ИПС "Әділет"

Unofficial translation

Footnote. Abolished by the Decree of the Government of the Republic of Kazakhstan dated 07/13/2023 No. 559 (effective from the date of its first official publication)

In accordance with Subparagraph 3) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection”, the Government of the Republic of Kazakhstan hereby DECREES AS FOLLOWS:

1. To approve the attached Rules for determining the list of personal data by owner and (or) operator necessary and sufficient for fulfillment of their tasks.

2. This Decree shall come into force on November 25, 2013 and shall be subject to official publication.

The Prime Minister
of the Republic of Kazakhstan

S. Akhmetov

Approved by
the Decree of the Government
of the Republic of Kazakhstan
No.1214 dated November 12, 2013

Rules for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them

Footnote. The Rules - as amended by the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

Chapter 1. General Provisions

1. These Rules for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them (hereinafter referred to as the Rules) have been developed in accordance with Subparagraph 3) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection” (hereinafter referred to as the Law) and shall determine the procedures for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them.

2. The following basic concepts shall be used in these Rules:

1) personal data - any information relating to an identified or identifiable on the basis of their personal data subject, recorded on electronic, paper and (or) other physical media;

2) collection of personal data – actions, directed to reception of personal data;

3) owner of the base containing personal data (hereinafter referred to as the owner) - the state authority, individual and (or) legal entity, exercising the right of possession, use and disposition of base, contained the personal data in accordance with the laws of the Republic of Kazakhstan;

4) operator of base, containing personal data (hereinafter referred to as – operator), - the state body, individual and (or) legal entity, carrying out collection, processing and protection of personal data;

5) authorized body in the field of personal data protection (hereinafter referred to as the authorized body)- a central executive body in charge for personal data protection;

6) processing of personal data – actions, directed to accumulation, storage, change, supplement, use, distribution, depersonalization, blocking and destruction of personal data;

7) personal data subject – individual, to whom personal data are referred.

Chapter 2. Procedure for determining the list of personal data by owner and (or) operator, necessary and sufficient for performance of tasks carried out by them

3. The owner and (or) operator shall, prior to the beginning of collection and processing personal data, perform analysis of the tasks carrying out by them with respect to the use of personal data.

When carrying out current activities, the owner and (or) operator annually re-analyze their tasks for the use of personal data, on the basis of which changes are made to the list of personal data necessary and sufficient to perform their tasks, in accordance with Paragraph 6 of these Rules.

4. On the basis of the performed analysis, the owner and (or) operator, in the form according to Appendix to this Rules, shall determine the list of personal data, necessary and sufficient for the performance of tasks carrying out by them indicating the goals of their collection and processing within the framework of tasks.

The goals are unambiguous, legal and correspond to the objectives of the owner and (or) operator..

Personal data, the content and volume of which are redundant in relation to the tasks carried out by the owner and (or) operator, shall not be included in the list of personal data necessary and sufficient to perform the tasks carrying out by them.

5. The list of personal data necessary and sufficient to perform the tasks carrying out by them shall be approved by the owner and (or) operator.

Personal data protection shall be carried out in accordance with the Rules for implementation by owner and (or) operator, as well as a third party of measures to protect personal data, approved by the Government of the Republic of Kazakhstan.

6. Based on the results of current activities, the owner (or) the operator annually makes changes and additions to the list of personal data necessary and sufficient for performance of tasks carrying out by them in accordance with the procedures prescribed by Paragraphs 3, 4 and 5 of these Rules.

Amendments and additions made to the list of personal data, necessary and sufficient for performance of tasks carried out by them, shall be valid from the moment of their approval and do not apply to relations that arose before their entry into force.

7. The owner and (or) operator shall ensure the access to the list of personal data necessary and sufficient for the performance of tasks carried out by them, by methods not prohibited by the legislation of the Republic of Kazakhstan.

Appendix
Rules for determination of the list
of personal data by the owner and
(or) operator, necessary and
sufficient for performance of tasks
carried out by them

List of personal data necessary and sufficient for performance of tasks being carried out

Item no.	Name of the task, including functions, powers, duties	Goals of collection and processing within the framework of the task being carried out	Name of personal data for a specific goal	Reference to documents or regulatory legal acts that have direct indications of the tasks carried out by the owner and (or) operator

      Ескерту. Күші жойылды - ҚР Үкіметінің 13.07.2023 № 559 (алғашқы ресми жарияланған күнінен бастап қолданысқа енгізіледі) қаулысымен.
      РҚАО-ның ескертпесі!
      Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі.

"Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы 26-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметi ҚАУЛЫ ЕТЕДІ:

1. Қоса берiліп отырған Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары бекітілсін.

2. Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Қазақстан Республикасының
Премьер-Министрі	С. Ахметов

Қазақстан Республикасы
Үкіметінің
2013 жылғы 12 қарашадағы
№ 1214 қаулысымен
бекітілген

Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары

Ескерту. Қағидалар жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

1. Осы Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 3) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібін белгілейді.

2. Осы Қағидаларда мынадай негiзгi ұғымдар пайдаланылады:

1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

2) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

3) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

4) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

5) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

6) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

7) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға.

2-тарау. Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібі

3. Меншік иесі және (немесе) оператор дербес деректерді жинау және өңдеу басталғанға дейін дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге талдау жүргізеді.

Ағымдағы қызметті жүзеге асыру кезінде меншік иесі және (немесе) оператор дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге жыл сайын қайта талдау жүргізеді, оның негізінде осы Қағидалардың 6-тармағына сәйкес өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне өзгерістер енгізіледі.

4. Жүргізілген талдау негізінде меншік иесі және (немесе) оператор осы Қағидаларға қосымшаға сәйкес нысан бойынша міндеттер шеңберінде оларды жинау және өңдеу мақсаттарын көрсете отырып, өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындайды.

Мақсаттар бірмәнді, заңды болып табылады және меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге сәйкес келеді.

Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге қатысты мазмұны мен көлемі артық болып табылатын дербес деректер олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне енгізілмейді.

5. Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін меншік иесі және (немесе) оператор Заңның 25-бабы 2-тармағының 1) тармақшасына сәйкес бекітеді.

Ескерту. 5-тармақ жаңа редакцияда - ҚР Үкіметінің 28.04.2023 № 337 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

6. Меншік иесі (немесе) оператор ағымдағы қызмет нәтижелері бойынша өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне осы Қағидалардың 3, 4, және 5-тармақтарында көзделген тәртіпке сәйкес өзгерістер мен толықтырулар енгізе алады.

Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне енгізілген өзгерістер мен толықтырулар олар бекітілген сәттен бастап қолданылады және олар қолданысқа енгізілгенге дейін туындаған қатынастарға қолданылмайды.

7. Меншік иесі және (немесе) оператор өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне қол жеткізуді Қазақстан Республикасының заңнамасында тыйым салынбаған тәсілдермен қамтамасыз етеді.

Меншік иесінің және (немесе)
оператордың өздері жүзеге
асыратын міндеттерді орындау
үшін қажетті және жеткілікті
дербес деректердің тізбесін
айқындау қағидаларына
қосымша

Жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесі