Постановление Правительства Республики Казахстан № 94-V от 21.05.2013

2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.

3. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.

7. Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации с учетом положений настоящего Закона.

8. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

9. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.

1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.
При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.

2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

4. Согласие на сбор и обработку персональных данных включает:

2. Посредством государственного сервиса обеспечиваются:

1. Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.

2. Посредством негосударственного сервиса обеспечиваются:

Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:
1) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
5-1) осуществления единым накопительным пенсионным фондом деятельности, связанной с открытием пенсионных счетов, предоставлением информации о сумме пенсионных накоплений, а также об условных пенсионных счетах;
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан; 
9-1) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;
9-2) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;
9-3) использования персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан;
9-4) использования персональных данных гражданина Республики Казахстан со дня подачи заявления о применении процедуры внесудебного или судебного банкротства в соответствии с Законом Республики Казахстан "О восстановлении платежеспособности и банкротстве граждан Республики Казахстан", а также за период до трех лет, предшествующих применению процедуры внесудебного или судебного банкротства;
10) в иных случаях, установленных законами Республики Казахстан.

1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.
Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.

2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

4. Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов и (или) государственных юридических лиц, через веб-портал "электронного правительства" при условии согласия субъекта, подтвержденного через государственный сервис.

1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.

2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.

1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.

2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.

1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.
2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.

1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранных государств.

2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.

5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан "О связи".

1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.

2. При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации государственными органами деятельности обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры "электронного правительства" в соответствии с требованиями по управлению данными, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.

Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом: 

1. При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.

2. Требования пункта 1 настоящей статьи не распространяются на случаи: 

1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом уполномоченным органом.

2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым уполномоченным органом, обеспечивающие:

2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

Особенности защиты электронных информационных ресурсов, содержащих персональные данные, осуществляются в соответствии с настоящим Законом и законодательством Республики Казахстан об информатизации.

1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.

2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.
Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.

1. Субъект имеет право:

1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую: 

2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

2. Собственник и (или) оператор обязаны:

1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан; 
1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан; 
6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан; 
7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан; 
8) в течение одного рабочего дня:

9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;
10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.
Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

3. Лицо, ответственное за организацию обработки персональных данных, обязано:

1. Государственные органы в пределах своей компетенции:

2. Местные исполнительные органы области, города республиканского значения и столицы:

1. Уполномоченный орган в пределах своей компетенции:

1) формирует и реализует государственную политику в сфере персональных данных и их защиты; 
1-1) осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите;
2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
2-1) разрабатывает правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
2-2) определяет порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
2-3) определяет порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;
4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
6) осуществляет меры, направленные на совершенствование защиты прав субъектов; 
6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;
6-2) направляет оператору информационно-коммуникационной инфраструктуры "электронного правительства" информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов, в целях, предусмотренных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
7) утверждает правила сбора, обработки персональных данных;
7-1) утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с Комитетом национальной безопасности Республики Казахстан
7-2) утверждает правила функционирования государственного сервиса контроля доступа к персональным данным;
7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов и (или) государственных юридических лиц, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным;
7-4) утверждает правила интеграции с государственным сервисом контроля доступа к персональным данным;
8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме внеплановой проверки в соответствии с Предпринимательским кодексом Республики Казахстан, если иное не установлено частями второй и третьей настоящей статьи.
В отношении государственных органов осуществляется государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в соответствии с настоящим Законом.
Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении Национального Банка Республики Казахстан и его организаций осуществляется в соответствии с Предпринимательским кодексом Республики Казахстан, настоящим Законом и Законом Республики Казахстан "О Национальном Банке Республики Казахстан".

1. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов (далее – субъекты контроля) проводится уполномоченным органом в форме проверок.
Проверки делятся на периодические и внеплановые.
Периодические проверки в отношении субъектов контроля осуществляются согласно следующим источникам информации:

2. Периодические проверки проводятся с периодичностью не чаще одного раза в год в соответствии с планом проведения периодических проверок, утвержденным первым руководителем уполномоченного органа.
Уполномоченный орган не позднее 1 декабря года, предшествующего году проверок, утверждает план проведения периодических проверок.
План проведения периодических проверок размещается на интернет-ресурсе уполномоченного органа не позднее 20 декабря года, предшествующего году проверок.
План проведения периодических проверок включает:

Внесение изменений и дополнений в план проведения периодических проверок осуществляется в случаях ликвидации, реорганизации субъекта контроля, изменения его наименования или перераспределения полномочий между субъектами контроля.

3. Внеплановой проверкой является проверка, назначаемая уполномоченным органом, в случаях:

4. Должностные лица уполномоченного органа при проведении проверки имеют право:

5. Субъекты контроля либо их уполномоченные представители при проведении проверки вправе:

6. Субъекты контроля либо их уполномоченные представители при проведении проверки обязаны:

7. Проверка проводится на основании акта о назначении проверки.

В акте о назначении проверки указываются:

В случае проверки структурного подразделения государственного органа в акте о назначении проверки указываются его наименование и место нахождения;

При проведении проверки уполномоченный орган обязан известить субъект контроля о начале проведения проверки не менее чем за сутки до ее начала с указанием предмета проведения проверки.
Началом проведения проверки считается дата вручения субъекту контроля акта о назначении проверки.

8. Должностные лица уполномоченного органа, прибывшие на объект для проверки, обязаны предъявить субъекту контроля:

9. Срок проведения проверки устанавливается с учетом предмета проверки, а также объема предстоящих работ и не должен превышать десять рабочих дней.
Срок проведения проверки может быть продлен только один раз не более чем на пятнадцать рабочих дней. Продление осуществляется решением руководителя уполномоченного органа.
Продление сроков проведения проверки оформляется дополнительным актом о продлении сроков проверки с уведомлением субъекта контроля, в котором указываются дата и номер приказа предыдущего акта о назначении проверки и причины продления.
Уведомление о продлении сроков проверки вручается субъекту контроля уполномоченным органом за один рабочий день до продления с уведомлением о вручении.

10. По результатам проверки должностными лицами уполномоченного органа, осуществляющими проверку, составляется акт о результатах проверки.
Первый экземпляр акта о результатах проверки в электронной форме сдается в государственный орган, осуществляющий в пределах своей компетенции деятельность в области государственной правовой статистики и специальных учетов, второй экземпляр с копиями приложений, за исключением копий документов, имеющихся в оригинале у субъекта контроля, на бумажном носителе под роспись или в электронной форме вручается субъекту контроля (руководителю либо его уполномоченному лицу) для ознакомления и принятия мер по устранению выявленных нарушений и других действий, третий экземпляр остается у уполномоченного органа.

11. В акте о результатах проверки указываются:

К акту о результатах проверки прилагаются документы, связанные с результатами проверки (при их наличии), и их копии.

12. В случае наличия замечаний и (или) возражений по результатам проверки субъект контроля излагает их в письменном виде. Замечания и (или) возражения прилагаются к акту о результатах проверки, о чем делается соответствующая отметка.
Уполномоченный орган должен рассмотреть замечания и (или) возражения субъекта контроля к акту о результатах проверки и в течение пятнадцати рабочих дней дать мотивированный ответ.
В случае отказа от принятия акта о результатах проверки составляется акт, который подписывается должностными лицами, осуществляющими проверку, и руководителем субъекта контроля либо его уполномоченным представителем.
Субъект контроля вправе отказаться от подписания акта, дав письменное объяснение о причине отказа.

13. Завершением срока проверки считается день вручения субъекту контроля акта о результатах проверки не позднее срока окончания проверки, указанного в акте о назначении проверки или дополнительном акте о продлении сроков проверки.

14. Сроки исполнения акта о результатах проверки определяются с учетом обстоятельств, оказывающих влияние на реальную возможность его исполнения, но не менее десяти календарных дней со дня вручения акта о результатах проверки.

15. При определении сроков исполнения акта о результатах проверки учитываются:

17. В случае нарушения прав и законных интересов субъекта контроля при осуществлении проверки субъект контроля вправе обжаловать решения, действия (бездействие) должностных лиц уполномоченного органа вышестоящему должностному лицу либо в суд в порядке, установленном законодательством Республики Казахстан.

1. Органы прокуратуры осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты.

2. Акты прокурорского надзора, вынесенные на основании и в порядке, установленных Конституционным законом Республики Казахстан "О прокуратуре", обязательны для всех органов, организаций, должностных лиц и граждан.

Нарушение законодательства Республики Казахстан о персональных данных и их защите влечет ответственность в соответствии с законами Республики Казахстан.

Действия (бездействие) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленном законами Республики Казахстан. 
Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном законами Республики Казахстан.