Тема 2. Законодательные аспекты

Название	Законодательные аспекты
Анкор	Тема 2
Дата	11.01.2022
Размер	113.66 Kb.
Формат файла
Имя файла	Тема 2.docx
Тип	Закон #328358
страница	1 из 11

1 2 3 4 5 6 7 8 9 10 11

Тема: Законодательные аспекты деятельности в области защиты информации в Республике Казахстан
Информационная безопасность рассматривается в Казахстане как неотъемлемая часть национальной безопасности и трактуется как состояние защищенности информационного пространства Республики Казахстан, а также прав и интересов человека и гражданина, общества и государства в информационной сфере от реальных и потенциальных угроз, при котором обеспечивается устойчивое развитие и информационная независимость страны.

В соответствии с Законом «О национальной безопасности» информационная безопасность обеспечивается решениями и действиями государственных органов, организаций, должностных лиц, направленными на:
1) недопущение информационной зависимости Казахстана;
2) предотвращение информационной экспансии и блокады со стороны других государств, организаций и отдельных лиц;
3) недопущение информационной изоляции Президента, Парламента, Правительства и сил обеспечения национальной безопасности Республики Казахстан;
4) обеспечение бесперебойной и устойчивой эксплуатации сетей связи в целях сохранения безопасности Республики Казахстан, в том числе в особый период и при возникновении чрезвычайных ситуаций природного, техногенного характера, карантинов, иных чрезвычайных ситуаций;
5) выявление, предупреждение и пресечение утечки и утраты сведений, составляющих государственные секреты и иную защищаемую законом тайну;
6) недопущение информационного воздействия на общественное и индивидуальное сознание, связанного с преднамеренным искажением и распространением недостоверной информации в ущерб национальной безопасности;
7) обнаружение и дезорганизацию механизмов скрытого информационного влияния на процесс выработки и принятия государственных решений в ущерб национальной безопасности;
8) поддержание и развитие эффективной системы защиты информационных ресурсов, информационных систем и инфраструктуры связи, в которых циркулируют сведения, составляющие государственную, коммерческую и иную защищаемую законом тайну.
Особое внимание придается системе обеспечения информационной безопасности, в том числе государственных электронных информационных ресурсов, информационных систем, информационно-коммуникационной инфраструктуры и критически важных объектов информационно-коммуникационной инфраструктуры.

Перечень условий, препятствующих информационной безопасности. Запрещено:

1) распространение на территории Республики Казахстан печатной продукции и продукции иностранного средства массовой информации, содержание которых подрывает национальную безопасность;
2) разглашение государственных секретов и иной защищаемой законом тайны;
3) иностранным физическим и юридическим лицам, а также лицам без гражданства прямо и (или) косвенно владеть, пользоваться, распоряжаться и (или) управлять более 20 процентами акций (долей, паев) юридического лица – собственника средства массовой информации в Республике Казахстан или осуществляющего деятельность в этой сфере;
4) управление или эксплуатация магистральными линиями связи иностранцами, лицами без гражданства и иностранными юридическими лицами без создания юридического лица на территории Республики Казахстан;
5) создание и эксплуатация на территории Республики Казахстан сетей связи, центр управления которыми расположен за ее пределами;
6) приобретение или иное получение в собственность физическими и юридическими лицами самостоятельно или в составе группы лиц более 10 процентов голосующих акций, а также долей, паев организации, владеющей и (или) осуществляющей деятельность по управлению или эксплуатации линии связи в качестве оператора междугородной и (или) международной связи, без согласия уполномоченного органа в области связи и информации, а также органов национальной безопасности;
7) иностранцам, лицам без гражданства и иностранным юридическим лицам прямо и (или) косвенно владеть, пользоваться, распоряжаться и (или) управлять в совокупности более чем 49 процентами голосующих акций, а также долей, паев юридического лица, осуществляющего деятельность в области телекоммуникаций в качестве оператора междугородной и (или) международной связи, владеющего наземными (кабельными, в том числе волоконно-оптическими, радиорелейными) линиями связи без положительного решения Правительства Республики Казахстан, основанного на заключении уполномоченного органа в области связи и информации, согласованного с органами национальной безопасности;
8) ввод в эксплуатацию сетей связи, не отвечающих требованиям нормативных правовых актов по обеспечению оперативно-розыскных мероприятий.

В Казахстане действует Концепция информационной безопасности (далее — концепция) . Концепция содержит:

основные положения государственной стратегии по обеспечению информационной безопасности, основные определения и термины;
анализ текущей ситуации, цели и задачи, которые стоят перед государством по обеспечению информационной безопасности, ожидаемые результаты;
основные принципы и общие подходы обеспечения информационной безопасности в РК.

Концепция информационной безопасности выражает совокупность официальных взглядов на сущность и содержание деятельности Республики Казахстан по обеспечению информационной безопасности государства и общества, их защите от внутренних и внешних угроз. Концепция определяет задачи, приоритеты, направления и ожидаемые результаты в области обеспечения информационной безопасности личности, общества и государства. Она является основой для конструктивного взаимодействия органов государственной власти, бизнеса и общественных объединений для защиты национальных интересов Республики Казахстан в информационной сфере. Концепция призвана обеспечить единство подходов к формированию и реализации государственной политики обеспечения информационной безопасности, а также методологическую основу для совершенствования нормативных правовых актов, регулирующих данную сферу.

В соответствии с концепцией, текущее состояние обеспечения информационной безопасности характеризуется следующими угрозами:
1) несовершенства системы обеспечения информационной безопасности и нарушения функционирования критически важных объектов информатизации;
2) низкого уровня производства, внедрения и использования современных информационно-коммуникационных технологий, не отвечающего объективным потребностям общества;
3) зависимости Республики Казахстан от импорта информационных технологий, средств информатизации и защиты информации, использование которых может причинить ущерб национальным интересам страны;
4) нарастания информационного противоборства между ведущими мировыми центрами силы, подготовки и ведения зарубежными государствами борьбы в информационном пространстве;
5) неконструктивной политики иностранных государств в области глобального информационного мониторинга, распространения информации и новых информационных технологий;
6) развития технологий манипулирования информацией;
7) возможности деструктивного информационного воздействия на общественное сознание и государственные институты, наносящего ущерб национальным интересам страны;
8) распространения недостоверной или умышленно искаженной информации, способной причинить ущерб национальным интересам Республики Казахстан;
9) открытости и уязвимости национального информационного пространства от внешнего воздействия;
10) недостаточной эффективности информационного обеспечения государственной политики;
11) слабой защищенности и низкой конкурентоспособности национального информационного пространства;
12) несоответствия качества национального контента объективным потребностям казахстанского общества и мировому уровню;
13) роста преступности, в том числе транснациональной, а также экстремистской и террористической деятельности с использованием информационно-коммуникационных технологий;
14) попыток несанкционированного доступа извне к информационным ресурсам Республики Казахстан, приводящих к причинению ущерба ее национальным интересам;
15) деятельности иностранных разведывательных и специальных служб, а также иностранных политических и экономических структур, направленные против интересов Республики Казахстан;
16) нарушений режима секретности при работе со сведениями, составляющими государственные секреты Республики Казахстан, а также преднамеренных неправомерных действий и непреднамеренных ошибок и нарушений при работе с информацией ограниченного доступа;
17) недостаточного развития системы правового регулирования информационной сферы;
18) стихийных бедствий и катастроф;
19) неправомерных действий государственных структур, приводящих к нарушению законных прав и интересов физических и юридических лиц, государства в информационной сфере.

Вопросы правового регулирования персональных данных, включая биометрические данные, их сбор, хранение, передачу, распространение и другие действия, методы защиты персональных данных регулируются в Казахстане законом Республики Казахстан «О персональных данных и их защите». Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Закон определяет персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе; а биометрические данные как персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность.

Закон разграничивает персональные данные по категории доступа к ним. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступные персональные данные – персональные данные, доступ к которым является свободным с согласия субъекта или на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации и т.д. Персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

По общему правилу, сбор персональных данных осуществляется с согласия субъекта, которому принадлежат эти персональные данные, или его законного представителя. Однако закон устанавливает перечень случаев, когда сбор персональных данных осуществляется без согласия субъекта или его законного представителя:

1) осуществления деятельности правоохранительных органов и судов, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
10) в иных случаях, установленных законами Республики Казахстан.

Субъект, которому принадлежат персональные данные или его законный представитель дает ( или отзывает) согласие на сбор, обработку персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий.

Лицо, которое осуществляет сбор, хранение, передачу, распространение или другие действия с персональными данными, в соответствии с Законом называется оператор персональных данных. В качестве оператора баз персональных данных может выступать государственный орган, физическое и (или) любое другое юридическое лицо, которые осуществляют сбор, обработку и защиту персональных данных.

Законом предусматриваются следующие действия (операции) по обработке персональных данных:

Действия (операции) по обработке персональных данных	Описание действий (операций) по обработке персональных данных
Обработка персональных данных	Действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных
Сбор персональных данных	Действия, направленные на получение персональных данных
Блокирование персональных данных	Действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных
Накопление персональных данных	Действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные
Уничтожение персональных данных	Действия, в результате совершения которых невозможно восстановить персональные данные
Обезличивание персональных данных	Действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно
Использование персональных данных	Действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица
Хранение персональных данных	Действия по обеспечению целостности, конфиденциальности и доступности персональных данных
Распространение персональных данных	Действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом
Трансграничная передача персональных данных	Передача персональных данных на территорию иностранных государств.

Субъект, которому принадлежат персональные данные, наделен следующими правами:

1) вправе знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) отозвать согласие на сбор, обработку персональных данных, кроме случаев законом;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

Собственник и (или) оператор баз персональных данных является обязанными лицами, и в соответствии с законом на них возлагаются следующие обязательства:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;
7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Гарантии защиты персональных данных— защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.

По закону уполномоченный орган в сфере персональных данных является Правительство Республики Казахстан, которое наделено следующей компетенцией:
1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;
2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;
3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.

Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Общий надзор за соблюдение законодательства о персональных данных и их защите осуществляют органы прокуратуры. За нарушение требований законодательства предусмотрена ответственность:

Виды правовой ответственности	Описание норм ответственности за нарушение требований законодательства о персональных данных и их защите
Уголовная ответственность	Статья 147 Уголовного Кодекса Республики Казахстан. Нарушение неприкосновенности частной жизни и законодательства Республики Казахстан о персональных данных и их защите 1. Несоблюдение мер по защите персональных данных лицом, на которое возложена обязанность принятия таких мер, если это деяние причинило существенный вред правам и законным интересам лиц, — наказывается штрафом в размере до трех тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до двух лет, либо лишением свободы на тот же срок с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. 2. Незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и (или) обработки иных персональных данных – наказывается штрафом в размере до пяти тысяч месячных расчетных показателей либо исправительными работами в том же размере, либо ограничением свободы на срок до трех лет, либо лишением свободы на тот же срок. 3. Деяния, предусмотренные частью второй настоящей статьи, совершенные лицом с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации, либо путем незаконного доступа к электронным информационным ресурсам, информационной системе или незаконного перехвата информации, передаваемой по сети телекоммуникаций, либо в целях извлечения выгод и преимуществ для себя или для других лиц, или организаций – наказываются лишением свободы на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет или без такового. 4. Распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо причинение существенного вреда правам и законным интересам лица в результате незаконного сбора и (или) обработки иных персональных данных – наказывается лишением свободы на срок до пяти лет. 5. Распространение сведений, указанных в части четвертой настоящей статьи, в публичном выступлении, публично демонстрирующемся произведении, в средствах массовой информации или с использованием сетей телекоммуникаций – наказывается лишением свободы на срок до семи лет.
Административная ответственность	Статья 79 Кодекса Республики Казахстан «Об административных правонарушениях». Нарушение законодательства Республики Казахстан о персональных данных и их защите 1. Незаконный сбор и (или) обработка персональных данных – влекут штраф на физических лиц в размере двадцати, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере тридцати, на субъектов среднего предпринимательства – в размере пятидесяти, на субъектов крупного предпринимательства – в размере ста месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой. 2. Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность – влекут штраф на физических лиц в размере пятидесяти, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере семидесяти пяти, на субъектов среднего предпринимательства – в размере ста, на субъектов крупного предпринимательства – в размере двухсот месячных расчетных показателей, с конфискацией предметов и (или) орудия административного правонарушения или без таковой. 3. Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных – влечет штраф на физических лиц в размере ста, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере ста пятидесяти, на субъектов среднего предпринимательства – в размере двухсот, на субъектов крупного предпринимательства – в размере трехсот месячных расчетных показателей. 4. Деяние, предусмотренное частью третьей настоящей статьи, повлекшее утерю, незаконный сбор и (или) обработку персональных данных, если эти деяния не влекут установленную законом уголовную ответственность, – влечет штраф на физических лиц в размере двухсот, на должностных лиц, субъектов малого предпринимательства или некоммерческие организации – в размере пятисот, на субъектов среднего предпринимательства – в размере семисот, на субъектов крупного предпринимательства – в размере тысячи месячных расчетных показателей.
Гражданско-правовая ответственность	1.Оспаривание действия (бездействия) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленной главой 29 Гражданского процессуального Кодекса Республики Казахстан. 2. Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном Гражданским процессуальным Кодексом Республики Казахстан.

1 2 3 4 5 6 7 8 9 10 11