В соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" и подпунктом 268-2) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501, ПРИКАЗЫВАЮ:

      1. Утвердить прилагаемые Правила интеграции с государственным сервисом контроля доступа к персональным данным.

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      "СОГЛАСОВАН"
Министерство юстиции
Республики Казахстан

      "СОГЛАСОВАН"
Министерство образования и науки
Республики Казахстан

      "СОГЛАСОВАН"
Министерство здравоохранения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство труда
и социальной защиты населения
Республики Казахстан

      "СОГЛАСОВАН"
Министерство финансов
Республики Казахстан

Правила интеграции с государственным сервисом контроля доступа к персональным данным

Глава 1. Общие положения

      1. Настоящие Правила интеграции с государственным сервисом контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-4) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 268-2) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501 и определяют порядок интеграции с государственным сервисом контроля доступа к персональным данным.

      2. В настоящих Правилах используются следующие основные понятия:

      1) банк - юридическое лицо, являющееся коммерческой организацией, которое в соответствии в соответствии с Законом Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" правомочно осуществлять банковскую деятельность;

      2) инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

      3) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      4) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      5) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      6) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      7) SMS-шлюз Единого контакт-центра "1414" информационной системы "Мобильное правительство" – компонент "электронного правительства" для отправления и приема SMS-сообщений;

      8) токен безопасности – электронный ключ в виде набора определенного количества цифр и букв в формате JWT, предназначенный для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца;

      9) услугодатель – центральные государственные органы, загранучреждения Республики Казахстан, местные исполнительные органы областей, городов республиканского значения, столицы, районов, городов областного значения, акимы районов в городе, городов районного значения, поселков, сел, сельских округов, а также физические и юридические лица, оказывающие государственные услуги в соответствии с законодательством Республики Казахстан;

      10) проактивная услуга – государственная услуга, оказываемая без заявления услугополучателя по инициативе услугодателя;

      11) шлюз "электронного правительства" (далее – ШЭП) – информационная система, предназначенная для интеграции объектов информатизации "электронного правительства" с иными объектами информатизации;

      12) оператор информационно-коммуникационной инфраструктуры "электронного правительства" (далее – оператор "электронного правительства") – юридическое лицо, определяемое Правительством Республики Казахстан, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры "электронного правительства".

      3. Собственники и (или) операторы, третьи лица в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.

Глава 2. Порядок интеграции с государственным сервисом контроля доступа к персональным данным

      4. Для интеграции с государственным сервисом подается заявка на платформе "Smart Bridge" (далее – платформа).

      5. Заявка подается на Государственный сервис с указанием следующих данных:

      1) наименование услуг, в рамках которых будет получен доступ к персональным данным;

      2) сервисы, необходимые для оказания конкретных услуг, с описанием бизнес-процессов;

      3) период оказания услуг;

      4) время хранения и обработки персональных данных;

      5) обоснование для хранения персональных данных.

      При несоответствии заявки действующему законодательству Республики Казахстан, заявка возвращается на доработку.

      6. Заполнение заявки на платформе осуществляется в соответствии с инструкциями платформы по подключению.

      7. При подаче заявки указывается один из следующих способов отправки запроса на доступ к персональным данным, включая получение от субъекта согласия (отказ) на сбор, обработку персональных данных или их передачу третьим лицам. При соответствии информационных систем единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832, при наличии протоколов испытаний на соответствие требованиям информационной безопасности:

      1) запрос/ответ через Единый контакт-центр "1414" – данный способ доступен инициаторам и (или) операторам (по умолчанию);

      2) запрос/ответ средствами инициатора и (или) оператора – данный способ доступен инициаторам и (или) операторам, являющиеся банками или имеют согласование с уполномоченным органом в сфере защиты персональных данных, информационные системы, которых имеют оперативный центр информационной безопасности;

      3) запрос/ответ средствами инициатора в рамках оказания проактивной услуги – данный способ доступен инициаторам, оказывающим проактивные услуги;

      4) запрос/ответ в режиме протоколирования – данный способ доступен инициаторам в соответствии статьи 9 Закона Республики Казахстан "О персональных данных и их защите";

      5) Запрос/ответ в Государственный сервис осуществляются посредством SMS-сообщений, отправленных через информационную систему "Мобильное правительство" - данный способ доступен инициаторам и (или) операторам, при этом запрос отправляется в Государственный сервис в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом, а ответ предоставляется в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом в Государственный сервис.

      8. При выборе способа запрос/ответ средствами инициатора и (или) оператора в заявке на интеграцию с государственным сервисом прилагается протоколы испытаний.

      9. Сроки и порядок рассмотрения уполномоченным органом заявки на интеграцию с государственным сервисом составляет не более 10 (десяти) рабочих дней.

      10. После положительного рассмотрения заявки на интеграцию с государственным сервисом инициатор и (или) оператор:

      1) скачивает актуальную версию технической документации, содержащую описание процесса функционирования указанных на странице платформы, с примерами запросов и ответов государственного сервиса;

      2) при выборе способа запрос/ответ средствами инициатора и (или) оператора передают контактному лицу, указанному на странице платформы государственного сервиса открытую часть ключа электронной цифровой подписи организации, инициирующей запрос на доступ к персональным данным.

      11. В тестовой среде ШЭП и государственного сервиса оператор проводит десять успешных ответов с токеном безопасности, сформировав акт тестирования, прикладывает его к заявке на платформе.

      12. После рассмотрения акта тестирования производится интеграция в продуктивной среде ШЭП и государственного сервиса, в соответствии с Правилами интеграции объектов информатизации "электронного правительства", утвержденными приказом исполняющим обязанности Министра информации и коммуникаций Республики Казахстан от 29 марта 2018 года № 123 (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 16777).