В соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:
1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.
2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.
|
Премьер-Министр |
С. Ахметов |
|
Утверждены |
Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач
1. Общие положения
1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
2) сбор персональных данных – действия, направленные на получение персональных данных;
3) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
4) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и(или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
5) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
6) субъект персональных данных – физическое лицо, к которому относятся персональные данные;
7) общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности;
8) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.
2. Порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач
3. Собственник и (или) оператор осуществляют сбор, обработку персональных данных в порядке, установленном Законом Республики Казахстан "О персональных данных и их защите" (далее – Закон) и иными нормативными правовыми актами Республики Казахстан.
4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 Закона. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно или в электронной форме либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
5. Перечень персональных данных определяется только для целей, непосредственно связанных с осуществлением функций, полномочий, обязанностей и задач собственника и (или) оператора, кроме случаев, предусмотренных в пункте 3 статьи 3 Закона.
6. Отнесение сведений, указанных в перечне персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, к общедоступным или ограниченного доступа осуществляется собственником и (или) оператором в соответствии с законодательством Республики Казахстан.
При определении собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, необходимо руководствоваться следующими принципами сбора, обработки и защиты персональных данных:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
7. Собственник и (или) оператор в целях определения перечня персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, назначает ответственных лиц (далее – ответственное лицо) за организацию работы по определению перечня персональных данных. Назначение ответственного лица оформляется соответствующим документом.
Ответственное лицо анализирует осуществляемые задачи собственника и (или) оператора, после чего готовит предложение об определении перечня персональных данных.
Собственник и (или) оператор рассматривают предложение ответственного лица и принимают решение об утверждении перечня персональных данных или возвращают на доработку ответственному лицу.
Срок подготовки предложений, с момента назначения ответственных лиц, не должен превышать тридцати календарных дней.
В случае возврата на доработку, перечень персональных данных дорабатывается ответственным лицом в течение пяти рабочих дней и повторно вносится на утверждение собственнику и (или) оператору.
8. По результатам текущей деятельности собственником и (или) оператором могут быть внесены изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, с обоснованием их необходимости или на основании соответствующих документов, подтверждающих их достоверность.
Изменения и дополнения, внесенные в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, действуют с момента их введения в действие и не распространяются на отношения, возникшие до их введения в действие.
9. Использование персональных данных, определенных собственником и (или) оператором в перечне персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, должно осуществляться только для ранее заявленных целей их сбора.
10. Собственник и (или) оператор обеспечивают конфиденциальность персональных данных, отраженных в перечне необходимых и достаточных для выполнения осуществляемых ими задач, в соответствии с законодательством Республики Казахстан.
