26.03.2026
Когда определение персональных данных становится юридической ловушкой
Турысбекулы Мади
С 11 июля 2026 года в Казахстане вступает в силу новое определение персональных данных, закрепленное Законом РК от 9 января 2026 г. № 256-VIII. Согласно новой редакции подп. 2) ст. 1 Закона РК «О персональных данных и их защите» (далее - Закон) будет следующим:
«2) персональные данные - сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных».
На первый взгляд изменение кажется незначительным - всего лишь уточнение формулировки. Однако детальный анализ показывает, что новое определение, несмотря на логичный замысел законодателя, содержит серьезные ошибки, которые могут не только ослабить защиту персональных данных жителей Казахстана, но и создать правовую неопределенность в правоприменительной практике.
ЛОГИКА ЗАКОНОДАТЕЛЯ: ЧТО ХОТЕЛИ СКАЗАТЬ?
Чтобы справедливо оценить новую редакцию, необходимо понять замысел законодателя. К сожалению, открытые источники не позволяют ответить однозначно на вопрос «С какой целью законодатель решил использовать новое определение?». Вероятно, разработчики исходили из следующей логики:
Пример 1: Должность без идентификатора
Возьмем должность «Главный бухгалтер» или «Директор». Сама по себе эта информация не является и не может являться персональными данными, поскольку не позволяет определить конкретного субъекта: ни прямо, ни косвенно. В Казахстане тысячи, если не десятки тысяч, главных бухгалтеров и директоров.
Однако если дополнить эту информацию организационно-правовой формой и наименованием компании - «Директор ТОО «Березка» - мы уже можем точно определить конкретного человека.
Таким образом, логика следующая:
· Сведения: «Директор» (неопределенное);
· Идентификатор: «ТОО «Березка» (уточняющий);
· Результат: персональные данные конкретного субъекта персональных данных.
Иными словами, к сведению о занимаемой должности дополняется один идентификатор, который позволяет определить конкретного субъекта.
Пример 2: Профессия и специализация
Аналогично со сведениями «врач» или «учитель». Это общие сведения о профессии, которые сами по себе не позволяют идентифицировать конкретного человека.
Добавление дополнительных идентификаторов не всегда позволяет определить конкретного субъекта персональных данных.
Примеры недостаточной конкретизации:
· Кардиолог Национального научного центра хирургии имени А.Н. Сызганова: в центре работает несколько кардиологов и без дополнительных идентификаторов определить одного из них не представляется возможным. Такими идентификаторами могут быть стаж работы, категория или иное;
· Учитель русского языка школы гимназии № 105 города Алматы: в учебном заведении может быть несколько учителей русского языка и для определения конкретного из них также может потребоваться не один идентификатор.
Примерами достаточной конкретизации могут быть:
· Заведующий отделением кардиологии Национального научного центра хирургии имени А.Н. Сызганова»: такая должность, как правило, в единственном числе;
· Директор школы гимназии № 105 города Алматы: должность однозначно указывает на конкретное лицо.
Важная оговорка: приведенные примеры условны и не универсальны. Многое зависит от конкретных обстоятельств и контекста.
К примеру, в условиях небольшого населенного пункта даже общее указание на должность, специальность или профессию может стать достаточным идентификатором для определения конкретного субъекта персональных данных.
Представьте населенный пункт с численностью населения не более 1 500 человек. В такой ситуации указание «акушер медпункта» или «учитель физики в школе» наверняка позволит идентифицировать конкретного человека, даже без указания наименования организации. На том простом основании, что человек, занимающий такую должность, может быть один из 1 500 жителей, и его личность легко устанавливается в пределах локального сообщества.
Вопрос: где проходит граница между «сведениями» и «персональными данными»? Сколько уточняющих элементов необходимо для того, чтобы информация стала персональными данными? Зависит ли это от размера населенного пункта, отрасли, специфики профессии?
Новая редакция Закона не дает ответа на эти вопросы, создавая правовую неопределенность, с которой придется разбираться практикующим юристам и судьям. Это может привести к противоречивой судебной практике и непредсказуемым последствиям для субъектов персональных данных.
Примеры из обычных профессий показывают серьезность проблемы:
Пример 1: Водитель автобуса
· Водитель автобуса: общие сведения о профессии;
· Водитель автобуса маршрута № 12 города Алматы: уже более конкретная информация, но водителей на этом маршруте несколько;
· Водитель автобуса маршрута № 12, выходящий на рейс с 6 утра по понедельникам, средам и пятницам: информация значительно сужает круг, но еще не указывает на одно конкретное лицо;
· Водитель автобуса маршрута № 12, государственный номерной знак A 123 BC 02, выходящий на рейс с 6 утра по понедельникам, средам и пятницам: вероятно, в таком сочетании - персональные данные конкретного субъекта.
Пример 2: Продавец в магазине
· Продавец в супермаркете: общие сведения;
· Продавец в Magnum в г. Алматы в ТРЦ Москва: в этом магазине десятки продавцов;
· Продавец в Magnum в г. Алматы в ТРЦ Москва, смена вторник-четверг-суббота, с 08:00 до 16:00 часов, секция молочных продуктов: круг сужается, но все еще может быть несколько человек;
· Старший продавец секции молочных продуктов, в Magnum в г. Алматы в ТРЦ Москва: вероятно, уже одно конкретное лицо.
Ключевая проблема: новое определение не устанавливает четких критериев, при каких условиях совокупность сведений превращается в персональные данные. Это создает ситуацию, когда один и тот же набор информации может быть истолкован по-разному в зависимости от правоприменителя.
В результате формулировка, призванная внести ясность, фактически закладывает основу для правовой неопределенности и непредсказуемости, с которыми столкнутся как граждане, так и организации, обрабатывающие персональные данные.
Пример 3: Адрес без номера квартиры
Адрес «проспект Абая, дом 143, город Алматы»: сведение о местоположении здания, где проживают сотни людей. Но если добавить «квартира 25», мы получаем конкретный адрес регистрации конкретного человека или семьи.
Замысел законодателя понятен: разделить общие сведения, которые сами по себе ни к кому конкретно не относятся, и идентификаторы, которые превращают эти сведения в персональные данные путем уточнения и конкретизации.
Это разумная логика. Но она работает только в ограниченном числе случаев.
ГДЕ ЛОГИКА ДАЕТ СБОЙ: ПРОБЛЕМЫ НОВОЙ РЕДАКЦИИ
Проблема № 1: Когда сведение уже является идентификатором
Законодатель не учел многочисленные ситуации, при которых одна информация сама по себе уже содержит достаточно данных для определения конкретного субъекта персональных данных.
Примеры из Казахстана
Если вы назовете книгу «Путь Абая», многие казахстанцы сразу назовут автора - Мухтар Ауезов. Название произведения - это одновременно и сведение (информация о литературном произведении), и идентификатор (указывающий на конкретного автора).
Аналогично:
· Трилогия «Кочевники» - Ильяс Есенберлин;
· Первый казахский хан - Керей хан;
· Кюй «Сары-Арка» - Курмангазы Сагырбайулы;
· Первый президент Казахской академии наук - Каныш Сатапаев.
Приведенные примеры подтверждают, что одна информация одновременно является сведениями и идентификаторами, позволяющими установить конкретного субъекта.
Международные примеры для сравнения:
· «Скотный двор» - Джордж Оруэлл;
· «Война и мир» - Лев Толстой;
· «На Западном фронте без перемен» - Эрих Мария Ремарк;
· «Маленький принц» - Антуан де Сент-Экзюпери.
Примеры из казахстанской действительности:
1. ИИН (индивидуальный идентификационный номер)
Это одновременно и сведение (набор цифр), и уникальный идентификатор конкретного человека. Невозможно сказать, где заканчивается «сведение» и начинается «идентификатор» - это одно и то же.
2. Номер телефона в Казахстане
Каждый номер мобильного телефона привязан к ИИН владельца. Следовательно, номер телефона - это не просто «сведение», которое нужно «дополнить идентификатором». Это самостоятельный идентификатор, однозначно указывающий на конкретное физическое лицо.
3. Адрес электронной почты
Адрес электронной почты - это сведение о способе электронной связи или уникальный идентификатор человека в цифровом пространстве? И то, и другое одновременно.
4. Никнейм в Kazakh.kz или в социальных сетях
Уникальный никнейм пользователя на казахстанских платформах или в Instagram - это информация и идентификатор в одном лице. Тем более, если именно под таким ником человека знают не только его подписчики, но, и другие пользователи.
5. Должность Президента Казахстана
В отличие от «директора ТОО «Березка», должность «Президент Республики Казахстан» сама по себе уже является персональными данными, поскольку указывает на конкретное физическое лицо без необходимости каких-либо дополнительных идентификаторов.
То же самое с должностями:
· Премьер-Министр РК;
· Генеральный прокурор РК;
· Аким города Алматы.
Таким образом, получается, что формулировка «сведения, дополненные идентификаторами» создает ложное впечатление, что идентификаторы всегда существуют отдельно от сведений и лишь «добавляются» к ним. Однако в большинстве случаев информация одновременно выполняет обе функции. По мнению автора такое разделение является искусственным и не соответствует природе персональных данных.
Проблема № 2: Отсутствие определения «идентификатора»
Закон вводит термин «идентификатор персональных данных», но нигде не раскрывает его содержание. Это создает правовую неопределенность.
Казахстанские примеры:
· ИИН: Очевидно, это идентификаторы. Но достаточно ли только их?
· Адрес регистрации: «город Алматы, Бостандыкский район, микрорайон Самал-2, улица Жолдасбекова, дом 97, квартира 15» - это идентификатор или просто сведение?
· Номер удостоверения личности: Серия и номер казахстанского удостоверения личности - это идентификатор?
· Данные автомобиля: Государственный регистрационный номерной знак автомобиля «А 777 АА 01» привязан к конкретному владельцу. Это идентификатор персональных данных?
· Номер банковской карты: IBAN казахстанского банковского счета или номер карты Halyk Bank, Kaspi Bank - идентификатор?
Цифровые идентификаторы:
· IP-адрес казахстанского провайдера;
· Device ID смартфона или компьютера;
· Cookie-файлы на казахстанских сайтах (Kolesa.kz, Krisha.kz);
· Идентификатор в приложении Kaspi.kz или Halyk homebank;
· Рекламный ID в мобильных приложениях.
Без четкого определения термина каждый из этих примеров может толковаться произвольно. Регулятор, контролеры данных и суды будут самостоятельно решать, что считать идентификатором, руководствуясь собственным пониманием.
Проблема № 3: Игнорирование потенциальной идентифицируемости
Новая редакция говорит о «субъекте персональных данных», но не уточняет: речь идет об идентифицированном или поддающемся идентификации субъекте?
Казахстанский пример:
Представьте, что некая компания собирает следующие данные о посетителях своего веб-сайта:
Демографические данные (отвечают на вопрос «Кто он?»):
· Город: Алматы;
· Район: Медеуский;
· Примерный возраст: 30-35 лет;
· Пол: мужской;
· Уровень дохода: выше среднего (на основе устройства и паттернов потребления);
· Время посещения: будние дни, вечер;
· Используемое устройство: iPhone 15 Pro;
· Провайдер: Казахтелеком.
Психографические данные (отвечают на вопрос «Какой он?»):
· Интересы: горные лыжи, сноуборд;
· Ценности: забота о здоровье, активный образ жизни;
· Поведенческие шаблоны: регулярно посещает спортивные сайты, интересуется премиальными товарами.
Каждый элемент сам по себе не идентифицирует конкретного человека. Но их агрегация позволяет значительно сузить круг и при добавлении еще нескольких данных (например, посещаемые сайты или геолокация с точностью до дома) установить конкретное лицо.
Важный момент: для компании, собирающей и агрегирующей такие данные, необязательно знать конкретное ФИО или ИИН субъекта. Более того, часто это даже невозможно или нецелесообразно.
Однако это не означает, что субъект не идентифицирован. Компания уже:
· Выделила его как отдельного субъекта из общей массы посетителей;
· Идентифицировала через присвоение уникального номера (например, User ID, Cookie ID, Device ID);
· Может напрямую взаимодействовать с ним через персонализированную рекламу, таргетированные предложения, индивидуальные рекомендации.
По сути, компания создала цифровой профиль конкретного человека, даже не зная его имени. Этот профиль позволяет:
· Отслеживать его поведение на разных сайтах;
· Предсказывать его предпочтения и намерения;
· Влиять на его решения через персонализированный контент;
· При необходимости — установить личность через сопоставление с другими базами данных.
Вопрос: Является ли эта информация персональными данными по новой редакции Закона?
Формальный ответ: Скорее всего, нет, поскольку нет явного «идентификатора персональных данных» в традиционном понимании (ФИО, ИИН).
Фактический ответ: Да, поскольку субъект уже идентифицирован через уникальный цифровой профиль и компания может с ним взаимодействовать напрямую.
Другие примеры из Казахстана:
1. История покупок в Kaspi.kz
Даже без привязки к ФИО, история заказов, адреса доставки, предпочтения в товарах создают уникальный профиль, который при сопоставлении с другими данными позволяет установить личность.
2. Геолокация с казахстанских вышек сотовой связи
Данные о подключении к базовым станциям операторов мобильной связи (Kcell, Activ, Tele2) показывают маршруты перемещения. Дом → работа → спортзал → дом. Этот шаблон повторяется ежедневно и позволяет идентифицировать человека.
Международные стандарты учитывают это:
GDPR (ст. 4(1)): «поддающееся идентификации физическое лицо - это лицо, которое можно прямо или косвенно идентифицировать, в частности, посредством ссылки на идентификатор, такой как имя, идентификационный номер, данные о местоположении, онлайновый идентификатор, либо на один или несколько факторов, специфичных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица».
CCPA (§ 1798.140(v)(1)): «Персональная информация» означает информацию, которая идентифицирует, относится к, описывает, может быть разумно связана или могла бы быть разумно увязана, прямо или косвенно, с конкретным потребителем или домохозяйством».
Казахстанская формулировка не содержит указания на потенциальную идентифицируемость через совокупность факторов.
Проблема № 4: Узкое толкование на практике
Существующая практика Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (далее - КИБ) показывает, к чему приводит недостаточно четкое определение.
Письмо КИБ от 6 мая 2024 г. № ЖТ-2023-03797563:
«...аккаунт или данные устройства пользователя, которые не определяют конкретного физического лица без привязки дополнительных данных (полного Ф.И.О., ИИН и т.д.), не являются персональными данными».
Письмо КИБ от 2 мая 2025 г. № ЖТ-2025-01361495:
«...номер телефона без привязки к дополнительным данным (полного Ф.И.О., ИИН и т.д.) не позволяет идентифицировать конкретное физическое лицо и, соответственно, не является персональными данными».
Это при том, что в Казахстане каждый номер телефона привязан к ИИН владельца.
Новая редакция не содержит механизмов, которые помешали бы подобному узкому толкованию. Напротив, формулировка «дополненные идентификаторами» может укрепить позицию регулятора о необходимости наличия «традиционных» идентификаторов (ФИО, ИИН).
ПРАКТИЧЕСКИЕ ПОСЛЕДСТВИЯ ДЛЯ КАЗАХСТАНА
Недостатки новой редакции создают конкретные риски для казахстанцев:
1. Сужение сферы защиты
Большой объем данных казахстанцев может быть выведен из-под защиты:
· История покупок на Kaspi.kz, Chocofood, Glovo;
· Поездки в Яндекс.Такси, inDriver, Uber;
· Геолокация через Казахтелеком, Kcell, Beeline;
· Посещения интернет сайтов и мобильных приложений;
· Активность в социальных сетях.
2. Уязвимость перед зарубежными компаниями
Крупные технологические компании (Google, Meta, Яндекс), работающие в Казахстане, смогут аргументировать, что собираемые ими данные «не дополнены идентификаторами» и, следовательно, не подпадают под Закон.
3. Риски утечек данных
Если данные формально не признаются «персональными» из-за отсутствия «идентификаторов», компании не будут обязаны их защищать с должным уровнем. Это повысит риски утечек и злоупотреблений.
ВЫВОД: БЛАГИЕ НАМЕРЕНИЯ И НЕПРЕДВИДЕННЫЕ ПОСЛЕДСТВИЯ
Замысел законодателя понятен и логичен: разделить общие сведения и уточняющие идентификаторы. Это работает в простых случаях («Директор» + «ТОО «Березка» = персональные данные).
Однако законодатель не учел, что:
· Большинство информации одновременно является и сведением, и идентификатором;
· Современные технологии позволяют идентифицировать людей через совокупность косвенных признаков;
· Данные существуют не только на материальных носителях, но и в процессе обработки, передачи, временного хранения;
· Узкое толкование приведет к выведению огромного массива данных из-под защиты.
Новая редакция, вместо устранения недостатков действующей формулировки, создает новые концептуальные противоречия и сужает сферу применения Закона.
Время для изменений еще есть. До июля 2026 года законодатель может пересмотреть формулировку и привести ее в соответствие с современными вызовами цифровой эпохи. В противном случае Казахстан рискует создать иллюзию защиты данных при фактическом отсутствии реальных гарантий для своих граждан.
© 2026 Все права защищены. Настоящая публикация является интеллектуальной собственностью автора и защищена законом об авторском праве. Любое использование материалов данной публикации (полностью или частично) допускается только при условии указания прямой активной ссылки на оригинальный источник. Несанкционированное использование, копирование или распространение материалов без соответствующего разрешения является нарушением закона.
Дисклеймер: Мнения, выраженные в данной публикации, принадлежат исключительно автору и могут не совпадать с официальной позицией каких-либо органов и организаций.
https://gdpr-text.com/ru/read/article-4/#comment_gdpr-a-004_1-01
https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
https://prg.kz/document/?doc_id=37968402
