Проект
ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ
КЫРГЫЗСКОЙ РЕСПУБЛИКИ
г.Бишкек, от 7 декабря 2022 года № 668
О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108
В целях реализации Закона Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства», в соответствии со статьями 13 и 17 конституционного Закона Кыргызской Республики «О Кабинете Министров Кыргызской Республики», Кабинет Министров Кыргызской Республики постановляет:
1. Внести в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108 следующее дополнение:
- критерии оценки степени риска при осуществлении предпринимательской деятельности, утвержденные вышеуказанным постановлением, дополнить главой 25 следующего содержания:
«Глава 25. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных
88. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных непосредственно связаны с рейтингами угроз безопасности персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
89. Субъект предпринимательства, исходя из конкретных условий работы с персональными данными, ценности защищаемой информации и стоимости мер по ее защите, а также с учетом уровня технического развития, утверждает собственный перечень угроз безопасности персональных данных по форме, утвержденной уполномоченным государственным органом по персональным данным.
90. Оценка степени риска производится уполномоченным государственным органом по персональным данным в ходе проведения проверки субъекта предпринимательства с целью определения периода проведения последующей плановой проверки.
91. Оценка степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, осуществляется уполномоченным государственным органом по персональным данным исходя их следующих критериев:
№ | Критерий | Диапазон баллов | Оценка (баллов) |
1 | Актуальность угрозы безопасности персональных данных | 0-10 балла | 0 - неактуальна; 10 - актуальна |
2 | Возможное причинение вреда субъекту персональных данных, который может быть причинен в случае реализации угрозы | 0-30 балла | 0 - вред не может быть причинен (не влечет причинения убытков и морального вреда субъекту персональных данных); 10 - незначительный вред, легко компенсируемый держателем (незначительные затраты - менее 1000 расчетных показателей, на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред); 20 - значительный вред, который может быть компенсирован оператором (влечет значительные затраты – более 1000 расчетных показателей, на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред); 30 - критический вред, не может быть компенсирован (влечет причинение убытков и морального вреда, которые не могут компенсированы) |
3 | Объем обрабатываемых персональных данных, которые подвержены данной угрозе | 10-30 балла | 10 - незначительный объем (информационная система обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки); 20 - значительный объем (информационная система обрабатывает персональные данные в объеме, более 10000 до 100000 субъектов, персональных данных на момент проведения проверки); 30 - критический объем (информационная система обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки) |
4 | Содержание обрабатываемых персональных данных, которые подвержены данной угрозе | 10-15 балла | 10 - персональные данные, не относящиеся к специальным категориям; 15 - специальные категории персональных данных (в соответствии с частью 1 статьи 8 Закона Кыргызской Республики “Об информации персонального характера»), а также биометрические данные (в соответствии с частью 3 статьи 5 Закона Кыргызской Республики “О биометрической регистрации граждан Кыргызской Республики») |
5 | Продолжительность деятельности по обработке персональных данных, к которой применима угроза | 5-15 балла | 5 - краткосрочная (обработка данных не более чем в течение 2 (двух) недель); 10 - среднесрочное (обработка данных от 6 месяцев до 1 года) 15 - долгосрочная (использование и хранение персональных данных осуществляется более 1 года) |
6 | Наличие трансграничной передачи персональных данных | 0-15 балла | 0 – трансграничная передача персональных данных отсутствует; 10 – персональные данные передаются в третьи страны на основании международных договоров; 15 – персональные данные передаются в третьи страны на основании согласия владельца персональных данных; |
7. | Наличие документации по обеспечению безопасности персональных данных | 0-15 балла | 0 - наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760. При этом перечень и содержание документации соответствует уровням защищенности. 10 - Наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760. При этом перечень и содержание документации не соответствует уровням защищенности. 15 - Отсутствие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760. При этом документация отсутствует. |
8 | Наличие уполномоченного лица, ответственного за обеспечение безопасности персональных данных | 0-10 балла | 0 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных назначено; 10 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных отсутствует; |
9 | Прохождение повышения квалификации лица, ответственного за обеспечение безопасности персональных данных | 0-10 балла | 0 - повышение квалификации пройдено не более 2 лет назад; 5 - повышение квалификации пройдено не более 3 лет назад; 10 - повышение квалификации пройдено более 3 лет назад; |
Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных определяется, как сумма баллов по каждому из критериев.
92. Количество баллов, отражающих историю деятельности субъекта предпринимательства, зависит от количества случаев неисполнения субъектом предпринимательства требований законодательства Кыргызской Республики в сфере информации персонального характера, выявленных в ходе внеплановых проверок за определенный период:
История субъекта | Баллы |
Случаи не выявлены за последние 12 месяцев | 15 |
Случаи не выявлены за последние 3 года | 10 |
Случаи не выявлены за последние 5 лет | 5 |
Случаи не выявлены за последние 7 лет | 0 (баллы не начисляются) |
Примечание: баллы, установленные для каждого периода времени прибавляются к сумме баллов, установленных в ходе определения степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных в соответствии с пунктом 91 настоящих критериев.
93. Критерии угроз безопасности по уровням и наличие необходимой документации для каждого уровня определяется в соответствии с Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
94. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных без использования информационных систем осуществляется исходя из того, что такие субъекты предпринимательства делятся на следующие категории:
№ | Объем обрабатываемых персональных данных | Степень риска | Оценка (баллов) |
1 | Субъект предпринимательства обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки) | незначительная | 40 баллов |
2 | Субъект предпринимательства обрабатывает персональные данные в объеме, более 10000 до 100000 субъектов персональных данных на момент проведения проверки) | средняя | 60 баллов |
3 | Субъект предпринимательства обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки) | высокая | 80 баллов |
»
2. Настоящее постановление вступает в силу со дня официального опубликования.
Председатель Кабинета Министров Кыргызской Республики | А.У. Жапаров |