В соответствии с пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан ПРИКАЗЫВАЕМ:
Об утверждении проверочного листа за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц Совместный приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 19 марта 2024 года № 149/НҚ и приказ Заместителя Премьер-Министра - Министра национальной экономики Республики Казахстан от 19 марта 2024 года № 12. Зарегистрирован в Министерстве юстиции Республики Казахстан 29 марта 2024 года № 34179
1. Утвердить проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц.
2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.
4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.
Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан__________Н. Байбазаров Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан__________Б. Мусин
«СОГЛАСОВАН» Комитет по правовой статистике и специальным учетам Генеральной прокуратуры Республики Казахстан
Утвержден совместным приказом Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан от 19 марта 2024 года № 12 и Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 14 марта 2024 года № 149/НҚ
Проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц
Государственный орган, назначивший проверку
____________________________________________________________________
____________________________________________________________________
Акт о назначении проверки
____________________________________________________________________
№, дата
Наименование субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный номер субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
Адрес места нахождения
____________________________________________________________________
____________________________________________________________________
№ |
Перечень требований |
Соответствует требованиям |
Не соответствует требованиям |
1 |
2 |
3 |
4 |
1. |
осуществление сбора, обработки персональных данных с согласия субъекта или его законного представителя |
|
|
2. |
соблюдение требований по ограничению обработки персональных данных достижением конкретных, заранее определенных и законных целей |
|
|
3. |
соблюдение запрета сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе |
|
|
4. |
в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивание интеграции объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным |
|
|
5. |
обеспечение конфиденциальности персональных данных ограниченного доступа путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания |
|
|
6. |
осуществление хранения персональных данных в базе, находящейся на территории Республики Казахстан |
|
|
7. |
использование персональных данных только для ранее заявленных целей их сбора |
|
|
8. |
осуществление трансграничной передачи персональных данных на территорию иностранных государств только в случае обеспечения этими государствами защиты персональных данных |
|
|
9. |
обезличивание персональных данных при их передаче для проведения статистических, социологических, научных, маркетинговых исследований |
|
|
10. |
применение многофакторной аутентификаций при доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа |
|
|
11. |
утверждение собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач |
|
|
12. |
утверждение собственником и (или) оператором документов, определяющих политику в отношении сбора, обработки и защиты персональных данных |
|
|
13. |
принятие собственником и (или) оператором необходимых мер, в том числе правовых, организационных и технических, для защиты персональных данных |
|
|
14. |
предоставление по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона Республики Казахстан «О персональных данных и их защите» |
|
|
15. |
в случае отказа в предоставлении информации субъекту или его законному представителю соблюдение требований по представлению собственником и (или) оператором мотивированного ответа в установленные сроки |
|
|
16. |
предоставление собственником и (или) оператором безвозмездно субъекту или его законному представителю возможности ознакомления с персональными данными, относящимися к данному субъекту |
|
|
17. |
назначение собственником и (или) оператором лица, ответственного за организацию обработки персональных данных, являющимся юридическими лицами |
|
|
18. |
выделение бизнес-процессов, содержащих персональные данные |
|
|
19. |
разделение персональных данных на общедоступные и ограниченного доступа |
|
|
20. |
установление собственником и (или) оператором целей обработки персональных данных ограниченного доступа |
|
|
21. |
определение собственником и (или) оператором порядка обработки, распространения и доступа к персональным данным ограниченного доступа |
|
|
22. |
определение собственником и (или) оператором порядка блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта |
|
|
23. |
определение переченя лиц, имеющих доступ к персональным данным ограниченного доступа |
|
|
24. |
оповещение уполномоченного органа об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа |
|
|
25. |
обеспечение установки средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа |
|
|
26. |
обеспечение ведения журнала событий систем управления базами при обработке персональных данных ограниченного доступа |
|
|
27. |
обеспечение ведения журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа; |
|
|
28. |
применение средств контроля целостности персональных данных ограниченного доступа |
|
|
29. |
передача персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных |
|
|
30. |
применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа |
|
|
31. |
применение средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа |
|
|
32. |
осуществление сбора и обработки персональных данных ограниченного доступа посредством объектов информатизации, размещенных на территории Республики Казахстан |
|
|
33. |
осуществление хранения и передачи персональных данных ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования» |
|
|
Должностное (ые) лицо (а) ________________________________________
должность подпись
____________________________________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля ___________________________________
должность подпись
____________________________________________________________________
фамилия, имя, отчество (при наличии)