"Дербес деректерді жинау, өңдеу қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 31 наурыздағы № 102/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 31 наурызда № 27344 болып тіркелді

      БҰЙЫРАМЫН:

      1. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің "Дербес деректерді жинау, өңдеу қағидаларын бекіту туралы" 21 қазандағы бұйрығына 2020 жылғы № 395/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21498 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      көрсетілген бұйрықпен бекітілген Дербес деректерді жинау, өңдеу қағидаларында:

      1 және 2-тармақтар мынадай редакцияда жазылсын:

      "1. Осы Дербес деректерді жинау, өңдеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7) тармақшасына сәйкес әзірленді және дербес деректерді жинау, өңдеу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      2) дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесіздендіруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелеу жөніндегі іс-әрекеттер;

      4) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      5) дербес деректерді жою – жасалуы нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;

      6) дербес деректерді иесіздендіру – жасалуы нәтижесінде дербес деректердің дербес деректер субъектісіне тиесілігін анықтау мүмкін болмайтын іс-әрекеттер;

      7) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      8) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерге қол жеткізуді бақылаудың мемлекеттік емес сервисі (бұдан әрі – мемлекеттік емес сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік емес ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      11) дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      12) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган.";

      4-тармақ мынадай редакцияда мазмұндалсын:

      "4. Осы Қағидалардың 4-3-тармағында және Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен осы Қағидалармен айқындалатын тәртіппен жүзеге асырады.

      Қайтыс болған (сот хабар-ошарсыз кетті деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.";

      мынадай редакциядағы 4-1, 4-2, 4-3 және 4-4-тармақтармен толықтырылсын:

      "4-1. Дербес деректерді жалпыға қолжетімді дереккөздерде таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі.

      4-2. Осы Қағидалардың 4-1-тармағының талаптары орналастыру міндеті Қазақстан Республикасының заңдарында белгіленген ақпарат жарияланған жағдайларда ақпарат иеленушілерге қолданылмайды.

      4-3. Ақпарат көзіне сілтеме болған жағдайда, осы Қағидалардың 4-1 және 4-2-тармақтарының негізінде жарияланған дербес деректерді үшінші тұлғалардың қайта жинауына, өңдеуіне және таратуына жол беріледі.

      4-4. Заңның 16-бабында көзделген жағдайларды қоспағанда, дербес деректерді трансшекаралық беру түрінде дербес деректерді өңдеу, дербес деректерді жалпыға қолжетімді көздерде тарату, сондай-ақ оларды үшінші тұлғаларға беру субъектінің келісімімен жүзеге асырылады.";

      6-тармақ мынадай редакцияда мазмұндалсын:

      "6. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, мемлекеттік сервис, мемлекеттік емес сервис арқылы не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (оны кері қайтарып алады).

      Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинау және (немесе) өңдеу кезінде келісім мемлекеттік сервис арқылы беріледі.";

      8-тармақ мынадай редакцияда мазмұндалсын:

      "8. Дербес деректерді жинауға және өңдеуге келісім мыналарды қамтиды:

      1) оператордың атауы (тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе), бизнес сәйкестендіру нөмірі (жеке сәйкестендіру нөмірі);

      2) субъектінің тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе);

      3) дербес деректерді жинауға, өңдеуге келісім қолданыста болатын мерзім немесе кезең;

      4) оператордың дербес деректерді үшінші тұлғаларға беру мүмкіндігі немесе оның болмауы туралы мәліметтер;

      5) дербес деректерді өңдеу процесінде оларды трансшекаралық берудің болуы не болмауы туралы мәліметтер;

      6) дербес деректердің жалпыға бірдей қолжетімді көздерде таратылуы туралы мәліметтер;

      7) субъектіге байланысты жиналатын деректердің тізбесі.";

      мынадай редакциядағы 17-1-тармақпен толықтырылсын:

      "17-1. Егер бұл ретте өзге де жеке және (немесе) заңды тұлғалардың заңды мүдделері қозғалмаса, субъектінің немесе оның заңды өкілінің келісімі болған жағдайда дербес деректерді таратуға жол беріледі.";

      24-тармақ мынадай редакцияда жазылсын:

      "24. Субъект немесе оның заңды өкілі меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны дербес деректерді жинау және өңдеу жөніндегі талаптарды сақтаулары тұрғысынан тексеру мақсатында уәкілетті органға жүгінеді.

      "Уәкілетті орган субъектінің немесе оның заңды өкілінің өтінішін меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны тарта отырып, Қазақстан Республикасы Әкімшілік рәсімдік-процестік кодексінің 76-бабы 1 және 3-тармақтарында белгіленген мерзімдерде қарайды.

      27-тармақ мынадай редакцияда жазылсын:

      "27. Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға дербес деректерді жоюға тиіс:

      1) Заңның 12-бабының 2-тармағына сәйкес сақтау мерзімі өткеннен кейін;

      2) субъект, меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға арасындағы құқықтық қатынастар тоқтатылған кезде;

      3) сот шешімі заңды күшіне енген кезде;

      4) осы Заңның 7-бабының 5-тармағында және 9-бабында көзделген жағдайларды қоспағанда, субъектінің немесе оның заңды өкілінің келісімінсіз дербес деректерді жинау және өңдеу анықталған кезде тоқтатылады.".

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің ресми интернет-ресурсында орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин

О внесении изменений и дополнений в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ "Об утверждении Правил сбора, обработки персональных данных"

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 31 марта 2022 года № 102/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 31 марта 2022 года № 27344

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ "Об утверждении Правил сбора, обработки персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 21498) следующие изменения и дополнения:

      в Правилах сбора, обработки персональных данных, утвержденных указанным приказом:

      пункты 1 и 2 изложить в следующей редакции:

      "1. Настоящие Правила сбора, обработки персональных данных (далее – Правила) разработаны в соответствии с подпунктом 7) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок сбора, обработки персональных данных.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      3) накопление персональных данных – действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;

      4) сбор персональных данных – действия, направленные на получение персональных данных;

      5) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      6) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      7) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      8) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      9) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      10) негосударственный сервис контроля доступа к персональным данным (далее – негосударственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      11) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      12) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных.";

      пункт 4 изложить в следующей редакции:

      "4. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом настоящими Правилами, за исключением случаев, предусмотренных пунктом 4-3 настоящих Правил и статьей 9 Закона.

      Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.";

      дополнить пунктами 4-1, 4-2, 4-3 и 4-4 в следующей редакции:

      "4-1. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

      4-2. Требования пункта 4-1 настоящих Правил не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.

      4-3. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 4-1 и 4-2 настоящих Правил, при условии наличия ссылки на источник информации.

      4-4. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.";

      пункт 6 изложить в следующей редакции:

      "6. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

      При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.";

      пункт 8 изложить в следующей редакции:

      "8. Согласие на сбор и обработку персональных данных включает:

      1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;

      2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;

      3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

      4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;

      5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

      6) сведения о распространении персональных данных в общедоступных источниках;

      7) перечень собираемых данных, связанных с субъектом персональных данных.";

      дополнить пунктом 17-1 в следующей редакции:

      "17-1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.";

      пункт 24 изложить в следующей редакции:

      "24. Субъект или его законный представитель обращаются в уполномоченный орган с целью проверки собственника и (или) оператора, а также третьего лица на предмет соблюдения требований по сбору и обработке персональных данных.

      "Уполномоченный орган рассматривает обращение субъекта или его законного представителя, с привлечением собственника и (или) оператора, а также третьего лица, в сроки, установленные пунктами 1 и 3 статьи 76 Административного процедурно-процессуального кодекса Республики Казахстан.";

      пункт 27 изложить в следующей редакции:

      "27. Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 Закона;

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

      3) при вступлении в законную силу решения суда;

      4) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона.".

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на официальном интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего Вице-министра Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Б. Мусин