О внесении изменений и дополнения в приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным"

Приказ Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития Республики Казахстан от 5 марта 2026 года № 120/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 11 марта 2026 года № 38126

      ПРИКАЗЫВАЮ:

      1. Внести в приказ Министра цифрового развития и аэрокосмической промышленности Республики Казахстан от 29 апреля 2022 года № 144/НҚ "Об утверждении Правил функционирования государственного сервиса контроля доступа к персональным данным" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 27963) следующие изменения и дополнение:

      преамбулу изложить в следующей редакции:

      "В соответствии с Законом Республики Казахстан "О персональных данных и их защите" и подпунктом 347) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846, ПРИКАЗЫВАЮ:";

      в Правилах функционирования государственного сервиса контроля доступа к персональным данным, утвержденных указанным приказом:

      пункт 1 изложить в следующей редакции:

      "1. Настоящие Правила функционирования государственного сервиса контроля доступа к персональным данным (далее – Правила) разработаны в соответствии с подпунктом 7-2) пункта 1 статьи 27-1 Закона Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 347) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 определяют порядок функционирования государственного сервиса контроля доступа к персональным данным.";

      в пункте 2:

      подпункт 6) изложить в следующей редакции:

      "6) персональные данные – данные, в том числе биометрические, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;";

      дополнить подпунктом 8-1) в следующей редакции:

      "8-1) автоматизированная обработка персональных данных – обработка персональных данных объектом информатизации, исключающая участие собственника и (или) оператора, а также третьего лица в процессе обработки;";

      пункт 3 изложить в следующей редакции:

      "3. Функционирование государственного сервиса контроля доступа к персональным данным осуществляется при автоматизации, в том числе при автоматизированной обработке персональных данных, следующих процессов:

      1) информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта согласия на сбор, обработку, в том числе автоматизированную обработку персональных данных или их передачу третьим лицам;

      2) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      3) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку, в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;

      4) уведомление субъекта о действиях, в том числе автоматизированную обработку, с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);

      5) представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку, в том числе автоматизированную обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.";

      пункт 6 изложить в следующей редакции:

      "6. Процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора осуществляется согласно подпунктам 1), 2) и 3) настоящего пункта.

      1) процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги, состоит из:

      получения инициатором согласия у субъекта на доступ к его персональным данным следующими способами:

      системы биометрии;

      электронные цифровые подписи;

      бумажные носители информации;

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом электронно-цифровой подписи (далее – эцп) в токене верификации и кода проактивной услуги (предоставляется инициатором);

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом соответствия бизнес-идентификационного номера и кода проактивной услуги;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период оказания проактивной услуги при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      2) процесс получения доступа к персональным данным посредством запроса/ответа в режиме протоколирования, состоит из:

      отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом эцп в токене верификации (с пометкой об отсутствии полученного согласия) и кода из справочника оснований получения доступа к персональным данным без получения согласия субъекта персональным данных;

      проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;

      проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;

      проверки государственным сервисом бизнес-идентификационного номера на предмет возможности получения токена безопасности в режиме протоколирования;

      проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;

      проверки государственным сервисом даты формирования токена верификации;

      формирования государственным сервисом токена безопасности на период 15 минут при прохождении всех проверок токена верификации;

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      3) процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляются посредством sms-сообщений, отправленных через информационную систему "мобильное правительство", состоит из:

      отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;

      проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;

      при наличии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет статус "ожидание ответа от субъекта";

      при отсутствии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к бмг;

      при отсутствии абонентского номера сети сотовой связи субъекта в бмг, субъект осуществляет регистрацию на веб-портале "электронного правительства";

      после получения абонентского номера сети сотовой связи субъекта от бмг, государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через информационную систему "мобильное правительство";

      после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса государственного сервиса, инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;

      отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через информационную систему "мобильное правительство";

      отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;

      проверки собственником токена безопасности на соответствие запросу и сроку действия;

      обработки запроса и отправление ответа собственником инициатору и (или) оператору.

      По процессам, предусмотренным подпунктами 1) и 2) настоящего пункта, получение согласия субъекта персональных данных и (или) предоставление доступа к персональным данным посредством одноразового пароля (OTP), направляемого через сотовые сети связи, не осуществляется.".

      2. Комитету по информационной безопасности Министерства искусственного интеллекта и цифрового развития Республики Казахстан в установленном законодательством порядке обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства искусственного интеллекта и цифрового развития Республики Казахстан после его официального опубликования;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства искусственного интеллекта и цифрового развития Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра искусственного интеллекта и цифрового развития Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Заместитель Премьер-Министра – Министр искусственного интеллекта и цифрового развития Республики Казахстан

Ж. Мадиев

"Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары" Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығына өзгерістер мен толықтыру енгізу туралы

Қазақстан Республикасы Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 2026 жылғы 5 наурыздағы № 120/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 11 наурызда № 38126 болып тіркелді

      БҰЙЫРАМЫН:

      1. "Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары" Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2022 жылғы 29 сәуірдегі № 144/НҚ бұйрығына (нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 27963 болып тіркелген) мынадай өзгерістер мен толықтыру енгізілсін:

      кіріспе мынадай редакцияда жазылсын:

      "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңына және Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 347) тармақшасына сәйкес БҰЙЫРАМЫН:";

      1. Көрсетілген бұйрықпен бекітілген Дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидаларында:

      1-тармақ мынадай редакцияда жазылсын:

      "1. Осы дербес деректерге қол жеткізуді мемлекеттік бақылау сервисінің жұмыс істеу қағидалары (бұдан әрі – қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңының (бұдан әрі - Заң) 27-1-бабы 1-тармағының 7-2) тармақшасына, Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 347) тармақшасына сәйкес әзірленді және дербес деректерге қол жеткізуді мемлекеттік бақылаудың мемлекеттік сервисінің жұмыс істеу тәртібін айқындайды.";

      2-тармақта:

      6) тармақшасы мынадай редакцияда жазылсын:

      "6) дербес деректер – оның ішінде биометриялық, негізінде дербес деректер субъектісіне қатысты айқындалған немесе айқындалатын, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген деректер;";

      мынадай редакциядағы 8-1) тармақшамен толықтырылсын:

      "8-1) дербес деректерді автоматтандырылған өңдеу – ақпараттандыру объектісінің дербес деректерді өңдеуі, бұл меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның өңдеу процесіне қатысуын болғызбайды;";

      3-тармақ мынадай редакцияда жазылсын:

      "3. Дербес деректерге қол жеткізуді мемлекеттік бақылаудың сервисінің жұмыс істеуі мынадай процестерді автоматтандыру, оның ішінде дербес деректерді автоматтандырылған өңдеу:

      1) субъектіден дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілерінде қамтылған дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың субъектімен және уәкілетті органмен ақпараттық өзара іс-қимылы, оның ішінде автоматтандырылған өңдеуі;

      2) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге, оның ішінде дербес деректерді автоматтандырылған өңдеуге келісім беруі (бас тартуы);

      3) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге, оның ішінде дербес деректерді автоматтандырылған өңдеуге келісім беруін (бас тартуын) кері қайтарып алуы;

      4) субъектіні мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерімен жасалатын іс-әрекеттер, оның ішінде дербес деректерді автоматтандырылған өңдеу туралы хабардар ету (қол жеткізу, қарау, өзгерту, толықтыру, беру, бұғаттау, жою);

      5) субъектіге мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерін жинауға және (немесе) өңдеуге, оның ішінде дербес деректерді автоматтандырылған өңдеуге келісімі бар меншік иелері және (немесе) операторлар туралы мәліметтерді ұсыну кезінде жүзеге асырылады.";

      6-тармақ мынадай редакцияда жазылсын:

      "6. Бастамашының және (немесе) оператордың құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі осы тармақтың 1), 2) және 3) тармақшаларына сәйкес жүргізіледі.

      1) проактивті қызметтер көрсететін бастамашының құралдары арқылы сұрау салу/жауап беру негізінде дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашының субъектіден оның дербес деректеріне қол жеткізуге келісімін мынадай тәсілдер арқылы алады:

      биометриялық жүйелер;

      электрондық цифрлық қолтаңбалар;

      қағаз түріндегі ақпарат тасымалдағыштар;

      бастамашының дербес деректерге қол жеткізуге сұрау салуы мемлекеттік сервиске электрондық цифрлық қолтаңбаның (бұдан әрі – эцқ) ашық кілті бар токен верификациясын және проактивті қызмет кодын (бастамашы ұсынады) жіберуі;

      мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салу кезінде верификация токенінің бар-жоғын тексеруі;

      мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;

      мемлекеттік сервистің бизнес сәйкестендіру нөмірінің және проактивті қызмет кодының сәйкестігін тексеруі;

      мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеруі;

      мемлекеттік сервистің дербес деректерге қол жеткізудің ықтимал тәсілдерінің верификация токенінде көрсетілген тәсілдерге сәйкестігін тексеруі;

      мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;

      мемлекеттік сервистің барлық тексерулерден өткен жағдайда проактивті қызмет көрсету кезеңіне арналған қауіпсіздік токенін қалыптастыруы;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;

      деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;

      сұрау салуды өңдеу және деректер иесінің бастамашы және (немесе) операторға жауап жіберуі.

      2) хаттама жүргізу режиміндегі сұрау салу/жауап беру арқылы дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашының эцқ ашық кілті бар мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды верификация токенінде (алынған келісімнің жоқтығы туралы белгісі бар) және дербес деректер субъектісінің келісімін алмай дербес деректерге қол жеткізу негіздемелерінің анықтамалығынан кодты жіберуі;

      мемлекеттік сервистің дербес деректерге қол жеткізуге сұрау салуда верификация токенінің бар-жоғын тексеруі;

      мемлекеттік сервистің ұсынылған эцқ-ға сәйкес верификация токенінің қолтаңбасын тексеруі;

      мемлекеттік сервистің бизнес сәйкестендіру нөмірінің хаттама жүргізу режимінде қауіпсіздік токенін алу мүмкіндігі бар-жоғын тексеруі;

      мемлекеттік сервистің верификация токеніндегі ұйымның бизнес сәйкестендіру нөмірінің және дербес деректерге қол жеткізуге сұрау салуда көрсетілген бизнес сәйкестендіру нөмірінің сәйкестігін тексеру;

      мемлекеттік сервистің верификация токенінің қалыптастырылған күнін тексеруі;

      мемлекеттік сервистің барлық тексерулерден өткен жағдайда 15 минуттық қолдану мерзімі бар қауіпсіздік токенін қалыптастыруы;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жіберуі;

      деректер иесінің қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексеруі;

      сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі.

      3) "мобильді үкімет" ақпараттық жүйесі арқылы жіберілетін sms хабарламалар негізінде мемлекеттік сервиске сұрау салу/жауап беру дербес деректерге қол жеткізу процесі мынадай кезеңдерден тұрады:

      бастамашы және (немесе) оператор мемлекеттік сервиске дербес деректерге қол жеткізуге сұрау салуды жібереді;

      мемлекеттік сервис дербес деректерге қол жеткізуге сұрау салудың өңдеу процесінде бар-жоғын тексереді;

      егер сұрау салу өңдеу процесінде болса, мемлекеттік сервис "субъектінің жауабын күту" мәртебесін жібереді;

      егер өңдеуде сұрау салу болмаса, мемлекеттік сервис бмг-ге субъектінің ұялы байланыс желісіндегі абоненттік нөмірін алу туралы сұрау салуды жібереді.

      егер субъектінің абоненттік нөмірі бмг-де болмаса, ол "электрондық үкімет" веб-порталында тіркеуден өтеді;

      субъектінің абоненттік нөмірін бмг-ден алғаннан кейін мемлекеттік сервис "мобильді үкімет" ақпараттық жүйесі арқылы әріптік-сандық немесе сандық бір реттік коды бар sms-хабарлама арқылы субъектінің дербес деректеріне қол жеткізуге сұрау салуды жібереді;

      мемлекеттік сервистен "субъектінің жауабын күту" мәртебесі мен сұрау салу идентификаторын алғаннан кейін, бастамашы және (немесе) оператор мемлекеттік сервистің сұрау салу идентификаторын көрсетіп, қайталама сұрау салуды жібереді;

      мемлекеттік сервис бастамашының және (немесе) оператор тарапынан қайталама сұрау салу жасалған кезде, сұрау салу идентификаторына сәйкес келетін және "мобильді үкімет" ақпараттық жүйесі арқылы жіберілген әріптік-сандық немесе сандық бір реттік коды бар қауіпсіздік токенін жібереді;

      бастамашының және (немесе) оператордың дербес деректерге қол жеткізуге сұрау салуын қауіпсіздік токенімен бірге деректер иесіне жібереді;

      деректер иесі қауіпсіздік токенінің сұрау салуға және қолданылу мерзіміне сәйкестігін тексереді;

      сұрау салуды өңдеу және деректер иесінің бастамашыға және (немесе) операторға жауап жіберуі.

      Осы тармақтың 1) және 2) тармақшаларында көзделген процестер бойынша дербес деректер субъектісінің келісімін алу және (немесе) ұялы байланыс желілері арқылы жіберілетін бір реттік пароль (OTP) арқылы дербес деректерге қолжеткізуді ұсыну жүзеге асырылмайды.".

      2. Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Ақпараттық қауіпсіздік комитеті заңнамада белгіленген тәртіппен:

      1)осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

      2)осы бұйрық ресми жарияланғаннан кейін Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің интернет-ресурсында орналастыруды;

      3)осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Жасанды интеллект және цифрлық даму вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

Қазақстан Республикасы Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрі

Ж. Мадиев