О внесении изменений в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ "Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных"

Приказ Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития Республики Казахстан от 22 декабря 2025 года № 672/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 23 декабря 2025 года № 37650

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НҚ "Об утверждении Правил осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 32810) следующие изменения:

      преамбулу изложить в новой редакции:

      "В соответствии с подпунктом 2-3) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" и подпунктом 467) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 ПРИКАЗЫВАЮ:";

      в Правилах осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных, утвержденных указанным приказом:

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Правила осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных (далее – Правила) разработаны в соответствии с подпунктом 2-3) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон) и подпунктом 467) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 и определяют порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных.";

      пункт 7 изложить в следующей редакции:

      "7. Собственник и (или) оператор при обработке персональных данных ограниченного доступа:

      1) устанавливают цели обработки персональных данных ограниченного доступа. Персональные данные ограниченного доступа используются в соответствии с декларируемыми целями.

      2) определяют порядок обработки, распространения и доступа к персональным данным ограниченного доступа;

      3) определяют порядок блокирования персональных данных ограниченного доступа, относящихся к субъекту, при обращении субъекта.

      Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:

      1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;

      2) оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;

      3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;

      4) обеспечивают ведение журнала событий систем управления базами;

      5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;

      6) применяют средства контроля целостности персональных данных ограниченного доступа;

      7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;

      8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;

      9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;

      10) применяют средства идентификации и (или) аутентификации пользователей, в том числе биометрической аутентификации для базы, содержащей более ста тысяч записей персональных данных при работе с персональными данными ограниченного доступа.";

      в пункте 8 вносятся изменения на казахском языке, текст на русском языке не меняется.

      2. Комитету по информационной безопасности Министерства искусственного интеллекта и цифрового развития Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства искусственного интеллекта и цифрового развития Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства искусственного интеллекта и цифрового развития Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра искусственного интеллекта и цифрового развития Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Заместитель Премьер-Министра
– Министр искусственного интеллекта
и цифрового развития
Республики Казахстан 		Ж. Мадиев

"Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 12 маусымдағы № 179/НҚ бұйрығына өзгерістер енгізу туралы

Қазақстан Республикасы Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 2025 жылғы 22 желтоқсандағы № 672/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2025 жылғы 23 желтоқсанда № 37650 болып тіркелді

      БҰЙЫРАМЫН:

      1. "Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2023 жылғы 12 маусымдағы № 179/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 32810 болып тіркелген) мынадай өзгерістер енгізілсін:

      кіріспе жаңа редакцияда жазылсын:

      ""Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының 27-1-бабы 1-тармағының 2-3) тармақшасына және Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 467) тармақшасына сәйкес БҰЙЫРАМЫН:";

      көрсетілген бұйрықпен бекітілген Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларында:

      "1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының Заңы (бұдан әрі – Заң) 27-1-бабының 1-тармағының 2-3) тармақшасына және Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 467) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.";

      7-тармақ мынадай редакцияда жазылсын:

      "7. Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор:

      1) қолжетімділігі шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділігі шектеулі дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;

      2) қолжетімділігі шектеулі дербес деректерді өңдеу, тарату және оларға қол жеткізу тәртібін айқындайды;

      3) субъект өтініш берген кезде субъектіге қатысты қолжетімділігі шектеулі дербес деректерді бұғаттау тәртібін айқындайды.

      Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:

      1) қолжетімділігі шектеулі дербес деректерге рұқсаты бар адамдардың тізбесін айқындайды;

      2) қолжетімділігі шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздіктің оқыс оқиғалары туралы уәкілетті органды хабардар етеді;

      3) қолжетімділігі шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;

      4) базаларды басқару жүйелерінің оқиғаларын журналдауды қамтамасыз етеді;

      5) қолжетімділігі шектеулі дербес деректерге рұқсаты бар пайдаланушылардың іс-қимылдарын журналдауды қамтамасыз етеді;

      6) қолжетімділігі шектеулі дербес деректердің тұтастығын бақылау құралдарын қолданады;

      7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділігі шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;

      8) қолжетімділігі шектеулі дербес деректер қамтылған бизнес-процестерді бөледі;

      9) қолжетімділігі шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;

      10) қолжетімділігі шектеулі дербес деректермен жұмыс жасаған кезде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау, оның ішінде қолжетімділігі шектеулі дербес деректермен жұмыс істеу кезінде жүз мыңнан астам дербес деректерді қамтитын база үшін биометриялық аутентификациялау құралдарын қолданады.";

      8-тармақ мынадай редакцияда жазылсын:

      "8. Қолжетімділігі шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.

      Қолжетімділігі шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 "Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар" Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.

      Осы тармақтың талаптары деректерді трансшекаралық беру жағдайларына қолданылмайды.".

      2. Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1)осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2)осы бұйрық ресми жарияланғаннан кейін оны Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің интернет-ресурсында орналастыруды;

      3)осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Жасанды интеллект және цифрлық даму вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Премьер-Министрінің орынбасары –
Жасанды интеллект және цифрлық даму министрі 		Ж. Мадиев