Рус | Қаз | Eng

Дербес деректерді жинау, өңдеу қағидаларын бекіту туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2020 жылғы 23 қазанда № 21498 болып тіркелді

Қолданыстағы

      "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Қоса беріліп отырған Дербес деректерді жинау, өңдеу қағидалары бекітілсін.

      2. Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсына орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін күнтізбелік он күн ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі 		Б. Мусин

  Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің
2020 жылғы 21 қазаны
№ 395/НҚ бұйрығымен
бекітілген

Дербес деректерді жинау, өңдеу қағидалары

1-тарау. Жалпы ережелер

      1. Осы Дербес деректерді жинау, өңдеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" 2013 жылғы 21 мамырдағы Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7) тармақшасына сәйкес әзірленді және дербес деректерді жинау, өңдеу тәртібін айқындайды.

      2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген сол мәліметтер;

      2) дербес деректерді бұғаттау – дербес деректерді жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесіздендіруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

      3) дербес деректерді жинақтау – дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелендіру жөніндегі іс-әрекеттер;

      4) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      5) дербес деректерді жою – жасалуы нәтижесінде дербес деректерді қалпына келтіру мүмкін болмайтын іс-әрекеттер;

      6) дербес деректерді иесіздендіру – жасалуы нәтижесінде дербес деректердің дербес деректер субъектісіне тиесілігін анықтау мүмкін болмайтын іс-әрекеттер;

      7) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

      8) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      9) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      11) дербес деректердің қауіпсіздігін қамтамасыз ету сервисі – меншік иелерінің және (немесе) оператордың субъектімен ақпараттық өзара іс-қимылын, субъектіден дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін алуды қоса алғанда, оның ішінде меншік иелерінің және (немесе) оператордың осы іс-қимылды өзі дербес іске асыруы арқылы қамтамасыз ететін қызмет;

      12) дербес деректерді өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесіздендіруге, бұғаттауға және жоюға бағытталған іс-әрекеттер;

      13) дербес деректерді пайдалану – меншік иесінің, оператордың және үшінші тұлғаның қызмет мақсаттарын іске асыруға бағытталған дербес деректермен жасалатын іс-әрекеттер;

      14) дербес деректерді сақтау – дербес деректердің тұтастығын, құпиялылығын және қолжетімділігін қамтамасыз ету жөніндегі іс-әрекеттер;

      15) дербес деректерді тарату – жасалуы нәтижесінде дербес деректер берілетін, оның ішінде бұқаралық ақпарат құралдары арқылы берілетін немесе қандай да бір өзгеше тәсілмен дербес деректерге қол жеткізу ұсынылатын іс-әрекеттер;

      16) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      17) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бірақ дербес деректерді жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

      18) "электрондық үкіметтің" веб-порталы – нормативтік құқықтық базаны қоса алғанда, бүкіл шоғырландырылған үкіметтік ақпаратқа және электрондық нысанда көрсетілетін мемлекеттік қызметтерге, табиғи монополиялар субъектілерінің желілеріне қосуға техникалық шарттарды беру жөніндегі қызметтерге және квазимемлекеттік сектор субъектілерінің қызметтеріне қол жеткізудің бірыңғай терезесі болатын ақпараттық жүйе.

      3. Осы Қағидалар дербес деректері жинау және өңдеу процесінде меншік иелері, операторлар, субъектілер, сондай-ақ үшінші тұлғалар арасында туындайтын қатынастарға қолданылады.

      4. Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен осы Қағидалармен айқындалатын тәртіппен жүзеге асырады.

      Қайтыс болған (сот хабар-ошарсыз кеткен деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.

      5. Меншік иесінің және (немесе) оператордың дербес деректерді жинауға және өңдеуге жүзеге асырылатын міндеттерді орындау үшін қажетті және жеткілікті Дербес деректердің тізбесінде айқындалған (бұдан әрі – Дербес деректердің тізбесі) көлемде жол беріледі.

      Дербес деректердің тізбесі Қазақстан Республикасы Үкіметінің 2013 жылғы 12 қарашадағы № 1214 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың өздері жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті дербес деректердің тізбесін айқындау қағидаларына сәйкес айқындалады және бекітіледі.

      6. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, электрондық құжат нысанында немесе дербес деректердің қауіпсіздігін қамтамасыз ету сервисі арқылы не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-қимылдарының элементтерін қолдана отырып, өзге де тәсілмен келісім береді (кері қайтарып алады).

      7. Дербес деректерді жинау және өңдеу Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларына сәйкес дербес деректерді қорғау жөніндегі шараларды қамтамасыз ету шартымен Қазақстан Республикасының заңнамасында тыйым салынбаған кез келген тәсілмен жүзеге асырылады.

2-тарау. Дербес деректерді жинау

      8. Дербес деректерді жинау үшін меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектіден өзіне тиіс дербес деректерді жинауға, өңдеуге осы Қағидаларда айқындалатын тәртіппен келісім сұрайды.

      Заңның 8-бабының 3-тармағына сәйкес субъект "электрондық үкімет" веб-порталында пайдаланушы кабинеті, дербес деректердің қауіпсіздігін қамтамасыз ету сервисі, сондай-ақ субъектінің "электрондық үкімет" веб-порталында тіркелген ұялы байланысының абоненттік нөмірі арқылы "электрондық үкімет" веб-порталының хабарламасына жауап ретінде бір реттік парольді жіберу жолымен немесе қысқа мәтіндік хабар жөнелту жолымен дербес деректерді жинауға, өңдеуге келісім беруге құқылы.

      Субъектіден дербес деректерін сұраған кезде олардың атаулары, жинау және өңдеу мақсаттары Дербес деректердің тізбесінде көрсетілген атауларға, жинау және өңдеу мақсаттарына сәйкестігі қажет.

      9. Қазақстан Республикасының заңдарында белгіленген жағдайларда Заңның 24-бабының 2-тармағына сәйкес субъект өз дербес деректерін ұсынуға міндетті.

3-тарау. Дербес деректерді өңдеу

1-параграф. Дербес деректерді жинақтау және сақтау

      10. Дербес деректерді жинақтау меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға жүзеге асыратын міндеттерді орындау үшін қажетті және жеткілікті осы Қағидалардың 2-тарауына сәйкес жүргізіледі.

      11. Дербес деректерді сақтауды меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының аумағында сақталатын базада жүзеге асырады.

      12. Егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, дербес деректерді сақтау мерзімі оларды жинау және өңдеу мақсаттарына қол жеткізген күнмен айқындалады.

2-параграф. Дербес деректерді өзгерту және толықтыру

      13. Субъектінің тиісті құжаттармен расталған негіздер болған кезде, меншік иесінен және (немесе) оператордан өз дербес деректерін өзгертуді және толықтыруды талап етуге құқығы бар.

      14. Меншік иесі және (немесе) оператор бір жұмыс күні ішінде дербес деректердің анықтығын растайтын тиісті құжаттардың негізінде дербес деректерді өзгертеді және (немесе) толықтырады.

      15. Субъектінің меншік иесінде және (немесе) операторда, сондай-ақ үшінші тұлғада өз дербес деректерінің болуы туралы білуге, сондай-ақ:

      дербес деректерді жинау және өңдеу фактісін, мақсаттарын, көздерін, тәсілдерін растауды;

      дербес деректердің тізбесін;

      дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты алуға құқығы бар.

      Бұл ретте субъект немесе оның заңды өкілі ақпарат алу үшін меншік иесіне және (немесе) операторға не үшінші тұлғаға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен өтініш жасау (сұрау салу) жібереді.

      16. Меншік иесі және (немесе) оператор субъектіге қатысы бар ақпаратты, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, субъектінің немесе оның заңды өкілінің өтінішін алған күннен бастап 3 (үш) жұмыс күні ішінде хабарлайды.

      Субъектіге немесе оның заңды өкіліне ақпарат беруден бас тартқан жағдайда, егер Қазақстан Республикасының заңдарында өзге мерзімдер көзделмесе, меншік иесі және (немесе) оператор өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде дәлелді жауап ұсынады.

3-параграф. Дербес деректерді пайдалану, тарату және иесіздендіру

      17. Дербес деректерді пайдалануды меншік иесі, оператор және үшінші тұлға Дербес деректердің тізбесінде анықталатын оларды жинаудың бұрын мәлімделген мақсаттары үшін ғана жүзеге асырылады.

      18. Дербес деректерді жинаудың бұрын мәлімделген мақсаттарының шеңберінен шығатын жағдайларда тарату субъектінің немесе оның заңды өкілінің келісімімен жүзеге асырылады.

      19. Статистикалық, социологиялық, ғылыми, маркетингтік зерттеулер жүргізу үшін дербес деректер иесіздендіріледі.

      20. Иесіздендіруді меншік иесі және (немесе) оператор не үшінші тұлға олар таратылғанға дейін қойылған дербес деректерді өңдеу міндеттерін шешуге мүмкіндік беретін иесіздендірудің Қазақстан Республикасының заңнамасына қайшы келмейтін кез келген тәсілімен жүзеге асырады.

      21. Дербес деректерді иесіздендіру рәсімі жүргізілгеннен кейін бастапқы дербес деректерді кері қалпына келтіру мүмкіндігі жоқ.

      Меншік иесінің және (немесе) оператордың не үшінші тұлғаның дербес деректерді иесіздендіруге жұмсаған шығыстарын өтеу, егер меншік иесімен және (немесе) оператормен не үшінші тұлғамен келісімде өзгеше белгіленбесе, иесіздірілген дербес деректерді сұраған адамның есебінен жүзеге асыралды.

      22. Иесіздендіру рәсімінің сипаттамасы жеке деректерді иесіздендіру бойынша жүргізілетін іс-қимылдарды бір мәнді түсіндіруді қамтамасыз етеді және иесіздендіру алгоритмдерін және иесіздендірілген деректердің сапасына, оның еңбек сыйымдылығына, түрлі шабуылдарға төзімділігіне байланысты рәсім сипаттамаларын қамтиды.

      23. Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға иесіздендіру рәсімін пайдаланған кезде дербес деректер мен иесіздендірілген деректер жеке сақталады.

4-параграф. Дербес деректерді бұғаттау және жою

      24. Субъект немесе оның заңды өкілі меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны дербес деректерді жинау және оларды өңдеу бойынша талаптарды сақтаулары тұрғысынан тексеру мақсатында уәкілетті органға жүгінеді.

      Уәкілетті орган субъектінің немесе оның заңды өкілінің өтінішін меншік иесін және (немесе) операторды, сондай-ақ үшінші тұлғаны тартумен, "Жеке және заңды тұлғалардың өтініштерін қарау тәртібі туралы" 2007 жылғы 12 қаңтардағы Қазақстан Республикасының Заңында белгіленген мерзімдерде қарайды.

      Дербес деректерді жинау, өңдеу талаптарын бұзу фактілері анықталған жағдайда, сондай-ақ оларды Қазақстан Республикасының заңнамасын бұза отырып жинау, өңдеу фактісі расталған жағдайда, уәкілетті орган меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан дәйексіз, немесе заңсыз жолмен алынған дербес деректерді нақтылауды, оқшаулауды немесе жоюды, сондай-ақ дербес деректерді жинау және өңдеу рәсімдерін заңнамаға сәйкес келтіруді талап етеді.

      25. Субъект дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат мәлім болған жағдайда, меншік иесінен және (немесе) оператордан, сондай-ақ үшінші тұлғадан өз дербес деректерін бұғаттауды талап етеді.

      Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға Қазақстан Республикасының заңнамасын бұза отырып жинаған және өңдеген дербес деректер, сондай-ақ Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда дербес деректер субъектінің талабы бойынша жойылуы тиіс.

      26. Меншік иесі және (немесе) оператор бір жұмыс күні ішінде дербес деректерді жинау, өңдеу шарттарының бұзылғаны туралы ақпарат мәлім болған жағдайда, субъектіге қатысы бар дербес деректерді бұғаттайды.

      Меншік иесі және (немесе) оператор бір жұмыс күні ішінде дербес деректерді Қазақстан Республикасының заңнамасын бұза отырып жинау, өңдеу фактісі анықталған жағдайда, сондай-ақ Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда оларды жояды.

      27. Меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға дербес деректерді:

      1) Заңның 12-бабының 2-тармағына сәйкес сақтау мерзімі өткеннен кейін;

      2) субъект, меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға арасындағы құқықтық қатынастар тоқтатылған кезде;

      3) сот шешімі заңды күшіне енген кезде;

      4) Заңда және Қазақстан Республикасының өзге де нормативтік құқықтық актілерінде белгіленген өзге де жағдайларда жоюға тиіс.

      28. Дербес деректерді жою ақпаратты өшіру не дербес деректердің материалдық тасығыштарын жою жолымен жүзеге асырылады.

5-параграф. Соттардың қызметіндегі дербес деректерді өңдеу

      29. Қазақстан Республикасы Жоғарғы Сотының, Қазақстан Республикасының жергілікті және басқа да соттарының сот актілерінің мәтіндері мемлекеттік немесе заңмен қорғалатын өзге де құпияны құрайтын мәліметтерді қамтитын ережелерді көздейтін Сот актілерінің мәтіндерін, сондай-ақ жабық сот талқылауында қаралған істер бойынша сот актілерін қоспағанда, Қазақстан Республикасы Жоғарғы Сотының интернет-ресурсының "Сот кабинеті", "Сот актілерінің банкі" сервистерінде толық көлемде орналастырылады.

      30. Үшінші тұлғалардың Қазақстан Республикасы Жоғарғы Сотының, Қазақстан Республикасының жергілікті және басқа да соттарының сот актілерін жинауы және пайдалануы не таратуы кезінде сот процесіне қатысушылардың қауіпсіздігін қамтамасыз ету және заңмен қорғалатын құпияны қорғау мақсатында олардан дербес деректер алынып тасталады (иесіздендіріледі). Бұл ретте үшінші тұлғалар өзіне Заңның талаптарын орындауды қамтамасыз ету жөніндегі міндеттемелерді алады.

      Мыналар сот актілеріне қатысты дербес деректер болып табылады:

      1) сот процесіне қатысушылардың тегі, аты және әкесінің аты, туған күні мен жері, тұрғылықты немесе болатын жері, телефон нөмірлері, паспорттың немесе жеке басын куәландыратын өзге де құжаттың деректемелері, жеке тұлғаның – жеке сәйкестендіру нөмірі, дара кәсіпкер ретінде тіркеу есебінде тұрған жеке тұлғаның – салық төлеушінің сәйкестендіру нөмірі;

      2) сот процесіне қатысушылардың жер учаскесінің, ғимараттың, құрылыстың, тұрғын үйдің, пәтердің, көлік құралының орналасқан жері туралы мәліметтер, мүлкі туралы және банктердегі немесе өзге де кредиттік ұйымдардағы ақша қаражаты туралы өзге де мәліметтер, егер бұл мәліметтер істің мәніне қатысты болса.

      31. Жеке жағдайларда, сот ісін жүргізуге қатысушылардың жеке құқықтары мен заңды мүдделерін қорғау мақсатында ашық сот отырысында қаралған нақты істер бойынша сот актілерінде және сот отырысының хаттамаларында қамтылған дербес деректерге жалпы қолжетімділік сот ісін жүргізуге қатысушының өтініші бойынша, Қазақстан Республикасы Жоғарғы Сот Төрағасының және алқа төрағаларының, облыстық және оған теңестірілген соттар төрағаларының шешімімен шектелуі мүмкін.