Введите номер документа
Прайс-листВидеоинструкция

Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных изложены в новой редакции (аннотация к документу от 22.06.2026)

Скачать в Word

Скачать документ в формате .docx

Информация о документе
Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных изложены в новой редакции (аннотация к документу от 22.06.2026)
Датавторник, 30 июня 2026
Статус
Действующийвведен в действие с
Дата последнего изменениявторник, 30 июня 2026

Документ входит в комплект(ы):

Комментарии, Мастер, СтройМастер, Юрист-VIP

Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных изложены в новой редакции

 

Аннотация к документу: Приказ Заместителя Премьер-Министра - Министра искусственного интеллекта и цифрового развития Республики Казахстан от 22 июня 2026 года № 338/НҚ «О внесении изменения в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ «Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных» (не введен в действие)

В частности, правила изложены в следующей редакции:

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

Собственник и (или) оператор, а также третье лицо осуществляют выделение бизнес-процессов, содержащих персональные данные.

При выделении бизнес-процессов определяются виды деятельности собственника и (или) оператора, а также третьего лица, при которых осуществляется сбор и обработка персональных данных.

Собственник и (или) оператор, а также третье лицо определяют перечень лиц, осуществляющих сбор и обработку персональных данных, либо имеющих к ним доступ.

Собственник и (или) оператор, а также третье лицо утверждают документы, определяющие порядок в отношении сбора, обработки и защиты персональных данных.

Собственник и (или) оператор, а также третье лицо назначают лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

Действие настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

Лицо, ответственное за организацию обработки персональных данных, обязано:

1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с Законом и настоящими Правилами обеспечивающие:

1) предотвращение несанкционированного доступа к персональным данным;

2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;

3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;

4) предоставление доступа государственной технической службе к цифровым объектам, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в цифровых ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в цифровых ресурсах в порядке, определяемом уполномоченным органом.

5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 Закона.

При взаимодействии с государственными цифровыми объектами, содержащими персональные данные собственник и (или) оператор, а также третье лицо обеспечивают интеграцию собственных цифровых объектов с государственным сервисом контроля доступа к персональным данным, кроме случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.

Интеграция осуществляется в соответствии с Правилами интеграции с государственным сервисом контроля доступа к персональным данным, утвержденными приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 8 июля 2022 года № 236/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 28786).

Собственник и (или) оператор, а также третье лицо в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных осуществляют уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии).

Уведомление осуществляется в соответствии с Правилами осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных, утвержденными приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 34919).

Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями;

2) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта. Блокирование персональных данных осуществляется до принятия решения по обращению субъекта;

3) оповещают уполномоченный орган об инцидентах кибербезопасности, связанных с незаконным доступом к персональным данным ограниченного доступа. Оповещение осуществляется для принятия мер по предотвращению дальнейшего незаконного доступа к персональным данным;

4) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа для обеспечения безопасности обработки персональных данных;

5) обеспечивают ведение журнала событий систем управления базами для регистрации событий, связанных с обработкой персональных данных ограниченного доступа;

6) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа для учета действий при работе с персональными данными ограниченного доступа;

7) применяют средства контроля целостности персональных данных ограниченного доступа для предотвращения несанкционированного изменения персональных данных;

8) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных для предотвращения несанкционированного доступа;

9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа.

Хранение и передача персональных данных ограниченного доступа осуществляются с использованием средств криптографической защиты информации, имеющих параметры не ниже третьего уровня безопасности согласно стандарту Республики Казахстан СТ РК 1073-2007 «Средства криптографической защиты информации. Общие технические требования».

Настоящий подпункт не распространяется на случаи трансграничной передачи данных в соответствии со статьей 16 Закона;

10) применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.

Обязанность применения идентификации и (или) аутентификации пользователей распространяется исключительно на лиц, имеющих доступ к базе персональных данных.

Сбор и обработка персональных данных ограниченного доступа осуществляются посредством цифровых объектов, размещенных на территории Республики Казахстан.

Хранение персональных данных, содержащихся в цифровых ресурсах, осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся в серверном помещении или центре обработки данных, расположенном на территории Республики Казахстан, с принятием необходимых мер по защите персональных данных согласно настоящим Правилам.

 Приказ вводится в действие 12 июля 2026 года и подлежит официальному опубликованию.

 

Добавить в список основных источников в Google

Укажите название закладки
Создать новую папку
Закладка уже существует
В выбранной папке уже существует закладка на этот фрагмент. Если вы хотите создать новую закладку, выберите другую папку.
Режим открытия документов

Укажите удобный вам способ открытия документов по ссылке

Включить или выключить функцию Вы сможете в меню работы с документом

Доступ ограничен
Чтобы воспользоваться этой функцией, пожалуйста, войдите под своим аккаунтом.
Если у вас нет аккаунта, зарегистрируйтесь
Обратная связь

Уважаемый пользователь! Мы стремимся постоянно улучшать качество наших услуг. Пожалуйста, поделитесь своими предложениями — Ваше участие поможет нам стать ещё удобнее и эффективнее для Вас!