Министр искусственного интеллекта и цифрового развития приказом от 22 декабря 2025 года внес поправки в Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, сообщает prosud.kz.
Собственник и (или) оператор при обработке персональных данных ограниченного доступа:
- устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.
- определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;
- определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.
Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:
- определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
- оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
- обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
- обеспечивают ведение журнала событий систем управления базами;
- обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
- применяют средства контроля целостности персональных данных ограниченного доступа;
- обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;
- выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
- обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
- применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.
Приказ вводится в действие с 6 января.