О персональных данных и их защите

Закон Республики Казахстан от 21 мая 2013 года N 94-V.

      Вниманию пользователей!
      Для удобства пользования РЦПИ создано ОГЛАВЛЕНИЕ

      Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

      1) биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

      2) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      3) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      4) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      5) сбор персональных данных – действия, направленные на получение персональных данных;

      6) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      7) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      8) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      9) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      10) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      11) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;

      11-1) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      11-2) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;

      12) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      13) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

      14) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

      15) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

      16) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      17) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

      Сноска. Статья 1 с изменениями, внесенными Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 2. Цель настоящего Закона

      Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных.

Статья 3. Действие настоящего Закона

      1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.

      2. Особенности сбора, обработки и защиты персональных данных могут регулироваться иными законами и актами Президента Республики Казахстан.

      3. Действие настоящего Закона не распространяется на отношения, возникающие при:

      1) сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан;

      2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;

      3) сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан "О государственных секретах";

      4) сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.

Статья 4. Законодательство Республики Казахстан о персональных данных и их защите

      1. Законодательство Республики Казахстан о персональных данных и их защите основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан.

      2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.

Статья 5. Принципы сбора, обработки и защиты персональных данных

      Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:

      1) соблюдения конституционных прав и свобод человека и гражданина;

      2) законности;

      3) конфиденциальности персональных данных ограниченного доступа;

      4) равенства прав субъектов, собственников и операторов;

      5) обеспечения безопасности личности, общества и государства.

Глава 2. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 6. Доступность персональных данных

      Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

      В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

      Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

      Сноска. Статья 6 в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 7. Условия сбора, обработки персональных данных

      1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона.

      2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

      3. Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации, с учетом положений настоящего Закона.

      4. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

      5. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

      Сноска. Статья 7 с изменениями, внесенными Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

      3. Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале "электронного правительства", сервис обеспечения безопасности персональных данных, а также посредством зарегистрированного на веб-портале "электронного правительства" абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала "электронного правительства".

      Сноска. Статья 8 с изменениями, внесенными законами РК от 17.11.2015 № 408-V (вводится в действие с 01.03.2016); от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 9. Сбор, обработка персональных данных без согласия субъекта

      Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

      1) осуществления деятельности правоохранительных органов и судов, исполнительного производства;

      2) осуществления государственной статистической деятельности;

      3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;

      4) реализации международных договоров, ратифицированных Республикой Казахстан;

      5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;

      6) осуществления законной профессиональной деятельности журналиста и (или) деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

      7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

      8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;

      9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;

      9-1) получения органами государственных доходов для осуществления налогового администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

      10) в иных случаях, установленных законами Республики Казахстан.

      Сноска. Статья 9 с изменениями, внесенными Законом РК от 03.07.2020 № 359-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 10. Доступ к персональным данным

      1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

      Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

      2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

      4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал "электронного правительства" при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале "электронного правительства", а также посредством зарегистрированного на веб-портале "электронного правительства" абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала "электронного правительства" или сервиса обеспечения безопасности персональных данных.

      Сноска. Статья 10 с изменениями, внесенными законами РК от 17.11.2015 № 408-V (вводится в действие с 01.03.2016); от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 11. Конфиденциальность персональных данных

      1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

      2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

      3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

Статья 12. Накопление и хранение персональных данных

      1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

      2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан.

      Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

      Сноска. Статья 12 с изменениями, внесенными Законом РК от 24.11.2015 № 419-V (вводится в действие с 01.01.2016).

Статья 13. Изменение и дополнение персональных данных

      Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

Статья 14. Использование персональных данных

      Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

Статья 15. Распространение персональных данных

      1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц.

      2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

Статья 16. Трансграничная передача персональных данных

      1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.

      2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

      3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

      1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;

      2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;

      3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;

      4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

      4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

      5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан "О связи".

      Сноска. Статья 16 с изменением, внесенным Законом РК от 28.12.2017 № 128-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 17. Обезличивание персональных данных

      1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.

      2. При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации функций государственными органами обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры "электронного правительства" в соответствии с правилами по сбору, обработке, хранению, передаче электронных информационных ресурсов для осуществления аналитики данных в целях реализации функций государственными органами, утверждаемыми уполномоченным органом в сфере информатизации, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.

      Сноска. Статья 17 в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 18. Уничтожение персональных данных

      Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

      3) при вступлении в законную силу решения суда;

      4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

Статья 19. Сообщение о действиях с персональными данными

      1. При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.

      2. Требования пункта 1 настоящей статьи не распространяются на случаи:

      1) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;

      2) осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

Глава 3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 20. Гарантия защиты персональных данных

      1. Персональные данные подлежат защите, которая гарантируется государством.

      2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

Статья 21. Цели защиты персональных данных

      Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

      2) обеспечения их целостности и сохранности;

      3) соблюдения их конфиденциальности;

      4) реализации права на доступ к ним;

      5) предотвращения незаконного их сбора и обработки.

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

      1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие:

      1) предотвращение несанкционированного доступа к персональным данным;

      2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;

      3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.

      2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

Статья 23. Защита электронных информационных ресурсов, содержащих персональные данные

      Особенности защиты электронных информационных ресурсов, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

Статья 23-1. Добровольное киберстрахование

      1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.

      2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.

      Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.

      Сноска. Глава 3 дополнена статьей 23-1 в соответствии с Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА,
СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА

Статья 24. Права и обязанности субъекта

      1. Субъект имеет право:

      1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

      подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

      перечень персональных данных;

      сроки обработки персональных данных, в том числе сроки их хранения;

      2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

      3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

      4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

      6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

      7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

      8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

      2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

      Сноска. Заголовок статьи 25 в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

      2. Собственник и (или) оператор обязаны:

      1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;

      2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

      3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;

      4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

      6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;

      7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;

      8) в течение одного рабочего дня:

      изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

      блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

      уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;

      9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;

      10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

      Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

      3. Лицо, ответственное за организацию обработки персональных данных, обязано:

      1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

      2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

      3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

      Сноска. Статья 25 с изменениями, внесенными Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ

Статья 26. Компетенция Правительства Республики Казахстан

      Правительство Республики Казахстан:

      1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;

      2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;

      3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;

      4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

      5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.

Статья 27. Компетенция государственных органов

      Государственные органы в пределах своей компетенции:

      1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;

      2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;

      3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

      4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Статья 27-1. Компетенция уполномоченного органа

      1. Уполномоченный орган в пределах своей компетенции:

      1) участвует в реализации государственной политики в сфере персональных данных и их защиты;

      2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

      3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;

      4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

      5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

      6) осуществляет меры, направленные на совершенствование защиты прав субъектов;

      7) утверждает правила сбора, обработки персональных данных;

      8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

      2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

      Сноска. Глава 5 дополнена статьей 27-1 в соответствии с Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 28. Надзор за применением настоящего Закона

      1. Органы прокуратуры осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты.

      2. Акты прокурорского надзора, вынесенные на основании и в порядке, установленных Законом Республики Казахстан "О Прокуратуре", обязательны для всех органов, организаций, должностных лиц и граждан.

      Сноска. Статья 28 с изменением, внесенным Законом РК от 11.07.2017 № 91-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ

Статья 29. Ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите

      Нарушение законодательства Республики Казахстан о персональных данных и их защите влечет ответственность в соответствии с законами Республики Казахстан.

Статья 30. Порядок обжалования и рассмотрения споров

      Действия (бездействие) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленном законами Республики Казахстан.

      Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном законами Республики Казахстан.

Статья 31. Порядок введения в действие настоящего Закона

      1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.

      2. Собственники и (или) операторы обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствие с требованиями настоящего Закона.

      3. Сбор, обработка персональных данных, осуществленные согласно законодательству Республики Казахстан до введения в действие настоящего Закона, признаются соответствующими требованиям настоящего Закона, если дальнейшие их обработка и защита соответствуют целям их сбора.

Президент


Республики Казахстан

Н. НАЗАРБАЕВ


Дербес деректер және оларды қорғау туралы

Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V Заңы.

      Қолданушылар назарына!

      Қолданушыларға ыңғайлы болуы үшін РҚАО мазмұнды жасады.

МАЗМҰНЫ

      РҚАО-ның ескертпесі!

      Осы Заңның қолданысқа енгізілу тәртібін 31-баптан қараңыз.

      Осы Заң дербес деректер саласындағы қоғамдық қатынастарды реттейді, сондай-ақ дербес деректердi жинаумен, өңдеумен және қорғаумен байланысты қызметтiң мақсатын, қағидаттарын және құқықтық негiздерiн айқындайды.

1-тарау. ЖАЛПЫ ЕРЕЖЕЛЕР

1-бап. Осы Заңда пайдаланылатын негiзгi ұғымдар

      Осы Заңда мынадай негiзгi ұғымдар пайдаланылады:

      1) биометриялық деректер – дербес деректер субъектісінің физиологиялық және биологиялық ерекшелiктерiн сипаттайтын дербес деректер, олардың негізінде осы субъектінің жеке басын анықтауға болады;

      2) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

      3) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      4) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелендіру жөніндегі іс-әрекеттер;

      5) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      6) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;

      7) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;

      8) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      9) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      11) дербес деректерді қорғау – осы Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

      11-1) дербес деректерді қорғау саласында уәкілетті орган (бұдан әрі - уәкілетті орган) - дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      11-2) дербес деректердің қауіпсіздігін қамтамасыз ету сервисі - меншік иелерінің және (немесе) оператордың субъектімен ақпараттық өзара іс-қимылын, субъектіден дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін алуды қоса алғанда, оның ішінде меншік иелерінің және (немесе) оператордың осы іс-қимылды өзі дербес іске асыруы арқылы қамтамасыз ететін қызмет;

      12) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      13) дербес деректердi пайдалану – меншік иесінің, оператордың және үшінші тұлғаның қызмет мақсаттарын іске асыруға бағытталған дербес деректермен жасалатын iс-әрекеттер;

      14) дербес деректерді сақтау – дербес деректердің тұтастығын, құпиялылығын және қолжетімділігін қамтамасыз ету жөніндегі іс-әрекеттер;

      15) дербес деректердi тарату – жасалуы нәтижесінде дербес деректер берілетін, оның ішінде бұқаралық ақпарат құралдары арқылы берілетін немесе қандай да бiр өзгеше тәсiлмен дербес деректерге қол жеткізу ұсынылатын іс-әрекеттер;

      16) дербес деректер субъектiсi (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      17) үшiншi тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға.

      Ескерту. 1-бапқа өзгеріс енгізілді - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

2-бап. Осы Заңның мақсаты

      Осы Заңның мақсаты адамның және азаматтың дербес деректерiн жинау және өңдеу кезiнде оның құқықтары мен бостандықтарын қорғауды қамтамасыз ету болып табылады.

3-бап. Осы Заңның қолданылуы

      1. Осы Заңмен дербес деректердi жинауға, өңдеуге және қорғауға байланысты қатынастар реттеледi.

      2. Дербес деректердi жинау, өңдеу және қорғау ерекшелiктері өзге де заңдармен және Қазақстан Республикасы Президентінің актілерімен реттелуі мүмкін.

      3. Осы Заңның күші:

      1) егер бұл ретте басқа да жеке және (немесе) заңды тұлғалардың құқықтары және Қазақстан Республикасы заңдарының талаптары бұзылмаса, субъектілердің тек қана жеке және отбасылық мұқтаж үшін дербес деректерді жинауы, өңдеуі және қорғауы;

      2) Қазақстан Республикасының Ұлттық мұрағат қоры және мұрағаттар туралы заңнамасына сәйкес дербес деректердi қамтитын Қазақстан Республикасы Ұлттық мұрағат қорының құжаттарын және басқа да мұрағаттық құжаттарды қалыптастыру, сақтау және пайдалану;

      3) "Мемлекеттік құпиялар туралы" Қазақстан Республикасының Заңына сәйкес мемлекеттік құпияларға жатқызылған дербес деректерді жинау, өңдеу және қорғау;

      4) Қазақстан Республикасының заңдарында белгіленген шектерде барлау, қарсы барлау, жедел-іздестіру қызметі, сондай-ақ қорғалатын тұлғалар мен объектілердің қауіпсіздігін қамтамасыз ету жөніндегі күзет іс-шараларын жүзеге асыру барысында дербес деректерді жинау, өңдеу және қорғау кезiнде туындайтын қатынастарға қолданылмайды.

4-бап. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасы

      1. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасы Қазақстан Республикасының Конституциясына негiзделедi және осы Заң мен Қазақстан Республикасының өзге де нормативтiк құқықтық актiлерiнен тұрады.

      2. Егер Қазақстан Республикасы ратификациялаған халықаралық шартта осы Заңда қамтылғаннан өзгеше қағидалар белгiленсе, онда халықаралық шарттың қағидалары қолданылады.

5-бап. Дербес деректердi жинау, өңдеу және қорғау қағидаттары

      Дербес деректердi жинау, өңдеу және қорғау:

      1) адамның және азаматтың конституциялық құқықтары мен бостандықтарын сақтау;

      2) заңдылық;

      3) қолжетімділігі шектеулі дербес деректердің құпиялылығы;

      4) субъектілер, меншік иелері және операторлар құқықтарының теңдігі;

      5) жеке бастың, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету қағидаттарына сәйкес жүзеге асырылады.

2-тарау. ДЕРБЕС ДЕРЕКТЕРДІ ЖИНАУ ЖӘНЕ ӨҢДЕУ

6-бап. Дербес деректерге қолжетімділік

      Дербес деректер қолжетімділігі бойынша жалпыға бірдей қолжетімді және қолжетімділігі шектеулі болып бөлінеді.

      Қазақстан Республикасының заңнамасына сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер жалпыға бірдей қолжетімді дербес деректер болып табылады.

      Халықты ақпараттық қамтамасыз ету мақсатында дербес деректердің жалпыға бірдей қолжетімді көздері (оның ішінде өмірбаяндық анықтамалықтар, телефон, мекенжай кітаптары, жалпыға бірдей қолжетімді электрондық ақпараттық ресурстар, бұқаралық ақпарат құралдары) пайдаланылады.

      Жиналуы және өңделуі Қазақстан Республикасының заңнамасы бұзыла отырып жасалған субъект туралы мәліметтер субъектінің немесе оның заңды өкілінің талап етуі бойынша не соттың немесе өзге де уәкілетті мемлекеттік органдардың шешімі бойынша кез келген уақытта дербес деректердің жалпыға бірдей қолжетімді көздерінен алып тасталады.

      Бұл ретте дербес деректердің жалпыға бірдей қолжетімді көздерінен дербес деректерді жою кезінде туындайтын шығыстар меншік иесіне және (немесе) операторға, үшінші тұлғаға жүктеледі.

      Субъектінің немесе оның заңды өкілінің өзінің дербес деректерін дербес деректердің жалпыға бірдей қолжетімді көздерінде таратуға келісімін кері қайтарып алу кезінде туындайтын, дербес деректердің жалпыға бірдей қолжетімді көздерінен дербес деректерді жоюға байланысты шығыстардың көлемі, сондай-ақ осы шығыстар жүктелетін адамдар қажеттілік туындаған жағдайда сот тәртібімен айқындалады.

      Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер қолжетімділігі шектеулі дербес деректер болып табылады.

      Ескерту. 6-бап жаңа редакцияда - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

7-бап. Дербес деректерді жинау, өңдеу шарттары

      1. Осы Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен уәкілетті орган айқындайтын тәртіппен жүзеге асырады.

      2. Қайтыс болған (сот хабар-ошарсыз кеткен деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.

      3. Дербес деректерді қамтитын электрондық ақпараттық ресурстарда дербес деректерді жинау, өңдеу ерекшеліктері осы Заңның ережелері ескеріле отырып, Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.

      4. Дербес деректерді өңдеу нақты, алдын ала айқындалған және заңды мақсаттарға жетумен шектелуге тиіс. Дербес деректерді жинау мақсаттарымен үйлеспейтін дербес деректерді өңдеуге жол берілмейді.

      5. Мазмұны мен көлемі өңдеу мақсаттарына қатысты артық болып табылатын дербес деректер өңделуге жатпайды.

      Ескерту. 7-бапқа өзгеріс енгізілді - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

8-бап. Субъектiнiң дербес деректердi жинауға, өңдеуге келiсiм беру (керi қайтарып алу) тәртiбi

      1. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, электрондық құжат нысанында немесе дербес деректердің қауіпсіздігін қамтамасыз ету сервисі арқылы не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен келiсiм береді (кері қайтарып алады).

      2. Субъект немесе оның заңды өкілі дербес деректердi жинауға, өңдеуге берген келісімді, егер бұл Қазақстан Республикасының заңдарына қайшы келсе не орындалмаған міндеттемесі болған кезде кері қайтарып ала алмайды.

      3. Субъект "электрондық үкімет" веб-порталында пайдаланушы кабинеті, дербес деректердің қауіпсіздігін қамтамасыз ету сервисі арқылы, сондай-ақ субъектінің "электрондық үкімет" веб-порталында тіркелген ұялы байланысының абоненттік номері арқылы "электрондық үкімет" веб-порталының хабарламасына жауап ретінде бір реттік парольді жіберу жолымен немесе қысқа мәтіндік хабарлама жөнелту жолымен дербес деректердi жинауға, өңдеуге келісім беруге құқылы.

      Ескерту. 8-бапқа өзгерістер енгізілді - ҚР 17.11.2015 № 408-V (01.03.2016 бастап қолданысқа енгізіледі); 25.06.2020 № 347-VI (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) Заңдарымен.

9-бап. Дербес деректердi субъектiнiң келiсiмiнсiз жинау, өңдеу

      Дербес деректерді субъектінің немесе оның заңды өкілінің келісімінсіз жинау, өңдеу:

      1) құқық қорғау органдары мен соттардың қызметін, атқарушылық іс жүргізуді жүзеге асырған;

      2) мемлекеттік статистикалық қызметті жүзеге асырған;

      3) дербес деректердi мiндеттi түрде иесiздендiру шартымен оларды статистикалық мақсаттар үшiн мемлекеттік органдар пайдаланған;

      4) Қазақстан Республикасы ратификациялаған халықаралық шарттар iске асырылған;

      5) егер субъектiнiң немесе оның заңды өкілінің келiсiмiн алу мүмкiн болмаса, адамның және азаматтың конституциялық құқықтары мен бостандықтарын қорғаған;

      6) адамның және азаматтың құқықтары мен бостандықтарын қамтамасыз ету жөніндегі Қазақстан Республикасы заңнамасының талаптары сақталған жағдайда журналистiң заңды кәсiптік қызметi және (немесе) бұқаралық ақпарат құралдарының қызметі не ғылыми, әдеби немесе өзге де шығармашылық қызмет жүзеге асырылған;

      7) Қазақстан Республикасының заңдарына сәйкес дербес деректер, оның iшiнде сайланбалы мемлекеттiк лауазымдарға кандидаттардың дербес деректерi жарияланған;

      8) Қазақстан Республикасының заңдарына сәйкес субъект дербес деректерді ұсыну жөніндегі өз міндеттерін орындамаған;

      9) қаржы нарығы мен қаржы ұйымдарын реттеудi, бақылауды және қадағалауды жүзеге асыратын мемлекеттiк орган Қазақстан Республикасының заңнамасына сәйкес жеке және заңды тұлғалардан ақпарат алған;

      9-1) салықтық әкімшілендіруді және (немесе) бақылауды жүзеге асыру үшін мемлекеттік кіріс органдары Қазақстан Республикасының заңдарына сәйкес жеке және заңды тұлғалардан ақпарат алған;

      10) Қазақстан Республикасының заңдарында белгіленген өзге де жағдайларда жүргізіледі.

      Ескерту. 9-бапқа өзгеріс енгізілді – ҚР 03.07.2020 № 359-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

10-бап. Дербес деректерге қол жеткізу

      1. Егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, дербес деректерге қол жеткізу субъектінің немесе оның заңды өкілінің меншік иесіне және (немесе) операторға оларды жинауға, өңдеуге берген келісімінің шарттарымен айқындалады.

      Егер меншік иесі және (немесе) оператор және (немесе) үшінші тұлға осы Заңның талаптарын орындауды қамтамасыз ету жөніндегі міндеттемелерді өзіне алудан бас тартса немесе оларды қамтамасыз ете алмаса, дербес деректерге қол жеткізуге тыйым салынуға тиіс.

      2. Субъектінің немесе оның заңды өкілінің өз дербес деректеріне қол жеткізуге қатысты өтініш жасауы (сұрау салуы) меншік иесіне және (немесе) операторға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен беріледі.

      3. Меншік иесінің және (немесе) оператордың және (немесе) үшінші тұлғаның арасындағы дербес деректерге қол жеткізуге қатысты қатынастар Қазақстан Республикасының заңнамасымен реттеледі.

      4. Мемлекеттік органдардың ақпараттық жүйелеріндегі дербес деректерді үшінші тұлғалар "электрондық үкімет" веб-порталындағы пайдаланушы кабинеті арқылы берілген субъектінің келісімі болған жағдайда "электрондық үкімет" веб-порталы арқылы, сондай-ақ субъектінің "электрондық үкімет" веб-порталында тіркелген ұялы байланысының абоненттік нөмірі арқылы "электрондық үкімет" веб-порталының немесе дербес деректердің қауіпсіздігін қамтамасыз ету сервисінің хабарламасына жауап ретінде бір реттік парольді жіберу жолымен немесе қысқа мәтіндік хабар жөнелту жолымен ала алады.

      Ескерту. 10-бапқа өзгерістер енгізілді - ҚР 17.11.2015 № 408-V Заңымен (01.03.2016 бастап қолданысқа енгізіледі); 25.06.2020 № 347-VI (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) Заңдарымен.

11-бап. Дербес деректердiң құпиялылығы

      1. Қолжетімділігі шектеулі дербес деректерге қол жеткізе алатын меншік иелері және (немесе) операторлар, сондай-ақ үшiншi тұлғалар субъектінің немесе оның заңды өкілінің келісімі не өзге де заңды негіздер болмағанда оларды таратуға жол бермеу талаптарын сақтау арқылы олардың құпиялылығын қамтамасыз етедi.

      2. Кәсіптік, қызметтік қажеттілікке, сондай-ақ еңбек қатынастарына байланысты қолжетімділігі шектеулі дербес деректер өздеріне белгілі болған адамдар олардың құпиялылығын қамтамасыз етуге мiндеттi.

      3. Биометриялық деректердің құпиялылығы Қазақстан Республикасының заңнамасында белгіленеді.

12-бап. Дербес деректерді жинақтау және сақтау

      1. Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректерді жинау арқылы жүргізіледі.

      2. Дербес деректерді сақтауды меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының аумағында сақталатын базада жүзеге асырады.

      Егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, дербес деректерді сақтау мерзімі оларды жинау және өңдеу мақсаттарына қол жеткізген күнмен айқындалады.

      Ескерту. 12-бапқа өзгеріс енгізілді - ҚР 24.11.2015 № 419-V Заңымен (01.01.2016 бастап қолданысқа енгізіледі).

13-бап. Дербес деректерді өзгерту және толықтыру

      Дербес деректерді өзгертуді және толықтыруды меншік иесі және (немесе) оператор субъектінің немесе оның заңды өкілінің өтініш жасауы (сұрау салуы) негізінде не Қазақстан Республикасының заңдарында көзделген өзге де жағдайларда жүзеге асырады.

14-бап. Дербес деректерді пайдалану

      Дербес деректерді пайдалануды меншік иесі, оператор және үшінші тұлға оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана жүзеге асыруға тиіс.

15-бап. Дербес деректерді тарату

      1. Дербес деректерді таратуға, егер бұл ретте субъектінің құқықтары мен бостандықтары бұзылмаса, сондай-ақ өзге де жеке және (немесе) заңды тұлғалардың заңды мүдделері қозғалмаса, жол беріледі.

      2. Дербес деректерді жинаудың бұрын мәлімделген мақсаттары шеңберінен шығатын жағдайларда оларды тарату субъектінің немесе оның заңды өкілінің келісімімен жүзеге асырылады.

16-бап. Дербес деректерді трансшекаралық беру

      1. Дербес деректерді трансшекаралық беру – дербес деректерді шет мемлекеттердің аумағына беру.

      2. Осы Заңға сәйкес дербес деректерді шет мемлекеттердің аумағына трансшекаралық беру осы мемлекеттер дербес деректерді қорғауды қамтамасыз еткен жағдайда ғана жүзеге асырылады.

      3. Дербес деректердің қорғалуын қамтамасыз етпейтін шет мемлекеттердің аумағына дербес деректерді трансшекаралық беру мынадай:

      1) өзінің дербес деректерін трансшекаралық беруге субъектінің немесе оның заңды өкілінің келісімі болған;

      2) Қазақстан Республикасы ратификациялаған халықаралық шарттарда көзделген;

      3) егер бұл конституциялық құрылысты қорғау, қоғамдық тәртіпті сақтау, адамның және азаматтың құқықтары мен бостандықтарын, халықтың денсаулығы мен имандылығын қорғау мақсатында қажет болса, Қазақстан Республикасының заңдарында көзделген;

      4) егер субъектінің немесе оның заңды өкілінің келісімін алу мүмкін болмаса, адамның және азаматтың конституциялық құқықтары мен бостандықтарын қорғаған жағдайларда жүзеге асырылуы мүмкін.

      4. Дербес деректерді шет мемлекеттердің аумағына трансшекаралық беруге Қазақстан Республикасының заңдарымен тыйым салынуы немесе шектеу қойылуы мүмкін.

      5. Абоненттер және (немесе) байланыс қызметтерін пайдаланушылар туралы қызметтік ақпаратты трансшекаралық беру ерекшеліктері "Байланыс туралы" Қазақстан Республикасының Заңында айқындалады.

      Ескерту. 16-бапқа өзгеріс енгізілді - ҚР 28.12.2017 № 128-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

17-бап. Дербес деректердi иесiздендiру

      1. Дербес деректердi статистикалық, социологиялық, ғылыми, маркетингтік зерттеулер жүргiзу үшiн жинау, өңдеу кезінде дербес деректерді беретін меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға оларды дербес деректерді жинау және өңдеу қағидаларына сәйкес иесiздендiруге міндетті.

      2. Дербес деректерді иесіздендіруді меншік иесі және (немесе) оператор жүргізген жағдайларды қоспағанда, функцияларды мемлекеттік органдардың іске асыруы мақсатында деректерді талдауды жүзеге асыру үшін дербес деректерді жинау, өңдеу кезінде дербес деректерді иесіздендіруді "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылым операторы ақпараттандыру саласындағы уәкілетті орган бекітетін, функцияларды мемлекеттік органдардың іске асыруы мақсатында деректер талдауды жүзеге асыру үшін электрондық ақпараттық ресурстарды жинау, өңдеу, сақтау, беру жөніндегі қағидаларға сәйкес жүзеге асырады.

      Ескерту. 17-бап жаңа редакцияда - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

18-бап. Дербес деректерді жою

      Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға дербес деректерді:

      1) осы Заңның 12-бабының 2-тармағына сәйкес сақтау мерзімі өткен соң;

      2) субъект, меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға арасындағы құқық қатынастары тоқтаған кезде;

      3) сот шешімі заңды күшіне енген кезде;

      4) осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда жоюға тиіс.

19-бап. Дербес деректермен іс-әрекеттер жасау туралы хабарлама

      1. Егер Қазақстан Республикасының заңдарында өзгеше көзделмесе, меншік иесі және (немесе) оператор субъектінің дербес деректерін үшінші тұлғаға беру жөнінде оны хабардар ету туралы шарттар болған кезде бұл туралы осы субъектіні немесе оның заңды өкілін он жұмыс күні ішінде хабардар етеді.

      2. Осы баптың 1-тармағының талаптары:

      1) мемлекеттік органдар Қазақстан Республикасының заңнамасында көзделген өз функцияларын орындаған, сондай-ақ жекеше нотариустар, жеке сот орындаушылары және адвокаттар қызметін жүзеге асырған;

      2) дербес деректерді статистикалық, социологиялық немесе ғылыми мақсаттарда жинауды және өңдеуді жүзеге асырған жағдайларға қолданылмайды.

3-тарау. ДЕРБЕС ДЕРЕКТЕРДІ ҚОРҒАУ

20-бап. Дербес деректерді қорғау кепілдігі

      1. Дербес деректер қорғалуға жатады, оған мемлекет кепілдік береді.

      2. Дербес деректерді жинау және өңдеу олардың қорғалуы қамтамасыз етілген жағдайларда ғана жүзеге асырылады.

21-бап. Дербес деректерді қорғаудың мақсаттары

      Дербес деректерді қорғау:

      1) жеке өмірге қолсұғылмаушылық, жеке және отбасы құпиясы құқықтарын іске асыру;

      2) олардың тұтастығын және сақталуын қамтамасыз ету;

      3) олардың құпиялылығын сақтау;

      4) оларға қол жеткізу құқығын іске асыру;

      5) оларды заңсыз жинауды және өңдеуді болғызбау мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.

22-бап. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі міндеттері

      1. Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:

      1) дербес деректерге рұқсатсыз қол жеткізуді болғызбауды;

      2) егер дербес деректерге рұқсатсыз қол жеткізу еңсерілмеген болса, дербес деректерге мұндай рұқсатсыз қол жеткізу фактілерін уақтылы анықтауды;

      3) дербес деректерге рұқсатсыз қол жеткізудің қолайсыз салдарын барынша азайтуды қамтамасыз ететін дербес деректерді қорғау жөніндегі қажетті шараларды қолдануға міндетті.

      2. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі міндеттері дербес деректерді жинаған кезден бастап туындайды және олар жойылған не иесіздендірілген кезге дейін күшінде болады.

23-бап. Дербес деректерді қамтитын электрондық ақпараттық ресурстарды қорғау

      Дербес деректерді қамтитын электрондық ақпараттық ресурстарды қорғау ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.

23-1-бап. Ерікті киберсақтандыру

      1. Ерікті киберсақтандырудың мақсаты Қазақстан Республикасының сақтандыру ісі және сақтандыру қызметі туралы заңнамасына сәйкес субъектіге, меншік иесіне және (немесе) операторға, үшінші тұлғаға келтірілген мүліктік зиянды өтеу болып табылады.

      2. Ерікті киберсақтандыру тараптардың ерік білдіруіне қарай жүзеге асырылады.

      Ерікті киберсақтандырудың түрлері, шарттары мен тәртібі тараптардың келісімімен айқындалады.

      Ескерту. 3-тарау 23-1-баппен толықтырылды - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

4-тарау. СУБЪЕКТІНІҢ, МЕНШІК ИЕСІНІҢ ЖӘНЕ (НЕМЕСЕ) ОПЕРАТОРДЫҢ ҚҰҚЫҚТАРЫ МЕН МІНДЕТТЕРІ

24-бап. Субъектiнiң құқықтары мен міндеттері

      1. Субъектінің:

      1) меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өз дербес деректерінің болуы туралы бiлуге, сондай-ақ:

      дербес деректердi жинау және өңдеу фактісін, мақсаттарын, көздерін, тәсілдерін растауды;

      дербес деректердің тiзбесiн;

      дербес деректердi өңдеу мерзiмдерiн, оның iшiнде оларды сақтау мерзiмдерiн қамтитын ақпаратты алуға;

      2) тиiстi құжаттармен расталған негiздер болған кезде, меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге;

      3) дербес деректердi жинау, өңдеу шарттарының бұзылғаны туралы ақпарат болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан өз дербес деректерін бұғаттауды талап етуге;

      4) меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан Қазақстан Республикасының заңнамасын бұза отырып жиналған және өңделген өз дербес деректерін, сондай-ақ осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда жоюды талап етуге;

      5) осы Заңның 8-бабының 2-тармағында көзделген жағдайларды қоспағанда, дербес деректерді жинауға, өңдеуге берген келiсiмiн кері қайтарып алуға;

      6) меншік иесіне және (немесе) операторға дербес деректердің жалпыға бірдей қолжетімді көздерінде өз дербес деректерінің таратылуына келісім беруге (бас тартуға);

      7) өз құқықтарының және заңды мүдделерінің қорғалуына, оның ішінде моральдық және материалдық зиянның өтелуіне;

      8) осы Заңда және Қазақстан Республикасының өзге де заңдарында көзделген өзге де құқықтарды жүзеге асыруға құқығы бар.

      2. Қазақстан Республикасының заңдарында белгіленген жағдайларда субъект өз дербес деректерін ұсынуға міндетті.

25-бап. Меншік иесінің және (немесе) оператордың, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның құқықтары мен міндеттері

      Ескерту. 25-баптың тақырыбы жаңа редакцияда - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

      1. Меншік иесінің және (немесе) оператордың осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде көзделген тәртіппен дербес деректерді жинауды, өңдеуді жүзеге асыруға құқығы бар.

      2. Меншік иесі және (немесе) оператор:

      1) егер Қазақстан Республикасының заңдарында өзгеше көзделмесе, өздері жүзеге асыратын міндеттерді орындауы үшін қажетті және жеткілікті дербес деректердің тізбесін бекітуге;

      2) Қазақстан Республикасының заңнамасына сәйкес дербес деректерді қорғау үшін қажетті шараларды, оның ішінде құқықтық, ұйымдастырушылық және техникалық шараларды қолдануға және сақтауға;

      3) Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын сақтауға;

      4) дербес деректерді жинау және өңдеу мақсаттарына қол жеткізген жағдайда, сондай-ақ осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда оларды жою жөнінде шаралар қолдануға;

      5) Қазақстан Республикасының заңнамасында көзделген жағдайларда, субъектінің дербес деректерін жинауға және өңдеуге оның келісімін алғаны туралы дәлелдемені ұсынуға;

      6) субъектіге қатысы бар ақпаратты, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, субъектінің немесе оның заңды өкілінің өтінішін алған күннен бастап үш жұмыс күні ішінде хабарлауға;

      7) субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартқан жағдайда, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, өтінішті алған күннен бастап үш жұмыс күнінен аспайтын мерзімде дәлелді жауап ұсынуға;

      8) бір жұмыс күні ішінде:

      дербес деректердің анықтығын растайтын тиісті құжаттардың негiзiнде оларды өзгертуге және (немесе) толықтыруға немесе дербес деректерді өзгерту және (немесе) толықтыру мүмкін болмаған кезде оларды жоюға;

      дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат болған жағдайда, субъектіге қатысы бар дербес деректерді бұғаттауға;

      дербес деректердi Қазақстан Республикасының заңнамасын бұза отырып жинау, өңдеу фактісі анықталған жағдайда, сондай-ақ осы Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда оларды жоюға;

      дербес деректерді жинау, өңдеу шарттарын бұзу фактісі расталмаған жағдайда, дербес деректерді бұғаттауды алып тастауға;

      9) субъектіге немесе оның заңды өкіліне осы субъектіге қатысты дербес деректермен танысу мүмкіндігін өтеусіз беруге;

      10) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындауға міндетті.

      Осы тармақтың бірінші бөлігі 10) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды.

      3. Дербес деректерді өңдеуді ұйымдастыруға жауапты тұлға:

      1) меншік иесінің және (немесе) оператордың және оның жұмыскерлерінің Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын, оның ішінде дербес деректерді қорғауға қойылатын талаптарды сақтауына ішкі бақылауды жүзеге асыруға;

      2) Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының дербес деректерді өңдеу мәселелері жөніндегі ережелерін, дербес деректерді қорғауға қойылатын талапты меншік иесі және (немесе) оператор жұмыскерлерінің назарына жеткізуге;

      3) субъектілердің немесе олардың заңды өкілдерінің өтініштерін қабылдау мен өңдеуге бақылауды жүзеге асыруға міндетті.

      Ескерту. 25-бапқа өзгеріс енгізілді - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

5-тарау. ДЕРБЕС ДЕРЕКТЕР ЖӘНЕ ОЛАРДЫ ҚОРҒАУ САЛАСЫНДАҒЫ МЕМЛЕКЕТТІК РЕТТЕУ

26-бап. Қазақстан Республикасы Үкiметiнiң құзыретi

      Қазақстан Республикасының Үкiметi:

      1) дербес деректер және оларды қорғау саласындағы мемлекеттiк саясаттың негiзгi бағыттарын әзiрлейдi;

      2) Қазақстан Республикасы Үкіметінің құрылымына кіретін орталық атқарушы органдардың, жергілікті атқарушы органдардың дербес деректер және оларды қорғау саласындағы қызметіне басшылық жасауды жүзеге асырады;

      3) меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібін бекітеді;

      4) меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін бекітеді;

      5) өзiне Қазақстан Республикасының Конституциясымен, заңдарымен және Қазақстан Республикасы Президентiнiң актiлерiмен жүктелген өзге де функцияларды орындайды.

27-бап. Мемлекеттік органдардың құзыреті

      Мемлекеттік органдар өз құзыреті шегінде:

      1) дербес деректер және оларды қорғау саласындағы нормативтік құқықтық актілерді әзiрлейдi және (немесе) бекітеді;

      2) жеке және (немесе) заңды тұлғалардың дербес деректер және оларды қорғау мәселелері жөніндегі өтініштерін қарайды;

      3) Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының бұзылуына жол берген адамдарды Қазақстан Республикасының заңдарында белгіленген жауаптылыққа тарту жөнінде шаралар қолданады;

      4) Қазақстан Республикасының заңдарында, Қазақстан Республикасы Президентінің және Қазақстан Республикасы Үкіметінің актілерінде көзделген өзге де өкілеттіктерді жүзеге асырады.

27-1-бап. Уәкілетті органның құзыреті

      1. Уәкілетті орган өз құзыреті шегінде:

      1) дербес деректер және оларды қорғау саласындағы мемлекеттік саясатты іске асыруға қатысады;

      2) меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін әзірлейді;

      3) субъектінің немесе оның заңды өкілінің дербес деректер мазмұнының және оларды өңдеу тәсілдерінің оларды өңдеу мақсаттарына сәйкестігі туралы өтініштерін қарайды және тиісті шешім қабылдайды;

      4) Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзуға жол берген тұлғаларды Қазақстан Республикасының заңдарында белгіленген жауаптылыққа тарту бойынша шаралар қабылдайды;

      5) меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан анық емес немесе заңсыз жолмен алынған дербес деректерді нақтылауды, бұғаттауды немесе жоюды талап етеді;

      6) субъектілер құқықтарын қорғауды жетілдіруге бағытталған шараларды жүзеге асырады;

      7) дербес деректерді жинау, өңдеу қағидаларын бекітеді;

      8) осы Заңда, Қазақстан Республикасының өзге де заңдарында, Қазақстан Республикасы Президентінің және Қазақстан Республикасы Үкіметінің актілерінде көзделген өзге де өкілеттіктерді жүзеге асырады.

      2. Уәкілетті органға өз қызметін жүзеге асыру барысында белгілі болған дербес деректерге қатысты дербес деректердің құпиялылығы қамтамасыз етілуге тиіс.

      Ескерту. 5-тарау 27-1-баппен толықтырылды - ҚР 25.06.2020 № 347-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

28-бап. Осы Заңның қолданылуын қадағалау

      1. Прокуратура органдары дербес деректер және оларды қорғау саласындағы заңдылықтың сақталуына жоғары қадағалауды жүзеге асырады.

      2. "Прокуратура туралы" Қазақстан Республикасының Заңында белгіленген негізде және тәртіппен шығарылған прокурорлық қадағалау актілері барлық органдар, ұйымдар, лауазымды адамдар мен азаматтар үшін міндетті.

      Ескерту. 28-бапқа өзгеріс енгізілді - ҚР 11.07.2017 № 91-VI Заңымен (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі).

6-тарау. ҚОРЫТЫНДЫ ЖӘНЕ ӨТПЕЛІ ЕРЕЖЕЛЕР

29-бап. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзғаны үшiн жауаптылық

      Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзу Қазақстан Республикасының заңдарына сәйкес жауаптылыққа әкеп соғады.

30-бап. Дауларға шағым жасау және оларды қарау тәртібі

      Субъектінің, меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді жинау, өңдеу және қорғау кезіндегі іс-әрекеттеріне (әрекетсіздігіне) Қазақстан Республикасының заңдарында белгіленген тәртіппен шағым жасалуы мүмкін.

      Дербес деректерді жинау, өңдеу және қорғау кезінде туындайтын даулар Қазақстан Республикасының заңдарында белгіленген тәртіппен қаралуға жатады.

31-бап. Осы Заңды қолданысқа енгiзу тәртiбi

      1. Осы Заң алғашқы ресми жарияланғанынан кейiн алты ай өткен соң қолданысқа енгiзiледi.

      2. Меншік иелері және (немесе) операторлар нормативтік құқықтық актілерді және өзге де құжаттарды осы Заң қолданысқа енгізілген күннен бастап үш ай мерзім ішінде осы Заңның талаптарына сәйкес келтіруге міндетті.

      3. Осы Заң қолданысқа енгізілгенге дейін Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылған дербес деректерді жинау, өңдеу, егер осы деректерді одан әрі өңдеу және қорғау оларды жинау мақсаттарына сай болса, осы Заңның талаптарына сәйкес келеді деп танылады.

Қазақстан Республикасының


Президенті

Н. НАЗАРБАЕВ.