On approval of the Rules for collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services

Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated October 27, 2020 No. 406 / НҚ. Registered with the Ministry of Justice of the Republic of Kazakhstan on October 30, 2020 No. 21547

      Unofficial translation

      In accordance with subparagraph 8-1) of Article 8 of the Law of the Republic of Kazakhstan "On public services" dated April 15, 2013, I HEREBY ORDER:

      1. To approve the attached Rules for collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services

      2. The Committee for Public Services of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan, in accordance with the established legislative procedure, shall ensure:

      1) state registration of this order with the Ministry of Justice of the Republic of Kazakhstan;

      2) posting this order on the Internet resource of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan;

      3) within ten working days after the state registration of this order, submission to the Legal Department of the Ministry of Digital Development, Defense and Aerospace Industry of the Republic of Kazakhstan the information on the implementation of the measures provided for in subparagraphs 1) and 2) of this paragraph.

      3. Control over the implementation of this order shall be entrusted to the supervising Vice-Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan.

      4. This order shall come into effect upon the expiration of ten calendar days after the day of its first official publication.

Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan

B. Mussin

Approved by Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated October 27, 2020, No. 406/НҚ

The Rules for collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services

Chapter 1. General Provisions

      1. These Rules for collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services (hereinafter referred to as the Rules) have been developed in accordance with subparagraph 8-1) of Article 8 of the Law of the Republic of Kazakhstan dated April 15, 2013 "On public services" and shall determine the procedure for collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services.

      2. The following concepts shall be used in these Rules:

      1) employee of the non-profit joint-stock company “State Corporation “Government for Citizens” (hereinafter referred to as the State Corporation) - an employee of the city (district) department for servicing the population of branches of the State Corporation in the regions and cities of Nur-Sultan, Almaty, Shymkent, collecting and processing biometric data;

      2) biometric database (hereinafter referred to as the Base) - an organized structure intended for storing, changing, and processing biometric data.

      Other concepts and terms used in these Rules shall be applied in accordance with the legislation of the Republic of Kazakhstan.

Chapter 2. Collection and processing of biometric data

      3. Before collecting and processing biometric data, an employee of the State Corporation shall identify the service recipient using identity documents and receive written consent from an individual to collect, process, and store biometric data in accordance with the Annex to these Rules.

      The conditions and grounds for the use of his biometric data in the provision of public services shall be explained to the service recipient.

      4. Collection and processing of biometric data for authentication in the provision of public services shall be carried out from individuals who have reached the age of eighteen, voluntarily.

      5. Collection and processing of biometric data from an individual whose incapacity (limited legal capacity) has been established by the court shall be carried out in the presence and based on a written application of his custodian (trustee)

      6. The process of collecting biometric data shall be carried out by an inkless method by scanning all existing fingers of both hands with a fingerprint scanner.

      7. If an individual has open wounds and other injuries, on individual nail phalanges of the fingers, temporarily excluding their collection, and also has deformed joints, the collection of biometric data shall be carried out on undamaged or less deformed fingers.

      8. Individuals who have previously passed the collection of biometric parameters shall undergo the collection procedure again with his written consent if the person who has passed the collection of biometric data is not recognized from the biometric database due to acquired irreversible damage to the papillary patterns of the nail phalanges of the finger (for example, cuts, scars due to skin diseases, significant injuries).

      9. An employee of the State Corporation shall replace the biometric data of an individual whose data has previously been collected with new data, after making changes and (or) additions, in the case provided for in paragraph 9 of these Rules, while the previous data shall be archived in the biometric database.

      10. The collection and processing of biometric data are not subject to persons with the following physical disabilities, which exclude the possibility of fingerprinting:

      1) the absence of all fingers on both hands;

      2) the absence of papillary patterns on the nail phalanges of all fingers of both hands.

Chapter 3. Storage and destruction of biometric data

      11. When an individual has passed the collection of biometric data or from a legal representative, the custodian of individual, whose incapacity is established by a court with a statement on the wish to destroy his/her biometric data from the Database on the day of receipt of the appeal, shall be destroyed when applying.

      A statement about the wish to destroy their biometric data from the Database shall be submitted to any city (district) department for servicing the population of the branches of the State Corporation in the regions and cities of Nur- Sultan, Almaty, Shymkent.

      12. The State Corporation shall ensure the organization of collection, processing and storage of biometric data of individuals for their biometric authentication in the provision of public services, including in accordance with applicable law.

      13. The storage and transmission of biometric data shall be carried out using cryptographic information protection tools with parameters not lower than the third security level in accordance with the standard of the Republic of Kazakhstan ST RK 1073-2007 "Cryptographic information protection tools. General technical requirements".

CONSENT
to the collection and processing of personal data

      I, ______________________________________________________________________ 

      ( full name )

	"___" __________		IIN
	(day, month in uppercase, and year of birth)			(affixed with IIN)

      in accordance with article 8 of the Law of the Republic of Kazakhstan "On personal data and their protection" I hereby declare that I consent to the non-profit joint-stock company "State Corporation" Government for Citizens" to collect and process biometric data necessary for the provision of public services to me.

      I hereby confirm that I will not have any claims regarding the collection and processing of personal data in the future, provided that the non-profit joint-stock company State Corporation "Government for Citizens" observes the requirements of the Law and/or our agreements.

      I have read the text of this consent, I have no additions, comments and objections.

      "___" ____________ 20___ _________________

       (date of consent)  (signature)

      Consent was accepted by: _____________________________________ _______________

      surname, name, patronymic (if any), (signature)

      PLACE OF THE STAMP

      (stamped or sealed)

      * In accordance with article 1 of the Law of the Republic of Kazakhstan dated May 21, 2013, N94-V "On personal data and their protection":

      1) biometric data - personal data that characterize the physiological and biological characteristics of the subject of personal data, based on which his/her identity may be established;

      5) collection of personal data - actions aimed at obtaining personal data;

      12) processing of personal data - actions aimed at the accumulation, storage, change, addition, use, distribution, depersonalization, blocking, and destruction of personal data.

Об утверждении Правил сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 406/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 30 октября 2020 года № 21547.

      В соответствии с подпунктом 8-1) статьи 8 Закона Республики Казахстан "О государственных услугах" от 15 апреля 2013 года ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг

      2. Комитету государственных услуг Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательном порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа, представление в Юридический департамент Министерства цифрового развития, оборонной и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан

Б. Мусин

Утверждены приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 27 октября 2020 года № 406/НҚ

Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг

Глава 1. Общие положения

      1. Настоящие Правила сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг (далее - Правила) разработаны в соответствии с подпунктом 8-1) статьи 8 Закона Республики Казахстан от 15 апреля 2013 года "О государственных услугах" и определяют порядок сбора, обработок и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг.

      2. В настоящих Правилах используются следующие понятия:

      1) работник некоммерческого акционерного общества "Государственной корпорации "Правительство для граждан" (далее - Госкорпорация) – работник городского (районного) отдела по обслуживанию населения филиалов Госкорпорации по областям и городам Нур-Султан, Алматы, Шымкент, осуществляющий сбор и обработку биометрических данных;

      2) база биометрических данных (далее - База) – организованная структура, предназначенная для хранения, изменения и обработки биометрических данных.

      Иные понятия и термины, используемые в настоящих Правилах, применяются в соответствии с законодательством Республики Казахстан.

Глава 2. Сбор и обработка биометрических данных

      3. Перед сбором и обработкой биометрических данных работник Государственной корпорации производит идентификацию услугополучателя по документам, удостоверяющих личность и получает письменное согласие физического лица на сбор, обработку и хранение биометрических данных согласно приложению к настоящим Правилам.

      Услугополучателю разъясняются условия и основания использования его биометрических данных при оказании государственных услуг.

      4. Сбор и обработка биометрических данных для аутентификации при оказании государственных услуг, производится у физических лиц достигших восемнадцатилетнего возраста, на добровольной основе.

      5. Сбор и обработка биометрических данных у физического лица, недееспособность (ограниченная дееспособность) которого установлена судом, проводится в присутствии и на основании письменного заявления его опекуна (попечителя)

      6. Процесс сбора биометрических данных осуществляется бескрасковым методом путем сканирования всех существующих пальцев обеих рук на дактилоскопическом сканере.

      7. При наличии у физического лица биометрических данных на отдельных ногтевых фалангах пальцев рук открытых ран и иных повреждений, временно исключающих их сбор, а также имеет деформированные суставы, сбор биометрических данных проводится по неповрежденным или менее деформированным пальцам.

      8. Физические лица ранее прошедшие процедуры сбора биометрических параметров, проходят процедуру сбора повторно с его письменного согласия, если лицо, прошедшее сбор биометрических данных, не распознается по базе биометрических данных ввиду приобретенных необратимых повреждений папиллярных узоров ногтевых фаланг пальца (например, рубцов, шрамов вследствие кожных заболеваний, значительных травм).

      9. Работником Госкорпорации биометрические данные физического лица, ранее прошедшего сбор, после внесения изменения и (или) дополнения заменяется новыми данными, в случае предусмотренных пунктом 9 настоящих Правил, при этом предыдущие данные архивируются в базе биометрических данных.

      10. Сбору и обработке биометрических данных не подлежат лица со следующими физическими недостатками, исключающими возможность дактилоскопирования:

      1) отсутствие всех пальцев на обеих руках;

      2) отсутствие папиллярных узоров на ногтевых фалангах всех пальцев обеих рук.

Глава 3. Хранение и уничтожение биометрических данных

      11. При обращении физического лица, прошедшего сбор биометрических данных или у законного представителя, опекуна физического лица недееспособность которого установлена судом с заявлением о желании уничтожения из Базы своих биометрических данных в день получения обращения уничтожаются.

      Заявление о желании уничтожения своих биометрических данных из Базы подаются в любой городской (районный) отдел по обслуживанию населения филиалов Госкорпорации по областям и городам Нур-Султан, Алматы, Шымкент.

      12. Госкорпорация обеспечивает организацию сбора, обработки и хранения биометрических данных физических лиц для их биометрической аутентификации при оказании государственных услуг, в том числе в соответствии с действующим законодательством.

      13. Хранение и передача биометрических данных осуществляется с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности в соответствии с стандартом Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".

СОГЛАСИЕ
на сбор и обработку персональных данных

      Я, ______________________________________________________________________
                              (Ф.И.О. полностью)

	"___"__________		ИИН
	(день, месяц прописными и год рождения)			(проставляется ИИН)

      в соответствии со статьей 8 Закона Республики Казахстан "О персональных данных и их защите" настоящим заявляю, что даю свое согласие некоммерческому акционерному обществу "Государственная корпорация "Правительство для граждан" на сбор и обработку биометрических данных, необходимых при оказании мне государственных услуг.

      Настоящим подтверждаю, что каких-либо претензий касательно сбора и обработки персональных данных в дальнейшем иметь не буду, при условии соблюдения некоммерческим акционерным обществом "Государственная корпорация "Правительство для граждан" требований Закона и /или наших договоренностей.

      Текст настоящего согласия мной прочитан(а), дополнений, замечаний и возражений не имею.

      "___" ____________ 20___ г. _________________
            (дата согласия)             (подпись)

      Согласие принял(а): _____________________________________ _________________

                        фамилия, имя, отчество (при его наличии),       (подпись)

      М.П.

      (проставляется штамп или печать)

      * В соответствии со статьей 1 Закона Республики Казахстан от 21 мая 2013 года N94-V "О персональных данных и их защите":

      1) биометрические данные – персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;

      5) сбор персональных данных – действия, направленные на получение персональных данных;

      12) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных.