"Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7) тармақшасына сәйкес БҰЙЫРАМЫН:
1. Қоса беріліп отырған Дербес деректерді жинау, өңдеу қағидалары бекітілсін.
2. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:
1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;
3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.
3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.
4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі |
Б. Мусин |
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазаны № 395/НҚ бұйрығымен бекітілген |
Дербес деректерді жинау, өңдеу қағидалары
1-тарау. Жалпы ережелер
1. Осы Дербес деректерді жинау, өңдеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7) тармақшасына сәйкес әзірленді және дербес деректерді жинау, өңдеу тәртібін айқындайды.
Ескерту. 1-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:
1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;
2) дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесіздендіруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;
3) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелеу жөніндегі іс-әрекеттер;
4) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;
5) дербес деректерді жою – жасалуы нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;
6) дербес деректерді иесіздендіру – жасалуы нәтижесінде дербес деректердің дербес деректер субъектісіне тиесілігін анықтау мүмкін болмайтын іс-әрекеттер;
7) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;
8) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
9) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
10) дербес деректерге қол жеткізуді бақылаудың мемлекеттік емес сервисі (бұдан әрі – мемлекеттік емес сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік емес ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;
11) дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;
12) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган.
Ескерту. 2-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.3. Осы Қағидалар дербес деректері жинау және өңдеу процесінде меншік иелері, операторлар, субъектілер, сондай-ақ үшінші тұлғалар арасында туындайтын қатынастарға қолданылады.
4. Осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен осы Қағидалармен айқындалатын тәртіппен жүзеге асырады.
Қайтыс болған (сот хабар-ошарсыз кетті деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.
Ескерту. 4-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.4-1. Дербес деректерді жалпыға қолжетімді дереккөздерде таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі.
Ескерту. 4-1-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.4-2. Осы Қағидалардың 4-1-тармағының талаптары орналастыру міндеті Қазақстан Республикасының заңдарында белгіленген ақпарат жарияланған жағдайларда ақпарат иеленушілерге қолданылмайды.
Ескерту. 4-2-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.4-3. Ақпарат көзіне сілтеме болған жағдайда, осы Қағидалардың 4-1 және 4-2-тармақтарының негізінде жарияланған дербес деректерді үшінші тұлғалардың қайта жинауына, өңдеуіне және таратуына жол беріледі.
Ескерту. 4-3-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.4-4. Заңның 16-бабында көзделген жағдайларды қоспағанда, дербес деректерді трансшекаралық беру түрінде дербес деректерді өңдеу, дербес деректерді жалпыға қолжетімді көздерде тарату, сондай-ақ оларды үшінші тұлғаларға беру субъектінің келісімімен жүзеге асырылады.
Ескерту. 4-4-тармақпен толықтырылды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.5. Меншік иесінің және (немесе) оператордың дербес деректерді жинауға және өңдеуге жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті Дербес деректердің тізбесінде айқындалған (бұдан әрі – Дербес деректердің тізбесі) көлемде жол беріледі.
Дербес деректердің тізбесі Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына сәйкес айқындалады және бекітіледі.
6. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, мемлекеттік сервис, мемлекеттік емес сервис арқылы не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (оны кері қайтарып алады).
Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинау және (немесе) өңдеу кезінде келісім мемлекеттік сервис арқылы беріледі.
Ескерту. 6-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.7. Дербес деректерді жинау және өңдеу Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларына сәйкес дербес деректерді қорғау жөніндегі шараларды қамтамасыз ету шартымен Қазақстан Республикасының заңнамасында тыйым салынбаған кез келген тәсілмен жүзеге асырылады.
2-тарау. Дербес деректерді жинау
8. Дербес деректерді жинау осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, субъектінің немесе оның заңды өкілінің Заңның 8-бабына сәйкес берілген келісімін алғаннан кейін жүзеге асырылады.
Ескерту. 8-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.9. Қазақстан Республикасының заңдарында белгіленген жағдайларда Заңның 24-бабының 2-тармағына сәйкес субъект өз дербес деректерін ұсынуға міндетті.
3-тарау. Дербес деректерді өңдеу
1-параграф. Дербес деректерді жинақтау және сақтау
10. Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті осы Қағидалардың 2-тарауына сәйкес жүргізіледі.
11. Дербес деректерді сақтауды меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының аумағындағы базада жүзеге асырады.
Ескерту. 11-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.12. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
2-параграф. Дербес деректерді өзгерту және толықтыру
13. Субъектінің тиісті құжаттармен расталған негіздер болған кезде, меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге құқығы бар.
14. Алып тасталды – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.15. Субъектінің меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өз дербес деректерінің болуы туралы білуге, сондай-ақ:
дербес деректерді жинау және өңдеу фактісін, мақсаттарын, көздерін, тәсілдерін растауды;
дербес деректердің тізбесін;
дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты алуға құқығы бар.
Бұл ретте субъект немесе оның заңды өкілі ақпарат алу үшін меншік иесіне және (немесе) операторға не үшінші тұлғаға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен өтініш жасау (сұрау салу) жібереді.
16. Меншік иесі және (немесе) оператор субъектіге қатысы бар ақпаратты, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, субъектінің немесе оның заңды өкілінің өтінішін алған күннен бастап 3 (үш) жұмыс күні ішінде хабарлайды.
Субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартқан жағдайда, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, меншік иесі және (немесе) оператор өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде дәлелді жауап ұсынады.
3-параграф. Дербес деректерді пайдалану, тарату және иесіздендіру
17. Дербес деректерді пайдалануды меншік иесі, оператор және үшінші тұлға Дербес деректердің тізбесінде анықталатын оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана жүзеге асырылады.
17-1. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.18. Дербес деректерді жинаудың бұрын мәлімделген мақсаттарының шеңберінен шығатын жағдайларда тарату субъектінің немесе оның заңды өкілінің келісімімен жүзеге асырылады.
19. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.20. Иесіздендіруді меншік иесі және (немесе) оператор не үшінші тұлға олар таратылғанға дейін қойылған дербес деректерді өңдеу міндеттерін шешуге мүмкіндік беретін иесіздендірудің Қазақстан Республикасының заңнамасына қайшы келмейтін кез келген тәсілімен жүзеге асырады.
21. Дербес деректерді иесіздендіру рәсімі жүргізілгеннен кейін бастапқы дербес деректерді кері қалпына келтіру мүмкіндігі жоқ.
Меншік иесінің және (немесе) оператордың не үшінші тұлғаның дербес деректерді иесіздендіруге жұмсаған шығыстарын өтеу, егер меншік иесімен және (немесе) оператормен не үшінші тұлғамен келісімде өзгеше белгіленбесе, иесіздірілген дербес деректерді сұраған адамның есебінен жүзеге асыралды.
22. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.23. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
4-параграф. Дербес деректерді бұғаттау және жою
24. Субъект немесе оның заңды өкілі меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны дербес деректерді жинау және өңдеу жөніндегі талаптарды сақтаулары тұрғысынан тексеру мақсатында уәкілетті органға жүгінеді.
"Уәкілетті орган субъектінің немесе оның заңды өкілінің өтінішін меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны тарта отырып, Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 76-бабы 1 және 3-тармақтарында белгіленген мерзімдерде қарайды.
Ескерту. 24-тармақ жаңа редакцияда – ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 31.03.2022 № 102/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.25. Субъект дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат мәлім болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан өз дербес деректерін бұғаттауды талап етеді.
Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының заңнамасын бұза отырып жинаған және өңдеген дербес деректер, сондай-ақ Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда дербес деректер субъектінің талабы бойынша жойылуы тиіс.
26. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.27. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
28. Алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 18.04.2023 № 157/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.
5-параграф. Соттардың қызметіндегі дербес деректерді өңдеу
Ескерту. 5-параграф алып тасталды - ҚР Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 03.02.2023 № 41/НҚ (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) бұйрығымен.