С 1 июля 2024 в Казахстане вступают в силу нормы устанавливающие новые обязательства для участников IT рынка Казахстана, а также обязательный порядок уведомления собственника персональных данных о нарушении его прав.

11 декабря 2023 года был принят Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII.

Согласно статье 2 Закон вводится в действие по истечении 60 календарных дней после дня его первого официального опубликования (т.е. с 13 февраля 2024) года.

В то же время, указанная статья также предусматривает, что некоторые пункты Закона вводятся в действие с 1 июля 2024 года. Так что же изменится с 1 июля 2024 года и какие новые обязательства начнут действовать?

·         подпункт 8) пункта 2 статьи 25 Закона Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года: 

С 1 июля 2024 года собственник и (или) оператор базы персональных данных в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных (ПД) обязаны уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).

Таким образом, исходя из указанного пункта, среди прочего, в случаях, к примеру, обнаружения утечки ПД либо иного несанкционированного доступа к ПД компания, осуществляющая их хранение, обработку и сбор обязана в течение 1 дня уведомить МЦРИАП РК.

Думается, что у участников рынка возникают правильные вопросы, относительно того: что считать моментом обнаружения нарушения безопасности ПД? В какой форме и виде направляется такое уведомление в МЦРИАП РК? А самое главное, какие меры ответственности будут приниматься к тем, которые указанные требования не выполнят либо выполнят не вовремя?

·         Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года:

С 1 июля 2024 года Оперативный центр информационной безопасности (и Служба реагирования на инциденты информационной безопасности) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных оповещает уполномоченный орган в сфере защиты персональных данных (МЦРИАП РК) о таком нарушении.

Кроме того, изменения в Закон об информатизации также предусматривают, что Оператор (т.е. АО «Национальные информационные технологии») на основании информации, полученной от уполномоченного органа в сфере защиты персональных данных (т.е. МЦРИАП РК), осуществляет уведомление субъектов персональных данных о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в кабинет пользователя на веб-портале «электронного правительства» или на их абонентский номер сотовой связи в виде короткого текстового сообщения.

Таким образом, резюмируя предстоящие изменения с 1 июля 2024 года те компании, которые осуществляют сбор, обработку, хранение и иные манипуляции с ПД казахстанцев обязаны сообщить МЦРИАП РК о нарушениях безопасности в отношении ПД в течение 1 рабочего дня.

Кроме того, насколько мы видим из положений законодательства, в итоге, информация о случившемся с ПД физического лица будет донесена до него путем уведомления со стороны АО «Национальные информационные технологии».

С учетом указанного выше, казахстанским компаниям следует обратить существенное внимание на выполнение требований закона о защите персональных данных. Серьезно отнестись к данному вопросу, так как не исключено, что при получении подобных уведомлений, многие казахстанцы для целей защиты своих прав могут обратиться не только в уполномоченные органы, но и суд.

Чингис Оралбаев

Юрист Solis Law Firm

+ 7 702 945 06 21 (WhatsApp) 

Применимые ссылки:

1.    Закон Республики Казахстан «Об информатизации» № 418-V ЗРК от 24 ноября 2015 года (https://adilet.zan.kz/rus/docs/Z1500000418#z1172);

2.    Закон Республики Казахстан «О персональных данных и их защите» N 94-V от 21 мая 2013 года (https://adilet.zan.kz/rus/docs/Z1300000094);

3.    Закон Республики Казахстан «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам информационной безопасности, информатизации и цифровых активов» № 44-VIII (https://adilet.zan.kz/rus/docs/Z2300000044#z204).