"Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2024 жылғы 28 ақпандағы № 100/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2024 жылғы 1 наурызда № 34090 болып тіркелді

      ЗҚАИ-ның ескертпесі!
      Осы бұйрықтың қолданысқа енгізілу тәртібін 4 т. қараңыз

      БҰЙЫРАМЫН:

      1. Қазақстан Республикасының Әділет министрлігінде 2023 жылғы 15 маусымда № 32810 болып тіркелген "Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 12 маусымдағы № 179/НҚ бұйрығына өзгерістер енгізу туралы бұйрығына келесі өзгерістер енгізілсін:

      Жеке деректерді қорғау бойынша меншік иесінің (немесе) оператордың, сондай-ақ әлемнің үшінші тұлғаларының жүзеге асыру ережелері:

      2 тармағы келесі редакцияда жазылсын:

      "2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

      2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      4) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;

      5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;

      6) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректердің қауіпсіздігін бұзу – өзгерістердің заңды түрде таралуына және сақталған немесе басқа жолмен өңделген дербес деректердің рұқсатсыз таралуының немесе оған кірудің жойылуына әкелетін жеке деректерді қорғауды бұзу;

      10) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

      11) дербес деректерді қорғау саласында уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      12) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      13) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      14) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңдарында сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;

      15) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;

      16) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

      17) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы деректер;

      18) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау.

      Осы Қағидаларда пайдаланылатын өзге ұғымдар Заңға және "Ақпараттандыру туралы" Қазақстан Республикасының Заңына сәйкес қолданылады.".

      5 тармағы келесі редакцияда жазылсын:

      "5. Дербес деректерді қорғауды қамтамасыз ету үшін:

      1) дербес деректер қамтылған бизнес-процестерді бөлу;

      2) дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деп бөлу;

      3) дербес деректерді жинауды және өңдеуді жүзеге асыратын не оларға рұқсаты бар тұлғалардың тізбесін айқындау;

      4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;

      5) дербес деректерге қол жеткізудің тәртібін белгілеу;

      6) оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды бекіту;

      7) жеке және заңды тұлғалардың жолданымдарын қарау шеңберінде жеке деректерді қорғау саласында уәкілетті органның сұрау салуы бойынша меншік иесінің және (немесе) оператордың Заңның талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру қажет";

      8) Дербес деректердің қауіпсіздігінің бұзылуы анықталғанкезден бастап бір жұмыс күн ішінде айнымалы деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректерін көрсете отырып, уәкілетті органды бұзушылық (бар болса) туралы хабардар етеді;

      9) Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың дербес деректер бар ақпараттандыру объектілерімен өзара іс-қимыл жасаған жағдайда, осы Заңның 9 бабының 1), 2), 9) және 9-2) тармақшаларында көзделген жағдайларды қоспағанда, дербес деректерді жинау және өңдеу процестеріне қатысатын меншікті ақпараттандыру объектілерін дербес деректерге қолжетімділікті бақылау жөніндегі мемлекеттік қызметпен біріктіруді қамтамасыз ету

      Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде дербес деректерді жеткізгіштердің сақталуында қамтамасыз ету қажет.";

      7 тармағының 2 бөлімінің 2 тармақшасы келесі редакцияда жазылсын:

      "2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы уәкілетті органды хабардар етеді;".

      2. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықтың Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркелуін;

      2) осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыру;

      3) осы бұйрық Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркелгеннен кейін он жұмыс күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. 2024 жылғы 1 шілдеден бастап қолданысқа енгізілетін 1-тармақтың отыз үшінші абзацын қоспағанда, осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі
Б. Мусин