Председатель Агентства по регулированию и развитию финансового рынка (АРРФР) Мадина Абылкасымова ответила на запрос депутата Мажилиса Екатерины Смышляевой касательно защиты персональных данных казахстанцев. Мажилисвумен отмечала, что в стране беспорядочно используются персональные данные граждан, что привело к росту мошенничества, в частности в финансовом секторе. Она привела пример, как казахстанцы вынуждены подписывать согласие на обработку личных данных для получения тех или иных финансовых услуг. Однако, как обеспечивается защита этих данных неизвестно.
Депутат предложила провести проверку соблюдения требований законодательства о защите персональных данных в банковском секторе, включая порядок получения и содержание согласий.
В ответ на запрос депутата Мадина Абылкасымова сообщила, что Министерство цифрового развития, инноваций и аэрокосмической промышленности ( МЦРИАП) является уполномоченным органом в сфере защиты персональных данных и наделено полномочиями по осуществлению государственного контроля за соблюдением законодательства о персональных данных. Согласно закону Республики Казахстан «О государственном регулировании, контроле и надзоре финансового рынка и финансовых организаций» контроль за соблюдением законодательства о персональных данных не входит в полномочия АРРФР.
«Комитет информационной безопасности (КИБ) МЦРИАП осуществляет ежегодные проверки банков по вопросам защиты персональных 2 данных, по результатам которых применяет меры воздействия, в том числе штрафы. Так, с начала 2024 года КИБ МЦРИАП проведены проверки по вопросам защиты персональных данных в отношении 3-х банков и 26 МФО», - говорится в ответе.
Кроме того, по словам Абылкасымовой, согласно пункту 6 Дорожной карты по реализации механизмов противодействия финансовому мошенничеству, в первом квартале 2025 года Министерством цифровизации будут проведены проверки сотовых операторов, банков и микрофинансовых организаций по вопросам соблюдения требований законодательства по сбору и обработке согласий клиентов на получение и использование персональных данных.
Каксательно предложения депутата пересмотреть действующие ограничения в отношении банков по соблюдению требований к информационной безопасности и ужесточению регулирования по персональным данным, глава АРРФР проинформировала: в Законе об информатизации нет каких-либо исключений в отношении банков и единые требования области информационнокоммуникационных технологий, обеспечения информационной безопасности, утвержденные МЦРИАП, распространяются на банки второго уровня в полном объеме без изъятий, также, как и требования Агентства в рамках установленных МЦРИАП полномочий отраслевого центра информационной безопасности.
Мадина Абылкасымова также сообщила, что на сегодня в Администрации Президента РК находится на рассмотрении проект заключения Правительства на инициированный депутатами Мажилиса Парламента проект закона РК «О внесении изменений и дополнений в законодательные акты по вопросам информационной безопасности», предусматривающий в том числе:
- введение штрафа за несоблюдение мер по защите электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, если это деяние повлекло несанкционированный доступ к персональным данным или несанкционированное их распространение, или создало угрозу несанкционированного доступа к ним или их несанкционированного распространения;
- введение реестра нарушений безопасности персональных данных, безопасность которых нарушена (содержащего информацию о случаях нарушения безопасности персональных данных, субъектах, собственниках и операторах, по которым произошло нарушение безопасности персональных данных);
- установление для субъекта, находящегося в реестре нарушений безопасности персональных данных, отказа от получения банковских займов и микрокредитов с уведомлением о снятии такого ограничения посредством портала «электронного правительства»;
- регламентация ведения перечня персональных данных, разрешенных субъектом для распространения в общедоступных источниках;
- регламентация срока действия согласия на сбор и обработку персональных данных;
- уточнение порядка дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
