БҰЙЫРАМЫН:
1. "Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары" Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығына (Нормативтік құқықтық актілердің мемлекеттік тіркеу тізілімінде № 27963 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:
бұйрықтың тақырыбы мынадай редакцияда жазылсын:
"Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидаларын бекіту туралы";
кіріспе мынадай редакцияда жазылсын:
"Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7-2) тармақшасына және Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-1) тармақшасына сәйкес БҰЙЫРАМЫН:";
көрсетілген бұйрықпен бекітілген Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидаларында:
1-тармақ мынадай редакцияда жазылсын:
"Осы дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7-2) тармақшасына, Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-1) тармақшасына сәйкес әзірленді және дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу тәртібін айқындайды.";
2-тармақ мынадай редакцияда жазылсын:
"2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:
1) "1414" Бірыңғай байланыс орталығының SMS-шлюзі – SMS хабарламаларды жіберуге және қабылдауға арналған "электрондық үкімет" құрауышы;
2) аутентификация токені – бастамашының және (немесе) оператордың түпнұсқалығын қосымша тексеруге арналған белгілі бір сандар мен әріптер жиынтығы түріндегі электрондық кілт;
3) банк – "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңына сәйкес банк қызметін жүзеге асыруға құқылы коммерциялық ұйым болып табылатын заңды тұлға;
4) бастамашы – дербес деректерге қол жеткізуге сұрау салуға бастамашы болатын ақпараттық жүйе;
5) верификация токені – бастамашының және (немесе) оператордың дербес деректер субъектісінен келісім алғанын растауға арналған белгілі бір сандар мен әріптер жиынтығы түріндегі электрондық кілт;
6) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;
7) дербес деректерге қол жеткізуді мемлекеттік бақылау сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінің дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;
8) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;
9) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
10) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
11) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;
12) қауіпсіздік токені – пайдаланушының ақпараттық қауіпсіздігін қамтамасыз етуге арналған JWT форматындағы белгілі бір сандар мен әріптердің жиынтығы түріндегі электрондық кілт, сонымен қатар оның иесін сәйкестендіру үшін қолданылады;
13) қызметті көрсетуші – Қазақстан Республикасының орталық мемлекеттік органдары, шет елдердегі мекемелері, облыстардың, республикалық маңызы бар қалалардың, астананың, аудандардың, облыстық маңызы бар қалалардың жергілікті атқарушы органдары, қаладағы аудандардың, аудандық маңызы бар қалалардың, кенттердің, ауылдардың, ауылдық округтердің әкімдері, сондай-ақ Қазақстан Республикасының заңнамасына сәйкес мемлекеттік қызметтер көрсететін жеке және заңды тұлғалар;
14) мобильді азаматтар базасы (бұдан әрі – МАБ) – "электрондық үкімет" пайдаланушыларының ұялы байланыс желісі абоненттік нөмірлерінің бірыңғай базасы;
15) "Мобильді үкімет" ақпараттық жүйесінің "1414" Бірыңғай байланыс орталығының SMS-шлюзі – SMS хабарламаларды жіберуге және қабылдауға арналған "электрондық үкіметтің" құрамдас бөлігі;
16) проактивті қызмет – қызметті көрсетушінің бастамасы бойынша қызметті алушының өтінішінсіз көрсетілетін мемлекеттік қызмет;
17) "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторы (бұдан әрі – "электрондық үкіметтің" операторы) – Қазақстан Республикасының Үкіметі айқындайтын, өзіне бекітілген "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының жұмыс істеуін қамтамасыз ету жүктелген заңды тұлға;
18) "электрондық үкіметтің" шлюзі (бұдан әрі – ЭҮШ) – "электрондық үкіметтің" ақпараттандыру объектілерін өзге де "электрондық үкіметтің" ақпараттандыру объектілерімен интеграциялауға арналған ақпараттық жүйе.";
4-тармақ мынадай редакцияда жазылсын:
"4. Ақпараттық жүйелер Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес болған кезде және ақпараттық қауіпсіздік талаптарына сәйкестігі бойынша сынақ хаттамалары болған жағдайда дербес деректерге қол жеткізу процесі мынадай тәсілдер:
1) бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге және "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы SMS-хабарлама субъектісінен жауап алуға сұрау салу арқылы (бұдан әрі – сұрау салу/жауап беру "1414" Бірыңғай байланыс орталығы арқылы);
2) бастамашының және (немесе) оператордың, оның ішінде банктер мен дербес деректерді қорғау саласындағы уәкілетті органмен келісімі бар ұйымдардың дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;
3) проактивті қызметтер көрсететін бастамашының дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – проактивті қызметтер көрсететін бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;
4) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 9-бабына сәйкес бастамашының дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – проактивті қызметтер көрсететін бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;
5) бастамашының және (немесе) оператордың "Мобильді үкімет" ақпараттық жүйесі арқылы дербес деректерге қол жеткізу үшін әріптік-сандық немесе сандық бір реттік коды бар SMS хабарлама түрінде Мемлекеттік сервиске жауап алуға сұрау салу және Мемлекеттік сервистен дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы әріптік-сандық немесе сандық бір реттік коды бар SMS-хабарлама түрінде жауап алуға сұрау салу (бұдан әрі – "Мобильді үкімет" ақпараттық жүйесі арқылы жіберілетін SMS хабарламалар арқылы Мемлекеттік сервиске сұрау салу/жауап беру жүзеге асырылады) жіберу арқылы жүзеге асырылады.";
6-тармақ мынадай редакцияда жазылсын:
"6. Бастамашының және (немесе) оператордың құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі осы тармақтың 1), 2) және 3) тармақшаларына сәйкес жүргізіледі.";
6-тармақ мынадай мазмұндағы 1), 2) және 3) тармақшалармен толықтырылсын:
"1) проактивті қызметтер көрсететін бастамашының құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:
бастамашының субъектіден оның дербес деректеріне қол жеткізуге келісімін мынадай тәсілдер арқылы алады:
биометриялық жүйелер;
электрондық цифрлық қолтаңбалар;
қағаз түріндегі ақпарат тасымалдағыштар;
бастамашының дербес деректерге қол жеткізуге сұрау салуы мемлекеттік сервиске электрондық цифрлық қолтаңбаның (бұдан әрі – эцқ) ашық кілті бар токен верификациясын және проактивті қызмет кодын (бастамашы ұсынады) жіберуі;
мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салу кезінде верификация токенінің бар-жоғын тексеруі;
мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;
мемлекеттік сервистің бизнес сәйкестендіру нөмірінің және проактивті қызмет кодының сәйкестігін тексеруі;
мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеруі;
мемлекеттік сервистің дербес деректерге қол жеткізудің ықтимал тәсілдерінің верификация токенінде көрсетілген тәсілдерге сәйкестігін тексеруі;
мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;
мемлекеттік сервистің барлық тексерулерден өткен жағдайда проактивті қызмет көрсету кезеңіне арналған қауіпсіздік токенін қалыптастыруы;
бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;
деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;
сұрау салуды өңдеу және деректер иесінің бастамашы және (немесе) операторға жауап жіберуі.
2) хаттама жүргізу режиміндегі сұрау салу/жауап беру арқылы дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:
бастамашының эцқ ашық кілті бар мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды верификация токенінде (алынған келісімнің жоқтығы туралы белгісі бар) және дербес деректер субъектісінің келісімін алмай дербес деректерге қол жеткізу негіздемелерінің анықтамалығынан кодты жіберуі;
мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салуда верификация токенінің бар-жоғын тексеруі;
мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;
мемлекеттік сервистің бизнес сәйкестендіру нөмірінің хаттама жүргізу режимінде қауіпсіздік токенін алу мүмкіндігі бар-жоғын тексеруі;
мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеру;
мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;
мемлекеттік сервистің барлық тексерулерден өткен жағдайда 15 минуттық қолдану мерзімі бар қауіпсіздік токенін қалыптастыруы;
бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;
деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;
сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі.
3) "мобильді үкімет" ақпараттық жүйесі арқылы жіберілетін sms хабарламалар негізінде мемлекеттік сервиске сұрау салу/жауап беру дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:
бастамашы және (немесе) оператор мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды жібереді;
мемлекеттік сервис дербес деректерге қол жеткізуге сұрау салудың өңдеу процесінде бар-жоғын тексереді;
егер сұрау салу өңдеу процесінде болса, мемлекеттік сервис "субъектінің жауабын күту" мәртебесін жібереді.
егер өңдеуде сұрау салу болмаса, мемлекеттік сервис бмг-ге субъектінің ұялы байланыс желісіндегі абоненттік нөмірін алу туралы сұрау салуды жібереді.
егер субъектінің абоненттік нөмірі бмг-де болмаса, ол "электрондық үкімет" веб-порталында тіркеуден өтеді.
субъектінің абоненттік нөмірін бмг-ден алғаннан кейін мемлекеттік сервис "мобильді үкімет" ақпараттық жүйесі арқылы әріптік-сандық немесе сандық бір реттік коды бар sms-хабарлама арқылы субъектінің дербес деректеріне қол жеткізуге сұрау салуды жібереді;
мемлекеттік сервистен "субъектінің жауабын күту" мәртебесі мен сұрау салу идентификаторын алғаннан кейін, бастамашы және (немесе) оператор мемлекеттік сервистің сұрау салу идентификаторын көрсетіп, қайталама сұрау салуды жібереді;
мемлекеттік сервис бастамашының және (немесе) оператор тарапынан қайталама сұрау салу жасалған кезде, сұрау салу идентификаторына сәйкес келетін және "мобильді үкімет" ақпараттық жүйесі арқылы жіберілген әріптік-сандық немесе сандық бір реттік коды бар қауіпсіздік токенін жібереді;
бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жібереді;
деректер иесі қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексереді;
сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі;";
5), 6), 7), 8) және 9) тармақшалары мынадай редакцияда жазылсын:
"5) мемлекеттік сервис қалыптастырған анықтамалық идентификатор, оған бастамашы және (немесе) оператор ұсынған мынадай деректер кіреді:
дербес деректерге қол жеткізу жүзеге асырылатын қызметтердің атауы;
"ServiceID" ЭҮШ сервис идентификаторларының тізімі;
қызмет көрсету мерзімі;
дербес деректерді сақтау және өңдеу уақыты;
6) сұрау салуды жіберу және субъектіден жауап алу тәсілінің белгісі;
7) Осы Қағидалардың 4-тармағына сәйкес 3 және 4-тәсіл бойынша келісім алу себептері бар мемлекеттік сервис қалыптастырған анықтамалықтың идентификаторы;
8) верификация токені осы Қағидалардың 4-тармағына сәйкес 2, 3 және 4-тәсілін таңдау кезінде көрсетіледі;
9) аутентификация токені;";
10) тармақша алып тасталсын;
мынадай мазмұндағы 11) тармақшамен толықтырылсын:
"11) бастамашының түпнұсқалығын тексеруге арналған деректер (логин / пароль немесе аутентификация токені);";
10-тармақ мынадай мазмұндағы екінші бөліммен толықтырылсын:
"Субъектіден тәсілдермен келісім алған кезде, бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру және проактивті қызмет көрсету шеңберінде бастамашының құралдарымен сұрау салу/жауап беру, бастамашы және (немесе) оператор қандай дербес деректерге қай кезеңге қолжетімділік берілетіні туралы ақпаратты көрсете отырып дербес деректерге қол жеткізуге сұрау салуды қалыптастырады.";
13-тармақ мынадай мазмұндағы 8) тармақшамен толықтырылсын:
"8) мемлекеттік сервис қалыптастырған қауіпсіздік токенінің бірегей идентификаторы.";
14-тармақ мынадай мазмұндағы 6) тармақшамен толықтырылсын:
"6) мемлекеттік сервисте қауіпсіздік токенін мемлекеттік сервисте құру мәніне тексеру және субъект тарапынан кері қайтарып алу.";
мынадай мазмұндағы 5-параграфпен толықтырылсын:
"5-параграф. Қауіпсіздік токенін қайтарып алу процесі
16. Қауіпсіздік токенін қайтарып алуға сұрау салуды субъект "электрондық үкімет" жүйелері арқылы қалыптастырады;
17. Қауіпсіздік токенін қайтарып алуға сұрау салу негізінде мемлекеттік сервис қарау үшін бастамашыға және (немесе) операторға қауіпсіздік токенін қайтарып алуға өтінімді қалыптастырады;
18. Бастамашы және (немесе) оператор қауіпсіздік токенін қайтарып алуға өтінімді 15 жұмыс күні ішінде қарайды. Субъект немесе оның заңды өкілі дербес деректердi жинауға, өңдеуге берген келісімді, егер бұл Қазақстан Республикасының заңдарына қайшы келсе не "Дербес деректер және оларды қорғау туралы" Заңның 8-бабына сәйкес орындалмаған міндеттемесі болған кезде кері қайтарып ала алмайды;
19. Бастамашы және (немесе) оператор қауіпсіздік токенін қайтарып алуға өтінімді оң қараған жағдайда, мемлекеттік сервис қауіпсіздік токенін "белсенді емес" мәртебесіне ауыстырады;
20. Бастамашы және (немесе) оператор қауіпсіздік токенін кері қайтарып алуға өтінімді теріс қараған жағдайда, бастамашы және (немесе) оператор қауіпсіздік токенін кері қайтарып алудан бас тартудың себептері мен негізін көрсетуі тиіс;
Қауіпсіздік токенін қайтарып алудан бас тарту үшін негізде нормативтік құжатқа, шартқа (нөмірі, күні, атауы) немесе өзге де орындалмаған міндеттемеге сілтеме көрсетіледі;
21. Егер бастамашы және (немесе) оператор 15 жұмыс күні ішінде қауіпсіздік токенін кері қайтару берілген өтінімді қарастырмаса, мемлекеттік сервис қауіпсіздік токенінің мәртебесін "белсенді емес" күйіне ауыстырады.".
2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:
1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;
2) осы бұйрық ресми жарияланғаннан кейін Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;
3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.
3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.
4. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді.
|
Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрі |
Ж. Мадиев |
