Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 7 мамырда № 27963 болып тіркелді

Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағы 7-2) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің 2022 жылғы
29 сәуірдегі № 144/НҚ
Бұйрықпен бекітілген

Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағы 7-2) тармақшасына сәйкес әзірленді және дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) "1414" Бірыңғай байланыс орталығының SMS-шлюзі – SMS хабарламаларды жіберуге және қабылдауға арналған "электрондық үкімет" құрауышы;

      2) бастамашы – жеке деректерге қол жеткізуге сұрау салуға бастамашы болатын ақпараттық жүйе;

      3) верификация токені – бастамашының және (немесе) оператордың дербес деректер субъектісінен келісім алғанын растауға арналған белгілі бір сандар мен әріптер жиынтығы түріндегі электрондық кілт;

      4) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      5) дербес деректерге қол жеткізуді мемлекеттік бақылау сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінің дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      6) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      7) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      8) қауіпсіздік токені – пайдаланушының ақпараттық қауіпсіздігін қамтамасыз етуге арналған JWT форматындағы белгілі бір сандар мен әріптердің жиынтығы түріндегі электрондық кілт, сонымен қатар оның иесін сәйкестендіру үшін қолданылады;

      9) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      10) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      11) мобильді азаматтар базасы (бұдан әрі – МАБ) – "электрондық үкімет" пайдаланушыларының ұялы байланыс желісі абоненттік нөмірлерінің бірыңғай базасы;

      12) "электрондық үкіметтің" шлюзі (бұдан әрі – ЭҮШ) – "электрондық үкіметтің" ақпараттандыру объектілерін өзге де "электрондық үкіметтің" ақпараттандыру объектілерімен интеграциялауға арналған ақпараттық жүйе.

2-тарау. Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу тәртібі

1-параграф. Дербес деректерге қолжетімділікті бақылаудың мемлекеттік сервисінің жұмыс істеу процесі

      3. Дербес деректерге қол жеткізуді мемлекеттік бақылаудың сервисінің жұмыс істеуі мынадай процестерді автоматтандыру:

      1) субъектіден дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың субъектімен және уәкілетті органмен ақпараттық өзара іс-қимылы;

      2) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге келісім беруі (бас тартуы);

      3) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге келісім беруін (бас тартуын) кері қайтарып алуы;

      4) субъектіні мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерімен жасалатын іс-әрекеттер туралы хабардар ету (қол жеткізу, қарау, өзгерту, толықтыру, беру, бұғаттау, жою);

      5) субъектіге мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерін жинауға және (немесе) өңдеуге келісімі бар меншік иелері және (немесе) операторлар туралы мәліметтерді ұсыну кезінде жүзеге асырылады.

      4. Жеке мәліметтерге қол жеткізу процесі екі тәсілмен жүзеге асырылады:

      1) бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге және "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы SMS-хабарлама субъектісінен жауап алуға сұрау салу арқылы (бұдан әрі – сұрау салу/жауап беру "1414" Бірыңғай байланыс орталығы арқылы);

      2) бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;

      5. "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы дербес деректерге қол жеткізу процесі бастамашыларға және (немесе) операторларға қолжетімді, олар төмендегілерден тұрады:

      1) бастамашының және (немесе) оператордың дербес деректерге мемлекеттік сервиске қол жеткізуге сұрау салуы;

      2) мемлекеттік сервистің өңдеу процесінде дербес деректерге қол жеткізуге сұрау салудың болуын тексеруі;

      3) өңдеу процесінде дербес деректерге қол жеткізуге сұрау салу болған кезде мемлекеттік сервис "Субъектіден жауап күту" мәртебесін жібереді.

      Өңдеу процесінде дербес деректерге қол жеткізуге сұрау салу болмаған кезде, мемлекеттік сервис субъектінің ұялы байланысы желісінің абоненттік нөмірін алуға сұрау салуды МАБ-қа жібереді.

      МАБ-та субъектінің ұялы байланыс желісінің абоненттік нөмірі болмаған кезде, субъект "электрондық үкімет" веб-порталында тіркеуді жүзеге асырады.

      Субъектінің ұялы байланыс желісінің абоненттік нөмірін МАБ-тан алғаннан кейін мемлекеттік сервис "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы SMS-хабарлама жолымен субъектінің дербес деректеріне қол жеткізуге сұрау салады.

      Мемлекеттік сервис "1414" Бірыңғай байланыс орталығының SMS-шлюзінде субъектіден жауаптың болуын тексереді;

      4) мемлекеттік сервистен "Субъектіден жауап күту" мәртебесі жауабын алғаннан кейін бастамашы және (немесе) оператор бірінші сұрау салуға сәйкес келетін параметрлері бар қайталама сұрау салуды жібереді;

      5) субъектіден оң жауап болған кезде мемлекеттік сервистің қауіпсіздік токенін құру;

      6) бастамашы және (немесе) оператор дербес деректерге қол жеткізуге қайтадан сұрау салған кезде және дербес деректерді жинауға және (немесе) өңдеуге оң келісім болған кезде мемлекеттік сервистің қауіпсіздік токенін жіберуі;

      7) бастамашының және (немесе) оператордың меншік иесіне қауіпсіздік токенін сұрату үшін енгізілген дербес деректерге қол жеткізуге сұрау салуы;

      8) қауіпсіздік токені деректері иесінің оны сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;

      9) сұрау салуды өңдеу және меншік иесінің бастамашыға және (немесе) операторға жауап жіберуі.

      6. Ақпараттық жүйелері Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (бұдан әрі – Бірыңғай талаптар) сәйкес келетін және "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасына сәйкес уәкілетті мемлекеттік орган берген ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ актісі бар мемлекеттік орган және (немесе) мемлекеттік заңды тұлға болып табылмайтын бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру арқылы дербес деректерге қол жеткізу процесі:

      1) бастамашының және (немесе) оператордың субъектіден оның дербес деректеріне қол жеткізуге мынадай тәсілдермен:

      биометрия жүйелері;

      электрондық цифрлық қолтаңба;

      бір реттік парольдер (OTP);

      Digital ID жүйесі;

      қағаз ақпарат тасымалдаушылары арқылы келісім алуынан тұрады.

      2) бастамашының және (немесе) оператордың верификация токенінде электрондық-цифрлық қолтаңбаның (бұдан әрі – ЭЦҚ) ашық кілті бар мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуы;

      3) мемлекеттік сервистің дербес деректерге қол жеткізуі үшін сұрау салуында верификация токенінің болуын тексеруі;

      4) мемлекеттік сервистің верификация токенінің қол қоюын ұсынылған ЭЦҚ-ға сәйкес келуін тексеруі;

      5) мемлекеттік сервистің ұйымды верификация токеніндегі бизнес сәйкестендіру нөмірінің және жеке деректерге қол жеткізу сұранысында көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеруі;

      6) мемлекеттік сервистің жеке деректерге және верификация токенінде көрсетілген қол жеткізу тәсілдерінің сәйкестігін тексеруі;

      7) мемлекеттік сервистің верификация токенін қалыптастыру күнін тексеруі;

      8) мемлекеттік сервистің верификация токенін тексерудің барлығынан өткен кезде қауіпсіздік токенін қалыптастыруы;

      9) бастамашының және (немесе) оператордың сұрау салуға енгізілген қауіпсіздік токені бар дербес деректерге қол жеткізу үшін сұрау салуды меншік иесіне жіберуі;

      10) қауіпсіздік токен иесінің сұрау салуға және жарамдылық мерзіміне сәйкестігін тексеруі;

      11) сұрауды өңдеу және меншік иесінің бастамашыға және (немесе) операторға жауап жіберуі арқылы жүзеге асырылады.

2-параграф. Дербес деректерге қол жеткізу үшін сұрау салу процесі

      7. Дербес деректерге қол жеткізуге арналған сұрау салу бірыңғай талаптарға сәйкес форматта жіберіледі және мынадай деректерді қамтиды:

      1) субъектінің жеке сәйкестендіру нөмірі;

      2) ұйымның, бастамашының және (немесе) оператордың атауы;

      3) бастамашының және (немесе) оператордың бизнес-сәйкестендіру нөмірі немесе жеке сәйкестендіру нөмірі;

      4) бастамашының және (немесе) оператор жұмыскерінің сәйкестендіру деректері (тегі, аты, әкесінің аты, есепке алу жазбасы, жеке сәйкестендіру нөмірі) немесе бастамашы және (немесе) оператор жұмыскерінің қатысуынсыз дербес деректерге қол жеткізуге сұрау салынған жағдайларда ұйымның атауы немесе ақпараттық жүйенің атауы көрсетіледі;

      5) бір меншік иесінен ақпарат сұрау кезінде меншік иесі ұйымының атауы;

      6) дербес деректерге қол жеткізуге сұрау салу жүзеге асырылатын қызметтің атауы;

      7) ЭҮШ "ServiceID" сервистер идентификаторларының тізімі;

      8) дербес деректерді алу және (немесе) мемлекеттік қызметтер көрсету кезінде қауіпсіздік токені қолданылатын уақыт (миллисекундпен);

      9) субъектіден сұрау жіберу және жауап алу тәсілінің белгісі;

      10) верификация токені бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беруді таңдау кезінде көрсетіледі.

      8. Субъектілердің дербес деректеріне қол жеткізуге сұрау салу бойынша жауап ЭҮШ арқылы өзара іс-қимыл жасау үшін рұқсат етілген форматта толтырылады.

      9. Субъектілердің қол жеткізуіне сұрау салу бойынша жауап оң жауап болған кезде мынадай деректерді қамтиды:

      1) Осы Қағидаларға 1-қосымшаға сәйкес мемлекеттік сервис қайтаратын дербес деректерге қол жеткізуге арналған сұрау салуға сәйкес "Қол жеткізуге рұқсат" мәртебесі (бұдан әрі – мәртебе);

      2) қауіпсіздік токенінің дұрыстығын тексеру үшін қажетті мемлекеттік сервис иесі ұйымының ЭЦҚ ашық кілті;

      3) қауіпсіздік токені.

      10. Деректерге қол жеткізудің сұрау салуы бойынша жауап осы Қағидаларға 1-қосымшаға сәйкес 2, 3, 4, 5, 6, 7, 8-тармақтарда көрсетілген мәртебені қабылдай алады.

3-параграф. Қауіпсіздік токенін қалыптастыру процесі

      11. Қауіпсіздік токені оның иесін анықтау үшін қолданылады, ол тақырыптан (header), пайдалы ақпараттан (payload) тұрады және мемлекеттік сервис иесі ұйымының ЭЦҚ-сымен қол қойылады;

      12. Қауіпсіздік токені тақырыбында токен түрі және шифрлау алгоритмі бар;

      13. Пайдалы ақпарат дербес деректерге қол жеткізуді бақылау қауіпсіздік токені осы Қағидаларға 2-қосымшаға сәйкес жалпы көрініске ие және мыналарды қамтиды:

      1) субъектінің жеке сәйкестендіру нөмірі;

      2) дербес деректер сұратылатын сервистердің кодтық атауларының тізбесі;

      3) субъектіден ISO 8601 форматындағы "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы SMS-хабарлама арқылы оң жауап алу күні мен уақыты;

      4) қауіпсіздік токені әрекетінің аяқталу күні мен уақыты "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы SMS-хабарлама арқылы субъектіден оң жауап алу күні мен уақытының және ISO 8601 форматындағы қауіпсіздік токенінің әрекет ету уақытының жиынын білдіреді;

      5) бастамашының және (немесе) оператордың бизнес сәйкестендіру нөмірі немесе жеке сәйкестендіру нөмірі;

      6) Unix Time Stamp форматында "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы SMS-хабарлама арқылы субъектіден оң жауап алу күні мен уақыты;

      7) қауіпсіздік токені әрекетінің аяқталу күні мен уақыты "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы SMS-хабарлама арқылы субъектіден оң жауап алу күні мен уақытының және Unix Time Stamp форматындағы қауіпсіздік токенінің әрекет ету уақытының жиынын білдіреді.

4-параграф. Қауіпсіздік токенін тексеру процесі

      14. Дербес деректерге қол жеткізу сұрау салуын алған кезде меншік иесі қауіпсіздік токенінен дербес деректерге қол жеткізу сұрау салуына қоса берілген ЭЦҚ ашық кілтін пайдалана отырып, пайдалы ақпаратты алады және оны мынадай параметрлер бойынша тексереді:

      1) жеке деректерге және қауіпсіздік токеніне қол жеткізу үшін жіберілген сұрау салудағы жеке сәйкестендіру нөмірінің сәйкестігі;

      2) меншік иесі сервисінің код атауларының тізбесінде код атауының болуы;

      3) дербес деректерге қол жеткізу үшін жіберілген сұрау салуды алу күні мен уақыты "1414" Бірыңғай байланыс орталығы арқылы сұрау салу/жауап беру жағдайларында субъектіден оң жауапты алу күні мен уақытынан немесе бастамашының және/немесе оператордың құралдарымен сұрау салу/жауап беру кезінде токенді қалыптастыру күні мен уақытынан кем емес болуы;

      4) дербес деректерге қол жеткізу үшін жіберілген сұрау салуды алу күні мен уақыты қауіпсіздік токені әрекетінің аяқталу күні мен уақытынан артық емес болуы;

      5) дербес деректерге қол жеткізу үшін жіберілген сұрау салуға қоса берілген ЭЦҚ ашық кілтін тексеру.

      15. Параметрлердің біреуі сәйкес келмеген жағдайда, меншік иесі жеке деректерге қол жеткізу үшін жіберілген сұрау салуды қабылдамайды.

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің 2022 жылғы
29 сәуірдегі № 144/НҚ
  Дербес деректерге қол
жеткізуді мемлекеттік
бақылау сервисінің жұмыс
істеу қағидаларына
1-қосымша
 

Мемлекеттік сервис қайтаратын дербес деректерге қол жеткізуге сұрау салу мәртебесі

Р/с

Кодтық атау

Мәртебесі

Сипаттамасы

1

VALID

Рұқсат берілді

Дербес деректерге қол жеткізуді дербес деректер субъектісі ұсынды. Жауапта қауіпсіздік токені және электрондық цифрлық қолтаңбаның ашық бөлігі берілген

2

INVALID

Рұқсат берілген жоқ

Дербес деректер субъектісі дербес деректерге қол жеткізуден бас тартты

3

PENDING

Күту

Дербес деректер субъектісінің жауабын күту

4

TIMEOUT

Күту уақыты асып кетті

Дербес деректер субъектісінің жауабын күту уақыты аяқталды

5

NOT_FOUND

Мобильді азаматтар базасында табылған жоқ

Дербес деректерге қол жеткізуге арналған сұрау салуда көрсетілген жеке сәйкестендіру нөмірі бойынша МАБ-та ұялы байланыс желісінің абоненттік нөмірі жоқ

6

ERROR

Сұраныс қателері
("1414" арқылы сұрау салу/жауап беру)

МАБ-та көрсетілген дербес деректер субъектісінің ұялы байланыс желісінің абоненттік нөміріне сұрау салуды жіберу кезінде қате пайда болды

7

ERROR_MCDB_SERVICE

МАБ-та қатынасу қатесі

МАБ сұрауын жіберу және/немесе жауап алу кезінде қате пайда болды

8

ERROR_MGOV_SMS_GW

"1414" Бірыңғай байланыс орталығының SMS-шлюзіне жүгіну қатесі

"1414" Бірыңғай байланыс орталығының SMS-шлюзіне SMS-хабарлама жіберу үшін сұрау жіберу кезінде қате пайда болды.

9

ERROR_TV_NOTFOUND

Жіберу қатесі (бастамашының және/немесе оператордың көмегімен сұрау салу/жауап беру)

Верификация токені табылмады.

10

ERROR_TV_INVALID

Жіберу қатесі (бастамашының және/немесе оператордың көмегімен сұрау салу/жауап беру)

Верификация токені қолтаңбаны тексеруден өткен жоқ.

11

ERROR_TV_BIN_NOTMATCH

Жіберу қатесі (бастамашының және/немесе оператордың көмегімен сұрау салу/жауап беру)

Ұйымды верификация токеніндегі бизнес сәйкестендіру нөмірі сұрау салудағы бизнес сәйкестендіру нөміріне сәйкес келмейді.

12

ERROR_TV_NOTINLIST

Жіберу қатесі (бастамашының және/немесе оператордың көмегімен сұрау салу/жауап беру)

Жеке деректерге қол жеткізу әдісі тізімдегі мәнге сәйкес келмейді (Bio/Ds/Otp/DID/PC).

13

ERROR_TV_MORECDATE

Жіберу қатесі (бастамашының және/немесе оператордың көмегімен сұрау салу/жауап беру)

Верификация токенін қалыптастыру күні ағымдағы күннен артық.

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің 2022 жылғы
29 сәуірдегі № 144/НҚ
  Дербес деректерге қол жеткізуді
мемлекеттік бақылау сервисінің
жұмыс істеу қағидаларына
2-қосымша

Дербес деректерге қол жеткізуді бақылаудың қауіпсіздік токені туралы пайдалы ақпарат

Кодтық атау

Сипаттамасы

uin

Дербес деректер субъектісінің жеке сәйкестендіру нөмірі

sid

Дербес деректер сұратылатын сервистердің кодтық атауларының тізбесі

dts

Дербес деректер субъектісінен ISO 8601 форматындағы SMS арқылы оң жауап алу күні мен уақыты (бұл шарт "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы сұрау салу схемасына қолданылады.)

dte

Қауіпсіздік токені әрекетінің аяқталу күні мен уақыты SMS арқылы дербес деректер субъектісінен оң жауап алу күні мен уақытының жиынын және ISO 8601 форматындағы қауіпсіздік токенінің әрекет ету уақытын білдіреді (тексерудің осы шарты "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы сұрау салу схемасына қолданылады.)

binc

Бастамашы – бизнес сәйкестендіру нөмірі немесе жеке сәйкестендіру нөмірі дербес деректерге сұрау салуға бастамашылық жасаушы

iat

Unix Time Stamp форматындағы SMS арқылы дербес деректер субъектісінен оң жауап алу күні мен уақыты

exp

Қауіпсіздік токені әрекетінің аяқталу күні мен уақыты SMS арқылы дербес деректер субъектісінен оң жауап алу күні мен уақытының жиынын және Unix Time Stamp форматындағы қауіпсіздік токенінің әрекет ету уақытын білдіреді


Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 7 мая 2022 года № 27963

      В соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила функционирования государственного сервиса контроля доступа к персональным данным.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Б. Мусин

  Утверждены приказом
Министра цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 29 апреля 2022 года № 144/НҚ

Правила функционирования государственного сервиса контроля доступа к персональным данным

Глава 1. Общие положения

      1. Настоящие Правила функционирования государственного сервиса контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок функционирования государственного сервиса контроля доступа к персональным данным.

      2. В настоящих Правилах используются следующие основные понятия:

      1) SMS-шлюз Единого контакт-центра "1414" – компонент "электронного правительства" для отправления и приема SMS-сообщений;

      2) инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

      3) токен верификации – электронный ключ в виде набора определенного количества цифр и букв, предназначенный для подтверждения получения согласия инициатором и (или) оператором от субъекта персональных данных;

      4) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      5) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      6) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      7) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      8) токен безопасности – электронный ключ в виде набора определенного количества цифр и букв в формате JWT, предназначенный для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца;

      9) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      10) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      11) база мобильных граждан (далее – БМГ) – единая база абонентских номеров сети сотовой связи пользователей "электронного правительства";

      12) шлюз "электронного правительства" (далее – ШЭП) – информационная система, предназначенная для интеграции объектов информатизации "электронного правительства" с иными объектами информатизации "электронного правительства".

Глава 2. Порядок функционирования государственного сервиса контроля доступа к персональным данным

Параграф 1. Процесс функционирования государственного сервиса контроля доступа к персональным данным

      3. Функционирование государственного сервиса контроля доступа к персональным данным осуществляется при автоматизации следующих процессов:

      1) информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      2) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      3) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      4) уведомление субъекта о действиях с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      5) представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.

      4. Процесс получения доступа к персональным данным осуществляется двумя способами:

      1) посредством отправки инициатором и (или) оператором запроса на доступ к персональным данным и получение ответа от субъекта SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ через Единый контакт-центр "1414");

      2) посредством отправки инициатором и (или) оператором запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора и (или) оператора о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ средствами инициатора и (или) оператора);

      5. Процесс получения доступа к персональным данным через SMS-шлюз Единого контакт-центра "1414" доступен инициаторам и (или) операторам, состоит из:

      1) отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;

      2) проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;

      3) при наличии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет статус "Ожидание ответа от субъекта".

      При отсутствии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к БМГ.

      При отсутствии абонентского номера сети сотовой связи субъекта в БМГ, субъект осуществляет регистрацию на веб-портале "электронного правительства".

      После получения абонентского номера сети сотовой связи субъекта от БМГ, государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством SMS-сообщения через SMS-шлюз Единого контакт-центра "1414".

      Государственный сервис проверяет наличие ответа от субъекта в SMS-шлюзе Единого контакт-центра "1414";

      4) после получения ответа от государственного сервиса статуса "Ожидание ответа от субъекта", инициатор и (или) оператор отправляет повторный запрос с параметрами, соответствующими первому запросу;

      5) формирования государственным сервисом токена безопасности при наличии положительного ответа от субъекта;

      6) отправки токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором и при наличии положительного согласия на сбор и (или) обработку персональных данных;

      7) отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токена безопасности к собственнику;

      8) проверка собственником данных токена безопасности на соответствие запросу и сроку действия;

      9) обработка запроса и отправление ответа собственником инициатору и (или) оператору.

      6. Процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора, не являющимся государственным органом и (или) государственным юридическим лицом, информационные системы которых соответствуют единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее - Единые требования), и имеющих акт испытаний на соответствие требованиям информационной безопасности, выданный уполномоченным государственным органом в соответствии с подпунктом 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации", состоит из:

      1) получения инициатором и (или) оператором согласия у субъекта на доступ к его персональным данным следующими способами:

      системы биометрии;

      электронные цифровые подписи;

      одноразовые пароли (OTP);

      система Digital ID;

      бумажные носители информации.

      2) отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису с открытым ключом электронно-цифровой подписи (далее – ЭЦП) в токене верификации;

      3) проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      4) проверки государственным сервисом подписи токена верификации на соответствие, представленного ЭЦП;

      5) проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      6) проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;

      7) проверки государственным сервисом даты формирования токена верификации;

      8) формирования государственным сервисом токена безопасности при прохождении всех проверок токена верификации;

      9) отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      10) проверки собственником токена безопасности на соответствие запросу и сроку действия;

      11) обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Параграф 2. Процесс отправки запроса на доступ к персональным данным

      7. Запрос на доступ к персональным данным направляется в формате согласно Единым требованиям и содержит следующие данные:

      1) индивидуальный идентификационный номер субъекта;

      2) наименование организации, инициатора и (или) оператора;

      3) бизнес-идентификационный номер или индивидуальный идентификационный номер инициатора и (или) оператора;

      4) идентификационные данные работника (фамилия имя отчество, учетная запись, индивидуальный идентификационный номер) инициатора и (или) оператора или при запросе на доступ к персональным данным без участия работника инициатора и (или) оператора указывается наименование организации или наименование информационной системы;

      5) наименование организации собственника, при запросе информации у одного собственника;

      6) наименование услуги в рамках которой осуществляется запрос на доступ к персональным данным;

      7) список идентификаторов сервисов "ServiceID" ШЭП;

      8) время, в течение которого действует токен безопасности при получении персональных данных и (или) государственных услугах (в миллисекундах);

      9) признак способа отправки запроса и получения ответа от субъекта;

      10) токен верификации указывается при выборе запрос/ответа средствами инициатора и (или) оператора.

      8. Ответ по запросу на доступ к персональным данным субъектов заполняется в допустимом формате для взаимодействия через ШЭП.

      9. Ответ по запросу на доступ субъектов, при положительном ответе содержит следующие данные:

      1) "Доступ предоставлен", в соответствии запроса на доступ к персональным данным, возвращаемым государственным сервисом согласно приложению 1 к настоящим Правилам (далее – статус);

      2) открытый ключ ЭЦП организации владельца государственного сервиса, необходимый для проверки достоверности токена безопасности;

      3) токен безопасности.

      10. Ответ по запросу на доступ к персональным данным, может принимать статус указанных в пунктах 2, 3, 4, 5, 6, 7, 8 согласно приложению 1 к настоящим Правилам.

Параграф 3. Процесс формирования токена безопасности

      11. Токен безопасности используется для идентификации его владельца, который состоит из заголовка (header), полезной информации (payload) и подписан ЭЦП организации владельца государственного сервиса.

      12. Заголовок токена безопасности содержит тип токена и алгоритм шифрования.

      13. Полезная информация токена безопасности контроля доступа к персональным данным имеет общий вид согласно приложению 2 к настоящим Правилам и содержит:

      1) индивидуальный идентификационный номер субъекта;

      2) перечень кодовых наименований сервисов, в которых запрашиваются персональные данные;

      3) дата и время получения положительного ответа от субъекта посредством SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" в формате ISO 8601;

      4) дата и время окончания действия токена безопасности, представляет собой сумму даты и времени получения положительного ответа от субъекта посредством SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" и времени действия токена безопасности в формате ISO 8601;

      5) бизнес идентификационный номер или индивидуальный идентификационный номер инициатора и (или) оператора;

      6) дата и время получения положительного ответа от субъекта посредством SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" в формате Unix Time Stamp;

      7) дата и время окончания действия токена безопасности представляют собой сумму даты и время получения положительного ответа от субъекта посредством SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" и времени действия токена безопасности в формате Unix Time Stamp.

Параграф 4. Процесс проверки токена безопасности

      14. При получении запроса на доступ к персональным данным, собственник извлекает из токена безопасности полезную информацию, используя открытый ключ ЭЦП, приложенную к запросу на доступ к персональным данным, и проверяет ее по следующим параметрам:

      1) соответствие индивидуального идентификационного номера в запросе на доступ к персональным данным и токене безопасности;

      2) наличие кодового наименования сервиса собственника в перечне кодовых наименований сервисов;

      3) дата и время получения запроса на доступ к персональным данным не менее даты и времени получения положительного ответа от субъекта при запросе/ответе через Единый контакт-центр "1414" или даты и времени формирования токена при запросе/ответе средствами инициатора и/или оператора;

      4) дата и время получения запроса на доступ к персональным данным не более даты и времени окончания действия токена безопасности;

      5) проверка открытого ключа ЭЦП, приложенной к запросу на доступ к персональным данным.

      15. При несоответствии одного из параметров, собственник отклоняет запрос на доступ к персональным данным.

      __________________________________________________________

  Приложение 1
к Правилам функционирования
государственного сервиса
контроля доступа
к персональным данным
Министра цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 29 апреля 2022 года № 144/НҚ

Статус запроса на доступ к персональным данным, возвращаемые государственным сервисом


Кодовое наименование

Статус

Описание

1

VALID

Доступ предоставлен

Доступ к персональным данным предоставлен субъектом персональных данных.
Токен безопасности и открытая часть электронной цифровой подписи прилагаются в ответе

2

INVALID

В доступе отказано

В доступе к персональным данным отказано субъектом персональных данных

3

PENDING

Ожидание

Ожидание ответа от субъекта персональных данных

4

TIMEOUT

Время ожидания превышено

Время ожидания ответа субъекта персональных данных истекло

5

NOT_FOUND

Не найден в базе мобильных граждан

По указанному в запросе на доступ персональных данных индивидуальному идентификационному номеру отсутствует абонентский номер сети сотовой связи в БМГ

6

ERROR

Ошибка отправки (Запрос/ответ через "1414")

При отправке запроса на абонентский номер сети сотовой связи субъекта персональных данных, указанного в БМГ, возникла ошибка

7

ERROR_MCDB_SERVICE

Ошибка обращения к БМГ

Возникла ошибка при отправке запроса и (или) получения ответа БМГ

8

ERROR_MGOV_SMS_GW

Ошибка обращения к SMS-шлюзу Единого контакт центра "1414"

Возникла ошибка при отправке запроса для отправки SMS-сообщения в SMS-шлюз Единого контакт центра "1414".

9

ERROR_TV_NOTFOUND

Ошибка отправки (Запрос/ответ средствами инициатора и/или оператора)

Токен верификации не найден.

10

ERROR_TV_INVALID

Ошибка отправки (Запрос/ответ средствами инициатора и/или оператора)

Токен верификации не прошел проверку подписи.

11

ERROR_TV_BIN_NOTMATCH

Ошибка отправки (Запрос/ответ средствами инициатора и/или оператора)

Бизнес-идентификационный номер в токене верификации организации не соответствует Бизнес-идентификационный номер в запросе.

12

ERROR_TV_NOTINLIST

Ошибка отправки (Запрос/ответ средствами инициатора и/или оператора)

Способ получения доступа к персональным данным не соответствует значению из списка (Bio/Ds/Otp/DID/PC).

13

ERROR_TV_MORECDATE

Ошибка отправки (Запрос/ответ средствами инициатора и/или оператора)

Дата формирования токена верификации больше текущей даты.

  Приложение 2
к Правилам функционирования
государственного сервиса
контроля доступа
к персональным данным
Министра цифрового развития,
инноваций и аэрокосмической
промышленности
Республики Казахстан
от 29 апреля 2022 года № 144/НҚ

Полезная информация токена безопасности контроля доступа к персональным данным

Кодовое наименование

Описание

uin

Индивидуальный идентификационный номер субъекта персональных данных

sid

Перечень кодовых наименований сервисов, в которых запрашиваются персональные данные

dts

Дата и время получения положительного ответа от субъекта персональных данных через SMS в формате ISO 8601 (данное условие применяется к схеме запроса посредством SMS-шлюза Единого контакт центра "1414".)

dte

Дата и время окончания действия токена безопасности представляют собой сумму даты и время получения положительного ответа от субъекта персональных данных через SMS и времени действия токена безопасности в формате ISO 8601 (данное условие проверки применяется к схеме запроса посредством SMS-шлюза Единого контакт центра "1414").

binc

Бизнес идентификационный номер или индивидуальный идентификационный номер, инициирующий запрос персональных данных – Инициатором

iat

Дата и время получения положительного ответа от субъекта персональных данных через SMS в формате Unix Time Stamp

exp

Дата и время окончания действия токена безопасности, представляют собой дату и время получения положительного ответа от субъекта персональных данных через SMS и времени действия токена безопасности в формате Unix Time Stamp