Министерством цифрового развития, инноваций и аэрокосмической промышленности РК разработан и вынесен на обсуждение проект приказа Об утверждении проверочного листа за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц, сообщает Учет.kz.
Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования, говорится в тексте приказа.
Обсуждение проекта Приказа продлится до 04 января 2024 года. Свои комментарии и замечания можно оставлять на портале "Открытые НПА".
Проверочный лист
за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц
Государственный орган, назначивший проверку ______________________________________________________________________________________________________________________
Акт о назначении проверки ____________________________________________________________________
№, дата
Наименование субъекта (объекта) контроля ______________________________________________________________________________________________________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный номер субъекта (объекта) контроля ____________________________________________________________________
Адрес места нахождения ______________________________________________________________________________________________________________________
|
№ |
Перечень требований |
Соответствует требованиям |
Не соответствует требованиям |
|
1 |
2 |
3 |
4 |
|
1. |
соблюдение условий сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников |
|
|
|
2. |
соблюдение порядка дачи (отзыва) согласия субъекта на сбор, обработку персональных данных |
|
|
|
3. |
соблюдение требований по доступу к персональным данным |
|
|
|
4. |
соблюдение требований по конфиденциальности персональных данных |
|
|
|
5. |
соблюдение требований по накоплению и хранению персональных данных |
|
|
|
6. |
соблюдение требований по изменению и дополнению персональных данных |
|
|
|
7. |
соблюдение требований по использованию персональных данных |
|
|
|
8. |
соблюдение требований по распространению персональных данных |
|
|
|
9. |
соблюдение требований по трансграничной передаче персональных данных |
|
|
|
10. |
соблюдение требований по обезличиванию персональных данных |
|
|
|
11. |
соблюдение требований по уничтожению персональных данных |
|
|
|
12. |
соблюдение требований по сообщению о действиях с персональными данными |
|
|
|
13. |
соблюдение обязанностей собственника и (или) оператора, а также третьего лица по защите персональных данных |
|
|
|
14. |
соблюдение требований по применению многофакторной аутентификаций при доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа |
|
|
|
15. |
соблюдение требований по утверждению перечня персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан |
|
|
|
16.
|
соблюдение требований по утверждению документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных |
|
|
|
17. |
соблюдение необходимых мер, в том числе правовых, организационных и технических, для защиты персональных данных в соответствии с законодательством Республики Казахстан |
|
|
|
18.
|
соблюдение требований по предоставлению по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона Республики Казахстан «О персональных данных и их защите» |
|
|
|
19.
|
соблюдение мер по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных Законом Республики Казахстан «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан |
|
|
|
20. |
соблюдение требований по представлению доказательства о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан |
|
|
|
21. |
соблюдение требований по обращению субъекта сообщению информации, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан |
|
|
|
22.
|
в случае отказа в предоставлении информации субъекту или его законному представителю соблюдение требований по представлению мотивированного ответа в сроки, предусмотренные законодательством Республики Казахстан |
|
|
|
23. 8 |
в течение одного рабочего дня соблюдение требований по: изменению и (или) дополнению персональных данных на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения; блокированию персональных данных, относящихся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки; уничтожению персональных данных в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом Республики Казахстан «О персональных данных и их защите» и иными нормативными правовыми актами Республики Казахстан; снятию блокирования персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных |
|
|
|
24. |
соблюдение требований по предоставлению безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту |
|
|
|
25. |
соблюдение требований по назначению лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами |
|
|
|
26. |
соблюдение требований по выделению бизнес-процессов, содержащих персональные данные |
|
|
|
27. |
соблюдение требований по разделению персональных данных на общедоступные и ограниченного доступа |
|
|
|
28. |
определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ |
|
|
|
29. |
установление порядка доступа к персональным данным |
|
|
|
30. |
утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных |
|
|
|
31. |
по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона. |
|
|
|
32. |
соблюдение требований по установлению целей обработки персональных данных ограниченного доступа |
|
|
|
33. |
соблюдение требований по определению порядка обработки, распространения и доступа к персональным данным ограниченного доступа |
|
|
|
34. |
соблюдение требований по определению порядка блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта |
|
|
|
35. |
соблюдение требований по определению переченя лиц, имеющих доступ к персональным данным ограниченного доступа |
|
|
|
36. |
соблюдение требований по оповещению уполномоченного органа в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа |
|
|
|
37. |
соблюдение требований по обеспечению установки средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа |
|
|
|
38. |
соблюдение требований по обеспечению ведения журнала событий систем управления базами |
|
|
|
39. |
соблюдение требований по обеспечению ведения журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа; |
|
|
|
40. |
соблюдение требований по применению средств контроля целостности персональных данных ограниченного доступа |
|
|
|
41. |
соблюдение требований по обеспечению передачи персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан |
|
|
|
42. |
соблюдение требований по выделению бизнес-процессов, содержащие персональные данные ограниченного доступа |
|
|
|
43. |
соблюдение требований по обеспечению применения средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа |
|
|
|
44. |
соблюдение требований по применению средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа |
|
|
|
45. |
соблюдение требований по осуществлению сбора и обработки персональных данных ограниченного доступа посредством объектов информатизации, размещенных на территории Республики Казахстан |
|
|
|
46. |
соблюдение требований по осуществлению хранения и передачи персональных данных ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования" |
|
|
