Дербес деректерді қорғау

«Жеке деректер және оларды қорғау туралы» Қазақстан Республикасының Заңы (139 KB)

 

«Қазақстанның CYBERSCHIELD» тұжырымдамасының мақсаты – ғаламдық бәсекелестік жағдайында Қазақстан Республикасының орнықты дамуын қамтамасыз ететін, сыртқы және ішкі қатерлерден электрондық ақпараттық ресурстардың, ақпараттық жүйелер мен ақпараттық-коммуникациялық инфрақұрылымның қауіпсіздігі деңгейіне қол жеткізу және қолдау.

Деректерді қорғаудың жалпы ережесі (дербес деректерді өңдеу ережелері) Еуропалық Одақтың 28 елінде тікелей заң болып табылады. Жалпы ережелерге сүйене отырып, Қазақстанда жеке деректерді қорғау жөніндегі ұйым (Деректерді қорғау агенттігі) жұмыс істейді.

«Жеке деректерді қорғау және оларды қорғау туралы» Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V Заңының (бұдан әрі – Заң) 1-бабының 2-тармақшасына сәйкес (бұдан әрі – Заң) дербес деректер – бұл жеке мәліметтер субъектісіне жататын немесе олардың негізінде анықталатын ақпарат. электрондық, қағазға және (немесе) басқа материалдық тасымалдағыштарға орнатылады. Жеке мәліметтердің субъектісі, Заң тұрғысынан (16-тармақ, 1-тармақ, 1-бап) жеке мәліметтер қатысты болатын тұлға болып табылады. Сонымен қатар, жеке деректер ретінде танылатын ақпарат тізбесі Заңның өзімен реттелмейді. Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 «Меншік иесінің және (немесе) оператордың өздеріне жүктелген міндеттерді орындау үшін қажет және жеткілікті дербес деректердің тізбесін айқындау ережесін бекіту туралы» қаулысы мемлекеттік органдардың дербес деректер тізімдерін бекітті. Жеке мәліметтердің бірыңғай тізімі Резолюциямен бекітілмеген. Сондай-ақ, тармақтарға сәйкес. 1) Заңның 25-бабының 2-тармағында меншік иесі және (немесе) оператор өздеріне жүктелген міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін бекітуге міндетті.

 

Осылайша, әр меншік иесі және (немесе) оператор өздеріне жүктелген міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін дербес анықтайды (мысалы, Қазақстан Республикасы Әділет министрлігінің тізімі 68 тармақтан тұрады, ал Ауыл шаруашылығы министрлігі 18 тармақтан тұрады).

Қазақстан Республикасының 2015 жылғы 23 қарашадағы № 414-V Еңбек кодексінде (бұдан әрі – Кодекс) еңбек шартын жасасуға қажетті бірқатар құжаттар бар (32-бап), оларға мыналар кіреді:

1) жеке куәлік немесе паспорт (он алты жасқа толмаған адамдардың туу туралы куәлігі). Оралмандарға жергілікті атқарушы органдар берген оралман куәлігі;

2) тұруға ықтиярхаты немесе азаматтығы жоқ адамның куәлігі (шетелдіктер мен азаматтығы жоқ адамдар үшін) немесе босқын туралы куәлік;

3) тиісті білім, машықтарды қажет ететін жұмысқа еңбек шартын жасасқан кезде білімі, біліктілігі, арнайы білімі немесе кәсіби дайындығы туралы құжат;

4) жұмысқа орналасқандығын растайтын құжат (еңбек өтілі бар адамдар үшін);

5) алдын-ала медициналық тексеруден өткендігі туралы құжат (осы Кодекске және Қазақстан Республикасының өзге де нормативтік құқықтық актілеріне сәйкес осындай тексеруден өтуге міндетті тұлғалар үшін) және т.б. Осы құжаттарға қойылатын талап жұмыс берушінің жауапкершілігінде (3-тармақ, 2-тармақ). Кодекстің 23), сондай-ақ қызметкердің жеке деректерін жинау, өңдеу және қорғау. Алайда, дербес деректерді жинау және өңдеу субъектінің немесе оның заңды өкілінің келісімімен (жазбаша түрде, электрондық құжат нысанында немесе қорғау тәсілдерінің элементтерін қолданумен басқа жолмен) жүзеге асырылады. Сондықтан жұмыс беруші қызметкерден жеке деректерді жинауға және өңдеуге жазбаша келісімін алуы керек.

Заң жалпыға қол жетімді жеке деректер мен шектеулі деректерді ажыратады. Алайда, жалпыға қол жетімді деректер көздерінің мысалдары ғана келтірілген, бірақ ондай мәліметтер жоқ. Жалпыға қол жетімді дереккөздерге өмірбаяндық анықтамалықтар, телефон және мекен-жай кітаптары, көпшілік қол жетімді электрондық ақпараттық ресурстар және бұқаралық ақпарат құралдары кіреді.

«Ақпараттандыру туралы» Қазақстан Республикасының 2015 жылғы 24 қарашадағы № 418-V Заңына сәйкес (бұдан әрі – Ақпараттандыру туралы заң) көпшілік қол жетімді жеке деректерді қамтитын электрондық ақпараттық ресурстарға қол жеткізуге болатын дербес деректерді қамтитын электрондық ақпараттық ресурстар кіреді. жеке мәліметтер субъектісінің келісімімен немесе Қазақстан Республикасының заңнамасына сәйкес құпиялылық талаптары қолданылмайтын ақысыз. Қазақстан Республикасы Үкіметінің 2016 жылғы 26 ақпандағы № 117 қаулысымен мемлекеттік электрондық ақпараттық ресурстарға енгізілген жеке тұлғалардың дербес деректерінің тізімі бекітілді, оған тегі, аты, әкесінің аты (аты-жөнінің транскрипциясы), туу туралы мәліметтер (туған жылы мен туған жері), азаматтығы, азаматтығы (бұрынғы азаматтығы); Қазақстан Республикасының азаматтығын алған / жоғалған күні), жеке сәйкестендіру нөмірі (ЖСН), портрет суреті жеке басын куәландыратын құжат (атауы, нөмірі, берілген күні, құжаттың қолданылу, берген органның) мәліметтері, (сандық фотосуреті) туралы, қолы, заңды мекен-жайы, тіркеу (қайта тіркеу) күні заңды мекен-жайы.

Мемлекеттік электрондық ақпараттық ресурстарға қол жетімділік:

1) мемлекеттік құпияларды немесе заңмен қорғалатын өзге де құпияларды қоспағанда, нормативтік құқықтық актілер;

2) төтенше жағдайлар, табиғи және технологиялық апаттар, ауа-райы, санитарлық-эпидемиологиялық және азаматтардың, елді мекендердің және өндірістік объектілердің қауіпсіздігін қамтамасыз ету және өмір сүру үшін қажетті басқа да жағдайлар туралы ақпарат;

3) мемлекеттік органдардың қызметі туралы ресми ақпарат;

4) мемлекеттік органдардың, кітапханалардың, архивтердің және басқа ұйымдардың ашық ақпараттық жүйелерінде жинақталған ақпарат (ақпараттандыру туралы заңның 35-бабының 5-тармағы).

«Ақпаратқа қол жеткізу туралы» Қазақстан Республикасының 2015 жылғы 16 қарашадағы № 401-V Заңына сәйкес шектеулі ақпарат мемлекеттік құпия, жеке, отбасылық, медициналық, банктік, коммерциялық және заңмен қорғалатын өзге де құпия болып табылатын ақпарат болып табылады. сондай-ақ «Қызметтік пайдалану үшін» деген қызметтік ақпарат.

Жоғарыда айтылғандарға сүйене отырып, көпшілікке қол жетімді жеке деректер мемлекеттік органдардың, кітапханалардың, мұрағаттардың және басқа ұйымдардың көпшілікке қол жетімді ақпарат көздерінде болатын және / немесе болуы мүмкін ақпаратты таниды және оған қол жеткізуді жеке деректердің иесі шектемейді, бірақ қол жетімділігі шектеулі дербес деректермен растайды деп қорытынды жасауға болады. басқа адамдар жүзеге асырған кезде белгілі болған және таратуға жатпайтын ақпарат.

Қазақстан Республикасы Қорғаныс және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті жеке деректерді қорғау туралы заңнаманы бұзған жағдайда Қазақстандағы жеке және заңды тұлғалардың құқықтарын түсіндірді.

ҚР АХАТ Ақпараттық қауіпсіздік комитеті осы баптың 2-тармағына сәйкес түсіндіреді Қазақстан Республикасының «Жеке деректер және оларды қорғау туралы» Заңының 20-ына сәйкес, жеке деректерді жинау және өңдеу олар қорғалатын жағдайларда ғана жүзеге асырылады.

Сонымен қатар, Өнерге сәйкес. «Ақпараттандыру туралы» Қазақстан Республикасы Заңының 56-бабына сәйкес жеке деректері бар электрондық ақпараттық ресурстарды алған ақпараттық жүйелердің иелері мен иелері осы заңға және Қазақстан Республикасындағы қолданыстағы стандарттарға сәйкес оларды қорғау шараларын қабылдауға міндетті. Бұл міндеттеме дербес деректері бар электрондық ақпараттық ресурстарды алған сәттен бастап, оларды жою немесе иесіздендіруге дейін туындайды.

Бұл тармақтарға сәйкес екендігі атап өтілді. 1 сағ. 1 ас қасық. «Әкімшілік құқық бұзушылық туралы» Қазақстан Республикасы Кодексінің 641-бабында, оларды қорғау жөніндегі іс-шаралар туралы дербес деректері бар ақпараттық жүйелер иесінің немесе иесінің бұзуы немесе тиісінше орындамағаны үшін әкімшілік жауапкершілік қарастырылған (Қазақстан Республикасы Ақпарат және коммуникациялар министрлігінің құзыреті).

Сондай-ақ, Қазақстан Республикасының Қылмыстық кодексінде, егер бұл әрекет жеке тұлғалардың құқықтары мен заңды мүдделеріне елеулі залал келтірсе, азаматтардың немесе басқа да жеке тұлғалардың деректері бар электрондық ақпараттық ресурстарды заңсыз таратуға алып келсе, мұндай шараларды қолдану міндеттемесі жүктелген адамның жеке деректерін қорғау жөніндегі шараларды орындамағаны үшін бірқатар қылмыстық құқық бұзушылықтар қарастырылған. Қазақстан Республикасының заңнамасымен немесе олардың иесімен немесе иесімен шектелген ақпаратқа қол жетімділік (147 және 211-баптар).

Өнердің 3-тармағына сәйкес. Қазақстан Республикасының Кәсіпкерлік кодексінің 144, тексерілетін субъектілерді жоспардан тыс тексеру үшін негіз болып құқықтары бұзылған жеке және заңды тұлғалардың (тұтынушылардың) өтініштері, жеке және заңды тұлғалардың өміріне, адам денсаулығына, қоршаған ортаға және жеке және заңды тұлғалардың заңды мүдделеріне зиян келтіру қаупінің туындауы туралы нақты фактілер бойынша өтініштері табылады. құқықтары бұзылған жеке және заңды тұлғалардың (тұтынушылардың) өтініштері мен мемлекеттік органдардың өтініштерін қоспағанда.

Осылайша, жеке деректерді таратуға байланысты құқықтары бұзылған жеке және заңды тұлғалар Қазақстан Республикасы Ақпарат және коммуникациялар және ішкі істер министрлігіне тиісті өтінішпен жүгінуге құқылы.

Мемлекеттік органдарда және квазимемлекеттік сектордағы деректерді (оның ішінде жеке деректерді) қорғау үшін ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласында (бұдан әрі – ЭТ) бірыңғай талаптар қолданылады.

 

Жеке өмір біздің гипермен байланысты әлемде жаңа өлшемдерге жетеді. Жеке деректерді қорғау үшін әлемдегі жетекші үш халықаралық стандарттардың бірі болып табылатын IEC, ISO және ITU жаңа нұсқаулықтары әзірленді.

Жоғары сапалы ақпараттардың таралуының ұлғаюы әлемнің барлық елдерін саясат пен реттеуші реформаларға қатысуға мәжбүр етті. Ең танымал мысалдардың бірі – 2018 жылдың мамыр айында күшіне енген Еуропалық Одақтың Деректерді қорғаудың жалпы ережесі.

Денсаулық сақтау және қаржы қызметі сияқты секторларды цифрлық қайта құру жағдайында дербес деректерді қорғауға қажеттілік жедел артып келеді. Көптеген ұйымдар дербес деректерді өңдеумен айналысады және олардың көлемін арттырумен айналысады.

ISO / IEC 29151 | ITU-T X.1058 үкіметтер мен сауда үшін бастапқы нүкте болып табылады, өйткені ол жеке мәліметтерді жақсартылған қорғауға кепілдік береді. Құжат деректерді қорғаудың мақсаттары туралы, ақпаратты қорғауды бақылау мен басқарудың қажетті шараларын анықтайтын ақпаратты, сондай-ақ оларды іске асыру бойынша ұсыныстарды қамтиды. Стандарт сондай-ақ осындай бақылау шаралары талаптарға, белгілі бір тәуекелдерді бағалауға және жеке деректерді қорғауға байланысты ұйымдардың әсеріне қалай сәйкес келетінін көрсетеді.

Стандарт жеке деректерді қорғауға қатысты қосымша ұсыныстармен бірге ISO / IEC 27002 (ақпараттық қауіпсіздік шаралары туралы ережелер жиынтығына) негізделген. Мысалдарға жеке деректерді өңдейтін қызметкерлер үшін ұсынылған басқару құрылымдары, тиісті заңдар мен ережелерді түсіндіру үшін құқықтық топтармен тиімді ынтымақтастық ниетіне сәйкес жеке деректерді өңдейтін қызметкерлер үшін ұсынылған басқару құрылымдары жатады.

Сонымен қатар, ISO / IEC 29151 | қосымшасында ITU-T X.1058 құрамында «келісім мен таңдау» және байланысты «дербес деректерді басқарушылардың қатысуы» сәйкес келетін басқару мақсаттары бар дербес деректердің кеңейтілген тізімі бар, яғни. деректері анықталатын адамдар. Бұл жеке деректерді сақтаудың орындылығы туралы ұсынымдар беретін және «жинауды шектеуді» қалайтын, сонымен бірге «деректерді барынша азайтуға» және ұйымдастырушылық саясаттың «ашықтығы мен ашықтығына» бағытталған ұсынымдар беретін «заңды мақсаттар» сияқты.

ISO / IEC 29151 | ITU-T X.1058 ISO / IEC JTC 1 / SC 27, қауіпсіздік техникасы бойынша ISO / IEC сараптамалық тобымен және ITU-T 17 зерттеу тобымен, байланыс технологияларын пайдалану кезінде сенімділік пен қауіпсіздік атмосферасын құруға жауап беретін бірлесіп жасалған.

ISO / IEC 29151 стандартын ISO немесе IEC мүшесінен сатып алуға болады.

 


01/08/2019 181