Об утверждении Правил определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

Постановление Правительства Республики Казахстан от 12 ноября 2013 года № 1214. Утратило силу постановлением Правительства Республики Казахстан от 13 июля 2023 года № 559.

      Сноска. Утратило силу постановлением Правительства РК от 13.07.2023 № 559 (вводится в действие со дня его первого официального опубликования).
      Примечание РЦПИ!
      Порядок введения в действие см. п. 2.

      В соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" Правительство Республики Казахстан ПОСТАНОВЛЯЕТ:

      1. Утвердить прилагаемые Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. Настоящее постановление вводится в действие с 25 ноября 2013 года и подлежит официальному опубликованию.

Премьер-Министр


Республики Казахстан

С. Ахметов


  Утверждены
постановлением Правительства
Республики Казахстан
от 12 ноября 2013 года № 1214

Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

      Сноска. Правила - в редакции постановления Правительства РК от 18.01.2021 № 12 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

Глава 1. Общие положения

      1. Настоящие Правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач (далее – Правила), разработаны в соответствии с подпунктом 3) статьи 26 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон) и определяют порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач.

      2. В настоящих Правилах используются следующие основные понятия:

      1) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      2) сбор персональных данных – действия, направленные на получение персональных данных;

      3) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      4) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      5) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      6) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      7) субъект персональных данных – физическое лицо, к которому относятся персональные данные.

Глава 2. Порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач

      3. Собственник и (или) оператор до начала сбора и обработки персональных данных проводят анализ осуществляемых ими задач на предмет использования персональных данных.

      При осуществлении текущей деятельности собственник и (или) оператор ежегодно проводят повторный анализ осуществляемых ими задач на предмет использования персональных данных, на основании которого вносятся изменения в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, в соответствии с пунктом 6 настоящих Правил.

      4. На основании проведенного анализа собственник и (или) оператор по форме, согласно приложению к настоящим Правилам, определяют перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач с указанием целей их сбора и обработки в рамках задач.

      Цели являются однозначными, законными и соответствуют осуществляемым собственником и (или) оператором задачам.

      Персональные данные, содержание и объем которых являются избыточными по отношению к осуществляемым собственником и (или) оператором задач, не включаются в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач.

      5. Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, утверждается собственником и (или) оператором в соответствии с подпунктом 1) пункта 2 статьи 25 Закона.

      Сноска. Пункт 5 – в редакции постановления Правительства РК от 27.04.2023 № 331 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).

      6. По результатам текущей деятельности собственником (или) оператором ежегодно вносятся изменения и дополнения в перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач, в порядке, предусмотренном пунктами 3, 4 и 5 настоящих Правил.

      Изменения и дополнения, внесенные в перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, действуют с момента их утверждения и не распространяются на отношения, возникшие до их введения в действие.

      7. Собственник и (или) оператор обеспечивают доступ к перечню персональных данных, необходимому и достаточному для выполнения осуществляемых ими задач, способами, не запрещенными законодательством Республики Казахстан.


  Приложение
к Правилам определения
собственником
и (или) оператором перечня
персональных данных,
необходимого и
достаточного для выполнения
осуществляемых ими задач

Перечень персональных данных, необходимый и достаточный для выполнения осуществляемых задач

№ п/п

Наименование задачи, в том числе функций, полномочий, обязанностей

Цели сбора и обработки в рамках осуществляемой задачи

Наименование персональных данных для определенной цели

Указание на документы или нормативные правовые акты, имеющие прямые указания на осуществляемые собственником и (или) оператором задачи







On approval of the Rules for determining the list of personal data by owner and (or) operator necessary and sufficient for fulfillment of their tasks

Decree of the Government of the Republic of Kazakhstan № 1214 dated November 12, 2013. Abolished by the Decree of the Government of the Republic of Kazakhstan dated 07/13/2023 No. 559

      Unofficial translation

      Footnote. Abolished by the Decree of the Government of the Republic of Kazakhstan dated 07/13/2023 No. 559 (effective from the date of its first official publication)

      In accordance with Subparagraph 3) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection”, the Government of the Republic of Kazakhstan hereby DECREES AS FOLLOWS:

      1. To approve the attached Rules for determining the list of personal data by owner and (or) operator necessary and sufficient for fulfillment of their tasks.

      2. This Decree shall come into force on November 25, 2013 and shall be subject to official publication.

      The Prime Minister
of the Republic of Kazakhstan
S. Akhmetov

  Approved by
the Decree of the Government
of the Republic of Kazakhstan
No.1214 dated November 12, 2013

Rules for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them

      Footnote. The Rules - as amended by the Decree of the Government of the Republic of Kazakhstan dated 18.01.2021 No. 12 (shall be enforced upon expiry of ten calendar days after the date of its first official publication).

Chapter 1. General Provisions

      1. These Rules for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them (hereinafter referred to as the Rules) have been developed in accordance with Subparagraph 3) of Article 26 of the Law of the Republic of Kazakhstan dated May 21, 2013 “On personal data and their protection” (hereinafter referred to as the Law) and shall determine the procedures for determination of the list of personal data by the owner and (or) operator, necessary and sufficient for performance of tasks carried out by them.

      2. The following basic concepts shall be used in these Rules:

      1) personal data - any information relating to an identified or identifiable on the basis of their personal data subject, recorded on electronic, paper and (or) other physical media;

      2) collection of personal data – actions, directed to reception of personal data;

      3) owner of the base containing personal data (hereinafter referred to as the owner) - the state authority, individual and (or) legal entity, exercising the right of possession, use and disposition of base, contained the personal data in accordance with the laws of the Republic of Kazakhstan;

      4) operator of base, containing personal data (hereinafter referred to as – operator), - the state body, individual and (or) legal entity, carrying out collection, processing and protection of personal data;

      5) authorized body in the field of personal data protection (hereinafter referred to as the authorized body)- a central executive body in charge for personal data protection;

      6) processing of personal data – actions, directed to accumulation, storage, change, supplement, use, distribution, depersonalization, blocking and destruction of personal data;

      7) personal data subject – individual, to whom personal data are referred.

Chapter 2. Procedure for determining the list of personal data by owner and (or) operator, necessary and sufficient for performance of tasks carried out by them

      3. The owner and (or) operator shall, prior to the beginning of collection and processing personal data, perform analysis of the tasks carrying out by them with respect to the use of personal data.

      When carrying out current activities, the owner and (or) operator annually re-analyze their tasks for the use of personal data, on the basis of which changes are made to the list of personal data necessary and sufficient to perform their tasks, in accordance with Paragraph 6 of these Rules.

      4. On the basis of the performed analysis, the owner and (or) operator, in the form according to Appendix to this Rules, shall determine the list of personal data, necessary and sufficient for the performance of tasks carrying out by them indicating the goals of their collection and processing within the framework of tasks.

      The goals are unambiguous, legal and correspond to the objectives of the owner and (or) operator..

      Personal data, the content and volume of which are redundant in relation to the tasks carried out by the owner and (or) operator, shall not be included in the list of personal data necessary and sufficient to perform the tasks carrying out by them.

      5. The list of personal data necessary and sufficient to perform the tasks carrying out by them shall be approved by the owner and (or) operator.

      Personal data protection shall be carried out in accordance with the Rules for implementation by owner and (or) operator, as well as a third party of measures to protect personal data, approved by the Government of the Republic of Kazakhstan.

      6. Based on the results of current activities, the owner (or) the operator annually makes changes and additions to the list of personal data necessary and sufficient for performance of tasks carrying out by them in accordance with the procedures prescribed by Paragraphs 3, 4 and 5 of these Rules.

      Amendments and additions made to the list of personal data, necessary and sufficient for performance of tasks carried out by them, shall be valid from the moment of their approval and do not apply to relations that arose before their entry into force.

      7. The owner and (or) operator shall ensure the access to the list of personal data necessary and sufficient for the performance of tasks carried out by them, by methods not prohibited by the legislation of the Republic of Kazakhstan.

  Appendix
Rules for determination of the list
of personal data by the owner and
(or) operator, necessary and
sufficient for performance of tasks
carried out by them

List of personal data necessary and sufficient for performance of tasks being carried out

Item no.

Name of the task, including functions, powers, duties

Goals of collection and processing within the framework of the task being carried out

Name of personal data for a specific goal

Reference to documents or regulatory legal acts that have direct indications of the tasks carried out by the owner and (or) operator