Tazabek — Государственное агенство по защите персональных данных выносит на общественное обсуждение проект нормативно-правового акта.
Речь идет о проекте постановления Кабинета министров «О внесении изменений в постановление правительства «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108».
Предлагается дополнить критерии риска:
«Глава 25. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных
88. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных непосредственно связаны с рейтингами угроз безопасности персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
89. Субъект предпринимательства, исходя из конкретных условий работы с персональными данными, ценности защищаемой информации и стоимости мер по ее защите, а также с учетом уровня технического развития, утверждает собственный перечень угроз безопасности персональных данных по форме, утвержденной уполномоченным государственным органом по персональным данным.
90. Перечень угроз подлежит пересмотру субъектом предпринимательства по мере изменения состава обрабатываемых персональных данных, условий и видов их обработки.
91. Критерии угроз безопасности, рейтинг угроз.
Каждому виду угроз безопасности персональных данных, вошедших в перечень угроз, разработанный субъектом предпринимательства, присваивается рейтинг в зависимости от следующих критериев:
Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных определяется, как произведение баллов по каждому из критериев.
92. Своевременное обращение в уполномоченный орган в области защиты персональных данных субъекта предпринимательства по инцидентам, связанным со сбором, хранением, передачей и обработкой персональных данных, дает право уполномоченному органу при суммировании баллов в процессе определения рисков предпринимательской деятельности снизить итоговую оценку в диапазоне от 30-50 баллов при условии, что инцидент не повлек никаких последствий, в том числе вреда и ущерба, как для государства, так и для владельцев персональных данных.
93. Количество баллов, отражающих историю деятельности субъекта предпринимательства, зависит от количества случаев неисполнения субъектом предпринимательства требований законодательства Кыргызской Республики в сфере информации персонального характера, выявленных в ходе внеплановых проверок за определенный период:
94. Количество баллов, оценивающих исполнение требований законодательства Кыргызской Республики в сфере информации персонального характера, определяемое в ходе плановой проверки с применением проверочного листа:
95. Критерии угроз безопасности по уровням и наличие необходимой документации для каждого уровня определяется в соответствии с Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
96. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных без использования информационных систем осуществляется исходя из того, что такие субъекты предпринимательства делятся на следующие категории:
За последними событиями следите в Телеграм-канале @tazabek_official
По сообщению сайта Tazabek