Министра искусственного интеллекта приказом от 22 июня 2026 года утвердил в новой редакции Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, сообщает prosud.kz.
Правилами определены понятия:
- персональные данные – сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных;
- блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
- сбор персональных данных - действия, направленные на получение персональных данных;
- база, содержащая персональные данные (далее - база) - совокупность упорядоченных персональных данных;
- собственник базы, содержащей персональные данные (далее - собственник) - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
- оператор базы, содержащей персональные данные (далее - оператор) - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
- нарушение безопасности персональных данных - нарушение защиты персональных данных, повлекшее незаконное распространение, изменение, и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
- защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;
Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами РК не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.
Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством РК.
Собственник и оператор осуществляют выделение бизнес-процессов, содержащих персональные данные.
При выделении бизнес-процессов определяются виды деятельности собственника и (или) оператора, а также третьего лица, при которых осуществляется сбор и обработка персональных данных.
Собственник и оператор определяют перечень лиц, осуществляющих сбор и обработку персональных данных, либо имеющих к ним доступ.
Собственник и оператор обязаны принимать необходимые меры по защите персональных данных, обеспечивающие:
- предотвращение несанкционированного доступа к персональным данным;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
- минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;
- предоставление доступа государственной технической службе к цифровым объектам, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в цифровых ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в цифровых ресурсах в порядке, определяемом уполномоченным органом.
- регистрацию и учет действий.
Собственник и (или) оператор, а также третье лицо в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных осуществляют уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).
При обработке персональных данных ограниченного доступа:
- устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями;
- определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта. Блокирование персональных данных осуществляется до принятия решения по обращению субъекта;
- оповещают уполномоченный орган об инцидентах кибербезопасности, связанных с незаконным доступом к персональным данным ограниченного доступа. Оповещение осуществляется для принятия мер по предотвращению дальнейшего незаконного доступа к персональным данным;
- обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа для обеспечения безопасности обработки персональных данных;
- обеспечивают ведение журнала событий систем управления базами для регистрации событий, связанных с обработкой персональных данных ограниченного доступа;
- обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа для учета действий при работе с персональными данными ограниченного доступа;
- применяют средства контроля целостности персональных данных ограниченного доступа для предотвращения несанкционированного изменения персональных данных;
- обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных для предотвращения несанкционированного доступа;
- обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа.
- применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.
При этом обязанность применения идентификации и (или) аутентификации пользователей распространяется исключительно на лиц, имеющих доступ к базе персональных данных.
Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности.
Сбор и обработка персональных данных ограниченного доступа осуществляются посредством цифровых объектов, размещенных на территории РК.
Приказ вводится в действие с 12 июля.