Техническая незащищенность и человеческий фактор — почему происходят утечки данных в Казахстане

— В последнее время в стране участились случаи утечки персональных данных, на которые Комитет реагирует путем проведения внеплановых проверок и возбуждения административных производств. При этом утечки персональных данных происходят как в частных компаниях, так и в государственных структурах, — сообщили в ведомстве в ответ на официальный запрос редакции.

Как отметили в Комитете, утечки происходят по различным причинам: несоблюдение технических, правовых и организационных мер по защите, включая человеческий фактор.

В ведомстве подчеркнули, что в соответствии с Законом РК «О персональных данных и их защите», сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты. Кроме того, собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных.

Порядок осуществления мер по защите персональных данных определен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 12 июня 2023 года.

Вместе с тем, за нарушение закона «О персональных данных и их защите» предусмотрена административная и уголовная ответственность.

— С момента определения Комитета уполномоченным органом в сфере защиты персональных данных, нами на постоянной основе проводятся работы по совершенствованию законодательства РК в этой сфере, принимаются меры по привлечению лиц к ответственности за нарушение требований законодательства, а также проводятся внеплановые проверки по соблюдению мер защиты персональных данных в электронных информационных ресурсах, — пояснили в ведомстве.

В случае выявления факта незаконного сбора и обработки персональных данных, в Комитет можно обратиться с соответствующим обращением, которое должно содержать:

• ФИО, контакты заявителя;
• описание ситуации, при которой допущено нарушение;
• период и сроки совершения нарушения;
• достоверные материалы, подтверждающие нарушение;
• лицо, допустившее правонарушение и контактная информация (ФИО, электронная почта, абонентский номер).

В ведомстве также отметили, что с 1 июля 2024 года вводится в действие норма, устанавливающая обязанность собственника и (или) оператора об уведомлении уполномоченного органа о нарушении безопасности персональных данных, которая принята в рамках Закона РК от 11 декабря 2023 года «О внесении изменений и дополнений в некоторые законодательные акты РК по вопросам информационной безопасности, информатизации и цифровых активов».

Следовательно, собственник и (или) оператор обязаны принять необходимые меры по защите персональных данных, обеспечивающие минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным, а также в случае нарушении безопасности персональных данных уведомить Комитет об этом.