Дербес деректерді жинау, өңдеу қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 23 қазанда № 21498 болып тіркелді.

      "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Дербес деректерді жинау, өңдеу қағидалары бекітілсін.

      2. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2020 жылғы 21 қазаны
№ 395/НҚ бұйрығымен
бекітілген

Дербес деректерді жинау, өңдеу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Дербес деректерді жинау, өңдеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7) тармақшасына сәйкес әзірленді және дербес деректерді жинау, өңдеу тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      2) дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесіздендіруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелеу жөніндегі іс-әрекеттер;

      4) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      5) дербес деректерді жою – жасалуы нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;

      6) дербес деректерді иесіздендіру – жасалуы нәтижесінде дербес деректердің дербес деректер субъектісіне тиесілігін анықтау мүмкін болмайтын іс-әрекеттер;

      7) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      8) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерге қол жеткізуді бақылаудың мемлекеттік емес сервисі (бұдан әрі – мемлекеттік емес сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік емес ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      11) дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      12) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган.

      Ескерту. 2-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      3. Осы Қағидалар дербес деректері жинау және өңдеу процесінде меншік иелері, операторлар, субъектілер, сондай-ақ үшінші тұлғалар арасында туындайтын қатынастарға қолданылады.

      4. Осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен осы Қағидалармен айқындалатын тәртіппен жүзеге асырады.

      Қайтыс болған (сот хабар-ошарсыз кетті деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.

      Ескерту. 4-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-1. Дербес деректерді жалпыға қолжетімді дереккөздерде таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі.

      Ескерту. 4-1-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-2. Осы Қағидалардың 4-1-тармағының талаптары орналастыру міндеті Қазақстан Республикасының заңдарында белгіленген ақпарат жарияланған жағдайларда ақпарат иеленушілерге қолданылмайды.

      Ескерту. 4-2-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-3. Ақпарат көзіне сілтеме болған жағдайда, осы Қағидалардың 4-1 және 4-2-тармақтарының негізінде жарияланған дербес деректерді үшінші тұлғалардың қайта жинауына, өңдеуіне және таратуына жол беріледі.

      Ескерту. 4-3-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-4. Заңның 16-бабында көзделген жағдайларды қоспағанда, дербес деректерді трансшекаралық беру түрінде дербес деректерді өңдеу, дербес деректерді жалпыға қолжетімді көздерде тарату, сондай-ақ оларды үшінші тұлғаларға беру субъектінің келісімімен жүзеге асырылады.

      Ескерту. 4-4-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      5. Меншік иесінің және (немесе) оператордың дербес деректерді жинауға және өңдеуге жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті Дербес деректердің тізбесінде айқындалған (бұдан әрі – Дербес деректердің тізбесі) көлемде жол беріледі.

      Дербес деректердің тізбесі Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына сәйкес айқындалады және бекітіледі.

      6. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, мемлекеттік сервис, мемлекеттік емес сервис арқылы не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (оны кері қайтарып алады).

      Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинау және (немесе) өңдеу кезінде келісім мемлекеттік сервис арқылы беріледі.

      Ескерту. 6-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      7. Дербес деректерді жинау және өңдеу Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларына сәйкес дербес деректерді қорғау жөніндегі шараларды қамтамасыз ету шартымен Қазақстан Республикасының заңнамасында тыйым салынбаған кез келген тәсілмен жүзеге асырылады.

2-тарау. Дербес деректерді жинау

      8. Дербес деректерді жинау осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, субъектінің немесе оның заңды өкілінің Заңның 8-бабына сәйкес берілген келісімін алғаннан кейін жүзеге асырылады.

      Ескерту. 8-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      9. Қазақстан Республикасының заңдарында белгіленген жағдайларда Заңның 24-бабының 2-тармағына сәйкес субъект өз дербес деректерін ұсынуға міндетті.

3-тарау. Дербес деректерді өңдеу

1-параграф. Дербес деректерді жинақтау және сақтау

      10. Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті осы Қағидалардың 2-тарауына сәйкес жүргізіледі.

      11. Дербес деректерді сақтауды меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының аумағындағы базада жүзеге асырады.

      Ескерту. 11-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      12. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

2-параграф. Дербес деректерді өзгерту және толықтыру

      13. Субъектінің тиісті құжаттармен расталған негіздер болған кезде, меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге құқығы бар.

      14. Алып тасталды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      15. Субъектінің меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өз дербес деректерінің болуы туралы білуге, сондай-ақ:

      дербес деректерді жинау және өңдеу фактісін, мақсаттарын, көздерін, тәсілдерін растауды;

      дербес деректердің тізбесін;

      дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты алуға құқығы бар.

      Бұл ретте субъект немесе оның заңды өкілі ақпарат алу үшін меншік иесіне және (немесе) операторға не үшінші тұлғаға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен өтініш жасау (сұрау салу) жібереді.

      16. Меншік иесі және (немесе) оператор субъектіге қатысы бар ақпаратты, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, субъектінің немесе оның заңды өкілінің өтінішін алған күннен бастап 3 (үш) жұмыс күні ішінде хабарлайды.

      Субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартқан жағдайда, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, меншік иесі және (немесе) оператор өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде дәлелді жауап ұсынады.

3-параграф. Дербес деректерді пайдалану, тарату және иесіздендіру

      17. Дербес деректерді пайдалануды меншік иесі, оператор және үшінші тұлға Дербес деректердің тізбесінде анықталатын оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана жүзеге асырылады.

      17-1. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      18. Дербес деректерді жинаудың бұрын мәлімделген мақсаттарының шеңберінен шығатын жағдайларда тарату субъектінің немесе оның заңды өкілінің келісімімен жүзеге асырылады.

      19. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      20. Иесіздендіруді меншік иесі және (немесе) оператор не үшінші тұлға олар таратылғанға дейін қойылған дербес деректерді өңдеу міндеттерін шешуге мүмкіндік беретін иесіздендірудің Қазақстан Республикасының заңнамасына қайшы келмейтін кез келген тәсілімен жүзеге асырады.

      21. Дербес деректерді иесіздендіру рәсімі жүргізілгеннен кейін бастапқы дербес деректерді кері қалпына келтіру мүмкіндігі жоқ.

      Меншік иесінің және (немесе) оператордың не үшінші тұлғаның дербес деректерді иесіздендіруге жұмсаған шығыстарын өтеу, егер меншік иесімен және (немесе) оператормен не үшінші тұлғамен келісімде өзгеше белгіленбесе, иесіздірілген дербес деректерді сұраған адамның есебінен жүзеге асыралды.

      22. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      23. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

4-параграф. Дербес деректерді бұғаттау және жою

      24. Субъект немесе оның заңды өкілі меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны дербес деректерді жинау және өңдеу жөніндегі талаптарды сақтаулары тұрғысынан тексеру мақсатында уәкілетті органға жүгінеді.

      "Уәкілетті орган субъектінің немесе оның заңды өкілінің өтінішін меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны тарта отырып, Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 76-бабы 1 және 3-тармақтарында белгіленген мерзімдерде қарайды.

      Ескерту. 24-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      25. Субъект дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат мәлім болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан өз дербес деректерін бұғаттауды талап етеді.

      Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының заңнамасын бұза отырып жинаған және өңдеген дербес деректер, сондай-ақ Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда дербес деректер субъектінің талабы бойынша жойылуы тиіс.

      26. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      27. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      28. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

5-параграф. Соттардың қызметіндегі дербес деректерді өңдеу

      Ескерту. 5-параграф алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 03.02.2023 № 41/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

Об утверждении Правил сбора, обработки персональных данных

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 23 октября 2020 года № 21498.

      В соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила сбора, обработки персональных данных.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет – ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице – министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
Б. Мусин

  Утверждены приказом
Министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
от 21 октября 2020 года № 395/НҚ

Правила сбора, обработки персональных данных

Глава 1. Общие положения

      1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок сбора, обработки персональных данных.

      Сноска. Пункт 1 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      3) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      4) сбор персональных данных – действия, направленные на получение персональных данных;

      5) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      6) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      7) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      8) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      9) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      10) негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      11) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      12) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.

      Сноска. Пункт 2 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      3. Настоящие Правила распространяются на отношения, возникающие между собственниками, операторами, субъектами, а также третьими лицами в процессе сбора и обработки персональных данных.

      4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.

      Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

      Сноска. Пункт 4 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4-1. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

      Сноска. Правила дополнены пунктом 4-1 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4-2. Требования пункта 4-1 настоящих Правил не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

      Сноска. Правила дополнены пунктом 4-2 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4-3. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 4-1 и 4-2 настоящих Правил, при условии наличия ссылки на источник информации.

      Сноска. Правила дополнены пунктом 4-3 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4-4. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.

      Сноска. Правила дополнены пунктом 4-4 в соответствии с приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      5. Сбор и обработка собственником и (или) оператором персональных данных допускается в объеме, определенном Перечнем персональных данных, необходимого и достаточного для выполнения осуществляемых задач (далее – Перечень персональных данных).

      Перечень персональных данных определяется и утверждается в соответствии с Правилами, определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач, утвержденными постановлением Правительства Республики Казахстан от 12 ноября 2013 года № 1214.

      6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

      При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

      Сноска. Пункт 6 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Сбор и обработка персональных данных осуществляется при условии обеспечения мер по защите персональных данных в соответствии Правилами осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденными постановлением Правительства Республики Казахстан от 3 сентября 2013 года № 909.

Глава 2. Сбор персональных данных

      8. Сбор персональных данных осуществляется после получения согласия субъекта или его законного представителя, предоставленного в соответствии со статьей 8 Закона, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.

      Сноска. Пункт 8 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      9. Субъект согласно пункту 2 статьи 24 Закона обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

Глава 3. Обработка персональных данных

Параграф 1. Накопление и хранение персональных данных

      10. Накопление персональных данных производится в соответствии с главой 2 настоящих Правил, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

      11. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.

      Сноска. Пункт 11 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      12. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 2. Изменение и дополнение персональных данных

      13. Субъект имеет право требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами.

      14. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      15. Субъект имеет право знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

      подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

      перечень персональных данных;

      сроки обработки персональных данных, в том числе сроки их хранения.

      При этом для получения информации субъектом или его законным представителем направляется обращение (запрос) собственнику и (или) оператору либо третьему лицу письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      16. Собственник и (или) оператор сообщает информацию, относящуюся к субъекту, в течение 3 (трех) рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан.

      В случае отказа в предоставлении информации субъекту или его законному представителю, собственник и (или) оператор в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан.

Параграф 3. Использование, распространение и обезличивание персональных данных

      17. Использование персональных данных осуществляется собственником, оператором и третьим лицом для ранее заявленных целей их сбора, определяемых Перечнем персональных данных.

      17-1. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      18. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

      19. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      20. Обезличивание осуществляется собственником и (или) оператором либо третьим лицом до их распространения, любым не противоречащим законодательству Республики Казахстан способом обезличивания, позволяющим решать поставленные задачи обработки персональных данных.

      21. Процедура обезличивания персональных данных исключает возможность обратного восстановления исходных персональных данных.

      Возмещение расходов собственника и (или) оператора либо третьего лица на обезличивание персональных данных осуществляется за счет лица, запросившего обезличенные персональные данные, если иное не будет определено соглашением с собственником и (или) оператором либо третьим лицом.

      22. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      23. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 4. Блокирование и уничтожение персональных данных

      24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.

      Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные пунктами 1 и 3 статьи 76 Административного процедурно-процессуального кодекса Республики Казахстан.

      Сноска. Пункт 24 - в редакции приказа Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 31.03.2022 № 102/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      25. В случае наличия информации о нарушении условий сбора, обработки персональных данных, субъект требует от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных.

      Персональные данные, сбор и обработка которых произведены собственником и (или) оператором, а также третьим лицом с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных Законом и иными нормативными правовыми актами Республики Казахстан, по требованию субъекта подлежат уничтожения.

      26. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      27. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
      28. Исключен приказом Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 18.04.2023 № 157/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Параграф 5. Обработка персональных данных в деятельности судов

      Сноска. Параграф 5 исключен приказом и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 03.02.2023 № 41/НҚ (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).