On approval of the Rules for implementation by owner and (or) operator, as well as third party of measures to protect personal data

Decree of the Government of the Republic of Kazakhstan № 909 dated September 3, 2013. Abolished by the Decree of the Government of the Republic of Kazakhstan dated 07/13/2023 No. 559

      Unofficial translation

      Footnote. Abolished by the Decree of the Government of the Republic of Kazakhstan dated 07/13/2023 No. 559 (effective from the date of its first official publication)

      In accordance with Subparagraph 4) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection”, the Government of the Republic of Kazakhstan hereby DECREES AS FOLLOWS:

      1. Approve the attached Rules for implementation by owner and (or) operator, as well as third party of measures to protect personal data.

      2. This Decree shall be enforced from November 25, 2013 and to be subject to official publication.

      The Prime Minister
of the Republic of Kazakhstan
S. Akhmetov

  Approved by
the Decree of the Government of
the Republic of Kazakhstan
No. 909 dated September 3, 2013

Rules for implementation by owner and (or) operator, as well as a third party of measures to protect personal data

      Footnote. The Rules are as amended by the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

Chapter 1. General Provisions

      1. These Rules for implementation by owner and (or) operator, as well as a third party of measures to protect personal data (hereinafter referred to as the Rules) have been developed in accordance with Subparagraph 4) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection" (hereinafter referred to as - the Law) and determine the procedure for owner and (or) operator, as well as a third party, to take measures to protect personal data.

      2. The following basic concepts shall be used in these Rules:

      1) personal data – details, related to the subject of personal data, specific or defined on their basis, recorded on an electronic, paper and (or) other physical media;

      2) blocking of personal data – actions on temporary termination of collection, accumulation, change, supplement, use, distribution, depersonalization and destruction of personal data;

      3) collection of personal data – actions, directed to reception of personal data;

      4) destruction of personal data – actions, in the result of commission of which is impossible to restore the personal data;

      5) depersonalization of personal data – actions, in the result of commission of which determination of belonging of personal data to the subject of personal data is impossible;

      6) a database containing personal data (hereinafter referred to as - the database) is a set of ordered personal data;

      7) owner of a database containing personal data (hereinafter referred to as - owner) - a state authority, individual and (or) legal entity that, in accordance with the laws of the Republic of Kazakhstan, exercise the right to own, use and dispose of a database containing personal data;

      8) operator of a database containing personal data (hereinafter referred to as - operator) - a state authority, individual and (or) legal entity that collects, processes and protects personal data;

      9) protection of personal data - a set of measures, including legal, organizational and technical, carried out for the purposes established by the Law;

      10) authorized body in the field of personal data protection - a central executive body in charge for personal data protection;

      11) processing of personal data – actions, directed to accumulation, storage, change, supplement, use, distribution, depersonalization, blocking and destruction of personal data;

      12) a subject of personal data (hereinafter – subject) – individual, to which the personal data are referred;

      13) public available personal data - personal data or information, which, in accordance with the Laws of the Republic of Kazakhstan, shall not be subject to confidentiality requirements, access to which is free with the consent of the subject;

      14) Personal data of limited access – the personal data, an access of which is limited by the legislation of the Republic of Kazakhstan;

      15) third party - a person who is not a subject, owner and (or) operator, but related to them (him/her) by circumstances or legal relations for collection, processing and protection of personal data;

      16) electronic information resources – information in electronic digital form contained on an electronic medium and in informatization facilities.

      17) a survey of securing the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources (hereinafter referred to as the survey) - an assessment of the security measures and protective actions applied in the processing, storage, distribution and protection of personal data of restricted access contained in electronic information resources.

      Other concepts, used in these Rules, shall apply in accordance with the Law and the Law of the Republic of Kazakhstan dated November 24, 2015"On Informatization".

      Footnote. Paragraph 2 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 30.04.2021 No. 285 (shall be enforced upon expiry of ten calendar days after the date of its first official publication); dated 26.10.2022 No. 849 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

Chapter 2. The procedure for implementation by owner and (or) operator as well as third party measures to protect personal data

      3. Owner and (or) operator, as well as third parties are obliged to take necessary measures to protect personal data, ensuring:

      1) prevention of unauthorized access to personal data;

      2) timely detection of unauthorized access to personal data if such unauthorized access could not be prevented;

      3) minimizing the adverse effects of unauthorized access to personal data;

      4) granting access to the state technical service to informatization objects that use, store, process and distribute personal data of restricted access contained in electronic information resources, in order to conduct a survey in accordance with the rules for conducting a survey on ensuring the security of storage, processing and distribution of personal data of restricted access contained in in electronic information resources approved by the authorized body;

      5) registration and accounting of actions provided for by Article 8, paragraph 4, subparagraphs 3), 4), 5), 6) of the Law.

      Footnote. Paragraph 3 as amended by the Resolution of the Government of the Republic of Kazakhstan dated 30.04.2021 No. 285 (shall be enforced upon expiry of ten calendar days after the date of its first official publication); dated 14.04.2022 No. 219 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      4. Threats to the security of personal data shall be understood as a set of conditions and factors that create the possibility of unauthorized, including accidental, access to personal data during their collection and processing, which may result in destruction, alteration, blocking, copying, unauthorized provision to third parties, unauthorized distribution of personal data, as well as other illegal actions.

      5. Personal data protection shall be carried out by applying a set of measures, including legal, organizational and technical, in order to:

      1) exercise of privacy rights, personal and family secrets;

      2) ensuring integrity and safety;

      3) observance of their confidentiality;

      4) exercise of the right to access them;

      5) prevention of illegal collection and processing thereof.

      6. Obligations of the owner and (or) operator, as well as of a third party to protect personal data arise from the moment of collection of personal data and shall be valid until their destruction or depersonalization.

      7. To ensure protection of personal data, it is necessary:

      1) to allocate business processes, containing personal data;

      2) to separate personal data to generally accessible and of limited access;

      3) determining a list of persons, who perform the collection and processing of personal data, or having access to them;

      4) appointment of a person responsible for organizing the processing of personal data if the owner and (or) operator are legal entities. The obligations of the person responsible for organizing the processing of personal data are specified in Paragraph 3 of Article 25 of the Law. The effect of Subparagraph 4) of this paragraph shall not apply to the processing of personal data in the activities of the courts.

      5) establishment of the procedure of access to personal data;

      6) approval of documents defining the operator's policy regarding the collection, processing and protection of personal data;

      7) at the request of the authorized body, within the framework of consideration of appeals from individuals and legal entities, provide information on the methods and procedures used to ensure compliance by the owner and (or) operator with the requirements of the Law.

      When collecting and processing personal data at the informatization facilities, it is necessary to ensure additionally the safety of personal data storage media.

      Footnote. Paragraph 7 as amended by the resolution of the Government of the Republic of Kazakhstan dated 14.04.2022 No. 219 (shall enter into force upon expiry of ten calendar days after the day of its first official publication).

      8. Other particularities of personal protection data when collecting and processing thereof at the informatization facilities shall be established in accordance with the legislation of the Republic of Kazakhstan on informatization.

      9. Owner and (or) operator when processing personal data of limited access shall:

      1) establish the purposes of processing personal data of limited access. Personal data of limited access shall be used in accordance with the declared purposes.

      2) determine the procedures of processing, distribution and access to personal data of limited access;

      3) determine the procedures of blocking personal data of limited access related to the subject, upon request of the subject.

      Owner and (or) operator as well as the third party when processing personal data of limited access shall:

      1) determine the list of persons who have access to personal data of limited access;

      2) notify the authorized body in the field of personal data protection about incidents of information security, associated with illegal access to personal data of limited access;

      3) ensure the installation of information security tools, software updates on technical means that process the personal data of limited access;

      4) ensure keeping the log of events of database management systems;

      5) ensure keeping the log of actions of users who have access to personal data of limited access;

      6) use tools to control the integrity of personal data of limited access;

      7) ensure the transfer of personal data of limited access to other persons through secure communication channels and (or) using encryption and with the consent of the subject of personal data, unless otherwise provided by the legislation of the Republic of Kazakhstan;

      8) allocate business processes containing personal data of limited access;

      9) ensure the use of means of cryptographic protection of information for the reliable storage of personal data of limited access;

      10) use means of identification and (or) authentication of users when working with personal data of limited access.

      10. Collection and processing of personal data of limited access shall be carried out through the informatization facilities, placed in the territory of the Republic of Kazakhstan.

      Storage and transfer of personal data of limited access shall be carried out using the means of cryptographic protection of information, having parameters not lower than the third security level in accordance with the Standard of the Republic of Kazakhstan ST RK 1073-2007 “Cryptographic information protection means. General technical requirements ".

      The requirements of this clause shall not apply to cases of cross-border data transfer.

Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909. Утратило силу постановлением Правительства Республики Казахстан от 13 июля 2023 года № 559.

      Сноска. Утратило силу постановлением Правительства РК от 13.07.2023 № 559 (вводится в действие со дня его первого официального опубликования).
      Примечание РЦПИ!
      Вводится в действие с 25 ноября 2013 года.

      В соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан "О персональных данных и их защите" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

      2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Премьер-Министр


Республики Казахстан

С. Ахметов


  Утверждены
постановлением Правительства
Республики Казахстан
от 3 сентября 2013 года № 909

Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

      Сноска. Правила - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее – Правила) разработаны в соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

      Сноска. Пункт 1 - в редакции постановления Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      3) сбор персональных данных – действия, направленные на получение персональных данных;

      4) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      5) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      6) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      7) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      8) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      9) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;

      10) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      11) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      12) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      13) общедоступные персональные данные – персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта;

      14) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан;

      15) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;

      16) электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации;

      17) обследование обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах (далее – обследование), – оценка применяемых мер безопасности и защитных действий при осуществлении обработки, хранения, распространения и защите персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "Об информатизации".

      Сноска. Пункт 2 с изменениями, внесенными постановлениями Правительства РК от 30.04.2021 № 285 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 26.10.2022 № 849 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

      3. Исключен постановлением Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

      5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

      2) обеспечения их целостности и сохранности;

      3) соблюдения их конфиденциальности;

      4) реализации права на доступ к ним;

      5) предотвращения незаконного их сбора и обработки.

      6. Исключен постановлением Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Для обеспечения защиты персональных данных необходимо:

      1) выделение бизнес-процессов, содержащих персональные данные;

      2) разделение персональных данных на общедоступные и ограниченного доступа;

      3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;

      4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие подпункта 4) настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

      5) установление порядка доступа к персональным данным.

      6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;

      7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

      При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.

      Сноска. Пункт 7 с изменениями, внесенными постановлением Правительства РК от 14.04.2022 № 219 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Иные особенности защиты персональных данных при их сборе и обработке в объектах информатизации устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

      9. Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

      1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.

      2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;

      3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

      Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

      1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;

      2) оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;

      3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;

      4) обеспечивают ведение журнала событий систем управления базами;

      5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;

      6) применяют средства контроля целостности персональных данных ограниченного доступа;

      7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;

      8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;

      9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;

      10) применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

      10. Сбор и обработка персональных данных ограниченного доступа осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.

      Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".

      Требования данного пункта не распространяются на случаи трансграничной передачи данных.