ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ КЫРГЫЗСКОЙ РЕСПУБЛИКИ

г.Бишкек, от 7 декабря 2022 года № 668

О внесении изменения в постановление Правительства Кыргызской Республики "Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности" от 18 февраля 2012 года № 108

В целях реализации статьи 6 Закона Кыргызской Республики "О порядке проведения проверок субъектов предпринимательства", в соответствии со статьями 13, 17 конституционного Закона Кыргызской Республики "О Кабинете Министров Кыргызской Республики" Кабинет Министров Кыргызской Республики постановляет:

1. Внести в постановление Правительства Кыргызской Республики "Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности" от 18 февраля 2012 года № 108 следующее изменение:

- критерии оценки степени риска при осуществлении предпринимательской деятельности, утвержденные вышеуказанным постановлением, дополнить главой 25 следующего содержания:

"Глава 25. Критерии оценки степени риска предпринимательской
 деятельности, связанной со сбором, хранением, обработкой
 и передачей персональных данных

88. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, непосредственно связаны с рейтингами угроз безопасности персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

89. Субъект предпринимательства исходя из конкретных условий работы с персональными данными, ценности защищаемой информации и стоимости мер по ее защите, а также с учетом уровня технического развития утверждает собственный перечень угроз безопасности персональных данных по форме, утвержденной уполномоченным государственным органом по персональным данным.

90. Критерии угроз безопасности по уровням и наличие необходимой документации для каждого уровня определяются в соответствии с Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденными постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760 (далее - Требования к обеспечению безопасности).

91. Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, без использования информационных систем осуществляются исходя из того, что такие субъекты предпринимательства делятся на следующие категории:

Объем обрабатываемых персональных данных

Степень риска

Оценка (баллы)

1

Субъект предпринимательства обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки

незначительная

40

2

Субъект предпринимательства обрабатывает персональные данные в объеме более 10000 до 100000 субъектов персональных данных на момент проведения проверки

средняя

60

3

Субъект предпринимательства обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки

высокая

80

92. Оценка степени риска производится уполномоченным государственным органом по персональным данным в ходе проведения проверки субъекта предпринимательства с целью определения периода проведения последующей плановой проверки.

93. Оценка степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, осуществляется уполномоченным государственным органом по персональным данным исходя из следующих критериев:

Критерий

Диапазон баллов

Оценка (баллы)

1

Актуальность угрозы безопасности персональных данных

0-10

0 - неактуальна;

10 - актуальна

2

Возможное причинение вреда субъекту персональных данных, который может быть причинен в случае реализации угрозы

0-30

0 - вред не может быть причинен (не влечет причинения убытков и морального вреда субъекту персональных данных);

10 - незначительный вред, легко компенсируемый держателем (незначительные затраты - менее 1000 расчетных показателей на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред);

20 - значительный вред, который может быть компенсирован оператором (влечет значительные затраты - более 1000 расчетных показателей на ликвидацию/компенсацию последствий за причиненные убытки и моральный вред);

30 - критический вред, не может быть компенсирован (влечет причинение убытков и морального вреда, которые не могут быть компенсированы)

3

Объем обрабатываемых персональных данных, которые подвержены данной угрозе

10-30

10 - незначительный объем (информационная система обрабатывает персональные данные в объеме, не превышающем 10000 субъектов персональных данных на момент проведения проверки);

20 - значительный объем (информационная система обрабатывает персональные данные в объеме более 10000 до 100000 субъектов персональных данных на момент проведения проверки);

30 - критический объем (информационная система обрабатывает персональные данные в объеме более 100000 субъектов персональных данных на момент проведения проверки)

4

Содержание обрабатываемых персональных данных, которые подвержены данной угрозе

10-15

10 - персональные данные, не относящиеся к специальным категориям;

15 - специальные категории персональных данных (в соответствии с частью 1 статьи 8 Закона Кыргызской Республики "Об информации персонального характера"), а также биометрические данные (в соответствии с частью 3 статьи 5 Закона Кыргызской Республики "О биометрической регистрации граждан Кыргызской Республики")

5

Продолжительность деятельности по обработке персональных данных, к которой применима угроза

5-15

5 - краткосрочная (обработка данных не более чем в течение двух недель); 10 - среднесрочное (обработка данных от 6 месяцев до 1 года);

15 - долгосрочная (использование и хранение персональных данных осуществляется более 1 года)

6

Наличие трансграничной передачи персональных данных

0-15

0 - трансграничная передача персональных данных отсутствует;

10 - персональные данные передаются в третьи страны на основании международных договоров;

15 - персональные данные передаются в третьи страны на основании согласия владельца персональных данных

7

Наличие документации по обеспечению безопасности персональных данных

0-15

0 - наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности.

При этом перечень и содержание документации соответствуют уровням защищенности.

10 - наличие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности.

При этом перечень и содержание документации не соответствуют уровням защищенности.

15 - отсутствие документации по обеспечению безопасности персональных данных в соответствии с рейтингами угроз, определенных Требованиями к обеспечению безопасности.

При этом документация отсутствует

8

Наличие уполномоченного лица, ответственного за обеспечение безопасности персональных данных

0-10

0 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных, назначено;

10 - уполномоченное лицо, ответственное за обеспечение безопасности персональных данных, отсутствует

9

Прохождение повышения квалификации лица, ответственного за обеспечение безопасности персональных данных

0-10

0 - повышение квалификации пройдено не более 2 лет назад;

5 - повышение квалификации пройдено не более 3 лет назад;

10 - повышение квалификации пройдено более 3 лет назад

Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, определяются как сумма баллов по каждому из критериев.

94. Количество баллов, отражающих историю деятельности субъекта предпринимательства, зависит от количества случаев неисполнения субъектом предпринимательства требований законодательства Кыргызской Республики в сфере информации персонального характера, выявленных в ходе внеплановых проверок за определенный период:

История субъекта

Баллы

Случаи не выявлены за последние 12 месяцев

15

Случаи не выявлены за последние 3 года

10

Случаи не выявлены за последние 5 лет

5

Случаи не выявлены за последние 7 лет

0 (баллы не начисляются)

Примечание: баллы, установленные для каждого периода времени, прибавляются к сумме баллов, установленных в ходе определения степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных, в соответствии с пунктом 91 настоящих критериев.".

2. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.


Председатель Кабинета Министров Кыргызской Республики


А.Жапаров