sales@it-grad.kz +7 708 912 25 90
Облако
IT-GRAD GPT Лицензии Microsoft для бизнеса Частное облако DRaas Публичное облако Облачное хранилище Гибридное облако BaaS PCI DSS хостинг DBaaS SAP хостинг Container Platform Colocation HaaS
Сети и безопасность
SOC Cloud VPN Kaspersky Security SD-WAN Антивирусная защита WAF
Проектные решения
Администрирование облачной инфраструктуры Аудит информационной безопасности Кастомные облачные решения Облачная миграция
О компании
О компании Мероприятия Комплаенс и деловая этика Контакты Новости
Блог
Консультация
Облако
IT-GRAD GPT Лицензии Microsoft для бизнеса Частное облако DRaas Публичное облако Облачное хранилище Гибридное облако BaaS PCI DSS хостинг DBaaS SAP хостинг Container Platform Colocation HaaS
Сети и безопасность
SOC Cloud VPN Kaspersky Security SD-WAN Антивирусная защита WAF
Проектные решения
Администрирование облачной инфраструктуры Аудит информационной безопасности Кастомные облачные решения Облачная миграция
О компании
О компании Мероприятия Комплаенс и деловая этика Контакты Новости
Блог

Персональные данные: что это такое, как обрабатывать и защищать по закону

Дмитрий Кукушкин 23.06.2025
5 мин. чтения

Персональные данные: что это такое, как обрабатывать и защищать по закону

Персональные данные — это не просто имя или номер телефона, а ценная информация, которая требует особой защиты. Сегодня мы активно пользуемся цифровыми сервисами: совершаем покупки онлайн, регистрируемся в соцсетях, обращаемся в госучреждения через eGov. Каждый такой шаг оставляет цифровой след, и если данные попадут в руки мошенников, последствия могут быть серьезными.

В Казахстане с 2013 года действует Закон «О персональных данных и их защите», который регулирует сбор, хранение и обработку информации о гражданах. Однако не все компании, особенно малый и средний бизнес, полностью понимают свои обязательства. Что именно считается персональными данными? Какие меры безопасности нужно внедрять? Как облачные технологии помогают соответствовать требованиям законодательства? В этом материале разбираемся, как эффективно защитить персональные данные в условиях растущих киберугроз.

Что относится к персональным данным

Персональные данные (ПД) — это любая информация, которая прямо или косвенно связана с конкретным человеком. В Казахстане их обработка регулируется законом «О персональных данных и их защите», и нарушение правил хранения и использования может привести к штрафам и репутационным рискам. Но не вся информация автоматически считается персональной — важно понимать разницу, чтобы не перегружать системы защиты лишними данными.

Что точно относится к персональным данным?

  • ФИО, дата и место рождения;
  • ИИН, номер удостоверения личности или паспорта;
  • контактные данные (телефон, email, адрес проживания);
  • биометрические данные (отпечатки пальцев, сканы лица, ДНК);
  • финансовая информация (банковские реквизиты, кредитная история);
  • медицинские данные, сведения о здоровье;
  • IP-адрес и cookie-файлы (если по ним можно идентифицировать человека).

Что не считается персональными данными?

  • Обезличенная статистика (например, «60% пользователей из Астаны»);
  • публичная информация (данные из открытых соцсетей, если человек сам их разместил);
  • должность или профессия без привязки к конкретному лицу;
  • данные юрлиц (название компании, БИН, реквизиты).

Важно помнить, что если информацию можно сопоставить с человеком (например, через комбинацию данных), она уже попадает под защиту закона. Поэтому бизнесу стоит внимательно подходить к классификации данных, чтобы избежать нарушений.

Какие бывают виды персональных данных

Персональные данные различаются по степени конфиденциальности и возможным рискам при их утечке. Закон «О персональных данных и их защите» выделяет несколько категорий, для каждой из которых установлены свои требования к обработке и хранению.

1. Общие персональные данные

Это базовые сведения, которые чаще всего используются в повседневной деятельности компаний. К ним относятся:

  • ФИО;.
  • дата и место рождения;
  • контактные данные (телефон, email, адрес);
  • ИИН;
  • данные о месте работы или должности.

Такая информация требует защиты, но не относится к особо чувствительной. Однако при утечке даже этих данных человек может столкнуться с рассылкой спама, фишингом или мошенничеством.

2. Специальные категории персональных данных

Эти данные раскрывают подробности частной жизни и требуют усиленной защиты. Их обработка возможна только с явного согласия человека, если иное не предусмотрено законом. В эту группу входят:

  • расовая или этническая принадлежность;
  • политические, религиозные или философские убеждения;
  • состояние здоровья, генетические и биометрические данные;
  • информация о судимостях;
  • данные о сексуальной жизни.

Медицинские учреждения или HR-службы при работе с такими данными должны использовать шифрование, строгий контроль доступа и другие меры повышенной безопасности.

3. Биометрические персональные данные

Это сведения, которые характеризуют физиологические или биологические особенности человека и используются для его идентификации. В Казахстане к ним относят:

  • отпечатки пальцев;
  • сканы сетчатки глаза или лица (используются в системах распознавания);
  • образцы голоса;
  • ДНК.

Биометрию часто применяют в банковской сфере, госучреждениях и системах контроля доступа. Из-за высоких рисков ее нельзя обрабатывать без согласия человека, а хранить такие данные нужно с особой осторожностью.

4. Иные виды данных с ограничениями

Некоторые категории информации не всегда прямо названы в законе, но тоже требуют внимания:

  • финансовые данные (номера карт, история транзакций) — защищаются по стандартам PCI DSS;
  • данные о местоположении (геолокация с телефона или автомобиля) — их сбор должен быть обоснован;
  • данные детей — требуют согласия родителей и дополнительных мер безопасности.

Категория информации напрямую влияет на уровень необходимой защиты. Для разных типов данных могут требоваться разные методы обеспечения безопасности: от базового шифрования до двухфакторной аутентификации. Также от категории зависит необходимость получения явного согласия субъекта данных, особые требования к хранению (например, биометрические данные нельзя хранить в открытом виде) и степень ответственности за возможную утечку (которая может варьироваться от административных штрафов до уголовного преследования).

Использование облачных сервисов помогает бизнесу соблюдать эти правила: провайдеры предлагают автоматическое шифрование, резервное копирование, разграничение доступа и другие инструменты для обработки и хранения персональных данных.

Кто такие оператор и субъект персональных данных

Ключевыми участниками обработки персональных данных являются оператор и субъект данных. Понимание их ролей и взаимных обязательств крайне важно для любого бизнеса, работающего с персональной информацией.

Субъект персональных данных

Под этим понятием подразумевается физическое лицо, к которому относятся обрабатываемые сведения. Каждый гражданин имеет право:

  • знать, какие его данные собираются и обрабатываются;
  • получать информацию о целях обработки;
  • требовать прекращения обработки своих данных;
  • отзывать ранее данное согласие на обработку;
  • требовать исправления неточных или устаревших сведений.

Особое внимание уделяется защите прав несовершеннолетних субъектов - обработка их данных требует согласия родителей или законных представителей.

Оператор персональных данных

Оператор — это юридическое или физическое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку персональных данных. Оператором может быть:

  • компания, собирающая данные клиентов;
  • работодатель, обрабатывающий информацию сотрудников;
  • государственное учреждение, ведущее реестры граждан.

Оператор персональных данных обязан обеспечивать безопасность обработки информации, внедряя соответствующие технические и организационные меры защиты, получать явное согласие субъекта (кроме предусмотренных законом случаев), уведомлять уполномоченный орган о начале обработки и назначать ответственного за защиту данных, соблюдая принципы законности и целесообразности.

Особенности работы операторов с облачными провайдерами

Если оператор решает использовать облачные инструменты, на него накладывается несколько важных обязательств:

  • тщательно выбирать облачного провайдера, проверяя его соответствие требованиям законодательства;
  • заключать соглашение, четко регламентирующее порядок обработки и защиты данных;
  • выполнять требования субъектов (например, на удаление данных);
  • контролировать территориальное расположение серверов, где хранятся данные.

Важно помнить, что даже при использовании облачных услуг основная ответственность за защиту данных остается на операторе. Поэтому критически важно выбрать надежного облачного провайдера с соответствующими сертификатами безопасности.

Как оператор обязан защищать персональные данные

Работа с персональными данными начинается с определения четких целей их обработки — оператор должен точно знать, для чего собирает информацию и как будет ее использовать. Эти цели необходимо документально зафиксировать во внутренних положениях компании.

Получение согласия субъектов данных — обязательный этап, за исключением случаев, предусмотренных законом. Согласие должно быть конкретным, информированным и сознательным, лучше всего — в письменной форме с указанием цели обработки, перечня данных и срока их хранения.

Особое внимание следует уделить защите данных:

  • Провести категоризацию информации по степени конфиденциальности;
  • назначить ответственного за организацию обработки ПДн;
  • внедрить технические меры защиты (шифрование, антивирусы, системы обнаружения вторжений);
  • организовать контроль доступа (разграничение прав сотрудников, учетные записи, двухфакторная аутентификация);
  • настроить резервное копирование информации;
  • регулярно проводить аудит безопасности;

С облачными провайдерами важно заключать договор с четким описанием мер защиты, контролировать физическое расположение серверов. Также нужно обеспечивать возможность выполнения требований субъектов (удаление, корректировка данных).

Важно вести журнал учета обработки персональных данных, где фиксируются все операции с информацией. Сотрудники, имеющие доступ к данным, должны проходить обучение и подписывать обязательства о неразглашении.

При утечке данных оператор обязан в течение 3 рабочих дней уведомить уполномоченный орган и предпринять меры по минимизации последствий. Регулярный пересмотр политики обработки данных и ее актуализация в соответствии с изменениями законодательства — завершающий, но не менее важный элемент работы оператора.

Краткий чек-лист для обработки ПДн

Работа с персональными данными включает несколько этапов, куда входит не только настройка обработки данных, но и постоянный мониторинг всех систем и законодательства на актуальные правки.

Например, в России с 30 мая вступил в силу ряд существенных поправок в закон о персональных данных (152-ФЗ), которые обновляют форму согласия, вводят новые обязательства для операторов и ужесточают санкции за утечку данных. В результате компании, которые запоздали с обновлением своих процессов, попали на серьезные штрафы. Это яркий пример того, почему компаниям в Казахстане необходимо внимательно отслеживать возможные изменения в национальном законодательстве - ведь аналогичные правки могут быть внесены и в Закон РК «О персональных данных и их защите».

Чтобы комплексно закрыть эту задачу и помочь вам выстроить эффективную базовую систему защиты ПДн, мы составили чек-лист, который затрагивает каждый из этапов.

1. Определение оснований обработки

  • Четко сформулируйте цели обработки;
  • определите правовые основания (согласие, договор, закон);
  • для специальных категорий данных получите явное согласие.

2. Организационные меры

  • Разработайте политику обработки ПДн;
  • назначьте ответственного за защиту данных;
  • проведите обучение сотрудников.

3. Техническая защита

  • Внедрите контроль доступа (учетные записи, двухфакторная аутентификация);
  • используйте шифрование передаваемых и хранимых данных;
  • установите антивирусную защиту и системы мониторинга;
  • организуйте регулярное резервное копирование.

4. Работа с облачными сервисами

  • Выбирайте сертифицированных провайдеров;
  • заключайте договоры с указанием мер защиты;
  • контролируйте физическое расположение серверов;
  • обеспечьте возможность выполнения прав субъектов.

4. Работа с облачными сервисами

  • Выбирайте сертифицированных провайдеров;
  • заключайте договоры с указанием мер защиты;
  • контролируйте физическое расположение серверов;
  • обеспечьте возможность выполнения прав субъектов.

5. Реакция на инциденты

  • Разработайте порядок действий при утечке данных;
  • в течение 3 дней уведомляйте уполномоченный орган;
  • фиксируйте все инциденты и принимаемые меры.

6. Регулярный контроль

  • Проводите аудит системы защиты не реже 1 раза в год;
  • актуализируйте политики обработки при изменениях в законе;
  • анализируйте новые угрозы и обновляйте защитные меры.

Заключение

Как мы убедились, работа с персональными данными требует особого внимания к вопросам безопасности и соблюдения законодательства. Операторам необходимо не только разрабатывать внутренние регламенты, но и внедрять современные технические решения для защиты информации.

Для безопасной и эффективной обработки персональных данных мы рекомендуем использовать облачные сервисы ИТ-ГРАД. Мы гарантируем полное соответствие требованиям законодательства Казахстана и международным стандартам безопасности, чтобы вы могли сосредоточиться на развитии бизнеса, не беспокоясь о соблюдении нормативных требований.

Оцените эту статью

Средняя оценка: 5, всего оценок: 8

Похожие статьи

16.06.2025Как работает и для чего нужен протокол SSH
09.06.2025Облака для бизнеса: как эффективно использовать современные решения
26.05.2025WAF. Как обеспечить безопасность веб-приложений и защитить данные
Все IT-инфраструктура Безопасность Процессы Технологии Решения Партнеры Тренды Разработка