Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Постановление Правительства Республики Казахстан от 12 ноября 2013 года № 1214. Утратило силу постановлением Правительства Республики Казахстан от 13 июля 2023 года № 559.

      Сноска. Утратило силу постановлением Правительства РК от 13.07.2023 № 559 (вводится в действие со дня его первого официального опубликования).
      Примечание РЦПИ!
      Порядок введения в действие см. п. 2.

      В соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Премьер-Министр


Республики Казахстан

С. Ахметов


  Утверждены
постановлением Правительства
Республики Казахстан
от 12 ноября 2013 года № 1214

Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

      Сноска. Правила - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон) и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) сбор персональных данных – действия, направленные на получение персональных данных;

      3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      4) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      6) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      7) субъект персональных данных – физическое лицо, к которому относятся персональные данные.

Глава 2. Порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

      3. Собственник и (или) оператор до начала сбора и обработки персональных данных проводят анализ осуществляемых ими задач на предмет использования персональных данных.

      При осуществлении текущей деятельности собственник и (или) оператор ежегодно проводят повторный анализ осуществляемых ими задач на предмет использования персональных данных, на основании которого вносятся изменения в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, в соответствии с пунктом 6 настоящих Правил.

      4. На основании проведенного анализа собственник и (или) оператор по форме, согласно приложению к настоящим Правилам, определяют перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач с указанием целей их сбора и обработки в рамках задач.

      Цели являются однозначными, законными и соответствуют осуществляемым собственником и (или) оператором задачам.

      Персональные данные, содержание и объем которых являются избыточными по отношению к осуществляемым собственником и (или) оператором задач, не включаются в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач.

      5. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, утверждается собственником и (или) оператором в соответствии с подпунктом 1) пункта 2 статьи 25 Закона.

      Сноска. Пункт 5 – в редакции постановления Правительства РК от 27.04.2023 № 331 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. По результатам текущей деятельности собственником (или) оператором ежегодно вносятся изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, в порядке, предусмотренном пунктами 3, 4 и 5 настоящих Правил.

      Изменения и дополнения, внесенные в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, действуют с момента их утверждения и не распространяются на отношения, возникшие до их введения в действие.

      7. Собственник и (или) оператор обеспечивают доступ к перечню персональных данных, необходимому и достаточному для выполнения осуществляемых ими задач, способами, не запрещенными законодательством Республики Казахстан.


  Приложение
к Правилам определения
собственником
и (или) оператором перечня
персональных данных,
необходимого и
достаточного для выполнения
осуществляемых ими задач

Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач

№ п/п

Наименование задачи, в том числе функций, полномочий, обязанностей

Цели сбора и обработки в рамках осуществляемой задачи

Наименование персональных данных для определенной цели

Указание на документы или нормативные правовые акты, имеющие прямые указания на осуществляемые собственником и (или) оператором задачи







Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларын бекіту туралы

Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысы. Күші жойылды - Қазақстан Республикасы Үкіметінің 2023 жылғы 13 шілдедегі № 559 қаулысымен.

      Ескерту. Күші жойылды - ҚР Үкіметінің 13.07.2023 № 559 (алғашқы ресми жарияланған күнінен бастап қолданысқа енгізіледі) қаулысымен.
      РҚАО-ның ескертпесі!
      Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі.

      "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы 26-бабының 3) тармақшасына сәйкес Қазақстан Республикасының Үкіметi ҚАУЛЫ ЕТЕДІ:

      1. Қоса берiліп отырған Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары бекітілсін.

      2. Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Қазақстан Республикасының


Премьер-Министрі

С. Ахметов


  Қазақстан Республикасы
Үкіметінің
2013 жылғы 12 қарашадағы
№ 1214 қаулысымен
бекітілген

Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары

      Ескерту. Қағидалар жаңа редакцияда - ҚР Үкіметінің 18.01.2021 № 12 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

1-тарау. Жалпы ережелер

      1. Осы Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 3) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібін белгілейді.

      2. Осы Қағидаларда мынадай негiзгi ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

      2) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      3) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      4) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      5) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      6) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      7) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға.

2-тарау. Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау тәртібі

      3. Меншік иесі және (немесе) оператор дербес деректерді жинау және өңдеу басталғанға дейін дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге талдау жүргізеді.

      Ағымдағы қызметті жүзеге асыру кезінде меншік иесі және (немесе) оператор дербес деректерді пайдалану тұрғысынан өздері жүзеге асыратын міндеттерге жыл сайын қайта талдау жүргізеді, оның негізінде осы Қағидалардың 6-тармағына сәйкес өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне өзгерістер енгізіледі.

      4. Жүргізілген талдау негізінде меншік иесі және (немесе) оператор осы Қағидаларға қосымшаға сәйкес нысан бойынша міндеттер шеңберінде оларды жинау және өңдеу мақсаттарын көрсете отырып, өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындайды.

      Мақсаттар бірмәнді, заңды болып табылады және меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге сәйкес келеді.

      Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге қатысты мазмұны мен көлемі артық болып табылатын дербес деректер олар жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесіне енгізілмейді.

      5. Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін меншік иесі және (немесе) оператор Заңның 25-бабы 2-тармағының 1) тармақшасына сәйкес бекітеді.

      Ескерту. 5-тармақ жаңа редакцияда - ҚР Үкіметінің 28.04.2023 № 337 (алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі) қаулысымен.

      6. Меншік иесі (немесе) оператор ағымдағы қызмет нәтижелері бойынша өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне осы Қағидалардың 3, 4, және 5-тармақтарында көзделген тәртіпке сәйкес өзгерістер мен толықтырулар енгізе алады.

      Өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне енгізілген өзгерістер мен толықтырулар олар бекітілген сәттен бастап қолданылады және олар қолданысқа енгізілгенге дейін туындаған қатынастарға қолданылмайды.

      7. Меншік иесі және (немесе) оператор өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесіне қол жеткізуді Қазақстан Республикасының заңнамасында тыйым салынбаған тәсілдермен қамтамасыз етеді.

  Меншік иесінің және (немесе)
оператордың өздері жүзеге
асыратын міндеттерді орындау
үшін қажетті және жеткілікті
дербес деректердің тізбесін
айқындау қағидаларына
қосымша

Жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесі

Р/с № Міндеттер, оның ішінде функциялар, өкілеттіктер, міндеттер атауы Жүзеге асырылатын міндет шеңберінде жинау және өңдеу мақсаттары Белгілі бір мақсат үшін дербес деректердің атауы Меншік иесі және (немесе) оператор жүзеге асыратын міндеттерге тікелей нұсқаулары бар құжаттарды немесе нормативтік құқықтық актілерді көрсету