ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ КЫРГЫЗСКОЙ РЕСПУБЛИКИ
г.Бишкек, от 7 декабря 2022 года № 668
О внесении изменения в постановление Правительства Кыргызской Республики "Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности" от 18 февраля 2012 года № 108
В целях реализации статьи 6 Закона Кыргызской Республики "О порядке проведения проверок субъектов предпринимательства", в соответствии со статьями 13, 17 конституционного Закона Кыргызской Республики "О Кабинете Министров Кыргызской Республики" Кабинет Министров Кыргызской Республики постановляет:
1. Внести в постановление Правительства Кыргызской Республики "Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности" от 18 февраля 2012 года № 108 следующее изменение:
- критерии оценки степени риска при осуществлении предпринимательской деятельности, утвержденные вышеуказанным постановлением, дополнить главой 25 следующего содержания:
"Глава 25. Критерии оценки степени риска предпринимательской
деятельности, связанной со сбором, хранением, обработкой
и передачей персональных данных
88. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, непосредственно связаны с рейтингами угроз безопасности персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.
89. Субъект предпринимательства исходя из конкретных условий работы с персональными данными, ценности защищаемой информации и стоимости мер по ее защите, а также с учетом уровня технического развития утверждает собственный перечень угроз безопасности персональных данных по форме, утвержденной уполномоченным государственным органом по персональным данным.
90. Критерии угроз безопасности по уровням и наличие необходимой документации для каждого уровня определяются в соответствии с Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденными постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760 (далее - Требования к обеспечению безопасности).
91. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, без использования информационных систем осуществляются исходя из того, что такие субъекты предпринимательства делятся на следующие категории:
№ | Объем обрабатываемых персональных данных | Степень риска | Оценка (баллы) |
1 | Субъект предпринимательства обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки | незначительная | 40 |
2 | Субъект предпринимательства обрабатывает персональные данные в объеме более 10000 до 100000 субъектов персональных данных на момент проведения проверки | средняя | 60 |
3 | Субъект предпринимательства обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки | высокая | 80 |
92. Оценка степени риска производится уполномоченным государственным органом по персональным данным в ходе проведения проверки субъекта предпринимательства с целью определения периода проведения последующей плановой проверки.
93. Оценка степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, осуществляется уполномоченным государственным органом по персональным данным исходя из следующих критериев:
№ | Критерий | Диапазон баллов | Оценка (баллы) |
1 | Актуальность угрозы безопасности персональных данных | 0-10 | 0 - неактуальна; 10 - актуальна |
2 | Возможное причинение вреда субъекту персональных данных, который может быть причинен в случае реализации угрозы | 0-30 | 0 - вред не может быть причинен (не влечет причинения убытков и морального вреда субъекту персональных данных); 10 - незначительный вред, легко компенсируемый держателем (незначительные затраты - менее 1000 расчетных показателей на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред); 20 - значительный вред, который может быть компенсирован оператором (влечет значительные затраты - более 1000 расчетных показателей на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред); 30 - критический вред, не может быть компенсирован (влечет причинение убытков и морального вреда, которые не могут быть компенсированы) |
3 | Объем обрабатываемых персональных данных, которые подвержены данной угрозе | 10-30 | 10 - незначительный объем (информационная система обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки); 20 - значительный объем (информационная система обрабатывает персональные данные в объеме более 10000 до 100000 субъектов персональных данных на момент проведения проверки); 30 - критический объем (информационная система обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки) |
4 | Содержание обрабатываемых персональных данных, которые подвержены данной угрозе | 10-15 | 10 - персональные данные, не относящиеся к специальным категориям; 15 - специальные категории персональных данных (в соответствии с частью 1 статьи 8 Закона Кыргызской Республики "Об информации персонального характера"), а также биометрические данные (в соответствии с частью 3 статьи 5 Закона Кыргызской Республики "О биометрической регистрации граждан Кыргызской Республики") |
5 | Продолжительность деятельности по обработке персональных данных, к которой применима угроза | 5-15 | 5 - краткосрочная (обработка данных не более чем в течение двух недель); 10 - среднесрочное (обработка данных от 6 месяцев до 1 года); 15 - долгосрочная (использование и хранение персональных данных осуществляется более 1 года) |
6 | Наличие трансграничной передачи персональных данных | 0-15 | 0 - трансграничная передача персональных данных отсутствует; 10 - персональные данные передаются в третьи страны на основании международных договоров; 15 - персональные данные передаются в третьи страны на основании согласия владельца персональных данных |
7 | Наличие документации по обеспечению безопасности персональных данных | 0-15 | 0 - наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности. При этом перечень и содержание документации соответствуют уровням защищенности. 10 - наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности. При этом перечень и содержание документации не соответствуют уровням защищенности. 15 - отсутствие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности. При этом документация отсутствует |
8 | Наличие уполномоченного лица, ответственного за обеспечение безопасности персональных данных | 0-10 | 0 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных, назначено; 10 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных, отсутствует |
9 | Прохождение повышения квалификации лица, ответственного за обеспечение безопасности персональных данных | 0-10 | 0 - повышение квалификации пройдено не более 2 лет назад; 5 - повышение квалификации пройдено не более 3 лет назад; 10 - повышение квалификации пройдено более 3 лет назад |
Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, определяются как сумма баллов по каждому из критериев.
94. Количество баллов, отражающих историю деятельности субъекта предпринимательства, зависит от количества случаев неисполнения субъектом предпринимательства требований законодательства Кыргызской Республики в сфере информации персонального характера, выявленных в ходе внеплановых проверок за определенный период:
История субъекта | Баллы |
Случаи не выявлены за последние 12 месяцев | 15 |
Случаи не выявлены за последние 3 года | 10 |
Случаи не выявлены за последние 5 лет | 5 |
Случаи не выявлены за последние 7 лет | 0 (баллы не начисляются) |
Примечание: баллы, установленные для каждого периода времени, прибавляются к сумме баллов, установленных в ходе определения степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, в соответствии с пунктом 91 настоящих критериев.".
2. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.
Председатель Кабинета Министров Кыргызской Республики | А.Жапаров |