О внесении изменений и дополнений в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным"

Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 17 июня 2025 года № 299/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 18 июня 2025 года № 36295

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов за № 27963) следующие изменения и дополнения:

      в заголовок вносится изменение на казахском языке, текст на русском языке не меняется;

      преамбулу изложить в следующей редакции:

      "В соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" и подпунктом 268-1) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года №501, ПРИКАЗЫВАЮ:";

      в Правилах функционирования государственного сервиса контроля доступа к персональным данным, утвержденных указанным приказом:

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Правила функционирования государственного сервиса контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 268-1) пункта 15 Положения о Министерстве цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 12 июля 2019 года № 501 и определяют порядок функционирования государственного сервиса контроля доступа к персональным данным.";

      пункт 2 изложить в следующей редакции:

      "2. В настоящих Правилах используются следующие основные понятия:

      1) SMS-шлюз Единого контакт-центра "1414" – компонент "электронного правительства" для отправления и приема SMS-сообщений;

      2) токен аутентификации - электронный ключ, в виде набора определенного количества цифр и букв, предназначенный для дополнительной проверки подлинности инициатора и (или) оператора;

      3) банк - юридическое лицо, являющееся коммерческой организацией, которое в соответствии с Законом Республики Казахстан "О банках и банковской деятельности в Республике Казахстан" правомочно осуществлять банковскую деятельность;

      4) инициатор – информационная система, инициирующая запрос на доступ к персональным данным;

      5) токен верификации – электронный ключ в виде набора определенного количества цифр и букв, предназначенный для подтверждения получения согласия инициатором и (или) оператором от субъекта персональных данных;

      6) персональные данные – сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;

      7) государственный сервис контроля доступа к персональным данным (далее – государственный сервис) – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;

      8) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

      9) собственник базы, содержащей персональные данные (далее – собственник) – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

      10) оператор базы, содержащей персональные данные (далее – оператор) – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

      11) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

      12) токен безопасности – электронный ключ в виде набора определенного количества цифр и букв в формате JWT, предназначенный для обеспечения информационной безопасности пользователя, также используется для идентификации его владельца;

      13) услугодатель – центральные государственные органы, загранучреждения Республики Казахстан, местные исполнительные органы областей, городов республиканского значения, столицы, районов, городов областного значения, акимы районов в городе, городов районного значения, поселков, сел, сельских округов, а также физические и юридические лица, оказывающие государственные услуги в соответствии с законодательством Республики Казахстан;

      14) база мобильных граждан (далее – БМГ) – единая база абонентских номеров сети сотовой связи пользователей "электронного правительства";

      15) SMS-шлюз Единого контакт-центра "1414" информационной системы "Мобильное правительство" – компонент "электронного правительства" для отправления и приема SMS-сообщений;

      16) проактивная услуга – государственная услуга, оказываемая без заявления услугополучателя по инициативе услугодателя;

      17) оператор информационно-коммуникационной инфраструктуры "электронного правительства" (далее – оператор "электронного правительства") – юридическое лицо, определяемое Правительством Республики Казахстан, на которое возложено обеспечение функционирования закрепленной за ним информационно-коммуникационной инфраструктуры "электронного правительства";

      18) шлюз "электронного правительства" (далее – ШЭП) – информационная система, предназначенная для интеграции объектов информатизации "электронного правительства" с иными объектами информатизации "электронного правительства";

      пункт 4 изложить в следующей редакции:

      "4. При соответствии информационных систем единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденным постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 и наличии протоколов испытаний на соответствие требованиям информационной безопасности, процесс получения доступа к персональным данным осуществляется следующими способами:

      1) посредством отправки инициатором и (или) оператором запроса на доступ к персональным данным и получение ответа от субъекта SMS-сообщения через SMS-шлюз Единого контакт-центра "1414" о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ через Единый контакт-центр "1414");

      2) посредством отправки инициатором и (или) оператором, в том числе банками и организациями, имеющими согласование с уполномоченным органом в сфере защиты персональных данных, запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора и (или) оператора о согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ средствами инициатора и (или) оператора);

      3) посредством отправки инициатором, оказывающим проактивные услуги запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ средствами инициатора, оказывающим проактивные услуги);

      4) посредством отправки инициатором, в соответствии со статьей 9 Закона Республики Казахстан "О персональных данных и их защите" запроса на доступ к персональным данным и получение ответа от субъекта в информационной системе инициатора согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ в режиме протоколирования);

      5) посредством отправки инициатором и (или) оператором запроса в Государственный сервис в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом, отправленным через информационную систему "Мобильное правительство" на доступ к персональным данным и получение ответа в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом в Государственный сервис согласии (отказ) на сбор и (или) обработку персональных данных или их передачу третьим лицам (далее – запрос/ответ в Государственный сервис осуществляются посредством SMS-сообщений, отправленных через информационную систему "Мобильное правительство");";

      пункт 6 изложить в следующей редакции:

      "6. Процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора осуществляется согласно подпунктам 1), 2) и 3) настоящего пункта.";

      Пункт 6 дополнить подпунктами 1), 2) и 3) следующего содержания:

      "1) процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги, состоит из:

      получения инициатором согласия у субъекта на доступ к его персональным данным следующими способами:

      системы биометрии;

      электронные цифровые подписи;

      бумажные носители информации;

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом электронно-цифровой подписи (далее – эцп) в токене верификации и кода проактивной услуги (предоставляется инициатором);

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом соответствия бизнес-идентификационного номера и кода проактивной услуги;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период оказания проактивной услуги при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору;

      2) процесс получения доступа к персональным данным посредством запроса/ответа в режиме протоколирования, состоит из:

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом эцп в токене верификации (с пометкой об отсутствии полученного согласия) и кода из справочника оснований получения доступа к персональным данным без получения согласия субъекта персональным данных;

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом бизнес-идентификационного номера на предмет возможности получения токена безопасности в режиме протоколирования;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период 15 минут при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору;

      3) процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляются посредством sms-сообщений, отправленных через информационную систему "мобильное правительство", состоит из:

      отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;

      проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;

      при наличии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет статус "ожидание ответа от субъекта".

      при отсутствии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к бмг.

      при отсутствии абонентского номера сети сотовой связи субъекта в бмг, субъект осуществляет регистрацию на веб-портале "электронного правительства".

      после получения абонентского номера сети сотовой связи субъекта от бмг, государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через информационную систему "мобильное правительство";

      после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса государственного сервиса, инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;

      отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через информационную систему "мобильное правительство";

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору;";

      в пункте 7:

      подпункты 5), 6), 7), 8) и 9) изложить в следующей редакции:

      "5) идентификатор справочника, сформированный государственным сервисом, который включает следующие данные, предоставленные инициатором и (или) оператором:

      наименование услуг, в рамках которых будет получен доступ к персональным данным;

      список идентификаторов сервисов "ServiceID" ШЭП;

      период оказания услуги;

      время хранения и обработки персональных данных;

      6) признак способа отправки запроса и получения ответа от субъекта;

      7) идентификатор справочника, сформированный государственным сервисом, с причинами получения согласия способами 3 и 4 в соответствии с пунктом 4 настоящих правил;

      8) токен верификации указывается при выборе способа 2, 3 и 4 в соответствии с пунктом 4 настоящих правил;

      9) токен аутентификации;";

      подпункт 10) исключить;

      дополнить подпунктом 11) следующего содержания:

      "11) данные для проверки подлинности инициатора (логин/пароль или токен аутентификации);";

      Пункт 10 дополнить частью второй следующего содержания:

      "При получении согласия у субъекта способами, запрос/ответ средствами инициатора и (или) оператора и запрос/ответ средствами инициатора в рамках оказания проактивной услуги, инициатор и (или) оператор формирует запрос на доступ к персональным данным с отображением информации к каким персональным данным будет предоставлен доступ и на какой период.";

      пункт 13 дополнить подпунктом 8) следующего содержания:

      "8) Уникальный идентификатор токена безопасности сформированный государственным сервисом;";

      пункт 14 дополнить подпунктом 6) следующего содержания:

      "6) Проверка токена безопасности в государственном сервисе на предмет создания в государственном сервисе и отзыв со стороны субъекта.";

      дополнить параграфом 5 следующего содержания:

      "Параграф 5. Процесс отзыва токена безопасности

      16. Запрос на отзыв токена безопасности формируется субъектом посредством систем "электронного правительства";

      17. На основании запроса на отзыв токена безопасности государственный сервис формирует заявку на отзыв токена безопасности к инициатору и (или) оператору для рассмотрения;

      18. Инициатор и (или) оператор рассматривает заявку на отзыв токена безопасности в течение 15 рабочих дней. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства согласно статьи 8 Закона "О персональных данных и их защите";

      19. При условии положительного рассмотрения, инициатором и (или) оператором, заявки на отзыв токена безопасности, государственный сервис переводит токен безопасности в статус "не активный";

      20. При условии отрицательного рассмотрения, инициатором и (или) оператором, заявки на отзыв токена безопасности, инициатор и (или) оператор должны указать причины и основание отказа в отзыве токена безопасности;

      В основании для отказа в отзыве токена безопасности указывается ссылка на нормативный документ, договор (номер, дата, наименование) или иное неисполненное обязательство;

      21. При условии отсутствия рассмотрения, инициатором и (или) оператором, заявки на отзыв токена безопасности, в течение 15 рабочих дней, государственный сервис переводит токен безопасности в статус "не активный".

      2. Комитету по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан 		Ж. Мадиев

"Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары" Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығына өзгерістер мен толықтырулар енгізу туралы

Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2025 жылғы 17 маусымдағы № 299/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2025 жылғы 18 маусымда № 36295 болып тіркелді

      БҰЙЫРАМЫН:

      1. "Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары" Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығына (Нормативтік құқықтық актілердің мемлекеттік тіркеу тізілімінде № 27963 болып тіркелген) мынадай өзгерістер мен толықтырулар енгізілсін:

      бұйрықтың тақырыбы мынадай редакцияда жазылсын:

      "Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидаларын бекіту туралы";

      кіріспе мынадай редакцияда жазылсын:

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 7-2) тармақшасына және Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-1) тармақшасына сәйкес БҰЙЫРАМЫН:";

      көрсетілген бұйрықпен бекітілген Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидаларында:

      1-тармақ мынадай редакцияда жазылсын:

      "Осы дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі – Заң) 27-1-бабы 1-тармағының 7-2) тармақшасына, Қазақстан Республикасы Үкіметінің 2019 жылғы 12 шілдедегі № 501 қаулысымен бекітілген Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі туралы ереженің 15-тармағының 268-1) тармақшасына сәйкес әзірленді және дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу тәртібін айқындайды.";

      2-тармақ мынадай редакцияда жазылсын:

      "2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

      1) "1414" Бірыңғай байланыс орталығының SMS-шлюзі – SMS хабарламаларды жіберуге және қабылдауға арналған "электрондық үкімет" құрауышы;

      2) аутентификация токені – бастамашының және (немесе) оператордың түпнұсқалығын қосымша тексеруге арналған белгілі бір сандар мен әріптер жиынтығы түріндегі электрондық кілт;

      3) банк – "Қазақстан Республикасындағы банктер және банк қызметі туралы" Қазақстан Республикасының Заңына сәйкес банк қызметін жүзеге асыруға құқылы коммерциялық ұйым болып табылатын заңды тұлға;

      4) бастамашы – дербес деректерге қол жеткізуге сұрау салуға бастамашы болатын ақпараттық жүйе;

      5) верификация токені – бастамашының және (немесе) оператордың дербес деректер субъектісінен келісім алғанын растауға арналған белгілі бір сандар мен әріптер жиынтығы түріндегі электрондық кілт;

      6) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тіркелген мәліметтер;

      7) дербес деректерге қол жеткізуді мемлекеттік бақылау сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінің дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісімін қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;

      8) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

      9) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      10) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

      11) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

      12) қауіпсіздік токені – пайдаланушының ақпараттық қауіпсіздігін қамтамасыз етуге арналған JWT форматындағы белгілі бір сандар мен әріптердің жиынтығы түріндегі электрондық кілт, сонымен қатар оның иесін сәйкестендіру үшін қолданылады;

      13) қызметті көрсетуші – Қазақстан Республикасының орталық мемлекеттік органдары, шет елдердегі мекемелері, облыстардың, республикалық маңызы бар қалалардың, астананың, аудандардың, облыстық маңызы бар қалалардың жергілікті атқарушы органдары, қаладағы аудандардың, аудандық маңызы бар қалалардың, кенттердің, ауылдардың, ауылдық округтердің әкімдері, сондай-ақ Қазақстан Республикасының заңнамасына сәйкес мемлекеттік қызметтер көрсететін жеке және заңды тұлғалар;

      14) мобильді азаматтар базасы (бұдан әрі – МАБ) – "электрондық үкімет" пайдаланушыларының ұялы байланыс желісі абоненттік нөмірлерінің бірыңғай базасы;

      15) "Мобильді үкімет" ақпараттық жүйесінің "1414" Бірыңғай байланыс орталығының SMS-шлюзі – SMS хабарламаларды жіберуге және қабылдауға арналған "электрондық үкіметтің" құрамдас бөлігі;

      16) проактивті қызмет – қызметті көрсетушінің бастамасы бойынша қызметті алушының өтінішінсіз көрсетілетін мемлекеттік қызмет;

      17) "электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының операторы (бұдан әрі – "электрондық үкіметтің" операторы) – Қазақстан Республикасының Үкіметі айқындайтын, өзіне бекітілген "Электрондық үкіметтің" ақпараттық-коммуникациялық инфрақұрылымының жұмыс істеуін қамтамасыз ету жүктелген заңды тұлға;

      18) "электрондық үкіметтің" шлюзі (бұдан әрі – ЭҮШ) – "электрондық үкіметтің" ақпараттандыру объектілерін өзге де "электрондық үкіметтің" ақпараттандыру объектілерімен интеграциялауға арналған ақпараттық жүйе.";

      4-тармақ мынадай редакцияда жазылсын:

      "4. Ақпараттық жүйелер Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға сәйкес болған кезде және ақпараттық қауіпсіздік талаптарына сәйкестігі бойынша сынақ хаттамалары болған жағдайда дербес деректерге қол жеткізу процесі мынадай тәсілдер:

      1) бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге және "1414" Бірыңғай байланыс орталығының SMS-шлюзі арқылы дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы SMS-хабарлама субъектісінен жауап алуға сұрау салу арқылы (бұдан әрі – сұрау салу/жауап беру "1414" Бірыңғай байланыс орталығы арқылы);

      2) бастамашының және (немесе) оператордың, оның ішінде банктер мен дербес деректерді қорғау саласындағы уәкілетті органмен келісімі бар ұйымдардың дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;

      3) проактивті қызметтер көрсететін бастамашының дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – проактивті қызметтер көрсететін бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;

      4) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 9-бабына сәйкес бастамашының дербес деректерге қол жеткізуге және субъектіден бастамашының және (немесе) оператордың ақпараттық жүйесіндегі дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы жауап алуға сұрау салу (бұдан әрі – проактивті қызметтер көрсететін бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру) жіберу арқылы;

      5) бастамашының және (немесе) оператордың "Мобильді үкімет" ақпараттық жүйесі арқылы дербес деректерге қол жеткізу үшін әріптік-сандық немесе сандық бір реттік коды бар SMS хабарлама түрінде Мемлекеттік сервиске жауап алуға сұрау салу және Мемлекеттік сервистен дербес деректерді жинауға және (немесе) өңдеуге немесе оларды үшінші тұлғаларға беруге келісімі (бас тартуы) туралы әріптік-сандық немесе сандық бір реттік коды бар SMS-хабарлама түрінде жауап алуға сұрау салу (бұдан әрі – "Мобильді үкімет" ақпараттық жүйесі арқылы жіберілетін SMS хабарламалар арқылы Мемлекеттік сервиске сұрау салу/жауап беру жүзеге асырылады) жіберу арқылы жүзеге асырылады.";

      6-тармақ мынадай редакцияда жазылсын:

      "6. Бастамашының және (немесе) оператордың құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі осы тармақтың 1), 2) және 3) тармақшаларына сәйкес жүргізіледі.";

      6-тармақ мынадай мазмұндағы 1), 2) және 3) тармақшалармен толықтырылсын:

      "1) проактивті қызметтер көрсететін бастамашының құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашының субъектіден оның дербес деректеріне қол жеткізуге келісімін мынадай тәсілдер арқылы алады:

      биометриялық жүйелер;

      электрондық цифрлық қолтаңбалар;

      қағаз түріндегі ақпарат тасымалдағыштар;

      бастамашының дербес деректерге қол жеткізуге сұрау салуы мемлекеттік сервиске электрондық цифрлық қолтаңбаның (бұдан әрі – эцқ) ашық кілті бар токен верификациясын және проактивті қызмет кодын (бастамашы ұсынады) жіберуі;

      мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салу кезінде верификация токенінің бар-жоғын тексеруі;

      мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;

      мемлекеттік сервистің бизнес сәйкестендіру нөмірінің және проактивті қызмет кодының сәйкестігін тексеруі;

      мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеруі;

      мемлекеттік сервистің дербес деректерге қол жеткізудің ықтимал тәсілдерінің верификация токенінде көрсетілген тәсілдерге сәйкестігін тексеруі;

      мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;

      мемлекеттік сервистің барлық тексерулерден өткен жағдайда проактивті қызмет көрсету кезеңіне арналған қауіпсіздік токенін қалыптастыруы;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;

      деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;

      сұрау салуды өңдеу және деректер иесінің бастамашы және (немесе) операторға жауап жіберуі.

      2) хаттама жүргізу режиміндегі сұрау салу/жауап беру арқылы дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашының эцқ ашық кілті бар мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды верификация токенінде (алынған келісімнің жоқтығы туралы белгісі бар) және дербес деректер субъектісінің келісімін алмай дербес деректерге қол жеткізу негіздемелерінің анықтамалығынан кодты жіберуі;

      мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салуда верификация токенінің бар-жоғын тексеруі;

      мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;

      мемлекеттік сервистің бизнес сәйкестендіру нөмірінің хаттама жүргізу режимінде қауіпсіздік токенін алу мүмкіндігі бар-жоғын тексеруі;

      мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеру;

      мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;

      мемлекеттік сервистің барлық тексерулерден өткен жағдайда 15 минуттық қолдану мерзімі бар қауіпсіздік токенін қалыптастыруы;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;

      деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;

      сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі.

      3) "мобильді үкімет" ақпараттық жүйесі арқылы жіберілетін sms хабарламалар негізінде мемлекеттік сервиске сұрау салу/жауап беру дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашы және (немесе) оператор мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды жібереді;

      мемлекеттік сервис дербес деректерге қол жеткізуге сұрау салудың өңдеу процесінде бар-жоғын тексереді;

      егер сұрау салу өңдеу процесінде болса, мемлекеттік сервис "субъектінің жауабын күту" мәртебесін жібереді.

      егер өңдеуде сұрау салу болмаса, мемлекеттік сервис бмг-ге субъектінің ұялы байланыс желісіндегі абоненттік нөмірін алу туралы сұрау салуды жібереді.

      егер субъектінің абоненттік нөмірі бмг-де болмаса, ол "электрондық үкімет" веб-порталында тіркеуден өтеді.

      субъектінің абоненттік нөмірін бмг-ден алғаннан кейін мемлекеттік сервис "мобильді үкімет" ақпараттық жүйесі арқылы әріптік-сандық немесе сандық бір реттік коды бар sms-хабарлама арқылы субъектінің дербес деректеріне қол жеткізуге сұрау салуды жібереді;

      мемлекеттік сервистен "субъектінің жауабын күту" мәртебесі мен сұрау салу идентификаторын алғаннан кейін, бастамашы және (немесе) оператор мемлекеттік сервистің сұрау салу идентификаторын көрсетіп, қайталама сұрау салуды жібереді;

      мемлекеттік сервис бастамашының және (немесе) оператор тарапынан қайталама сұрау салу жасалған кезде, сұрау салу идентификаторына сәйкес келетін және "мобильді үкімет" ақпараттық жүйесі арқылы жіберілген әріптік-сандық немесе сандық бір реттік коды бар қауіпсіздік токенін жібереді;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жібереді;

      деректер иесі қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексереді;

      сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі;";

      7-тармақта:

      5), 6), 7), 8) және 9) тармақшалары мынадай редакцияда жазылсын:

      "5) мемлекеттік сервис қалыптастырған анықтамалық идентификатор, оған бастамашы және (немесе) оператор ұсынған мынадай деректер кіреді:

      дербес деректерге қол жеткізу жүзеге асырылатын қызметтердің атауы;

      "ServiceID" ЭҮШ сервис идентификаторларының тізімі;

      қызмет көрсету мерзімі;

      дербес деректерді сақтау және өңдеу уақыты;

      6) сұрау салуды жіберу және субъектіден жауап алу тәсілінің белгісі;

      7) Осы Қағидалардың 4-тармағына сәйкес 3 және 4-тәсіл бойынша келісім алу себептері бар мемлекеттік сервис қалыптастырған анықтамалықтың идентификаторы;

      8) верификация токені осы Қағидалардың 4-тармағына сәйкес 2, 3 және 4-тәсілін таңдау кезінде көрсетіледі;

      9) аутентификация токені;";

      10) тармақша алып тасталсын;

      мынадай мазмұндағы 11) тармақшамен толықтырылсын:

      "11) бастамашының түпнұсқалығын тексеруге арналған деректер (логин / пароль немесе аутентификация токені);";

      10-тармақ мынадай мазмұндағы екінші бөліммен толықтырылсын:

      "Субъектіден тәсілдермен келісім алған кезде, бастамашының және (немесе) оператордың құралдарымен сұрау салу/жауап беру және проактивті қызмет көрсету шеңберінде бастамашының құралдарымен сұрау салу/жауап беру, бастамашы және (немесе) оператор қандай дербес деректерге қай кезеңге қолжетімділік берілетіні туралы ақпаратты көрсете отырып дербес деректерге қол жеткізуге сұрау салуды қалыптастырады.";

      13-тармақ мынадай мазмұндағы 8) тармақшамен толықтырылсын:

      "8) мемлекеттік сервис қалыптастырған қауіпсіздік токенінің бірегей идентификаторы.";

      14-тармақ мынадай мазмұндағы 6) тармақшамен толықтырылсын:

      "6) мемлекеттік сервисте қауіпсіздік токенін мемлекеттік сервисте құру мәніне тексеру және субъект тарапынан кері қайтарып алу.";

      мынадай мазмұндағы 5-параграфпен толықтырылсын:

      "5-параграф. Қауіпсіздік токенін қайтарып алу процесі

      16. Қауіпсіздік токенін қайтарып алуға сұрау салуды субъект "электрондық үкімет" жүйелері арқылы қалыптастырады;

      17. Қауіпсіздік токенін қайтарып алуға сұрау салу негізінде мемлекеттік сервис қарау үшін бастамашыға және (немесе) операторға қауіпсіздік токенін қайтарып алуға өтінімді қалыптастырады;

      18. Бастамашы және (немесе) оператор қауіпсіздік токенін қайтарып алуға өтінімді 15 жұмыс күні ішінде қарайды. Субъект немесе оның заңды өкілі дербес деректердi жинауға, өңдеуге берген келісімді, егер бұл Қазақстан Республикасының заңдарына қайшы келсе не "Дербес деректер және оларды қорғау туралы" Заңның 8-бабына сәйкес орындалмаған міндеттемесі болған кезде кері қайтарып ала алмайды;

      19. Бастамашы және (немесе) оператор қауіпсіздік токенін қайтарып алуға өтінімді оң қараған жағдайда, мемлекеттік сервис қауіпсіздік токенін "белсенді емес" мәртебесіне ауыстырады;

      20. Бастамашы және (немесе) оператор қауіпсіздік токенін кері қайтарып алуға өтінімді теріс қараған жағдайда, бастамашы және (немесе) оператор қауіпсіздік токенін кері қайтарып алудан бас тартудың себептері мен негізін көрсетуі тиіс;

      Қауіпсіздік токенін қайтарып алудан бас тарту үшін негізде нормативтік құжатқа, шартқа (нөмірі, күні, атауы) немесе өзге де орындалмаған міндеттемеге сілтеме көрсетіледі;

      21. Егер бастамашы және (немесе) оператор 15 жұмыс күні ішінде қауіпсіздік токенін кері қайтару берілген өтінімді қарастырмаса, мемлекеттік сервис қауіпсіздік токенінің мәртебесін "белсенді емес" күйіне ауыстырады.".

      2. Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрық ресми жарияланғаннан кейін Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі вице-министріне жүктелсін.

      4. Осы бұйрық оның алғашқы ресми жарияланған күнінен кейінгі он күнтізбелік күн өткен соң күшіне енеді.

      Қазақстан Республикасының
Цифрлық даму, инновациялар және
аэроғарыш өнеркәсібі министрі 		Ж. Мадиев