Әділет
Әділет

О внесении изменений и дополнения в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным"

Новый

Приказ Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития Республики Казахстан от 5 марта 2026 года № 120/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 11 марта 2026 года № 38126

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 27963) следующие изменения и дополнение:

      преамбулу изложить в следующей редакции:

      "В соответствии с Законом Республики Казахстан "О персональных данных и их защите" и подпунктом 347) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846, ПРИКАЗЫВАЮ:";

      в Правилах функционирования государственного сервиса контроля доступа к персональным данным, утвержденных указанным приказом:

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Правила функционирования государственного сервиса контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 347) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 определяют порядок функционирования государственного сервиса контроля доступа к персональным данным.";

      в пункте 2:

      подпункт 6) изложить в следующей редакции:

      "6) персональные данные – данные, в том числе биометрические, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;";

      дополнить подпунктом 8-1) в следующей редакции:

      "8-1) автоматизированная обработка персональных данных – обработка персональных данных объектом информатизации, исключающая участие собственника и (или) оператора, а также третьего лица в процессе обработки;";

      пункт 3 изложить в следующей редакции:

      "3. Функционирование государственного сервиса контроля доступа к персональным данным осуществляется при автоматизации, в том числе при автоматизированной обработке персональных данных, следующих процессов:

      1) информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта согласия на сбор, обработку, в том числе автоматизированную обработку персональных данных или их передачу третьим лицам;

      2) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      3) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку, в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      4) уведомление субъекта о действиях, в том числе автоматизированную обработку, с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      5) представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку, в том числе автоматизированную обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.";

      пункт 6 изложить в следующей редакции:

      "6. Процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора осуществляется согласно подпунктам 1), 2) и 3) настоящего пункта.

      1) процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги, состоит из:

      получения инициатором согласия у субъекта на доступ к его персональным данным следующими способами:

      системы биометрии;

      электронные цифровые подписи;

      бумажные носители информации;

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом электронно-цифровой подписи (далее – эцп) в токене верификации и кода проактивной услуги (предоставляется инициатором);

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом соответствия бизнес-идентификационного номера и кода проактивной услуги;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период оказания проактивной услуги при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      2) процесс получения доступа к персональным данным посредством запроса/ответа в режиме протоколирования, состоит из:

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом эцп в токене верификации (с пометкой об отсутствии полученного согласия) и кода из справочника оснований получения доступа к персональным данным без получения согласия субъекта персональным данных;

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом бизнес-идентификационного номера на предмет возможности получения токена безопасности в режиме протоколирования;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период 15 минут при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      3) процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляются посредством sms-сообщений, отправленных через информационную систему "мобильное правительство", состоит из:

      отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;

      проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;

      при наличии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет статус "ожидание ответа от субъекта";

      при отсутствии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к бмг;

      при отсутствии абонентского номера сети сотовой связи субъекта в бмг, субъект осуществляет регистрацию на веб-портале "электронного правительства";

      после получения абонентского номера сети сотовой связи субъекта от бмг, государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через информационную систему "мобильное правительство";

      после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса государственного сервиса, инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;

      отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через информационную систему "мобильное правительство";

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      По процессам, предусмотренным подпунктами 1) и 2) настоящего пункта, получение согласия субъекта персональных данных и (или) предоставление доступа к персональным данным посредством одноразового пароля (OTP), направляемого через сотовые сети связи, не осуществляется.".

      2. Комитету по информационной безопасности Министерства искусственного интеллекта и цифрового развития Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства искусственного интеллекта и цифрового развития Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства искусственного интеллекта и цифрового развития Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра искусственного интеллекта и цифрового развития Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Заместитель Премьер-Министра
– Министр искусственного интеллекта
и цифрового развития
Республики Казахстан 		Ж. Мадиев

Если Вы обнаружили на странице ошибку, выделите мышью слово или фразу и нажмите сочетание клавиш Ctrl+Enter

 

поиск по странице

Введите строку для поиска

Совет: в браузере есть встроенный поиск по странице, он работает быстрее. Вызывается чаще всего клавишами ctrl-F.