On approval of the Rules for the implementation of a survey to ensure the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources

Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated April 30, 2021 No. 156/НҚ. Registered with the Ministry of Justice of the Republic of Kazakhstan on May 4, 2021 No. 22689

      Unofficial translation

      In accordance with subparagraph 7-1) of paragraph 1 of article 27-1 of the Law of the Republic of Kazakhstan dated May 21, 2013 "On personal data and their protection" I HEREBY ORDER:

      1. To approve the attached Rules for the implementation of a survey to ensure the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources.

      2. The Information Security Committee of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan shall ensure:

      1) state registration of this order with the Ministry of Justice of the Republic of Kazakhstan;

      2) placement of this order on the Internet resource of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan;

      3) within ten working days after the state registration of this order, submission to the Legal Department of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan of information on the implementation of the measures provided for in subparagraphs 1) and 2) of this paragraph.

      3. To impose control over the execution of this order on the supervising vice minister of digital development, innovation and aerospace industry of the Republic of Kazakhstan.

      4. This order shall come into effect ten calendar days after the day of its first official publication.

      Minister of Digital Development,
Innovation and Aerospace Industry
of the Republic of Kazakhstan 		B. Mussin

      "AGREED"
National Security
Committee of the Republic of Kazakhstan

      "AGREED"
Ministry of National Economy of the
Republic of Kazakhstan

  Approved
by order of the Minister
of Digital Development,
Innovation and Aerospace Industry
of the Republic of Kazakhstan
dated April 30, 2021 No. 156/НҚ

The Rules for the implementation of a survey to ensure the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources

Chapter 1. General Provisions

      1. These Rules for the implementation of a survey to ensure the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources (hereinafter referred to as the Rules) have been developed in accordance with subparagraph 7-1) of paragraph 1 of Article 27-1 of the Law of the Republic of Kazakhstan dated May 21 2013 “On personal data and their protection” (hereinafter referred to as the Law) and shall determine the procedure for conducting a survey to ensure the security of the processes of storage, processing and distribution of personal data of limited access contained in electronic information resources.

      2. The following basic concepts shall be used in these Rules:

      1) owner of the database containing personal data (hereinafter referred to as the Owner) - a state body, an individual and (or) legal entity, implementing in accordance with the laws of the Republic of Kazakhstan the right to own, use and dispose of the database containing personal data;

      2) operator of the base containing personal data (hereinafter referred to as the Operator), - the state body, individual and (or) legal entity that collects, processes and protection of personal data;

      3) protection of personal data - a set of measures, including legal, organizational and technical, carried out for the purposes established by the Law;

      4) processing of personal data - actions aimed at the accumulation, storage, modification, addition, use, distribution, depersonalization, blocking and destruction of personal data;

      5) distribution of personal data - actions resulting in the transfer of personal data, including through the media or providing access to personal data in any other way;

      6) personal data of limited access - personal data, access to which is limited by the legislation of the Republic of Kazakhstan;

      7) state technical service - a joint-stock company established by decision of the Government of the Republic of Kazakhstan;

      8) third party - a person who is not the subject, owner and (or) operator, but associated with them (him/her) by circumstances or legal relations for the collection, processing and protection of personal data.

      9) survey of ensuring the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources (hereinafter referred to as the Survey) - an assessment of the security measures and protective actions used in the processing, storage, distribution and protection of personal data of restricted access contained in electronic information resources.

      10) survey subjects - owners and (or) operators, as well as third parties processing personal data of limited access contained in electronic information resources.

Chapter 2. The procedure for the implementation of a survey to ensure the security of the processes of storage, processing and distribution of personal data of restricted access contained in electronic information resources

      3. For the survey, the subjects of the survey shall provide access to the state technical service to informatization objects that use, store, process and distribute personal data of limited access contained in electronic information resources.

      4. During the survey, an analysis of the legal, organizational and technical measures established by the Rules for the implementation by the owner and (or) operator, as well as a third party of measures to protect personal data, approved by the Decree of the Government of the Republic of Kazakhstan dated September 3, 2013 No. 909, shall be carried out.

      5. Based on the results of the survey of the informatization object, the State Technical Service shall form a report on the survey, as well as recommendations for eliminating the identified inconsistencies (if any).

Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2021 жылғы 30 сәуірдегі № 156/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2021 жылғы 4 мамырда № 22689 болып тіркелді

      "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7-1) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгiзiледi.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және аэроғарыш
өнеркәсібі министрі 		Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық қауіпсіздік комитеті

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Ұлттық экономика министрлігі

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2021 жылғы 30 сәуірдегі
№ 156/НҚ бұйрығымен
бекітілген

Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары

1-тарау. Жалпы ережелер

      1. Осы Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7-1) тармақшасына сәйкес әзірленді және электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      2) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      3) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

      4) дербес деректерді өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      5) дербес деректердi тарату – жасалуы нәтижесінде дербес деректер берілетін, оның ішінде бұқаралық ақпарат құралдары арқылы берілетін немесе қандай да бiр өзгеше тәсiлмен дербес деректерге қол жеткізу ұсынылатын іс-әрекеттер;

      6) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;

      7) мемлекеттік техникалық қызмет – Қазақстан Республикасы Үкіметінің шешімі бойынша құрылған акционерлік қоғам;

      8) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

      9) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау;

      10) зерттеп-қарау субъектілері – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді жүзеге асыратын меншік иелері және (немесе) операторлар, сондай-ақ үшінші тұлғалар.

2-тарау. Электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуге зерттеп-қарауды жүзеге асыру тәртібі

      3. Зерттеп-қарау субъектілері мемлекеттік техникалық қызметке зерттеп-қарау үшін электрондық ақпараттық ресурстардағы қолжетімділігі шектеулі дербес деректерді пайдаланатын, сақтайтын, өңдейтін және тарататын ақпараттандыру объектілеріне қолжетімділік береді.

      4. Зерттеп-қарауды жүргізу кезінде Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларында белгіленген құқықтық, ұйымдастырушылық және техникалық шараларға талдау жүргізіледі.

      5. Мемлекеттік техникалық қызмет ақпараттандыру объектісіне жүргізілген зерттеп-қарау нәтижелері бойынша жүргізілген зерттеп-қарау жөніндегі есепті, сондай-ақ анықталған сәйкессіздіктерді (болған кезде) жою жөніндегі ұсынымдарды қалыптастырады.