Продукты
Продукты
Базовые сервисы
Получить консультацию
БлогИстории успехаПомощь
VK Cloud

Как компаниям хранить персональные данные, чтобы не получить штраф

Как регулируется обработка персональных данных на территории Казахстана, и что делать бизнесу для соблюдения законодательства.

12 августа 2024 г.
Рендер • Голубой акцент1.png

Персональные данные: что это и как трактуются законом

Компании ежедневно собирают и обрабатывают клиентские данные. Например, адрес для доставки или номер телефона для обратного звонка. Компании стремятся безопасно обмениваться данными, а клиент — быть уверенным, что информацию о нем используют только по назначению.

Эти отношения регулирует закон Республики Казахстан № 94-V «О персональных данных и их защите». Согласно документу, персональными данными считается любая информация, по которой можно идентифицировать человека.

Вот что относится к персональным данным:
  • Удостоверение личности: фотография, фамилия, имя, отчество, дата и место рождения, ИИН и национальностью
  • Индивидуальный идентификационный номер (ИИН), он присваивается каждому гражданину и не меняется до конца жизни.
  • Паспортные данные — серия и номер паспорта, дата и место выдачи.
  • Адрес проживания и контакты, например, почтовый адрес, телефон, электронная почта.
  • Медицинская информация: данные о здоровье, медицинская история, результаты анализов и лечения.
  • Банковские данные: информация о банковских счетах, кредитах, дебетовых и кредитных картах.
  • Налоговая информация: декларации, информация о доходах и уплаченных налогах.
  • Биометрические данные, например, отпечатки пальцев, снимки лица, запись голоса.
При этом, одна и та же информация может быть общедоступной или нет в зависимости от контекста — вот несколько примеров.
Персональные данные
Не персональные данные
Имя, фамилия, адрес проживания, номер телефона, электронная почта, ИИН.Анонимные статистические данные, которые нельзя связать с конкретным человеком.
Медицинская информация, включая результаты анализов, диагнозы, историю болезни.Общие сведения о здравоохранении, например, статистика по определенным заболеваниям.
Банковские данные: информация счетах, кредитах, картах.Общие финансовые данные: статистика о среднем доходе населения.

В чем разница между общедоступными данными и ограниченного доступа

Согласно закону Казахстана, персональные данные бывают общедоступными и ограниченного доступа, и бизнесу важно понимать разницу.

Общедоступные данные — информация, которую могут получать и использовать любые люди без ограничений. К таким данным относят, например, имя и фамилию, адрес проживания, профессию. Общедоступными признают сведения, которые человек сознательно делает публичными, например, делится ими в соцсетях.

К данным ограниченного доступа относится конфиденциальная информация. Ее могут использовать только определенные специалисты и организации с разрешения владельца данных. К ним, например, относятся медицинская и налоговая информация, банковские данные и другие сведения, которые подлежат защите и не могут быть раскрыты без согласия владельца. Закон защищает именно эти данные.

Для понимания разберем несколько примеров. 

  • На сайте компании опубликовали фото сотрудника, указали его должность и опыт. Это общедоступные данные, если сотрудник дал согласие на их размещение. Сюда же относят профили в социальных сетях и резюме на сайте для поиска работы.
  • Медицинская информация, например, результаты анализов, диагнозы, история болезни — данные ограниченного доступа. Они конфиденциальны и доступны только медицинским работникам и самому пациенту.
  • Сотрудник компании будет выступать на семинаре в определенное время. Эта информация общедоступна, поскольку ее можно увидеть на сайте мероприятия и в рассылках.
  • Информация, что у человека есть кредитная карта не считается конфиденциальной, но данные банковского счета — да. Они конфиденциальны и доступна только владельцу счета или уполномоченным лицам.
  • Информация о публичных людях, например, политиках, знаменитостях, спортсменах. В открытом доступе могут быть их имена, фотографии, биографические данные, которые они сознательно сделали общедоступными.

Сбор и обработка персональных данных

Когда человек передает информацию о себе, возникают отношения между собственником и оператором персональных данных.

Собственник персональных данных — человек или организация, которые владеют этими данными. Допустим, клиент владеет информации о своем месте проживания и сам распоряжается этими сведениями.

Оператор персональных данных обрабатывает информацию, чтобы достичь оговоренных с собственником целей. В нашем случае — сохраняет адрес проживания, чтобы доставить посылку. Оператор совершает действия с разрешения собственника и не может без его согласия использовать данные для других целей.

Действия оператора называют сбором и обработкой персональных данных. Их регулирует приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан № 179/НҚ «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных».

Приказ устанавливает порядок работы с данными пользователей. Раскроем основные моменты:

  • Предупредить о сборе данных. Компания должна уведомить пользователей, какие персональные данные она собирает, для каких целей и как они будут использоваться. Эта информация представляется в доступной и понятной форме. Например, во всплывающем окне.
  • Получить согласие пользователей. Оно должно быть добровольным, конкретным и выраженным в письменной или электронной форме. Пример согласия на обработку данных можно посмотреть на сайте VK Cloud. Подробнее о содержании — в следующем разделе.
  • Обеспечить безопасность данных. Оператор защищает персональные данные пользователей от несанкционированного доступа, утраты, уничтожения или изменения. Для этого он использует шифрование, пароли и ограничение доступа к данным.
  • Уведомить о нарушениях безопасности. Если произошел форс-мажор, влияющий на сохранность данных, оператор незамедлительно уведомляет о нарушении компетентные органы и самих пользователей.
  • Хранить данные оговоренные сроки. Оператор хранит персональные данные только в течение только того времени, которые необходимо для достижения целей. После этого данные уничтожают или обезличивают. 
  • Права пользователей. При необходимости, пользователи могут отказаться от обработки информации. Такая возможность прописывается в согласии на обработку персональных данных.
  • Обучение сотрудников. Всех сотрудников, у которых есть доступ к персональным данным, нужно обучить правилам обработки и защиты данных, а также конфиденциальности.

Как оператору собирать и обрабатывать персональные данные

Ключевой момент — собирать и обрабатывать данные ограниченного доступа можно только на территории Казахстана. Иными словами, серверы должны находиться внутри страны, даже если доступ к ним организован удаленно. Закон не делает исключений. Так, летом 2023 года приостановили работу крупного российского сервиса — компания не успела «приземлить» данные. 

Второй момент — персональные данные ограниченного доступа нужно хранить, используя средства криптографической защиты минимум третьего уровня. Полные требования описаны в ГОСТ СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».

Теперь разберем, что включает согласие на сбор и обработку персональных данных.

  • Указание на оператора данных. Например, фамилия, имя, отчество или бизнес-идентификационный номер (БИН).
  • Фамилия, имя и отчество субъекта персональных данных. Это обязательный пункт, поэтому его включают в соглашение даже при сборе куки на сайте.
  • Срок или период, в течение которого действует согласие на сбор и обработку персональных данных.
  • Будет ли оператор передавать данные третьим лицам. Если да, то для каких задач.
  • Возможна ли обработка данных за пределами Казахстана. В законе это называется трансграничной передачей данных.
  • Перечень собираемых данных, связанных с субъектом.
  • Иные сведения, определяемые собственником и (или) оператором.

В законе нет единой формы для согласия. Его можно написать в произвольной форме, главное — включить перечисленные пункты.

За что штрафуют чаще всего и как этого избежать

Во всем мире законодательство о персональных данных меняется, и на это есть причины. Один из драйверов — киберугрозы: в 2022 году треть компаний в Казахстане подверглись кибератакам. Чаще всего бизнес сталкивался с DDoS-атаками (37%), заражением вредоносными программами (34%) и фишингом (25%). 

За нарушение требований закона о персональных данных и их защите предусмотрена административная и уголовная ответственность. Так, штраф за незаконный сбор и обработку персональных данных составляет от 10 до 1000 минимальных расчетных показателей (МСП). В ближайшее время выплаты могут вырасти в три раза, следует из позиции Министерства цифрового развития, инноваций и аэрокосмической промышленности РК. Также, граждан планируют уведомлять об утечках через портал электронного правительства и смс-оповещения с номера 1414.

Чтобы избежать нарушений, закон предписывает соблюдать такой алгоритм действий:

  • Выделить сбор, хранение, обработку и передачу персональных данных в отдельный бизнес-процесс. Лучше, если алгоритм работы с данными будет закреплен на бумаге.
  • Классифицировать персональные данные в зависимости от их уровня конфиденциальности на общедоступные и с ограниченным доступом.
  • Закрепить список сотрудников или сторонних организаций, которые имеют право собирать, обрабатывать или получать доступ к персональным данным. Это помогает контролировать и ограничивать доступ к данным.
  • Назначить сотрудника или группу сотрудников, которые будут отвечать за соблюдение требований законодательства о защите персональных данных.
  • Установить правила и процедуры, которые регулируют доступ к персональным данным. Они могут включать уровни доступа и авторизацию пользователей.
  • Разработать и утвердить официальные документы, которые определяют правила и процедуры сбора, обработки и защиты персональных данных. Эти документы должны соответствовать законодательству и быть доступными для сотрудников и сторонних организаций. То есть их лучше опубликовать на сайте.
  • Уведомить государство о мерах, принятых для защиты персональных данных. Включая описания технологий, систем безопасности и процедур контроля.

Все перечисленные требования обязательны к исполнению. По данным Deloitte, чаще всего надзорные органы Казахстана штрафуют за три нарушения:

  • В компании не назначили ответственного за организацию сбора и обработки персональных данных.
  • Компания не оповестила об инциденте, при котором злоумышленники получили доступом к персональным данным ограниченного доступа.
  • Нет идентификации и аутентификации пользователей, работающих с персональными данными ограниченного доступа.

Главное

Для соблюдения закона о защите персональных данных компаниям требуется закупать серверы, настраивать и обслуживать средства защиты. Чтобы не вкладывать деньги в оборудование, можно воспользоваться услугами облачного провайдера, который уже все сделал для соблюдения закона.

Например, у VK Cloud серверы находятся на территории Казахстана, а сама платформа соответствует закону №94-V «О защите персональных данных». Компания регулярно проводит мониторинг инфраструктуры, а также внутренний и внешний аудиты безопасности. Договор заключается с казахстанским юридическим лицом, расчеты — в тенге.

Теги: технологии

Почитать по теме

image 50.png
13 августа

Что такое информационная безопасность и как защитить компанию от киберугроз

Читать статью
40+ готовых сервисов