О персональных данных и их защите

Закон Республики Казахстан от 21 мая 2013 года N 94-V.

      Вниманию пользователей!
      Для удобства пользования РЦПИ создано ОГЛАВЛЕНИЕ

      Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

      1) биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

      2) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2-1) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      2-2) негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      3) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      4) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      5) сбор персональных данных – действия, направленные на получение персональных данных;

      6) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      7) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      8) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      9) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      10) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      11) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;

      11-1) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      11-2) Исключен Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      12) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      13) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

      14) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных;

      15) распространение персональных данных – действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;

      15-1) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;

      16) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      17) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.

      Сноска. Статья 1 с изменениями, внесенными законами РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 2. Цель настоящего Закона

      Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных.

Статья 3. Действие настоящего Закона

      1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.

      2. Особенности сбора, обработки и защиты персональных данных могут регулироваться иными законами и актами Президента Республики Казахстан.

      3. Действие настоящего Закона не распространяется на отношения, возникающие при:

      1) сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан;

      2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;

      3) сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан "О государственных секретах";

      4) сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.

Статья 4. Законодательство Республики Казахстан о персональных данных и их защите

      1. Законодательство Республики Казахстан о персональных данных и их защите основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан.

      2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.

Статья 5. Принципы сбора, обработки и защиты персональных данных

      Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:

      1) соблюдения конституционных прав и свобод человека и гражданина;

      2) законности;

      3) конфиденциальности персональных данных ограниченного доступа;

      4) равенства прав субъектов, собственников и операторов;

      5) обеспечения безопасности личности, общества и государства.

Глава 2. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 6. Доступность персональных данных

      Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в течение одного рабочего дня по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

      Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

      Сноска. Статья 6 - в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными законами РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 14.07.2022 № 141-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 7. Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников

      1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 настоящей статьи и статьей 9 настоящего Закона.

      2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

      3. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

      4. Требования пункта 3 настоящей статьи не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

      5. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3 и 4 настоящей статьи, при условии наличия ссылки на источник информации.

      6. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 настоящего Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.

      7. Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации с учетом положений настоящего Закона.

      8. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

      9. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

      10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.

      Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.

      Сноска. Статья 7 - в редакции Закона РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); с изменением, внесенным Законом РК от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

      При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

      2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

      3. Исключен Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

      4. Согласие на сбор и обработку персональных данных включает:

      1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;

      2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;

      3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

      4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;

      5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

      6) сведения о распространении персональных данных в общедоступных источниках;

      7) перечень собираемых данных, связанных с субъектом;

      8) иные сведения, определяемые собственником и (или) оператором.

      Сноска. Статья 8 с изменениями, внесенными законами РК от 17.11.2015 № 408-V (вводится в действие с 01.03.2016); от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 8-1. Государственный сервис

      1. Собственники и (или) операторы, третьи лица в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 настоящего Закона.

      Интеграция осуществляется с соблюдением норм законодательства Республики Казахстан по представлению сведений, отнесенных к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и иным охраняемым законом тайнам, а также другой конфиденциальной информации.

      В иных случаях интеграция с государственным сервисом осуществляется на добровольной основе.

      Порядок интеграции с государственным сервисом определяется уполномоченным органом и правилами интеграции объектов информатизации "электронного правительства".

      2. Посредством государственного сервиса обеспечиваются:

      1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      2) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      3) уведомление субъекта о действиях с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      4) представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.

      3. В случаях, предусмотренных подпунктами 4), 6), 8) и 9-3) статьи 9 настоящего Закона, обеспечивается уведомление субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, через государственный сервис.

      Сноска. Глава 2 дополнена статьей 8-1 в соответствии с Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 8-2. Негосударственный сервис

      1. Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.

      2. Посредством негосударственного сервиса обеспечиваются:

      1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;

      2) уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      3) уведомление субъекта о доступе третьих лиц к его персональным данным.

      Сноска. Глава 2 дополнена статьей 8-2 в соответствии с Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 9. Сбор, обработка персональных данных без согласия субъекта

      Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

      1) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;

      2) осуществления государственной статистической деятельности;

      3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;

      4) реализации международных договоров, ратифицированных Республикой Казахстан;

      5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;

      5-1) осуществления единым накопительным пенсионным фондом деятельности, связанной с открытием пенсионных счетов, предоставлением информации о сумме пенсионных накоплений, а также об условных пенсионных счетах;

      6) осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

      7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

      8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;

      9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;

      9-1) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

      9-2) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;

      9-3) использования персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан;

      9-4) использования персональных данных гражданина Республики Казахстан со дня подачи заявления о применении процедуры внесудебного или судебного банкротства в соответствии с Законом Республики Казахстан "О восстановлении платежеспособности и банкротстве граждан Республики Казахстан", а также за период до трех лет, предшествующих применению процедуры внесудебного или судебного банкротства;

      10) в иных случаях, установленных законами Республики Казахстан.

      Сноска. Статья 9 с изменениями, внесенными законами РК от 03.07.2020 № 359-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 02.01.2021 № 399-VI (порядок введения в действие см. ст. 2); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 30.12.2022 № 179-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 10. Доступ к персональным данным

      1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

      Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

      2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

      4. Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов и (или) государственных юридических лиц, через веб-портал "электронного правительства" при условии согласия субъекта, подтвержденного через государственный сервис.

      Сноска. Статья 10 с изменениями, внесенными законами РК от 17.11.2015 № 408-V (вводится в действие с 01.03.2016); от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 11. Конфиденциальность персональных данных

      1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

      2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

      3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

Статья 12. Накопление и хранение персональных данных

      1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

      2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

      Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

      Сноска. Статья 12 с изменениями, внесенными законами РК от 24.11.2015 № 419-V (вводится в действие с 01.01.2016); от 02.01.2021 № 399-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 13. Изменение и дополнение персональных данных

      Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

Статья 14. Использование персональных данных

      Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

Статья 15. Распространение персональных данных

      1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

      2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

      Сноска. Статья 15 с изменением, внесенным Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 16. Трансграничная передача персональных данных

      1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.

      2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

      3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

      1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;

      2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;

      3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;

      4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.

      4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

      5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан "О связи".

      Сноска. Статья 16 с изменением, внесенным Законом РК от 28.12.2017 № 128-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 17. Обезличивание персональных данных

      1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.

      2. При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации государственными органами деятельности обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры "электронного правительства" в соответствии с требованиями по управлению данными, утвержденными уполномоченным органом по управлению данными, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.

      Сноска. Статья 17 - в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными Законом РК от 14.07.2022 № 141-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 18. Уничтожение персональных данных

      Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

      3) при вступлении в законную силу решения суда;

      3-1) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона;

      4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

      Сноска. Статья 18 с изменением, внесенным Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 19. Сообщение о действиях с персональными данными

      1. При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.

      2. Требования пункта 1 настоящей статьи не распространяются на случаи:

      1) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;

      2) осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

Глава 3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 20. Гарантия защиты персональных данных

      1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом уполномоченным органом.

      2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

      Сноска. Статья 20 с изменениями, внесенными законами РК от 02.01.2021 № 399-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 19.04.2023 № 223-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 21. Цели защиты персональных данных

      Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

      2) обеспечения их целостности и сохранности;

      3) соблюдения их конфиденциальности;

      4) реализации права на доступ к ним;

      5) предотвращения незаконного их сбора и обработки.

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

      1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым уполномоченным органом, обеспечивающие:

      1) предотвращение несанкционированного доступа к персональным данным;

      2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;

      3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;

      4) предоставление доступа государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах в порядке, определяемом уполномоченным органом.

      5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 настоящего Закона.

      2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

      Сноска. Статья 22 с изменениями, внесенными законами РК от 02.01.2021 № 399-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 19.04.2023 № 223-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 23. Защита электронных информационных ресурсов, содержащих персональные данные

      Особенности защиты электронных информационных ресурсов, содержащих персональные данные, осуществляются в соответствии с настоящим Законом и законодательством Республики Казахстан об информатизации.

      Сноска. Статья 23 – в редакции Закона РК от 02.01.2021 № 399-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 23-1. Добровольное киберстрахование

      1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.

      2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.

      Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.

      Сноска. Глава 3 дополнена статьей 23-1 в соответствии с Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА,
СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА

Статья 24. Права и обязанности субъекта

      1. Субъект имеет право:

      1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

      подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

      перечень персональных данных;

      сроки обработки персональных данных, в том числе сроки их хранения;

      2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

      3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

      4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

      6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

      7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

      8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

      2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

      Сноска. Статья 24 с изменением, внесенным Законом РК от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

      Сноска. Заголовок статьи 25 в редакции Закона РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

      2. Собственник и (или) оператор обязаны:

      1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;

      1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;

      2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

      3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;

      3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;

      4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

      6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;

      7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;

      8) в течение одного рабочего дня:

      изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

      блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

      уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;

      Примечание ИЗПИ!
      Подпункт 8) предусмотрено дополнить абзацем шестым в соответствии с Законом РК от 11.12.2023 № 44-VIII (вводится в действие с 01.07.2024).

      9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;

      10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

      Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

      3. Лицо, ответственное за организацию обработки персональных данных, обязано:

      1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

      2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

      3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

      Сноска. Статья 25 с изменениями, внесенными законами РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ

Статья 26. Компетенция Правительства Республики Казахстан

      Правительство Республики Казахстан разрабатывает основные направления государственной политики в сфере персональных данных и их защиты.

      Сноска. Статья 26 - в редакции Закона РК от 19.04.2023 № 223-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Статья 27. Компетенция государственных органов

      Государственные органы в пределах своей компетенции:

      1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;

      2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;

      3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

      4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Статья 27-1. Компетенция уполномоченного органа

      1. Уполномоченный орган в пределах своей компетенции:

      1) формирует и реализует государственную политику в сфере персональных данных и их защиты;

      1-1) осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите;

      2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

      2-1) разрабатывает правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;

      2-2) определяет порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;

      2-3) определяет порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

      3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;

      4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

      5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

      6) осуществляет меры, направленные на совершенствование защиты прав субъектов;

      6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;

      6-2) направляет оператору информационно-коммуникационной инфраструктуры "электронного правительства" информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов, в целях, предусмотренных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

      7) утверждает правила сбора, обработки персональных данных;

      7-1) утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с Комитетом национальной безопасности Республики Казахстан

      7-2) утверждает правила функционирования государственного сервиса контроля доступа к персональным данным;

      7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов и (или) государственных юридических лиц, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным;

      7-4) утверждает правила интеграции с государственным сервисом контроля доступа к персональным данным;

      8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

      2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

      Сноска. Глава 5 дополнена статьей 27-1 в соответствии с Законом РК от 25.06.2020 № 347-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); с изменениями, внесенными законами РК от 02.01.2021 № 399-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 30.12.2021 № 96-VII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования); от 19.04.2023 № 223-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 27-2. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите

      Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме внеплановой проверки в соответствии с Предпринимательским кодексом Республики Казахстан, если иное не установлено частями второй и третьей настоящей статьи.

      В отношении государственных органов осуществляется государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в соответствии с настоящим Законом.

      Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении Национального Банка Республики Казахстан и его организаций осуществляется в соответствии с Предпринимательским кодексом Республики Казахстан, настоящим Законом и Законом Республики Казахстан "О Национальном Банке Республики Казахстан".

      Сноска. Глава 5 дополнена статьей 27-2 в соответствии с Законом РК от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 27-3. Порядок проведения государственного контроля за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов

      1. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов (далее – субъекты контроля) проводится уполномоченным органом в форме проверок.

      Проверки делятся на периодические и внеплановые.

      Периодические проверки в отношении субъектов контроля осуществляются согласно следующим источникам информации:

      1) результатам предыдущих проверок;

      2) результатам мониторинга отчетности и сведений;

      3) результатам анализа интернет-ресурсов государственных органов;

      4) сведениям государственной технической службы.

      2. Периодические проверки проводятся с периодичностью не чаще одного раза в год в соответствии с планом проведения периодических проверок, утвержденным первым руководителем уполномоченного органа.

      Уполномоченный орган не позднее 1 декабря года, предшествующего году проверок, утверждает план проведения периодических проверок.

      План проведения периодических проверок размещается на интернет-ресурсе уполномоченного органа не позднее 20 декабря года, предшествующего году проверок.

      План проведения периодических проверок включает:

      1) номер и дату утверждения плана;

      2) наименование государственного органа;

      3) наименование субъекта контроля;

      4) место нахождения субъекта (объекта) контроля;

      5) сроки проведения проверки;

      6) предмет проверки;

      7) подпись лица, уполномоченного подписывать план.

      Внесение изменений и дополнений в план проведения периодических проверок осуществляется в случаях ликвидации, реорганизации субъекта контроля, изменения его наименования или перераспределения полномочий между субъектами контроля.

      3. Внеплановой проверкой является проверка, назначаемая уполномоченным органом, в случаях:

      1) наличия подтвержденных обращений на субъект контроля, поступивших от физических и юридических лиц, о нарушении требований законодательства Республики Казахстан о персональных данных и их защите;

      2) обращения физических и юридических лиц, права и законные интересы которых нарушены;

      3) требования прокурора по конкретным фактам причинения либо об угрозе причинения вреда правам и законным интересам физических и юридических лиц, государства;

      4) обращения государственных органов по конкретным фактам причинения вреда правам и законным интересам физических и юридических лиц, государства, а также по конкретным фактам нарушений требований законодательства Республики Казахстан, неустранение которых влечет причинение вреда правам и законным интересам физических и юридических лиц;

      5) повторной проверки, связанной с обращением субъекта контроля о несогласии с первоначальной проверкой;

      6) поручения органа уголовного преследования по основаниям, предусмотренным Уголовно-процессуальным кодексом Республики Казахстан;

      7) необходимости проведения контроля исполнения акта о результатах проверки.

      4. Должностные лица уполномоченного органа при проведении проверки имеют право:

      1) беспрепятственного доступа на территорию и в помещения субъекта (объекта) контроля в соответствии с предметом проверки при предъявлении документов, указанных в пункте 8 настоящей статьи;

      2) получать документы (сведения) на бумажных и электронных носителях либо их копии для приобщения к акту о результатах проверки, а также доступ к автоматизированным базам данных (информационным системам) в соответствии с предметом проверки с соблюдением требований о государственных секретах и иных охраняемых законом тайнах;

      3) осуществлять аудио-, фото- и видеосъемку;

      4) привлекать специалистов, консультантов и экспертов государственных органов, подведомственных и иных организаций.

      5. Субъекты контроля либо их уполномоченные представители при проведении проверки вправе:

      1) не допускать к проверке должностных лиц уполномоченного органа, прибывших для проведения проверки, в случаях:

      превышения либо истечения указанных в акте о назначении проверки сроков, не соответствующих срокам, установленным настоящей статьей;

      отсутствия документов, предусмотренных пунктом 8 настоящей статьи;

      2) обжаловать акт о результатах проверки в порядке, установленном законодательством Республики Казахстан.

      6. Субъекты контроля либо их уполномоченные представители при проведении проверки обязаны:

      1) обеспечить беспрепятственный доступ должностных лиц уполномоченного органа на территорию и в помещения субъекта (объекта) контроля;

      2) представлять должностным лицам уполномоченного органа документы (сведения) на бумажных и электронных носителях либо их копии для приобщения к акту о результатах проверки, а также доступ к автоматизированным базам данных (информационным системам) в соответствии с предметом проверки с соблюдением требований о государственных секретах и иных охраняемых законом тайнах;

      3) сделать отметку на втором экземпляре акта о назначении проверки и акта о результатах проверки в день ее окончания;

      4) обеспечить безопасность лиц, прибывших для проведения проверки, от вредных и опасных производственных факторов воздействия в соответствии с установленными для данного объекта нормативами.

      7. Проверка проводится на основании акта о назначении проверки.

      В акте о назначении проверки указываются:

      1) дата и номер акта;

      2) наименование государственного органа;

      3) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), уполномоченного (уполномоченных) на проведение проверки;

      4) сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;

      5) наименование субъекта контроля, его место нахождения.

      В случае проверки структурного подразделения государственного органа в акте о назначении проверки указываются его наименование и место нахождения;

      6) предмет проверки;

      7) вид проверки;

      8) срок проведения проверки;

      9) основания проведения проверки;

      10) проверяемый период;

      11) права и обязанности субъекта контроля;

      12) подпись руководителя субъекта контроля либо его уполномоченного лица о получении или об отказе в получении акта;

      13) подпись лица, уполномоченного подписывать акт.

      При проведении проверки уполномоченный орган обязан известить субъект контроля о начале проведения проверки не менее чем за сутки до ее начала с указанием предмета проведения проверки.

      Началом проведения проверки считается дата вручения субъекту контроля акта о назначении проверки.

      8. Должностные лица уполномоченного органа, прибывшие на объект для проверки, обязаны предъявить субъекту контроля:

      1) акт о назначении проверки;

      2) служебное удостоверение либо идентификационную карту;

      3) при необходимости – разрешение компетентного органа на посещение режимных объектов.

      9. Срок проведения проверки устанавливается с учетом предмета проверки, а также объема предстоящих работ и не должен превышать десять рабочих дней.

      Срок проведения проверки может быть продлен только один раз не более чем на пятнадцать рабочих дней. Продление осуществляется решением руководителя уполномоченного органа.

      Продление сроков проведения проверки оформляется дополнительным актом о продлении сроков проверки с уведомлением субъекта контроля, в котором указываются дата и номер приказа предыдущего акта о назначении проверки и причины продления.

      Уведомление о продлении сроков проверки вручается субъекту контроля уполномоченным органом за один рабочий день до продления с уведомлением о вручении.

      10. По результатам проверки должностными лицами уполномоченного органа, осуществляющими проверку, составляется акт о результатах проверки.

      Первый экземпляр акта о результатах проверки в электронной форме сдается в государственный орган, осуществляющий в пределах своей компетенции деятельность в области государственной правовой статистики и специальных учетов, второй экземпляр с копиями приложений, за исключением копий документов, имеющихся в оригинале у субъекта контроля, на бумажном носителе под роспись или в электронной форме вручается субъекту контроля (руководителю либо его уполномоченному лицу) для ознакомления и принятия мер по устранению выявленных нарушений и других действий, третий экземпляр остается у уполномоченного органа.

      11. В акте о результатах проверки указываются:

      1) дата, время и место составления акта;

      2) наименование государственного органа;

      3) номер и дата акта о назначении проверки (дополнительного акта о продлении срока при его наличии);

      4) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), проводившего (проводивших) проверку;

      5) сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;

      6) наименование субъекта контроля, его место нахождения;

      7) предмет проверки;

      8) вид проверки;

      9) срок и период проведения проверки;

      10) сведения о результатах проверки, в том числе о выявленных нарушениях и их характере;

      11) требования об устранении выявленных нарушений требований законодательства Республики Казахстан о персональных данных и их защите с указанием срока их исполнения;

      12) сведения об ознакомлении или отказе в ознакомлении с актом руководителя субъекта контроля либо его уполномоченного лица, а также лиц, присутствовавших при проведении проверки, их подписи или запись об отказе от подписи;

      13) подпись должностных лиц, проводивших проверку.

      К акту о результатах проверки прилагаются документы, связанные с результатами проверки (при их наличии), и их копии.

      12. В случае наличия замечаний и (или) возражений по результатам проверки субъект контроля излагает их в письменном виде. Замечания и (или) возражения прилагаются к акту о результатах проверки, о чем делается соответствующая отметка.

      Уполномоченный орган должен рассмотреть замечания и (или) возражения субъекта контроля к акту о результатах проверки и в течение пятнадцати рабочих дней дать мотивированный ответ.

      В случае отказа от принятия акта о результатах проверки составляется акт, который подписывается должностными лицами, осуществляющими проверку, и руководителем субъекта контроля либо его уполномоченным представителем.

      Субъект контроля вправе отказаться от подписания акта, дав письменное объяснение о причине отказа.

      13. Завершением срока проверки считается день вручения субъекту контроля акта о результатах проверки не позднее срока окончания проверки, указанного в акте о назначении проверки или дополнительном акте о продлении сроков проверки.

      14. Сроки исполнения акта о результатах проверки определяются с учетом обстоятельств, оказывающих влияние на реальную возможность его исполнения, но не менее десяти календарных дней со дня вручения акта о результатах проверки.

      15. При определении сроков исполнения акта о результатах проверки учитываются:

      1) наличие у субъекта контроля организационных, технических возможностей по устранению нарушений;

      2) сроки получения в государственных органах обязательных заключений, согласований и других документов, установленных законами Республики Казахстан.

      16. По истечении срока устранения выявленных нарушений, установленного в акте о результатах проверки, субъект контроля обязан в течение срока, установленного в акте о результатах проверки, предоставить в уполномоченный орган информацию об устранении выявленных нарушений с подтверждающими документами.

      В случае непредоставления информации об устранении выявленных нарушений уполномоченный орган вправе назначить внеплановую проверку в соответствии с подпунктом 7) пункта 3 настоящей статьи.

      17. В случае нарушения прав и законных интересов субъекта контроля при осуществлении проверки субъект контроля вправе обжаловать решения, действия (бездействие) должностных лиц уполномоченного органа вышестоящему должностному лицу либо в суд в порядке, установленном законодательством Республики Казахстан.

      Сноска. Глава 5 дополнена статьей 27-3 в соответствии с Законом РК от 11.12.2023 № 44-VIII (вводится в действие по истечении шестидесяти календарных дней после дня его первого официального опубликования).

Статья 28. Надзор за применением настоящего Закона

      1. Органы прокуратуры осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты.

      2. Акты прокурорского надзора, вынесенные на основании и в порядке, установленных Конституционным законом Республики Казахстан "О прокуратуре", обязательны для всех органов, организаций, должностных лиц и граждан.

      Сноска. Статья 28 с изменениями, внесенными законами РК от 11.07.2017 № 91-VI (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 05.11.2022 № 157-VII (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ

Статья 29. Ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите

      Нарушение законодательства Республики Казахстан о персональных данных и их защите влечет ответственность в соответствии с законами Республики Казахстан.

Статья 30. Порядок обжалования и рассмотрения споров

      Действия (бездействие) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленном законами Республики Казахстан.

      Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном законами Республики Казахстан.

Статья 31. Порядок введения в действие настоящего Закона

      1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.

      2. Собственники и (или) операторы обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствие с требованиями настоящего Закона.

      3. Сбор, обработка персональных данных, осуществленные согласно законодательству Республики Казахстан до введения в действие настоящего Закона, признаются соответствующими требованиям настоящего Закона, если дальнейшие их обработка и защита соответствуют целям их сбора.

Президент


Республики Казахстан

Н. НАЗАРБАЕВ


On Personal Data and their Protection

The Law of the Republic of Kazakhstan dated 21 May, 2013 No. 94-V.

      Unofficial translation

      This Law regulates the public relations in the scope of personal data, as well as determines the purpose, principles and legal bases of activity, related with collection, processing and protection of personal data.

Chapter 1. GENERAL PROVISIONS

Article 1. Basic concepts used in this Law

      The following basic concepts shall be used in this Law:

      1) biometric data – personal data that characterize physiological and biological features of the subject of personal data, on the basis of which may establish his (her) identity;

      2) personal data – details, related to the subject of personal data, specific or defined on their basis, recorded on an electronic, paper and (or) other physical media;

      2-1) state service of controlling access to personal data (hereinafter - state service) is a service providing information interaction of owners and/or operators, third parties with the subject of personal data and the competent authority when accessing personal data contained in the information objects of state authorities and/or state legal entities, including obtaining consent from the personal data entity to collect, process personal data or transfer it to third parties;

      2-2) non-state service of controlling access to personal data (hereinafter - non-state service) - service providing information interaction of owners and/or operators, third parties with the subject of personal data during access to personal data contained in non-state facilities of information, including obtaining from the personal data entity consent for collection, processing of personal data or its transfer to third parties;

      3) blocking of personal data – actions on temporary termination of collection, accumulation, change, supplement, use, distribution, depersonalization and destruction of personal data;

      4) accumulation of personal data – actions by inclusion in the database, contained the personal data;

      5) collection of personal data – actions, directed to reception of personal data;

      6) destruction of personal data – actions, in the result of commission of which is impossible to restore the personal data;

      7) depersonalization of personal data – actions, in the result of commission of which determination of belonging of personal data to the subject of personal data is impossible;

      8) the base, containing the personal data (hereinafter – base), a set of ordered personal data;

      9) the owner of the base containing the personal data (hereinafter – owner), - the state body, individual and (or) legal entity, exercising the right of possession, use and disposition of base, contained the personal data in accordance with the Laws of the Republic of Kazakhstan;

      10) operator of base, containing the personal data (hereinafter – operator), - the state body, individual and (or) legal entity, carrying out collection, processing and protection of personal data;

      11) protection of personal data – a set of measures, as well as legal, organization and technical, carrying out for the purposes established by this Law;

      11-1) the authorised body in the field of personal data protection (hereinafter referred to as the authorised body) - the central executive body responsible for supervising the personal data protection field;

      11-2) Excluded by Law of the RK No. 96-VII of 30.12.2021 (shall be put into effect sixty calendar days after the date of its first official publication);

      12) processing of personal data – actions, directed to accumulation, storage, change, supplement, use, distribution, depersonalization, blocking and destruction of personal data;

      13) use of personal data – actions with personal data, directed to implementation of purposes of activity of owner, operator and third person;

      14) storage of personal data – actions on ensuring of integrity, confidentiality and availability of personal data;

      15) distribution of personal data – actions, in the result of commission of which there is a transfer of personal data, as well as through the mass media or provision of access to the personal data by any method;

      16) a subject of personal data (hereinafter – subject) – individual, to which the personal data are referred;

      17) third person – a person, not being a subject, owner and (or) operator, but related to them (him (her) by consequences or legal relationship on collection, processing and protection of personal data.

      Footnote. Article 1 as amended by Law of the RK No. 347-VI dated 25.06.2020 (shall come into effect ten calendar days after the date of its first official publication); No. 96-VII of 30.12.2021 (shall come into force sixty calendar days after the date of its first official publication).

Article 2. The purpose of this Law

      The purpose of this Law shall be ensuring of protection of rights and freedoms of person and citizen upon collection and processing of his (her) personal data.

Article 3. The actions of this Law

      1. The relations, related to collection, processing and protection of personal data shall be regulated by this Law.

      2. Features of collection, processing and protection of personal data may be regulated by other Laws and acts of the President of the Republic of Kazakhstan.

      3. An operation of this Law shall not be distributed to the relations, arising upon:

      1) collection, processing and protection of personal data by the subjects exclusively for the personal and family needs, if upon that the rights of other individuals and (or) legal entities and requirements of the Laws of the Republic of Kazakhstan are nor violated;

      2) generation, storage and use of the documents of the National archive fund of the Republic of Kazakhstan and other archive documents, containing the personal data, in accordance with the legislation of the Republic of Kazakhstan on the National archive fund and archives;

      3) collection, processing and protection of personal data, referred to the state secrets in accordance with the Laws of the Republic of Kazakhstan “On the state secrets”;

      4) collection, processing and protection of personal data in the course of intelligence, counterintelligence, operational and search activity, as well as implementation of security measures on safety ensuring of protected persons and objects within the limits established by the Laws of the Republic of Kazakhstan.

Article 4. The legislation of the Republic of Kazakhstan on personal data and their protection

      1. The legislation of the Republic of Kazakhstan on personal data and their protection shall be based on the Constitution of the Republic of Kazakhstan and shall consist of this Law and other regulatory legal acts of the Republic of Kazakhstan.

      2. If by the international treaty, ratified by the Republic of Kazakhstan, made other rules than those that contained in this Law, the rules of the international treaty shall be applied.

Article 5. Principles of collection, processing and protection of personal data

      Collection, processing and protection of personal data shall be carried out in accordance with the principles of:

      1) observation of constitution rights and freedoms of person and citizens;

      2) legality;

      3) confidentiality of personal data of limited access;

      4) equality of the rights of subjects, owners and operators;

      5) safety ensuring of personality, society and the state.

Chapter 2. COLLECTION AND PROCESSING OF PERSONAL DATA

Article 6. Accessibility of personal data

      Personal data shall be categorised in terms of accessibility into publicly available ones and restricted data.

      Public personal data shall be personal data or information that, in accordance with the Laws of the Republic of Kazakhstan, shall not be subject to confidentiality requirements, access to which shall be free with the consent of the subject.

      Information on the entity, the collection and processing whereof has been performed in violation of the legislation of the Republic of Kazakhstan, shall be excluded from publicly accessible sources of personal data within one working day upon request of the entity or its legal representative or by decision of a court or other authorised public authorities.

      The costs arising from the destruction of personal data from publicly accessible sources of personal data shall be borne by the owner and/or operator, the third party.

      The amount of costs arising from withdrawal of the consent of the person or his/her legal representative for dissemination of his/her personal data in publicly accessible sources of personal data, related to destruction of personal data from publicly accessible sources of personal data, as well as the persons to be charged with such costs, if necessary, shall be determined in court.

      Restricted personal data shall be the personal data, access to which is restricted by the legislation of the Republic of Kazakhstan.

      Footnote. Article 6 as reworded by Law of the RK No. 347-VI dated 25.06.2020 (shall be enacted ten calendar days after the date of its first official publication); as amended by Law of the RK No. 96-VII of 30.12.2021 (shall be enacted upon expiry of sixty calendar days after its first official publication); dated 14.07.2022 № 141-VII (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Article 7. Conditions for the collection and processing of personal data and specifics of the collection and processing of personal data from publicly accessible sources

      1. Personal data shall be collected and processed by the owner and/or operator, as well as by a third party with the consent of the individual or his/her legal representative, in a way specified by the competent authority, unless the cases provided for in point 5 of this Article and in Article 9 of this Law.

      2. The collection and processing of personal data on deceased (recognised by the court as missing or declared dead) individuals shall be carried out as prescribed by the legislation of the Republic of Kazakhstan.

      3. Dissemination of personal data in publicly accessible sources shall be permitted with the consent of the data individual or his/her legal representative.

      4. The requirements of paragraph 3 hereof shall not apply to holders of information in cases of publication of information the obligation to publish is established by the laws of the Republic of Kazakhstan.

      5. The re-collection, processing and dissemination by third parties of personal data published pursuant to paragraphs 3 and 4 hereof shall be allowed, provided that reference is made to the source of the information.

      6. Processing of personal data in the form of cross-border transfer of personal data, excluding the cases prescribed by Article 16 of this Law, dissemination of personal data in publicly accessible sources, as well as its transfer to third parties shall be subject to the consent of the individual.

      7. Specifics of collection, processing of personal data in electronic information resources containing personal data shall be specified by the legislation of the Republic of Kazakhstan on informatization, considering the provisions of this Law.

      8. Processing of personal data shall be limited to achieving specific, predetermined and legitimate objectives. Processing of personal data that is incompatible with the purpose of personal data collection shall be prohibited.

      9. Personal data containing excessive content and scope in relation to the objectives of processing shall not be processed.

      Footnote. Article 7 - as reworded by Law of the RK No. 96-VII of 30.12.2021 (shall come into force sixty calendar days after the date of its first official publication).

Article 8. Procedure of giving (withdrawal) of consent of subject for collection, processing of personal data

      1. The individual or his/her legal representative shall give (withdraw) consent to the collection and processing of personal data in writing, via a state service, a non-state service or in another manner enabling confirmation of consent.

      When collecting and/or processing personal data stored in the information objects of public authorities and/or public legal entities, consent shall be provided through the public service.

      2. The subject or his (her) legal representative may not withdraw the consent for collection, processing of personal data in the cases, if it is contrary to the Laws of the Republic of Kazakhstan, or in the existence of not executed obligation.

      3. Excluded by Law of the RK No. 96-VII of 30.12.2021 (shall be put into effect sixty calendar days after the date of its first official publication).

      4. Consent to the collection and processing of personal data shall include:

      1) the name (surname, first name, patronymic (if stated in the identity document), business identification number (individual identification number) of the operator;

      2) the person's surname, first name, patronymic (if it appears on the identity document);

      3) the term or period within which consent to the collection, processing of personal data is valid;

      4) information on the operator's ability, or lack thereof, to transfer personal data to third parties;

      5) whether or not personal data are transmitted across borders during the processing of personal data;

      6) information on the dissemination of personal data in publicly accessible sources;

      7) a list of data collected related to the individual;

      8) other information as designated by the owner and/or operator.

      Footnote. Article 8 as amended by the Law of the Republic of Kazakhstan dated 17.11.2015 № 408-V (shall be enforced from 01.03.2016); No. 347-VI of 25.06.2020 (shall come into force ten calendar days after the date of its first official publication); No. 96-VII of 30.12.2021 (shall take effect sixty calendar days after the date of its first official publication).

Article 8-1. Public service

      1. Owners and (or) operators, third parties in the case of interaction with the information objects of the public authorities and (or) public legal entities containing personal data, shall ensure the integration of their own information objects involved in the personal data collection and processing processes with the public service, unless it is envisaged by sub-paragraphs 1), 2), 9) and 9-2) of Article 9 of this Law.

      Integration shall be performed with the observance of the legislation of the Republic of Kazakhstan on the disclosure of information classified as state secrets, personal, family, banking, commercial secrets, medical employee secrets and other secrets protected by law, as well as other confidential information.

      Otherwise, integration with a public service shall take place on a voluntary basis.

      The procedure for integration with a public service shall be established by the competent authority and the rules for the integration of e-government information objects”.

      2. The public service shall ensure:

      1) provision of consent (refusal) by the individual or his/her legal representative for the collection and/or processing of personal data contained in the information objects of public authorities and/or state-owned legal entities;

      2) revocation by the individual or his/her legal representative of consent to the collection and (or) processing of personal data contained in the information objects of public authorities and (or) public legal entities;

      3) notification of the individual of actions with his/her personal data stored in information objects of public authorities and (or) state legal entities (access, viewing, modification, addition, transfer, blocking, destruction);

      4) provision of information to the individual on the owners and/or operators who have consent to the collection and/or processing of his/her personal data stored in the information objects of public authorities and/or state-owned legal entities.

      3. In the events specified in sub-paragraphs 4), 6), 8) and 9-3) of Article 9 of this Law, the individual shall be notified of the initiators of requests for access (collection and processing) to his/her personal data stored in the information objects of public authorities and (or) public legal entities, through a public service.

      Footnote. Chapter 2 as supplemented by Article 8-1 pursuant to Law of the RK No. 96-VII of 30.12.2021 (shall be enacted upon expiry of sixty calendar days after the date of its first official publication).

Article 8-2. Non-state service

      1. To optimize the procedures for obtaining the consent of the individual or his/her legal representative for the collection and (or) processing of personal data, in the absence of interaction with the information objects of public authorities and/or state legal entities that contain personal data, owners and/or operators, third parties may use non-state services.

      2. The non-state service shall ensure:

      1) provision of consent (refusal) by the individual or his/her legal representative for the collection and/or processing of personal data;

      2) notification of the individual on the actions with his or her personal data (viewing, amending, supplementing, transferring, blocking, destroying);

      3) notifying the individual of third party access to his or her personal data.

      Footnote. Chapter 2 as supplemented by Article 8-2 pursuant to Law of the RK No. 96-VII of 30.12.2021 (shall take effect from sixty calendar days after the date of its first official publication).

Article 9. Collection, processing of personal data without the consent of subject

      Collection, processing of personal data shall be carried out without the consent of subject or his (her) legal representative in the cases of:

      1) conducting the activities of law enforcement agencies, courts and other authorized public authorities that bring and hear cases of administrative offences, and enforcement proceedings;

      2) carrying out of the state statistical activity;

      3) use of personal data by the state bodies for the statistical purposes with compulsory condition of their depersonalization;

      4) implementation of international treaties, ratified by the Republic of Kazakhstan;

      5) protection of constitution rights and freedoms of person and citizen, if obtaining the consent of subject or his (her) legal representative is impossible;

      6) performing lawful professional activities of a journalist and (or) the activities of television or radio stations, periodicals, news agencies, network publications or scientific, literary or other creative activities, provided that the requirements of the legislation of the Republic of Kazakhstan for ensuring human and civil rights and freedoms are observed;

      7) publication of personal data in accordance with the Laws of the Republic of Kazakhstan, as well as personal data of candidates for elective public positions;

      8) non-performance of responsibilities of the subject on presentation of personal data in accordance with the Laws of the Republic of Kazakhstan;

      9) reception of information from individuals and legal entities by the state body, carrying out regulation, control and supervision of financial market and financial organizations in accordance with the legislation of the Republic of Kazakhstan;

      9-1) obtaining information from natural and legal persons for tax (customs) administration and (or) control by the state revenue authorities in conformity with the laws of the Republic of Kazakhstan;

      9-2) transferring a backup copy of electronic information resources containing personal data of restricted access to the unified national backup platform for the storage of electronic information resources in cases stipulated by the laws of the Republic of Kazakhstan;

      9-3) use of personal data of business entities directly related to their business activities to form a register of business partners, subject to the requirements of the legislation of the Republic of Kazakhstan;

      10) in other cases, established by the Laws of the Republic of Kazakhstan.

      Footnote. Article 9 as amended by Laws of the Republic of Kazakhstan No. 359-VI of 03.07.2020 (shall be enacted upon expiration of ten calendar days after its first official publication); No. 399-VI of 02.01.2021 (see Art. 2 for the enactment procedure); No. 96-VII of 30.12.2021 (shall come into force sixty calendar days after the date of its first official publication).

Article 10. An access to the personal data

      1. An access to the personal data shall be determined by the conditions of the consent of subject or his (her) legal representative, provided to the owner and (or) operator for their collection and processing, unless otherwise provided by the legislation of the Republic of Kazakhstan.

      An access to the personal data shall be prohibited, if the owner and (or) operator, and (or) third person are refused to accept obligations on ensuring of carrying-out of requirements of this Law or may not provide them.

      2. Application (request) of subject or his (her) legal representative respectively of the access to their personal data shall be filed to the owner and (or) operator in written form or in the form of electronic document or by other method with application of the elements of protective actions, not contradicted to the legislation of the Republic of Kazakhstan.

      3. Relations between the owner and (or) operator, and (or) third person respectively of the access to their personal data shall be regulated by the legislation of the Republic of Kazakhstan.

      4. Third parties may receive personal data stored in the information objects of public authorities and/or public legal entities via the e-government web portal, providing the individual's consent has been confirmed via a public service.

      Footnote. Article 10 as amended by the Law of the Republic of Kazakhstan dated 17.11.2015 № 408-V (shall be enforced from 01.03.2016); No. 347-VI of 25.06.2020 (shall come into force ten calendar days after the date of its first official publication); No. 96-VII of 30.12.2021 (shall be enforced sixty calendar days after the date of its first official publication).

Article 11. Confidentiality of personal data

      1. The owners and (or) operators, as well as third persons, receiving an access shall ensure their confidentiality by observance of requirements to prevent their distribution without the consent of subject or his (her) legal representative or existence of other legal basis.

      2. The persons who became known about personal data of limited access shall be obliged to ensure their confidentiality in connection with professional, official necessity, as well as labour relations.

      3. Confidentiality of biometric data shall be established by the legislation of the Republic of Kazakhstan.

Article 12. Accumulation and storage of personal data

      1. Accumulation of personal data shall be carried out by collection of personal data, necessary and sufficient for performance of tasks, carrying out by the owner and (or) operator, as well as third person.

      2. Personal data shall be stored by the owner and/or operator, as well as by a third party in a database located in the territory of the Republic of Kazakhstan.

      The term of storage of personal data shall be determined by the date of achievement of purposes of their collection and processing, unless otherwise provided by the legislation of the Republic of Kazakhstan.

      Footnote. Article 12 as amended by the Law of the Republic of Kazakhstan dated 24.11.2015 № 419-V (shall be enforced from 01.01.2016); No. 399-VI of 02.01.2021 (shall go into effect ten calendar days after the date of its first official publication).

Article 13. Change and supplement of personal data

      Change and supplement of personal data shall be carried out by the owner and (or) operator on the basis of application (request) of the subject or his (her) legal representative or in other cases provided by the Laws of the Republic of Kazakhstan.

Article 14. Use of personal data

      Use of personal data shall be carried out by the owner, operator and third person only for the previously stated purposes of their collection.

Article 15. Distribution of personal data

      1. Disclosure of personal data shall be subject to the consent of the individual or his/her legal representative, provided that the legitimate interests of other individuals and/or legal entities are not affected thereby.

      2. Distribution of personal data in the cases, fallen beyond the scope of previously stated purposes of their collection shall be carried out with the consent of subject or his (her) legal representative.

      Footnote. Article 15 as amended by Law of the RK No. 96-VII of 30.12.2021 (shall be enacted upon expiration of sixty calendar days after its first official publication).

Article 16. Trans-border transfer of personal data

      1. Trans-border transfer of personal data – a transfer of personal data to the territory of the foreign states.

      2. Trans-border transfer of personal data to the territory of the foreign states shall be carried out only in the case of ensuring of protection of personal data by these states in accordance with this Law.

      3. Trans-border transfer of personal data to the territory of the foreign states, not ensuring protection of personal data may be carried out in the cases of:

      1) existence of the consent of subject or his (her) legal representative to the trans-border transfer of his (her) personal data;

      2) provided international treaties, ratified by the Republic of Kazakhstan;

      3) provided by the Laws of the Republic of Kazakhstan, if it is necessary for the purposes of protection of constitutional order, protection of public order, rights and freedoms of person and citizen, health and morals of population;

      4) protection of constitutional rights and freedoms of person and citizen, if reception of the consent of subject or his (her) legal representative is impossible.

      4. Trans-border transfer of personal data to the territory of the foreign states may be prohibited or restricted by the Laws of the Republic of Kazakhstan.

      5. Specifics for trans-border transfer of service information about subscribers and (or) users of communication services shall be determined by the Law of the Republic of Kazakhstan "On Communications".

      Footnote. Article 16 as amended by the Law of the Republic of Kazakhstan dated 28.12.2017 No. 128-VI (shall be enforced upon expiry of ten calendar days after its first official publication).

Article 17. Depersonalisation of personal data

      1. The owner and/or operator, as well as the third party transferring the personal data must anonymise them in compliance with the rules for collecting, processing personal data when collecting, processing personal data for statistical, sociological, scientific, marketing research.

      2. When collecting, processing personal data for data analytics for the purpose of carrying out activities by state authorities, the impersonation of personal data is carried out by the operator of the information and communication infrastructure of the "electronic government" in accordance with the data management requirements approved by the authorized data management body, except for cases when the impersonation of personal data is carried out by the owner and/or operator.

      Footnote. Article 17 as reworded by Law of the RK No. 347-VI of 25.06.2020 (shall be enacted ten calendar days after the date of its first official publication); as amended by the Law of the Republic of Kazakhstan dated 14.07.2022 № 141-VII (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Article 18. Destruction of personal data

      The personal data shall subject to destruction by the owner and (or) operator, as well as third person:

      1) upon expiration of the term of storage in accordance with paragraph 2 of Article 12 of this Law;

      2) upon termination of legal relations between the subject, owner and (or) operator, as well as third person;

      3) upon entering of court decision into legal force;

      3-1) if it is discovered that personal data have been collected and processed without the individual's or his or her legal representative's consent, excluding the cases envisaged in Article 7, paragraph 5, and Article 9 of this Law;

      4) in other cases, established by this Law and other regulatory legal acts of the Republic of Kazakhstan.

      Footnote. Article 18 as amended by Law of the RK No. 96-VII of 30.12.2021 (shall be put into effect upon expiration of sixty calendar days after its first official publication).

Article 19. Report on actions with personal data

      1. In the existence of condition on notification of subject on transfer of his (her) personal data to the third person, the owner and (or) operator shall notify on that the subject or his (her) legal representative during ten business days, unless otherwise provided by the Laws of the Republic of Kazakhstan.

      2. Requirements of paragraph 1 of this Article shall not be distributed in the case of:

      1) exercise functions, provided by the legislation of the Republic of Kazakhstan by the state bodies, as well as carrying out activity by the private notaries, private judicial enforcement agents and lawyers;

      2) carrying out collection and processing of personal data in the statistical, sociological or scientific purposes.

Chapter 3. PROTECTION OF PERSONAL DATA

Article 20. Guarantee of protection of personal data

      1. Personal data shall be protected, as guaranteed by the state and implemented in the order established by the competent authority.

      2. Collection and processing of personal data shall be carried out only in the cases of ensuring of their protection.

      Footnote. Article 20 as amended by Law No. 399-VI of the RK of 02.01.2021 (shall be enacted ten calendar days after the date of its first official publication); No. 223-VII of 19.04.2023 (shall become effective upon the expiry of ten calendar days after the date of its first official publication).

Article 21. Purposes of protection of personal data

      Protection of personal data shall be carried out by application a set of measures, as well as legal, organizational and technical, for the purposes of:

      1) exercise of rights of privacy, personal and family secret;

      2) ensuring of their integrity and security;

      3) observance of their confidentiality;

      4) exercise of right of access to them;

      5) prevention of illegal collection and processing.

Article 22. Obligations of the owner and (or) operator, as well as third person on protection of personal data

      1. The owner and (or) operator, as well as the third party must implement the measures required for the protection of personal data hereunder, and the procedure established by the competent authority, ensuring:

      1) prevention of unauthorized access to the personal data;

      2) timely detection of facts of unauthorized access to the personal data, if such unauthorized access could not prevent;

      3) minimization of adverse consequences of unauthorized access to the personal data;

      4) providing access for the state technical service to the software that use, store, process and disseminate personal data of limited access contained in electronic information resource to carry out a survey to ensure the security of the processes of storage, processing and dissemination of personal data of limited access contained in electronic information resources in a manner determined by the competent authority;

      5) the registration and recording of actions under sub-paragraphs 3), 4), 5) and 6) of paragraph 4 of Article 8 of this Law.

      2. Obligations of owner and (or) operator, as well as third person on protection of personal data shall arise from the date of collection of personal data and act up to the date of their destruction or depersonalization.

      Footnote. Article 22 as amended by Law of the RK No. 399-VI of 02.01.2021 (shall come into force ten calendar days after its first official publication); No. 96-VII of 30.12.2021 (shall come into force sixty calendar days after the date of its first official publication); No. 223-VII of 19.04.2023 (shall be put into effect upon the expiry of ten calendar days after the date of its first official publication).

Article 23. Protection of electronic information resources containing personal data

      Electronic information resources containing personal data shall be protected in compliance with this Law and the legislation of the Republic of Kazakhstan on informatization.

      Footnote. Article 23 as reworded by Law of the RK No. 399-VI of 02.01.2021 (shall go into effect ten calendar days after the date of its first official publication).

Article 23-1. Voluntary cyber-insurance

      1. The goal of voluntary cyber-insurance shall be to compensate for property damage caused to the person, owner and/or operator, a third party pursuant to the legislation of the Republic of Kazakhstan on insurance and insurance activities.

      2. Voluntary cyber-insurance shall be by expression of the will of the parties.

      The types, terms and procedure of voluntary cyber-insurance shall be determined by agreement between the parties.

      Footnote. Chapter 3 as supplemented by Article 23-1 in obedience to Law of the RK No. 347-VI dated 25.06.2020 (shall be enacted ten calendar days after the date of its first official publication).

Chapter 4. RIGHTS AND OBLIGATIONS OF THE SUBJECT,
OWNER AND (OR) OPERATOR

Article 24. Rights and obligation of the subject

      1. The subject shall have a right to:

      1) know on existence of the owner and (or) operator, as well as third person of their personal data, as well as receive information, containing:

      certification of the fact, purpose, resources, methods of collection and processing of personal data;

      the list of personal data;

      the terms of processing of personal data, as well as terms of their storage;

      2) require the change and supplement of personal data from the owner and (or) operator in the existence of the grounds, approved by the relevant documents;

      3) require blocking of personal data from the owner and (or) operator, as well as third person in the case of existence of information on violation of condition of collection, processing of personal data;

      4) require destruction of personal data from the owner and (or) operator, as well as third person, collection and processing of which are carried out with violation of the legislation of the Republic of Kazakhstan, as well as in other persons, established by this Law and other regulatory legal acts of the Republic of Kazakhstan;

      5) revoke consent for the collection, processing, dissemination to publicly accessible sources, transfer to third parties and cross-border transfer of personal data, unless specified in paragraph 2 of Article 8 of this Law;

      6) give the consent (withdraw) to the owner and (or) operator for distribution of personal data in the publicly available sources of personal data;

      7) protection of his (her) rights and legal interests, as well as compensation of moral and material damage;

      8) exercise other rights, provided by this Law and other Laws of the Republic of Kazakhstan.

      2. The subject shall be obliged to present his (her) personal data in the cases established by the Laws of the Republic of Kazakhstan.

      Footnote. Article 24 as amended by Law of the RK No. 96-VII of 30.12.2021 (shall be put into effect upon expiration of sixty calendar days after its first official publication).

Article 25. Rights and obligations of the owner and/or operator, the person responsible for organising the processing of personal data

      Footnote. The title of Article 25 as reworded by Law of the RK No. 347-VI dated 25.06.2020 (shall be enacted ten calendar days after the day of its first official publication).

      1. The owner and (or) operator shall have a right to carry out collection, processing of personal data in the manner established by this Law and other regulatory legal acts of the Republic of Kazakhstan.

      2. The owner and (or) operator shall be obliged to:

      1) approve the list of personal data, necessary and sufficient for performance of tasks carried out by them, unless otherwise provided by the Laws of the Republic of Kazakhstan;

      1-1) adopt documents specifying the operator's policy on the collection, processing and protection of personal data;

      2) accept and observe the necessary measures, as well as legal, organizational and technical for protection of personal data in accordance with the legislation of the Republic of Kazakhstan;

      3) observe the legislation of the Republic of Kazakhstan on personal data and their protection;

      3-1) upon the request of the competent authority, as part of the review of applications from natural and legal persons, supply information on the methods and procedures used to ensure the owner and/or operator's compliance with the requirements of this Law;

      4) accept the measures on destruction of personal data in the case of achievement of purpose of their collection and processing, as well as in other cases, established by this Law and other regulatory legal acts of the Republic of Kazakhstan;

      5) give evidence on obtaining the consent of the subject for collection and processing of his (her) personal data in the cases, provided by the legislation of the Republic of Kazakhstan;

      6) upon the request of the individual, communicate information relating to him or her within the time limits stipulated by the legislation of the Republic of Kazakhstan;

      7) in the event of refusal to provide information, the individual or his/her legal representative shall submit a reasoned response within the deadline specified by the legislation of the Republic of Kazakhstan;

      8) during one business day:

      change and (or) supplement the personal data on the basis of relevant documents, approving their reliability, or destroy the personal data upon impossibility of their change and (or) supplement;

      block the personal data, relating to the subject, in the case of existence of information on violation of conditions of their collection, processing;

      destroy the personal data in the case of detection of fact of their collection, processing with violation of the legislation of the Republic of Kazakhstan, as well as in other cases, established by this Law and other regulatory legal acts of the Republic of Kazakhstan;

      withdraw blocking of personal data in the case of disconfirmation of the fact of violation of conditions of collection, processing of personal data;

      9) provide the person or his/her legal representative with access to personal data relating to that person, free of charge;

      10) appoint a person responsible for organising the processing of personal data, if the owner and/or operator is a legal entity.

      Sub-paragraph 10) of the first part of this paragraph shall not apply to the processing of personal data in court proceedings.

      3. The person responsible for the organisation of personal data processing shall be obliged to:

      1) exercise internal control over the observance by the owner and/or operator and its employees of the legislation of the Republic of Kazakhstan on personal data and its protection, including requirements for the protection of personal data;

      2) inform employees of the owner and/or operator on the provisions of the legislation of the Republic of Kazakhstan on personal data and their protection on the processing of personal data, the requirements for the protection of personal data;

      3) supervise the reception and processing of appeals from persons or their legal representatives.

      Footnote. Article 25 as amended by Law of the RK No. 347-VI dated 25.06.2020 (shall be enacted upon expiry of ten calendar days after its first official publication); No. 96-VII of 30.12.2021 (shall enter into force sixty calendar days after the date of its first official publication).

Chapter 5. THE STATE REGULATION IN THE SCOPE OF PERSONAL
DATA AND THEIR PROTECTION

Article 26. Competence of the Government of the Republic of Kazakhstan

      The Government of the Republic of Kazakhstan shall develop the main areas of state policy in the sphere of personal data and their protection.

      Footnote. Article 26 - as reworded by Law of the Republic of Kazakhstan No. 223-VII dated 19.04.2023 (shall be enacted on expiration of ten calendar days after the day of its first official publication).

Article 27. The competence of the state bodies

      The state bodies within their competence shall:

      1) develop and (or) approve the regulatory legal acts in the scope of personal data and their protection;

      2) consider applications of individuals and (or) legal entities on issues of personal data and their protection;

      3) take measures on bringing of persons, committed violation of the legislation of the Republic of Kazakhstan on personal data and their protection to the responsibility, established by the Laws of the Republic of Kazakhstan;

      4) exercise other powers, provided by the Laws of the Republic of Kazakhstan, acts of the President of the Republic of Kazakhstan and the Government of the Republic of Kazakhstan.

Article 27-1. Competence of the competent authority

      1. Within its competence, the competent authority shall:

      1) develop and implement the state policy in the field of personal data and their protection;

      2) develop procedures for the implementation of personal data protection measures by the owner and/or operator, as well as by a third party;

      2-1) develop the rules for the owner and/or operator to determine the list of personal data necessary and sufficient for the performance of their objectives;

      2-2) establish the procedure for determining by the owner and (or) operator the list of personal data required and sufficient for the fulfilment of their objectives;

      2-3) establish the procedure for the implementation of personal data protection measures by the owner and (or) operator, as well as by a third party;

      3) consider appeals of the person or his/her legal representative regarding the compliance of the content of personal data and the means of processing it with the purposes of its processing and make a decision in this regard;

      4) take measures to bring persons who have violated the legislation of the Republic of Kazakhstan on personal data and its protection to justice as prescribed by the laws of the Republic of Kazakhstan;

      5) require the owner and/or operator, as well as third parties, to clarify, block or destroy unreliable or illegally obtained personal data;

      6) implement measures aimed at improving the protection of the persons’ rights;

      6-1) establish an advisory council on personal data and their protection, and outline the procedure for its formation and operation;

      7) approve the rules for the collection and processing of personal data;

      7-1) approve the rules for the survey of the security of the storage, processing and dissemination of restricted personal data contained in electronic information resources, in coordination with the National Security Committee of the Republic of Kazakhstan;

      7-2) endorse the operating rules of the state service for the control of access to personal data;

      7-3) agree on the integration of non-state information objects with the information objects of public authorities and (or) state legal entities, where personal data is transferred and (or) access to personal data is granted;

      7-4) adopts regulations for integration with the government's personal data access control service;

      8) exercise other powers stipulated by this Law, other laws of the Republic of Kazakhstan, acts of the President of the Republic of Kazakhstan and the Government of the Republic of Kazakhstan.

      2. Personal data that become known to the competent authority in the course of its activities shall be kept confidential.

      Footnote. Chapter 5 as supplemented by Article 27-1 in compliance with Law of the RK No. 347-VI dated 25.06.2020 (shall be enacted upon expiration of ten calendar days after its first official publication); as amended by Law of the RK No. 399-VI dated 02.01.2021 (shall come into force upon expiration of ten calendar days after its first official publication); No. 96-VII of 30.12.2021 (shall enter into force sixty calendar days after the date of its first official publication); No. 223-VII of 19.04.2023 (shall enter into force on the expiration of ten calendar days after the date of its first official publication).

Article 28. Supervision of application of this Law

      1. The bodies of the Prosecutor’s Office exercise supreme supervision over compliance with the law in the field of personal data and their protection.

      2. Acts of prosecutor's supervision issued on the basis and in the procedure established by the Constitutional Law of the Republic of Kazakhstan "On prosecutor's office" shall be mandatory for all bodies, organizations, officials and citizens.

      Footnote. Article 28 as amended by the Law of the Republic of Kazakhstan dated 11.07.2017 № 91-VI (shall be enforced upon expiry of ten calendar days after the day its first official publication); dated 05.11.2022 № 157-VII (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Chapter 6. FINAL AND TRANSITIONAL PROVISIONS

Article 29. Responsibility for violation of the legislation of the Republic of Kazakhstan on personal data and their protection

      Violation of the legislation of the Republic of Kazakhstan on personal data and their protection shall entail responsibility in accordance with the Laws of the Republic of Kazakhstan.

Article 30. Procedure of appeal and consideration of disputes

      Actions (omission) of subject, owner and (or) operator, as well as third person upon collection, processing and protection of personal data may be appealed in the manner established by the Laws of the Republic of Kazakhstan.

      Disputes arising upon collection, processing and protection of personal data shall subject to consideration in the manner established by the Laws of the Republic of Kazakhstan.

Article 31. The order of enforcement of this Law

      1. This Law shall be enforced upon expiry of six months after its first official publication.

      2. The owners and (or) operators shall be obliged to bring the regulatory legal acts and other documents into compliance with the requirements of this Law during three months from the date of enforcement of this Law.

      3. Collection, processing of personal data, carried out according to the legislation of the Republic of Kazakhstan shall be recognized as relevant to the requirements of this Law before enforcement of this Law, if their further processing and protection correspond to the purposes of their collection.

      The President
of the Republic of Kazakhstan
N.Nazarbayev