Kazakistan'da kişisel verilerle çalışan şirketler için yeni yükümlülükler

Bu inceleme, kişisel verilerin yasal rejiminde ve IT sektörüne ilişkin ilgili konulardaki değişikliklerle sınırlıdır. İlgili normlar esas olarak kanunun 37'nci paragrafında yoğunlaşmıştır - Kazakistan Cumhuriyeti'ne "Kişisel veriler ve onların korunması" değişiklikler yapılır Hükümlerin büyük kısmı ilk resmi yayından sonra altmış takvim günlerine gelecektir. Aşağıda, “Değişmenin Geleceği – gerekli eylemler” programı altında temel yenilikler vardır 1. yetkili vücudu bildirme yükümlülüğü (Madde 101) Değişimin özü. Yasa, sahibin, operatörün ve üçüncü tarafın kişisel verilerin işlenmesinin başlangıcı ve sona ermesi hakkında yetkili cesedi bildirme yükümlülüğünü getirmektedir. Bildirim uygulanan koruma önlemleri hakkında bilgi içeriyor, işlemenin başlangıcı, verilerin üçüncü taraflara aktarılması, sınır ötesi transferin varlığı, veri işlemenin listesi ve veritabanının yeri. Otuz gün içinde yetkili beden, bilgiye ilgili kayıta girer veya onlardan dışlayacaktır Uygulama Kapsamı. Görev evrensel değildir. Küçük ve orta ölçekli operatörler farkdan muaftır; ihtiyaç büyük operatörlere uygulanır. Kategori 25-1 (bakınız bölüm 2) altında tanımlanır Önerilen eylem. Operatör kategorisini belirleyin. Büyük operatörler - standart bir bildirim formu hazırlamak ve sorumlu kişiyi düzeltmek. Form ve prosedür yetkili bir beden tarafından bir yasa tarafından oluşturulacak, hangilerin izlenmesi gereken çıktı 2. İşlenmiş verilerin hacmi ile operatörlerin sınıflandırılması (Maddes 25-1) Değişimin özü. Operatörler eşsiz kişisel veri konuların sayısına bağlı olarak üç kategoriye ayrılır: küçük - 10.000 konuya kadar; orta - 10 000 ila 500 000; Büyük – 500.000 veya daha fazla Temel rezervasyon. İşleme kişisel verileri kısıtlarken (özellikle biyometrik veriler ve sağlık bilgileri), kategori bir seviyeye yükseltilir. Böylece, sekiz bin konuyu kapsayan veritabanı, resmi olarak küçük olarak ifade eder; ancak, eğer içinde biyometrik veriler varsa, operatör ortalama kategorisine girer Yasal önem. Hem bildirim yükümlülüğü hem de yetkili beden tarafından kurulacak veri koruma gereksinimlerinin bileşimi kategoriye bağlıdır Önerilen eylem. Inventory: Tüm veritabanılardaki toplam sayıda benzersiz varlık ve sınırlı verilerin kullanılabilirliğini belirleme. Bu hesaplama, tüm uyumluluk rejiminin ilkidir 3. Kişisel veri tanımlayıcılarının listesi yasal olarak sabitlenir (Madde 6) Değişimin özü. Kişisel veri tanımlayıcısı kavramı tanıtıldı ve ilgili bilgilerin kapalı bir listesi kuruldu: soyadı, adı, patronic birlikte; Bireysel kimlik numarası; konunun yüzünün görüntüsü; Yüz ve türevlerinin biyometrik vektörü, orijinal değere restorasyona izin verir IT için pratik önem. Liste, bilgi sisteminde hangi özelliklerin tanımlandığı ve bu nedenle konu, koruma ve kontrollü tedavinin onayını gerektirdiğini açıkça belirtir. Madde yüz tanıma sistemleri için özellikle önemlidir: yüzün biyometrik vektörü doğrudan tanımlayıcılarla ilgilidir Önerilen eylem. Veritabanında ilgili özellikleri tanımlayın ve onların depolama, transfer ve tasarrufları için prosedür getir 4. Veri operasyonları ayırt edilir: deletion, anonymization, maskeleme, hashing (Maddes 1, 18, 23) Değişimin özü. Yasa, daha önce “tamamlama” terimi ile ayrı işlemleri tanıtmaktadır ve tanımlar: Deletion – kurtarma olasılığı olmadan bir dijital nesneden verilerin dışlanması; Anonimleştirme, konuya ait verilerin kurulmasını dışlayan geri dönüşümlü bir dönüşümdür; Maskeleme – gerçek verilerin bir kısmını geçersiz veya kişisel olmayan; hashing – veriyi koruma amaçlı sabit bir uzunluk çizgisine dönüştürmek Dijital nesnelerde maskeleme ve hashing zorunlu koruma yöntemleridir (Art. 23 yeni baskı). Başvuruları için prosedür yetkili beden tarafından oluşturulacaktır Deletion hakkı için sınırlar. Muafiyet hakkı mutlak değildir: Gereklilik Kazakistan Cumhuriyeti'nin 4. paragrafında belirtilen durumlarda infaza tabi değildir. Operatör, yasa tarafından belirlenen gerekçelere atıfta bulunmak için doğruya sahiptir kaldırma Önerilen Eylemler. Bilgi sistemlerinde silme ve anonimleştirmeyi, depolama düzeyinde maskeleme ve karma oluşturmanın yanı sıra, çeşitli yasal sonuçları olan bağımsız işlevler olarak uygulayın. Düzenleyicilerin talimatıyla yapılan değişikliklere göre erken uygulama tercih edilir 5. İki devlet sicili oluşturulmuştur (Madde 23-2, 27-1) Yasal anlamı. Bir güvenlik olayı, kuruluşun iç olayı niteliğini kaybeder: bununla ilgili bilgiler, operatörün konumu ne olursa olsun, siber güvenlik kanalları aracılığıyla devlet kayıtlarına girer. Bu, doğrudan itibar ve düzenleme riski yaratır Önerilen Eylemler. Görev dağılımı ile olaylara müdahale etmeye ilişkin düzenlemeleri önceden onaylayın: ihlal gerçeğinin kaydedilmesi, koşulların belirlenmesi, onaylanmış formda bildirim gönderilmesi 6. Bilişim sektörü için önemli olan diğer hükümler Hazırlık önlemlerinin listesi 1. Veritabanlarındaki benzersiz varlıkların sayısını belirleyin ve operatör kategorisini oluşturun (küçük/orta/büyük) 2. Kategoriyi bir seviye artıran sınırlı erişim verilerini kontrol edin 3. Büyük operatörler – veri işlemenin başlangıcı ve sona ermesine ilişkin bir bildirim hazırlayın 4. Sistemlerde Madde 6 kapsamında tanımlayıcı olarak sınıflandırılan nitelikleri tanımlayın (tam ad, IIN, yüzün görüntüsü ve vektörü) 5. Silme, anonimleştirme, maskeleme ve karma işlemlerini bağımsız işlevler olarak uygulayın 6. İhlallerin devlet siciline dahil edilmesini dikkate alarak, olaylara müdahale düzenlemelerinin onaylanması 7. Barındırma sağlayıcıları – Ulusal Siber Güvenlik Koordinasyon Merkezi ile etkileşimi sağlayın 8. Yönetmeliklerin izlenmesi: bildirim formları, kategoriye göre koruma önlemleri, maskeleme ve karma prosedürleri Materyal yayınlandığı tarih itibarıyla bilgilendirme amaçlı hazırlanmış olup hukuki tavsiye niteliğinde değildir. Bu standartların belirli koşullara uygulanması ayrı bir analiz gerektirir