұзу анықталған сәттен бастап бір жұмыс күні ішінде деректер (ЖК) уәкілетті органды осындай бұзушылық туралы хабардар етуге міндетті өңдеуді ұйымдастыруға жауапты адамның байланыс деректерін көрсетумен Дербес деректер (бар болса).
Осылайша, көрсетілген тармаққа сүйене отырып, басқалармен қатар мысалы, ПД ағып кетуін немесе компания ПД-ға басқа рұқсатсыз кіруді анықтау, оларды сақтауды, өңдеуді және жинауды жүзеге асыратын адам 1 күн ішінде ҚР ЦДИАӨМ-ні хабардар етуге міндетті.
Нарық қатысушыларына қатысты дұрыс сұрақтар туындайды деп ойлаймын не: ПД қауіпсіздігінің бұзылуын анықтау сәті қандай? Қандай формада мұндай хабарлама ҚР ЦДИАӨМ-не жіберіледі? Ең бастысы, жоғарыда көрсетілгендерге қандай жауапкершілік шаралары қолданылады талаптар орындалмайды немесе уақытында орындалмайды?
· "Ақпараттандыру туралы" Қазақстан Республикасының Заңы № 2015 жылғы 24 қарашадағы 418-V ҚРЗ:
2024 жылдың 1 шілдесінен бастап ақпараттық қауіпсіздік жедел орталығы (және қызмет ақпараттық қауіпсіздік инциденттеріне ден қою) дербес деректердің қауіпсіздігін бұзу анықталған сәттен бастап жұмыс күні дербес деректерді қорғау саласындағы уәкілетті органды (ҚР ЦДИАӨМ) хабардар етеді мұндай бұзушылық туралы.
Сонымен қатар, өзгертулер Ақпараттандыру туралы Заң сонымен қатар Оператор (яғни, "Ұлттық ақпараттық технологиялар" АҚ) ақпарат негізінде, дербес деректерді қорғау саласындағы уәкілетті органнан (яғни ҚР ЦДИАӨМ)алынған, қауіпсіздіктің бұзылуы туралы Дербес деректер субъектілерін хабардар етуді жүзеге асырады дербес деректерді немесе дербес деректерді жолдау жолымен өңдеу туралы "электрондық үкімет"веб-порталындағы пайдаланушы кабинетіне ақпарат немесе қысқа мәтіндік хабарлама түрінде олардың ұялы байланысының абоненттік нөміріне.
Осылайша, 2024 жылдың 1 шілдесінен бастап алдағы өзгерістерді қорытындылай келе, сол компаниялар, Қазақстандықтардың ПД-мен жинауды, өңдеуді, сақтауды және өзге де манипуляцияларды жүзеге асыратын ҚР ЦДИАӨМ ЖҚ қатысты қауіпсіздіктің бұзылуы туралы хабарлауға міндетті 1 жұмыс күні ішінде.
Сонымен қатар, заңнаманың ережелерінен көріп отырғанымыздай, нәтижесінде ақпарат жеке тұлғаның ШЖҚ болған оқиға туралы оған АЖ хабарлау жолымен жеткізілетін болады "Ұлттық ақпараттық технологиялар" АҚ тараптары.
Жоғарыда көрсетілгендерді ескере отырып, қазақстандық компаниялар жеке тұлғаларды қорғау туралы Заңның талаптарын орындауға айтарлықтай назар аудару деректер. Бұл мәселеге байыпты қарау керек, өйткені бұл мүмкін емес көптеген қазақстандықтар өз құқықтарын қорғау мақсатында осындай хабарламалар ала алады тек уәкілетті органдарға ғана емес, сотқа да жүгіну керек.
Шыңғыс Оралбаев
Solis Law Firm Заңгері
+ 7 702 945 06 21 (WhatsApp)
Қолданылатын сілтемелер:
1. Заң Ақпараттандыру туралы "Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V ҚРЗ (https://adilet.zan.kz/rus/docs/Z1500000418#z1172);
2. Заң "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының 2013 жылғы 21 мамырдағы N 94-V жыл (https://adilet.zan.kz/rus/docs/Z1300000094);
3. Заң Қазақстан Республикасының заңнамасына өзгерістер мен толықтырулар енгізу туралы Қазақстан Республикасының ақпараттық мәселелер жөніндегі заңнамалық актілері қауіпсіздік, ақпараттандыру және цифрлық активтер" № 44-VIII (https://adilet.zan.kz/rus/docs/Z2300000044#z204).
С 1 июля 2024 в Казахстане вступают в силу нормы устанавливающие новые обязательства для участников IT рынка Казахстана, а также обязательный порядок уведомления собственника персональных данных о нарушении его прав.
11 декабря 2023 года был принят Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII.
Согласно статье 2 Закон вводится в действие по истечении 60 календарных дней после дня его первого официального опубликования (т.е. с 13 февраля 2024) года.
В то же время, указанная статья также предусматривает, что некоторые пункты Закона вводятся в действие с 1 июля 2024 года. Так что же изменится с 1 июля 2024 года и какие новые обязательства начнут действовать?
· подпункт 8) пункта 2 статьи 25 Закона Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года:
С 1 июля 2024 года собственник и (или) оператор базы персональных данных в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных (ПД) обязаны уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).
Таким образом, исходя из указанного пункта, среди прочего, в случаях, к примеру, обнаружения утечки ПД либо иного несанкционированного доступа к ПД компания, осуществляющая их хранение, обработку и сбор обязана в течение 1 дня уведомить МЦРИАП РК.
Думается, что у участников рынка возникают правильные вопросы, относительно того: что считать моментом обнаружения нарушения безопасности ПД? В какой форме и виде направляется такое уведомление в МЦРИАП РК? А самое главное, какие меры ответственности будут приниматься к тем, которые указанные требования не выполнят либо выполнят не вовремя?
· Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года:
С 1 июля 2024 года Оперативный центр информационной безопасности (и Служба реагирования на инциденты информационной безопасности) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных оповещает уполномоченный орган в сфере защиты персональных данных (МЦРИАП РК) о таком нарушении.
Кроме того, изменения в Закон об информатизации также предусматривают, что Оператор (т.е. АО «Национальные информационные технологии») на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных (т.е. МЦРИАП РК), осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.
Таким образом, резюмируя предстоящие изменения с 1 июля 2024 года те компании, которые осуществляют сбор, обработку, хранение и иные манипуляции с ПД казахстанцев обязаны сообщить МЦРИАП РК о нарушениях безопасности в отношении ПД в течение 1 рабочего дня.
Кроме того, насколько мы видим из положений законодательства, в итоге, информация о случившемся с ПД физического лица будет донесена до него путем уведомления со стороны АО «Национальные информационные технологии».
С учетом указанного выше, казахстанским компаниям следует обратить существенное внимание на выполнение требований закона о защите персональных данных. Серьезно отнестись к данному вопросу, так как не исключено, что при получении подобных уведомлений, многие казахстанцы для целей защиты своих прав могут обратиться не только в уполномоченные органы, но и суд.
Чингис Оралбаев
Юрист Solis Law Firm
+ 7 702 945 06 21 (WhatsApp)
Применимые ссылки:
1. Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года (https://adilet.zan.kz/rus/docs/Z1500000418#z1172);
2. Закон Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года (https://adilet.zan.kz/rus/docs/Z1300000094);
3. Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII (https://adilet.zan.kz/rus/docs/Z2300000044#z204).
Бөлісу
