Об утверждении проверочного листа за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц

Совместный приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 19 марта 2024 года № 149/НҚ и Заместителя Премьер-Министра - Министра национальной экономики Республики Казахстан от 19 марта 2024 года № 12. Зарегистрирован в Министерстве юстиции Республики Казахстан 29 марта 2024 года № 34179

      В соответствии с пунктом 1 статьи 143 Предпринимательского кодекса Республики Казахстан ПРИКАЗЫВАЕМ:

      1. Утвердить проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий совместный приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан	__________ Н. Байбазаров
Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан	__________ Б. Мусин

      "СОГЛАСОВАН"
Комитет по правовой статистике
и специальным учетам
Генеральной прокуратуры
Республики Казахстан

Утвержден совместным приказом Заместитель Премьер-Министра – Министр национальной экономики Республики Казахстан от 19 марта 2024 года № 12 и Министр цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 14 марта 2024 года № 149/НҚ

Проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц

      Государственный орган, назначивший проверку
____________________________________________________________________
____________________________________________________________________
Акт о назначении проверки
_____________________________________________________________ №, дата
Наименование субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
(Индивидуальный идентификационный номер), бизнес-идентификационный
номер субъекта (объекта) контроля
____________________________________________________________________
____________________________________________________________________
Адрес места нахождения
____________________________________________________________________
____________________________________________________________________

№	Перечень требований	Соответствует требованиям	Не соответствует требованиям
1	2	3	4
1.	осуществление сбора, обработки персональных данных с согласия субъекта или его законного представителя
2.	соблюдение требований по ограничению обработки персональных данных достижением конкретных, заранее определенных и законных целей
3.	соблюдение запрета сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе
4.	в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивание интеграции объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным
5.	обеспечение конфиденциальности персональных данных ограниченного доступа путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания
6.	осуществление хранения персональных данных в базе, находящейся на территории Республики Казахстан
7.	использование персональных данных только для ранее заявленных целей их сбора
8.	осуществление трансграничной передачи персональных данных на территорию иностранных государств только в случае обеспечения этими государствами защиты персональных данных
9.	обезличивание персональных данных при их передаче для проведения статистических, социологических, научных, маркетинговых исследований
10.	применение многофакторной аутентификаций при доступе к электронным информационным ресурсам, содержащим персональные данные ограниченного доступа
11.	утверждение собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач
12.	утверждение собственником и (или) оператором документов, определяющих политику в отношении сбора, обработки и защиты персональных данных
13.	принятие собственником и (или) оператором необходимых мер, в том числе правовых, организационных и технических, для защиты персональных данных
14.	предоставление по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона Республики Казахстан "О персональных данных и их защите"
15.	в случае отказа в предоставлении информации субъекту или его законному представителю соблюдение требований по представлению собственником и (или) оператором мотивированного ответа в установленные сроки
16.	предоставление собственником и (или) оператором безвозмездно субъекту или его законному представителю возможности ознакомления с персональными данными, относящимися к данному субъекту
17.	назначение собственником и (или) оператором лица, ответственного за организацию обработки персональных данных, являющимся юридическими лицами
18.	выделение бизнес-процессов, содержащих персональные данные
19.	разделение персональных данных на общедоступные и ограниченного доступа
20.	установление собственником и (или) оператором целей обработки персональных данных ограниченного доступа
21.	определение собственником и (или) оператором порядка обработки, распространения и доступа к персональным данным ограниченного доступа
22.	определение собственником и (или) оператором порядка блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта
23.	определение перечня лиц, имеющих доступ к персональным данным ограниченного доступа
24.	оповещение уполномоченного органа об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа
25.	обеспечение установки средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа
26.	обеспечение ведения журнала событий систем управления базами при обработке персональных данных ограниченного доступа
27.	обеспечение ведения журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
28.	применение средств контроля целостности персональных данных ограниченного доступа
29.	передача персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных
30.	применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа
31.	применение средств идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа
32.	осуществление сбора и обработки персональных данных ограниченного доступа посредством объектов информатизации, размещенных на территории Республики Казахстан
33.	осуществление хранения и передачи персональных данных ограниченного доступа с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 "Средства криптографической защиты информации. Общие технические требования"

      Должностное (ые) лицо (а) ________________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)
Руководитель субъекта контроля ___________________________________
должность подпись
________________________________________________________________
фамилия, имя, отчество (при наличии)

Меншік иелеріне және (немесе) операторларға, сондай-ақ үшінші тұлғаларға қатысты Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының сақталуына тексеру парағын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2024 жылғы 19 наурыздағы № 149/НҚ және Қазақстан Республикасы Премьер-Министрінің орынбасары - Ұлттық экономика министрінің 2024 жылғы 19 наурыздағы № 12 бірлескен бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 29 наурызда № 34179 болып тіркелді

      Қазақстан Республикасы Кәсіпкерлік кодексінің 143 бабының 1 тармағына сәйкес БҰЙЫРАМЫН:

      1. Меншік иелеріне және (немесе) операторларға, сондай-ақ үшінші тұлғаларға қатысты Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының сақталуына тексеру парағы бекітілсін.

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықтың Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелуін;

      2) осы бұйрықты Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бірлескен бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасы Премьер-Министрінің орынбасары – Ұлттық экономика министрі	Н. Байбазаров
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі	Б. Мусин

      "КЕЛІСІЛДІ"

      Қазақстан Республикасы

      Бас прокуратурасының

      Құқықтық статистика және

      арнайы есепке алу комитеті

Қазақстан Республикасы Премьер-Министрінің орынбасары – Ұлттық экономика министрі 2024 жылғы 19 наурыздағы № 12 мен Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі 2024 жылғы 14 наурыздағы № 149/НҚ Бұйрықпен бекітілген

Меншік иелеріне және (немесе) операторларға, сондай-ақ үшінші тұлғаларға қатысты Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасының сақталуына тексеру парағы

      Тексеруді тағайындаған мемлекеттік орган

      ____________________________________________________________________

      ____________________________________________________________________

      Тексеруді тағайындау туралы акт

      ____________________________________________________________________

      №, күні

      Бақылау субъектісінің (объектісінің) атауы

      ____________________________________________________________________

      ____________________________________________________________________

      (Жеке сәйкестендіру нөмірі), бақылау субъектісінің (объектісінің)

      бизнес-сәйкестендіру нөмірі

      ____________________________________________________________________

      ____________________________________________________________________

      Орналасқан жерінің мекенжайы

      ____________________________________________________________________

      ____________________________________________________________________

№	Талаптар тізімі	Талаптарға сәйкес келеді	Талаптарға сәйкес келмейді
1	2	3	4
1.	субъектінің немесе оның заңды өкілінің келісімімен дербес деректерді жинауды, өңдеуді жүзеге асыру
2.	дербес деректерді өңдеуді нақты, алдын ала белгіленген және заңды мақсаттарға қол жеткізумен шектеу жөніндегі талаптарды сақтау
3.	жеке басын куәландыратын құжаттардың көшірмелерін қағаз жеткізгіште жинауға, өңдеуге тыйым салуды сақтау
4.	дербес деректерді қамтитын мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерімен өзара іс-қимыл жасаған жағдайда, дербес деректерді жинау және өңдеу процестеріне тартылған ақпараттандыру объектілерінің дербес деректерге қол жеткізуді бақылаудың мемлекеттік сервисімен интеграциялануын қамтамасыз ету
5.	субъектінің немесе оның заңды өкілінің келісімінсіз не өзге де заңды негіздің болмауынсыз олардың таралуына жол бермеу талаптарын сақтау жолымен қолжетімділігі шектеулі дербес деректердің құпиялылығын қамтамасыз ету
6.	дербес деректерді Қазақстан Республикасының аумағында орналасқан базада сақтауды жүзеге асыру
7.	дербес деректерді оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана пайдалану
8.	мемлекеттер дербес деректерді қорғауды қамтамасыз еткен жағдайда ғана дербес деректерді шет мемлекеттердің аумағына трансшекаралық беруді жүзеге асыру
9.	статистикалық, әлеуметтанулық, ғылыми, маркетингтік зерттеулер жүргізу үшін оларды беру кезінде дербес деректерді иесіздендіру
10.	қолжетімділігі шектеулі дербес деректері бар электрондық ақпараттық ресурстарға қол жеткізу кезінде көп факторлы аутентификацияларды қолдану
11.	меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректер тізбесін бекіту
12.	меншік иесінің және (немесе) оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатты айқындайтын құжаттарды бекіту
13.	меншік иесінің және (немесе) оператордың дербес деректерді қорғау үшін қажетті шараларды, оның ішінде құқықтық, ұйымдастырушылық және техникалық шараларды қабылдау
14.	уәкілетті органның сұрау салуы бойынша жеке және заңды тұлғалардың өтініштерін қарау шеңберінде меншік иесінің және (немесе) оператордың "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру
15.	субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартылған жағдайда меншік иесінің және (немесе) оператордың белгіленген мерзімдерде дәлелді жауапты ұсынуы бойынша талаптарды сақтау
16.	меншік иесінің және (немесе) оператордың субъектіге немесе оның заңды өкіліне осы субъектіге қатысты дербес деректермен танысу мүмкіндігін өтеусіз ұсыну
17.	заңды тұлғалар болып табылатын дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны меншік иесінің және (немесе) оператордың тағайындау
18.	дербес деректерді қамтитын бизнес-процестерді бөлу
19.	дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деректерге бөлу
20.	меншік иесінің және (немесе) оператордың қолжетімділігі шектеулі дербес деректерді өңдеу мақсаттарын белгілеу
21.8	меншік иесінің және (немесе) оператордың қолжетімділігі шектеулі дербес деректерді өңдеу, тарату және оған қол жеткізу тәртібін айқындау
22.	меншік иесінің және (немесе) оператордың субъект жүгінген кезде субъектіге қатысты қолжетімділігі шектеулі дербес деректерді бұғаттау тәртібін айқындау
23.	қол жетімділігі шектеулі дербес деректерге қол жеткізе алатын тұлғалардың тізбесін айқындау
24.	қолжетімділігі шектеулі дербес деректерге заңсыз қол жеткізумен байланысты ақпараттық қауіпсіздік инциденттері туралы уәкілетті органды хабардар ету
25.	қол жетімділігі шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарда ақпаратты қорғау құралдарын, бағдарламалық қамтамасыз етуді жаңартуды орнатуды қамтамасыз ету
26.	қолжетімділігі шектеулі дербес деректерді өңдеу кезінде базаларды басқару жүйелерінің оқиғалар журналын жүргізуді қамтамасыз ету
27.	қол жетімділігі шектеулі дербес деректерге қол жеткізе алатын пайдаланушылардың іс-қимыл журналын жүргізуді қамтамасыз ету
28.	қолжетімділігі шектеулі дербес деректердің тұтастығын бақылау құралдарын қолдану
29.	қорғалған байланыс арналары арқылы және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде өзге тұлғаларға қолжетімділігі шектеулі дербес деректерді беру
30.	қол жетімділігі шектеулі дербес деректерді сенімді сақтау үшін ақпаратты криптографиялық қорғау құралдарын қолдану
31.	қолжетімділігі шектеулі дербес деректермен жұмыс істеу кезінде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау құралдарын қолдану
32.	Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы қолжетімділігі шектеулі дербес деректерді жинауды және өңдеуді жүзеге асыру
33.	Қазақстан Республикасының ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалана отырып, қолжетімділігі шектеулі дербес деректерді сақтауды және беруді жүзеге асыру

      Лауазымды тұлға (лар) __________________________________________

      лауазымы                         қолы

      ____________________________________________________________________

      тегі, аты, әкесінің аты (бар болса)

      Бақылау субъектісінің басшысы __________________________________

      лауазымы                   қолы

      ____________________________________________________________________

      тегі, аты, әкесінің аты (бар болса)