Отдельный госорган по цифровой безопасности предлагают создать в Казахстане

Депутат мажилиса Екатерина Смышляева в сенате рассказала, почему в Казахстане происходит утечка персональных данных граждан и как это можно предотвратить, передает корреспондент NUR.KZ.

Вопрос поднял депутат сената Евгений Больгерт в ходе обсуждения закона "Об информационной безопасности". Он указал, что одной из новелл законопроекта является дополнение закона "О персональных данных" положениями в части государственного контроля за соблюдением законодательства о персональных данных и их защите.

Согласно норме, по его словам, государственный контроль в отношении госорганов осуществляется в форме периодических и внеплановых проверок, а в отношении иных субъектов контроля предлагается осуществлять только в форме внеплановой проверки.

Однако, согласно Предпринимательскому кодексу, внеплановая проверка проводится только после сообщения о нарушениях требований законодательства, то есть постфактум.

В этой связи Больгерт поинтересовался, достаточно ли будет этой меры, учитывая участившиеся случаи утечки персональных данных физлиц.

Депутат Екатерина Смышляева в ответ указала на то, что исторически контроль в сфере защиты персональных данных, информационной безопасности не был у МЦРИАП – эта функция, по её словам, была в отраслевых госорганах и фактически не осуществлялась. В июне 2020 года этот контроль был передан Минцифры, то есть только с июня 2020 года в Казахстане начали реагировать на обращения граждан в отношении утечки данных, а также на инциденты, связанные с информационной безопасностью.

"Сами субъекты контроля делятся. Если говорить о персональных данных, то таких субъектов у нас на сегодня 20 млн. Субъекты, которые нуждаются в контроле в плане информационной безопасности – 32 тыс., субъекты, которые являются критически важными объектами информационной инфраструктуры – их 500. То есть огромный массив субъектов.

На сегодня контроль осуществляет Комитет информационной безопасности МЦРИАП, в котором этим занимаются 4 человека. То есть на сегодня у нас просто физически нет ещё пока такой инфраструктуры контроля, которая позволила бы нам осуществлять в том числе плановые виды контроля для 20 млн субъектов персональных данных и для 32 тыс. субъектов информационной безопасности. Поэтому с точки зрения организационной пока говорить о плановых проверках, как о какой-то постоянной системе, пожалуй, рано", — поделилась депутат.

Для решения проблемы, добавила она, предлагается ряд мер.

Во-первых, в ближайшее время планируется выработать новое определение понятия "персональные данные" в рамках закона "О данных и национальной статистике". Таким образом, планируется сократить пул подконтрольных субъектов и косвенно снизить нагрузку на регулятор.

"Второй момент, нам необходимо, безусловно, создать систему контроля – здесь рассматриваются разные варианты. Сейчас мы ходатайствуем об увеличении штата Комитета информационной безопасности. Есть вариант создания, и вообще он правильный, отдельного Агентства по информационной безопасности в качестве независимого госоргана.

Есть вариант развития событий с привлечением частных операторов контроля, и есть вариант с привлечением саморегулируемых организаций. Мы на счёт правовой конструкции сейчас уже думаем и, думаю, в самое ближайшее время предложим вариант, который усилит администрирование и инфраструктуру госконтроля.

Полагаю, этот правовой механизм будет отражен в Цифровом кодексе, который ожидается в конце 2024 года, там мы уже детально этот момент учтем. Пока даже если бы все варианты контроля предусмотрели, они бы просто не работали, потому что некому на сегодня осуществлять", — резюмировала Смышляева.