Дербес деректерді жинау, өңдеу қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 23 қазанда № 21498 болып тіркелді.

      "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Дербес деректерді жинау, өңдеу қағидалары бекітілсін.

      2. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі 		Б. Мусин

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2020 жылғы 21 қазаны
№ 395/НҚ бұйрығымен
бекітілген

Дербес деректерді жинау, өңдеу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Дербес деректерді жинау, өңдеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7) тармақшасына сәйкес әзірленді және дербес деректерді жинау, өңдеу тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      2) дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесіздендіруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелеу жөніндегі іс-әрекеттер;

      4) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      5) дербес деректерді жою – жасалуы нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;

      6) дербес деректерді иесіздендіру – жасалуы нәтижесінде дербес деректердің дербес деректер субъектісіне тиесілігін анықтау мүмкін болмайтын іс-әрекеттер;

      7) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      8) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерге қол жеткізуді бақылаудың мемлекеттік емес сервисі (бұдан әрі – мемлекеттік емес сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік емес ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      11) дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      12) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган.

      Ескерту. 2-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      3. Осы Қағидалар дербес деректері жинау және өңдеу процесінде меншік иелері, операторлар, субъектілер, сондай-ақ үшінші тұлғалар арасында туындайтын қатынастарға қолданылады.

      4. Осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен осы Қағидалармен айқындалатын тәртіппен жүзеге асырады.

      Қайтыс болған (сот хабар-ошарсыз кетті деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.

      Ескерту. 4-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-1. Дербес деректерді жалпыға қолжетімді дереккөздерде таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі.

      Ескерту. 4-1-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-2. Осы Қағидалардың 4-1-тармағының талаптары орналастыру міндеті Қазақстан Республикасының заңдарында белгіленген ақпарат жарияланған жағдайларда ақпарат иеленушілерге қолданылмайды.

      Ескерту. 4-2-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-3. Ақпарат көзіне сілтеме болған жағдайда, осы Қағидалардың 4-1 және 4-2-тармақтарының негізінде жарияланған дербес деректерді үшінші тұлғалардың қайта жинауына, өңдеуіне және таратуына жол беріледі.

      Ескерту. 4-3-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      4-4. Заңның 16-бабында көзделген жағдайларды қоспағанда, дербес деректерді трансшекаралық беру түрінде дербес деректерді өңдеу, дербес деректерді жалпыға қолжетімді көздерде тарату, сондай-ақ оларды үшінші тұлғаларға беру субъектінің келісімімен жүзеге асырылады.

      Ескерту. 4-4-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      5. Меншік иесінің және (немесе) оператордың дербес деректерді жинауға және өңдеуге жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті Дербес деректердің тізбесінде айқындалған (бұдан әрі – Дербес деректердің тізбесі) көлемде жол беріледі.

      Дербес деректердің тізбесі Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына сәйкес айқындалады және бекітіледі.

      6. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, мемлекеттік сервис, мемлекеттік емес сервис арқылы не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (оны кері қайтарып алады).

      Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинау және (немесе) өңдеу кезінде келісім мемлекеттік сервис арқылы беріледі.

      Ескерту. 6-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      7. Дербес деректерді жинау және өңдеу Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларына сәйкес дербес деректерді қорғау жөніндегі шараларды қамтамасыз ету шартымен Қазақстан Республикасының заңнамасында тыйым салынбаған кез келген тәсілмен жүзеге асырылады.

2-тарау. Дербес деректерді жинау

      8. Дербес деректерді жинау осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, субъектінің немесе оның заңды өкілінің Заңның 8-бабына сәйкес берілген келісімін алғаннан кейін жүзеге асырылады.

      Ескерту. 8-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      9. Қазақстан Республикасының заңдарында белгіленген жағдайларда Заңның 24-бабының 2-тармағына сәйкес субъект өз дербес деректерін ұсынуға міндетті.

3-тарау. Дербес деректерді өңдеу

1-параграф. Дербес деректерді жинақтау және сақтау

      10. Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті осы Қағидалардың 2-тарауына сәйкес жүргізіледі.

      11. Дербес деректерді сақтауды меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының аумағындағы базада жүзеге асырады.

      Ескерту. 11-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      12. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

2-параграф. Дербес деректерді өзгерту және толықтыру

      13. Субъектінің тиісті құжаттармен расталған негіздер болған кезде, меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге құқығы бар.

      14. Алып тасталды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      15. Субъектінің меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өз дербес деректерінің болуы туралы білуге, сондай-ақ:

      дербес деректерді жинау және өңдеу фактісін, мақсаттарын, көздерін, тәсілдерін растауды;

      дербес деректердің тізбесін;

      дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты алуға құқығы бар.

      Бұл ретте субъект немесе оның заңды өкілі ақпарат алу үшін меншік иесіне және (немесе) операторға не үшінші тұлғаға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен өтініш жасау (сұрау салу) жібереді.

      16. Меншік иесі және (немесе) оператор субъектіге қатысы бар ақпаратты, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, субъектінің немесе оның заңды өкілінің өтінішін алған күннен бастап 3 (үш) жұмыс күні ішінде хабарлайды.

      Субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартқан жағдайда, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, меншік иесі және (немесе) оператор өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде дәлелді жауап ұсынады.

3-параграф. Дербес деректерді пайдалану, тарату және иесіздендіру

      17. Дербес деректерді пайдалануды меншік иесі, оператор және үшінші тұлға Дербес деректердің тізбесінде анықталатын оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана жүзеге асырылады.

      17-1. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      18. Дербес деректерді жинаудың бұрын мәлімделген мақсаттарының шеңберінен шығатын жағдайларда тарату субъектінің немесе оның заңды өкілінің келісімімен жүзеге асырылады.

      19. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      20. Иесіздендіруді меншік иесі және (немесе) оператор не үшінші тұлға олар таратылғанға дейін қойылған дербес деректерді өңдеу міндеттерін шешуге мүмкіндік беретін иесіздендірудің Қазақстан Республикасының заңнамасына қайшы келмейтін кез келген тәсілімен жүзеге асырады.

      21. Дербес деректерді иесіздендіру рәсімі жүргізілгеннен кейін бастапқы дербес деректерді кері қалпына келтіру мүмкіндігі жоқ.

      Меншік иесінің және (немесе) оператордың не үшінші тұлғаның дербес деректерді иесіздендіруге жұмсаған шығыстарын өтеу, егер меншік иесімен және (немесе) оператормен не үшінші тұлғамен келісімде өзгеше белгіленбесе, иесіздірілген дербес деректерді сұраған адамның есебінен жүзеге асыралды.

      22. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      23. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

4-параграф. Дербес деректерді бұғаттау және жою

      24. Субъект немесе оның заңды өкілі меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны дербес деректерді жинау және өңдеу жөніндегі талаптарды сақтаулары тұрғысынан тексеру мақсатында уәкілетті органға жүгінеді.

      "Уәкілетті орган субъектінің немесе оның заңды өкілінің өтінішін меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны тарта отырып, Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 76-бабы 1 және 3-тармақтарында белгіленген мерзімдерде қарайды.

      Ескерту. 24-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

      25. Субъект дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат мәлім болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан өз дербес деректерін бұғаттауды талап етеді.

      Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының заңнамасын бұза отырып жинаған және өңдеген дербес деректер, сондай-ақ Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда дербес деректер субъектінің талабы бойынша жойылуы тиіс.

      26. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      27. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
      28. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

5-параграф. Соттардың қызметіндегі дербес деректерді өңдеу

      Ескерту. 5-параграф алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 03.02.2023 № 41/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.

On approval of the Regulations for the collection, processing of personal data

Order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated October 21, 2020 № 395/НҚ. Registered with the Ministry of Justice of the Republic of Kazakhstan on October 23, 2020 № 21498.

      Unofficial translation

      In compliance with subparagraph 7) of paragraph 1 of Article 27-1 of the Law of the Republic of Kazakhstan dated May 21, 2013 "On personal data and their protection" I ORDER:

      1. To approve the attached Rules for the collection and processing of personal data.

      2. The Committee for Information Security of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan shall ensure:

      1) state registration of this order with the Ministry of Justice of the Republic of Kazakhstan;

      2) posting this order on the Internet resource of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan;

      3) within ten working days after the state registration of this order, the submission to the Legal Department of the Ministry of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan information on the implementation of the measures provided for in subparagraphs 1) and 2) of this paragraph.

      3. Control over the implementation of this order shall be entrusted to the supervising vice minister of digital development, innovation and aerospace industry of the Republic of Kazakhstan.

      4. This order shall be enforced upon the expiration of ten calendar days after the day of its first official publication.

      The Minister of Digital Development,
      Innovation and Aerospace Industry
      of the Republic of Kazakhstan B. Мussin

  Approved by order
  Minister of Digital Development,
  innovation and aerospace
  Republic of Kazakhstan
  dated October 21, 2020 № 395 / НҚ

Regulations for the collection, processing of personal data Chapter 1. General provisions

      1. These Rules for the collection and processing of personal data (hereinafter referred to as the Rules) have been developed in accordance with subparagraph 7) of Paragraph 1 of Article 27-1 of the Law of the Republic of Kazakhstan “On Personal Data and Its Protection” (hereinafter referred to as the Law) and shall determine the procedure for the collection and processing of personal data.

      Footnote. Paragraph 1 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      2. The following basic concepts shall be used in these Rules:

      1) personal data - information relating to a specific subject of personal data or determined on its basis, recorded on electronic, paper and (or) other tangible media;

      2) blocking of personal data - actions to temporarily stop the collection, accumulation, modification, addition, use, distribution, depersonalization and destruction of personal data;

      3) accumulation of personal data - actions to systematize personal data by entering them into a database containing personal data;

      4) collection of personal data – actions aimed at obtaining personal data;

      5) destruction of personal data - actions as a result of which it is impossible to restore personal data;

      6) depersonalization of personal data - actions as a result of which it is impossible to determine the ownership of personal data by the subject of personal data;

      7) database containing personal data (hereinafter referred to as the Database) – a set of ordered personal data;

      8) the owner of the database containing personal data (hereinafter referred to as the Owner) - a state body, individual and (or) legal entity exercising, in accordance with the laws of the Republic of Kazakhstan, the right to own, use and dispose of the database containing personal data;

      9) operator of the database containing personal data (hereinafter referred to as the Operator) - a government body, individual and (or) legal entity collecting, processing and protecting personal data;

      10) non-state service for controlling access to personal data (hereinafter referred to as the Non-state service) - a service that ensures information interaction between owners and (or) operators, third parties with the subject of personal data when accessing personal data contained in non-state information objects, including receipt from the subject personal data consent to the collection, processing of personal data or their transfer to third parties;

      11) state service for controlling access to personal data (hereinafter referred to as the State service) - a service that ensures information interaction between owners and (or) operators, third parties with the subject of personal data and the authorized body when accessing personal data contained in informatization objects of state bodies and (or) state legal entities, including obtaining consent from the subject of personal data for the collection, processing of personal data or their transfer to third parties;

      12) the authorized body in the field of personal data protection (hereinafter referred to as the Authorized body) - the central executive body that provides leadership in the field of personal data protection.

      Footnote. Paragraph 2 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      3. These Rules apply to the relations arising between owners, operators, subjects, as well as third parties in the process of collecting and processing personal data.

      4. The collection and processing of personal data shall be carried out by the owner and (or) operator, as well as a third party with the consent of the subject or his legal representative in the manner determined by these Rules, except for the cases provided for in Paragraph 4-3 of these Rules and Article 9 of the Law.

      The collection and processing of personal data of a deceased (recognized by the court as missing or declared dead) subject shall be carried out in accordance with the legislation of the Republic of Kazakhstan.

      Footnote. Paragraph 4 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      4-1. Distribution of personal data in publicly available sources shall be permitted with the consent of the subject or his/her legal representative.

      Footnote. The Rules are supplemented by Paragraph 4-1 in accordance with the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      4-2. The requirements of Paragraph 4-1 of these Rules shall not apply to owners of information in cases of publication of information, the obligation to publish which is established by the laws of the Republic of Kazakhstan.

      Footnote. The Rules are supplemented by Paragraph 4-2 in accordance with the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      4-3. Re-collection, processing and distribution by third parties of personal data published based on Paragraphs 4-1 and 4-2 of these Rules shall be permitted, provided there is a link to the source of information.

      Footnote. The rules are supplemented by Paragraph 4-3 in accordance with the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      4-4. Processing of personal data in the form of cross-border transfer of personal data, except for cases provided for in Article 16 of the Law, distribution of personal data in publicly available sources, as well as their transfer to third parties, on condition of the consent of the subject.

      Footnote. The rules are supplemented by Paragraph 4-4 in accordance with the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      5. Collection and processing of personal data by the owner and (or) operator of personal data is allowed in the amount determined by the List of personal data, necessary and sufficient to perform the tasks being performed (hereinafter referred to as the List of personal data).

      The list of personal data is determined and approved in accordance with the Rules, determination by the owner and (or) operator of the list of personal data necessary and sufficient to perform the tasks they carry out, approved by the Government of the Republic of Kazakhstan dated November 12, 2013 № 1214.

      6. The subject or his/her legal representative gives (withdraws) consent to the collection and processing of personal data in writing, through a government service, non-government service, or in another way that allows confirmation of receipt of consent.

      When collecting and (or) processing personal data contained in information objects of state bodies and (or) state legal entities, consent shall be provided through a government service.

      Footnote. Paragraph 6 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      7. The collection and processing of personal data is carried out subject to the provision of measures to protect personal data in accordance with the Rules for the implementation by the owner and (or) operator, as well as a third party, of measures to protect personal data, approved by the Government of the Republic of Kazakhstan dated September 3, 2013 № 909.

Chapter 2. Collection of personal data

      8. Personal data shall be collected after obtaining the consent of the subject or his/her legal representative, provided in accordance with Article 8 of the Law, except for the cases provided for in Paragraph 4-3 of these Rules and Article 9 of the Law.

      Footnote. Paragraph 8 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      9. The subject, in accordance with paragraph 2 of Article 24 of the Law, is obliged to submit his personal data in cases established by the laws of the Republic of Kazakhstan.

Chapter 3. Personal data processing Paragraph 1. Accumulation and storage of personal data

      10. The accumulation of personal data is carried out in accordance with Chapter 2 of these Rules, necessary and sufficient for the performance of tasks carried out by the owner and (or) operator, as well as a third party.

      11. Personal data shall be stored by the owner and (or) operator, as well as by a third party in a database located on the territory of the Republic of Kazakhstan.

      Footnote. Paragraph 11 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).
      12. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

Paragraph 2. Change and addition of personal data

      13. The subject has the right to demand from the owner and (or) operator to change and supplement his personal data if there are grounds confirmed by the relevant documents.

      14. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      15. The subject has the right to know about the presence of the owner and (or) operator, as well as a third party, of his personal data, as well as to receive information containing:

      confirmation of the fact, purpose, sources, methods of collecting and processing personal data;

      list of personal data;

      terms of processing personal data, including the terms of their storage.

      At the same time, in order to obtain information, the subject or his legal representative sends an appeal (request) to the owner and (or) operator or a third party in writing or in the form of an electronic document or in another way using elements of protective actions that do not contradict the legislation of the Republic of Kazakhstan.

      16. The owner and (or) operator shall provide information related to the entity within 3 (three) business days from the date of receipt of the application from the entity or its legal representative, unless other terms are provided for by the laws of the Republic of Kazakhstan.

      In case of refusal to provide information to the subject or his legal representative, the owner and (or) operator, within a period not exceeding 3 (three) working days from the date of receipt of the request, shall submit a reasoned response, unless other terms are provided for by the laws of the Republic of Kazakhstan.

Paragraph 3. Use, distribution and anonymization of personal data

      17-1. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      18. Dissemination of personal data in cases that go beyond the previously stated purposes of their collection, is carried out with the consent of the subject or his legal representative.

      19. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      20. Depersonalization is carried out by the owner and (or) operator or a third party prior to their distribution, by any method of depersonalization that does not contradict the legislation of the Republic of Kazakhstan, allowing to solve the tasks of processing personal data.

      21. The procedure for anonymizing personal data excludes the possibility of reverse recovery of the original personal data.

      Reimbursement of the expenses of the owner and (or) operator or third party for the depersonalization of personal data is carried out at the expense of the person who requested the depersonalized personal data, unless otherwise determined by an agreement with the owner and (or) operator or a third party.

      22. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).
      23. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

Paragraph 4. Blocking and destruction of personal data

      24. The subject or his/her legal representative contacts the authorized body to check the owner and (or) operator, as well as a third party for compliance with the requirements for the collection and processing of personal data.

      The authorized body shall consider the application of the subject or its legal representative, with the involvement of the owner and (or) operator, as well as a third party, within the time limits established by Paragraphs 1 and 3 of Article 76 of the Administrative Procedure Code of the Republic of Kazakhstan.

      Footnote. Paragraph 24 - as amended by the order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 31.03.2022 № 102/НҚ (shall come into effect ten calendar days after the day of its first official publication).

      25. If there is information about a violation of the conditions for the collection, processing of personal data, the subject requires the owner and (or) operator, as well as a third party, to block his personal data.

      Personal data collected and processed by the owner and (or) operator, as well as by a third party in violation of the legislation of the Republic of Kazakhstan, as well as in other cases established by the Law and other regulatory legal acts of the Republic of Kazakhstan, are subject to destruction at the request of the subject.

      26. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).
      27. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).
      28. Excluded by order of the Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 18.04.2023 № 157/НҚ (shall come into effect ten calendar days after the day of its first official publication).

Paragraph 5. Processing of personal data in the activities of courts

      Footnote. Paragraph 5 was excluded by the order of the acting Minister of Digital Development, Innovation and Aerospace Industry of the Republic of Kazakhstan dated 03.02.2023 № 41/НҚ (shall come into effect ten calendar days after the day of its first official publication).