Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

Постановление Правительства Республики Казахстан от 3 сентября 2013 года № 909. Утратило силу постановлением Правительства Республики Казахстан от 13 июля 2023 года № 559.

      Сноска. Утратило силу постановлением Правительства РК от 13.07.2023 № 559 (вводится в действие со дня его первого официального опубликования).
      Примечание РЦПИ!
      Вводится в действие с 25 ноября 2013 года.

      В соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан "О персональных данных и их защите" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      Сноска. Преамбула - в редакции постановления Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      1. Утвердить прилагаемые Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

      2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Премьер-Министр


Республики Казахстан

С. Ахметов


  Утверждены
постановлением Правительства
Республики Казахстан
от 3 сентября 2013 года № 909

Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

      Сноска. Правила - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее – Правила) разработаны в соответствии с подпунктом 4) статьи 26 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.

      Сноска. Пункт 1 - в редакции постановления Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) блокирование персональных данных – действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;

      3) сбор персональных данных – действия, направленные на получение персональных данных;

      4) уничтожение персональных данных – действия, в результате совершения которых невозможно восстановить персональные данные;

      5) обезличивание персональных данных – действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;

      6) база, содержащая персональные данные (далее – база), – совокупность упорядоченных персональных данных;

      7) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      8) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      9) защита персональных данных – комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных Законом;

      10) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      11) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      12) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      13) общедоступные персональные данные – персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта;

      14) персональные данные ограниченного доступа – персональные данные, доступ к которым ограничен законодательством Республики Казахстан;

      15) третье лицо – лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных;

      16) электронные информационные ресурсы – данные в электронно-цифровой форме, содержащиеся на электронном носителе и в объектах информатизации;

      17) обследование обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах (далее – обследование), – оценка применяемых мер безопасности и защитных действий при осуществлении обработки, хранения, распространения и защите персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах.

      Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "Об информатизации".

      Сноска. Пункт 2 с изменениями, внесенными постановлениями Правительства РК от 30.04.2021 № 285 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 26.10.2022 № 849 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования); от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 2. Порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных

      3. Исключен постановлением Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      4. Под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих возможность несанкционированного, в том числе случайного, доступа к персональным данным при их сборе и обработке, результатом которого могут стать уничтожение, изменение, блокирование, копирование, несанкционированное предоставление третьим лицам, несанкционированное распространение персональных данных, а также иные неправомерные действия.

      5. Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

      1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

      2) обеспечения их целостности и сохранности;

      3) соблюдения их конфиденциальности;

      4) реализации права на доступ к ним;

      5) предотвращения незаконного их сбора и обработки.

      6. Исключен постановлением Правительства РК от 17.03.2023 № 228 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      7. Для обеспечения защиты персональных данных необходимо:

      1) выделение бизнес-процессов, содержащих персональные данные;

      2) разделение персональных данных на общедоступные и ограниченного доступа;

      3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;

      4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие подпункта 4) настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

      5) установление порядка доступа к персональным данным.

      6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;

      7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.

      При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.

      Сноска. Пункт 7 с изменениями, внесенными постановлением Правительства РК от 14.04.2022 № 219 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      8. Иные особенности защиты персональных данных при их сборе и обработке в объектах информатизации устанавливаются в соответствии с законодательством Республики Казахстан об информатизации.

      9. Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

      1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.

      2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;

      3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

      Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

      1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;

      2) оповещают уполномоченный орган в сфере защиты персональных данных об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;

      3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;

      4) обеспечивают ведение журнала событий систем управления базами;

      5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;

      6) применяют средства контроля целостности персональных данных ограниченного доступа;

      7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;

      8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;

      9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;

      10) применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.

      10. Сбор и обработка персональных данных ограниченного доступа осуществляются посредством объектов информатизации, размещенных на территории Республики Казахстан.

      Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования".

      Требования данного пункта не распространяются на случаи трансграничной передачи данных.

Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы

Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысы. Күші жойылды - Қазақстан Республикасы Үкіметінің 2023 жылғы 13 шілдедегі № 559 қаулысымен.

      Ескерту. Күші жойылды - ҚР Үкіметінің 13.07.2023 № 559 (алғашқы ресми жарияланған күнінен бастап қолданысқа енгізіледі) қаулысымен.
      РҚАО-ның ескертпесі!
      Осы Қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі.

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңы 26-бабының 4) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

      Ескерту. Кіріспе жаңа редакцияда - ҚР Үкіметінің 17.03.2023 № 228 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      1. Қоса беріліп отырған Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары бекітілсін.

      2. Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Қазақстан Республикасының


Премьер-Министрі

С.Ахметов


  Қазақстан Республикасы
Үкіметінің
2013 жылғы 3 қыркүйектегі
№ 909 қаулысымен
бекітілген

Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары

      Ескерту. Қағидалар жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) "Дербес деректер мен оларды қорғау туралы" Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 4) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.

      Ескерту. 1-тармақ жаңа редакцияда - ҚР Үкіметінің 17.03.2023 № 228 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

      2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      4) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;

      5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;

      6) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

      10) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      11) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      12) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      13) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңдарында сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;

      14) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;

      15) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

      16) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы деректер;

      17) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау.

      Осы Қағидаларда пайдаланылатын өзге ұғымдар Заңға және "Ақпараттандыру туралы" Қазақстан Республикасының Заңына сәйкес қолданылады.

      Ескерту. 2-тармаққа өзгерістер енгізілді - ҚР Үкіметінің 30.04.2021 № 285 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 26.10.2022 № 849 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі); 17.03.2023 № 228 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулыларымен.

2-тарау. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібі

      3. Алып тасталды - ҚР Үкіметінің 17.03.2023 № 228 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      4. Дербес деректерді жинау және өңдеу кезінде оларға рұқсатсыз, оның ішінде кездейсоқ қол жеткізуге мүмкіндік беретін, нәтижесінде дербес деректерді жою, өзгерту, бұғаттау, көшіру, үшінші тұлғаларға рұқсатсыз беру, рұқсатсыз тарату орын алуы мүмкін шарттар мен факторлардың жиынтығы, сондай-ақ өзге де заңсыз іс-әрекеттер дербес деректердің қауіпсіздігіне төнетін қауіп-қатерлер деп түсініледі.

      5. Дербес деректерді қорғау:

      1) жеке өмірге қолсұғылмаушылық, жеке және отбасы құпиясы құқықтарын іске асыру;

      2) олардың тұтастығын және сақталуын қамтамасыз ету;

      3) олардың құпиялылығын сақтау;

      4) оларға қол жеткізу құқығын іске асыру;

      5) оларды заңсыз жинаудың және өңдеудің алдын алу мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.

      6. Алып тасталды - ҚР Үкіметінің 17.03.2023 № 228 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      7. Дербес деректерді қорғауды қамтамасыз ету үшін:

      1) дербес деректер қамтылған бизнес-процестерді бөлу;

      2) дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деп бөлу;

      3) дербес деректерді жинауды және өңдеуді жүзеге асыратын не оларға рұқсаты бар тұлғалардың тізбесін айқындау;

      4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы тармақтың 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;

      5) дербес деректерге қол жеткізудің тәртібін белгілеу;

      6) оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды бекіту;

      7) жеке және заңды тұлғалардың жолданымдарын қарау шеңберінде уәкілетті органның сұрау салуы бойынша меншік иесінің және (немесе) оператордың Заңның талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру қажет.

      Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде дербес деректерді жеткізгіштердің сақталуында қамтамасыз ету қажет.

      Ескерту. 7-тармаққа өзгеріс енгізілді - ҚР Үкіметінің 14.04.2022 № 219 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      8. Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде оларды қорғаудың өзге ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.

      9. Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор:

      1) қолжетімділік шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділік шектелген дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;

      2) қолжетімділік шектеулі дербес деректерді өңдеу, тарату және оларға қол жеткізу тәртібін айқындайды;

      3) субъект өтініш берген кезде субъектіге қатысты қолжетімділік шектеулі дербес деректерді бұғаттау тәртібін айқындайды.

      Қолжетімділік шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:

      1) қолжетімділік шектеулі дербес деректерге рұқсаты бар адамдардың тізбесін айқындайды;

      2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы дербес деректерді қорғау саласындағы уәкілетті органды хабардар етеді;

      3) қолжетімділік шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;

      4) базаларды басқару жүйелерінің оқиғаларын журналдауды қамтамасыз етеді;

      5) қолжетімділік шектеулі дербес деректерге рұқсаты бар пайдаланушылардың іс-қимылдарын журналдауды қамтамасыз етеді;

      6) қолжетімділік шектеулі дербес деректердің тұтастығын бақылау құралдарын қолданады;

      7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділік шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;

      8) қолжетімділік шектеулі дербес деректер қамтылған бизнес-процестерді бөледі;

      9) қолжетімділік шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;

      10) қолжетімділік шектеулі дербес деректермен жұмыс жасаған кезде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау құралдарын қолданады.

      10. Қолжетімділік шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.

      Қолжетімділік шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.

      Осы тармақтың талаптары деректерді трансшекаралық беру жағдайларына қолданылмайды.