Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисімен интеграциялау қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің м.а. 2022 жылғы 8 шiлдедегi № 236/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2022 жылғы 13 шiлдеде № 28786 болып тіркелді

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағы 7-4) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисімен интеграциялау қағидалары бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрінің
міндетін атқарушы
Ж. Мадиев

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Әділет министрлігі

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Білім және ғылым министрлігі

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Денсаулық сақтау министрлігі

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Еңбек және халықты әлеуметтік

      қорғау министрлігі

      "КЕЛІСІЛДІ"

      Қазақстан Республикасының

      Қаржы министрлігі

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің міндетін
атқарушының
2022 жылғы 8 шілдедегі
№ 236/НҚ Бұйрықпен
бекітілген

Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисімен интеграциялау қағидалары

1-тарау. Жалпы ережелер

      1. Осы Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисімен интеграциялау қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7-4) тармақшасына сәйкес әзірленді және дербес деректерге қол жеткізуді мемлекеттік бақылаудың сервисімен интеграциялау тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) бастамашы – жеке деректерге қол жеткізуге сұрау салуға бастамашы болатын ақпараттық жүйе;

      2) дербес деректерге қол жеткізуді мемлекеттік бақылау сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінің дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      3) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      4) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      5) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      6) қауіпсіздік токені – пайдаланушының ақпараттық қауіпсіздігін қамтамасыз етуге арналған JWT форматындағы белгілі бір сандар мен әріптердің жиынтығы түріндегі электрондық кілт, сонымен қатар оның иесін сәйкестендіру үшін қолданылады;

      7) "электрондық үкіметтің" шлюзі (бұдан әрі – ЭҮШ) – "электрондық үкіметтің" ақпараттандыру объектілерін өзге де "электрондық үкіметтің" ақпараттандыру объектілерімен интеграциялауға арналған ақпараттық жүйе.

      3. Меншік иелері және (немесе) операторлар, үшінші тұлғалар дербес деректерді қамтитын мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерімен өзара іс-қимыл жасаған жағдайда, Заңның 9-бабының 1), 2), 9) және 9-2) тармақшаларында көзделген жағдайларды қоспағанда, дербес деректерді жинау және өңдеу процестеріне тартылған өздерінің ақпараттандыру объектілерінің мемлекеттік сервиспен интеграциялануын қамтамасыз етеді.

2-тарау. Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисімен интеграциялау тәртібі

      4. Мемлекеттік сервиспен интеграциялау үшін "Smart Bridge" платформасында (бұдан әрі – платформа) өтінім беріледі.

      5. Өтінім дербес деректерге қол жеткізуді бақылау/"KDP_SERVICE" сервисіне беріледі.

      6. Өтінімді толтыру платформаның нұсқаулықтарына сәйкес жүзеге асырылады.

      7. Өтінім берген кезде субъектіден дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімді (бас тарту) алуды қоса алғанда, дербес деректерге қол жеткізу үшін сұрау салуды жіберудің мынадай тәсілдерінің бірі көрсетіледі:

      1) "1414" Бірыңғай байланыс орталығы арқылы сұрау салу/жауап беру – бұл тәсіл бастамашыларға және (немесе) операторларға қолжетімді;

      2) бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру – бұл тәсіл ақпараттық жүйелері Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес келетін мемлекеттік орган және (немесе) мемлекеттік заңды тұлға болып табылмайтын, "Ақпараттандыру туралы" Қазақстан Республикасы Заңының 7-1-бабының 11-1) тармақшасына сәйкес уәкілетті мемлекеттік орган берген ақпараттық қауіпсіздік талаптарына сәйкестігіне сынақ актісі бар (бұдан әрі – сынақ актісі). бастамашыларға және операторларға қолжетімді.

      8. Бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру тәсілін таңдау кезінде мемлекеттік сервиспен интеграциялауға арналған өтінімде сынақтар актісі қоса беріледі.

      9. Уәкілетті органның мемлекеттік сервиспен интеграциялауға арналған өтінімді қарау мерзімдері мен тәртібі 10 (он) жұмыс күнінен аспайды.

      10. Мемлекеттік сервиспен интеграциялауға арналған өтінімді қарастырғаннан кейін бастамашы және (немесе) оператор:

      1) мемлекеттік сервистің сұрау салулары мен жауаптарының мысалдары арқылы платформа бетінде көрсетілген қызмет ету процесінің сипаттамасын қамтитын техникалық құжаттаманың өзекті нұсқасын жүктеп алады;

      2) сұрау салу/жауап беру тәсілін таңдау кезінде бастамашының және (немесе) оператордың құралдарымен дербес деректерге қол жеткізуге сұрау салуға бастамашы болған ұйымның электрондық цифрлық қолтаңбасы кілтінің ашық бөлігі мемлекеттік сервис платформасы парақшасында көрсетілген байланыс тұлғасына беріледі.

      11. ЭҮШ және мемлекеттік сервистің тесттік ортасында бастамашы тестілеу актісін қалыптастырып, қауіпсіздік токенімен он сәтті жауап өткізеді және оны платформадағы өтініммен бірге қоса береді.

      12. Тестілеу актісі қаралғаннан кейін Қазақстан Республикасы Ақпарат және коммуникациялар министрінің міндетін атқарушының 2018 жылғы 29 наурыздағы № 123 бұйрығымен бекітілген (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 16777 болып тіркелген) "Электрондық үкіметтің" ақпараттандыру объектілерін интеграциялау қағидаларына сәйкес ЭҮШ және мемлекеттік сервистің өнімді ортасында интеграциялау жүргізіледі.

Об утверждении Правил интеграции с государственным сервисом контроля доступа к персональным данным

Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 13 июля 2022 года № 28786.

      В соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила интеграции с государственным сервисом контроля доступа к персональным данным.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Исполняющий обязанности
Министра цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан
Ж. Мадиев

      "СОГЛАСОВАН"
Министерство юстиции
Республики Казахстан

      "СОГЛАСОВАН"
Министерство образования и науки
Республики Казахстан

      "СОГЛАСОВАН"
Министерство здравоохранения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство труда
и социальной защиты населения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство финансов
Республики Казахстан

  Утверждены приказом
исполняющего обязанности
Министра цифрового развития,
инноваций и аэрокосмической промышленности
Республики Казахстан
от 8 июля 2022 года № 236/НҚ

Правила интеграции с государственным сервисом контроля доступа к персональным данным

Глава 1. Общие положения

      1. Настоящие Правила интеграции с государственным сервисом контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок интеграции с государственным сервисом контроля доступа к персональным данным.

      2. В настоящих Правилах используются следующие основные понятия:

      1) инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

      2) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      3) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      4) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные.

      5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      6) токен безопасности – электронный ключ в виде набора определенного количества цифр и букв в формате JWT, предназначенный для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца;

      7) шлюз "электронного правительства" (далее – ШЭП) – информационная система, предназначенная для интеграции объектов информатизации "электронного правительства" с иными объектами информатизации.

      3. Собственники и (или) операторы, третьи лица в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.

Глава 2. Порядок интеграции с государственным сервисом контроля доступа к персональным данным

      4. Для интеграции с государственным сервисом подается заявка на платформе "Smart Bridge" (далее – платформа).

      5. Заявка подается на сервис контроля доступа к персональным данным.

      6. Заполнение заявки на платформе осуществляется в соответствии с инструкциями платформы по подключению.

      7. При подаче заявки указывается один из следующих способов отправки запроса на доступ к персональным данным, включая получение от субъекта согласия (отказ) на сбор, обработку персональных данных или их передачу третьим лицам:

      1) запрос/ответ через Единый контакт-центр "1414" – данный способ доступен инициаторам и (или) операторам;

      2) запрос/ответ средствами инициатора и (или) оператора – данный способ доступен инициаторам и операторам, не являющимся государственным органом и (или) государственным юридическим лицом, информационные системы которых соответствуют единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832, имеют акт испытаний на соответствие требованиям информационной безопасности, выданный уполномоченным государственным органом (далее – акт испытаний), в соответствии с подпунктом 11-1) статьи 7-1 Закона Республики Казахстан "Об информатизации".

      8. При выборе способа запрос/ответ средствами инициатора и (или) оператора в заявке на интеграцию с государственным сервисом прилагается акт испытаний.

      9. Сроки и порядок рассмотрения уполномоченным органом заявки на интеграцию с государственным сервисом составляет не более 10 (десяти) рабочих дней.

      10. После положительного рассмотрения заявки на интеграцию с государственным сервисом инициатор и (или) оператор:

      1) скачивает актуальную версию технической документации, содержащую описание процесса функционирования указанных на странице платформы, с примерами запросов и ответов государственного сервиса;

      2) при выборе способа запрос/ответ средствами инициатора и (или) оператора передают контактному лицу, указанному на странице платформы государственного сервиса открытую часть ключа электронной цифровой подписи организации, инициирующей запрос на доступ к персональным данным.

      11. В тестовой среде ШЭП и государственного сервиса оператор проводит десять успешных ответов с токеном безопасности, сформировав акт тестирования, прикладывает его к заявке на платформе.

      12. После рассмотрения акта тестирования производится интеграция в продуктивной среде ШЭП и государственного сервиса, в соответствии с Правилами интеграции объектов информатизации "электронного правительства", утвержденными приказом исполняющим обязанности Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 16777).