Примечание ИЗПИ!
Вводится в действие с 12.07.2026
ПРИКАЗЫВАЮ:
1. Внести в приказ исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ "Об утверждении Правил осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 34919) следующее изменение:
Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных, утвержденных указанным приказом, изложить в новой редакции согласно приложению к настоящему приказу.
2. Комитету по информационной безопасности Министерства искусственного интеллекта и цифрового развития Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства искусственного интеллекта и цифрового развития Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства искусственного интеллекта и цифрового развития Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра искусственного интеллекта и цифрового развития Республики Казахстан.
4. Настоящий приказ вводится в действие с 12 июля 2026 года и подлежит официальному опубликованию.
|
Заместитель Премьер-Министра – Министр искусственного интеллекта и цифрового развития Республики Казахстан |
Ж. Мадиев |
Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных
Глава 1. Общие положения
1. Настоящие Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных (далее – Правила) разработаны в соответствии с Законом Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 352) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 и определяют порядок осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных.
2. В настоящих Правилах используются следующие основные понятия:
1) персональные данные – сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных;
2) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
3) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
4) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
5) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
6) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;
7) оператор "цифрового правительства" – юридическое лицо, определяемое Правительством Республики Казахстан, обеспечивающее функционирование цифровых объектов "цифрового правительства";
8) веб-портал "цифрового правительства" – цифровой объект, представляющий собой "единое окно" доступа к консолидированной информации, размещаемой государственными органами и иными субъектами, участвующими в предоставлении государственных услуг, включая нормативную правовую базу, а также к государственным и иным услугам, оказываемым в электронной форме.
Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "О кибербезопасности".
Глава 2. Порядок уведомления субъектов персональных данных о нарушении безопасности персональных данных
3. Уведомление (оповещение) о нарушении безопасности персональных данных направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих Закону.
4. В течение 1 (одного) рабочего дня c момента обнаружения нарушения безопасности персональных данных, в соответствии с подпунктом 5) пункта 2 настоящих Правил, собственник и (или) оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);
меры, предпринятые для устранения нарушения;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи.
5. Центр обеспечения кибербезопасности, служба реагирования на инциденты кибербезопасности, национальный координационный центр кибербезопасности, отраслевой центр кибербезопасности, национальная служба реагирования на компьютерные инциденты кибербезопасности, государственный оперативный центр кибербезопасности в пределах своей компетенции, в соответствии с законодательством Республики Казахстан о кибербезопасности, в течение трех часов c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.
6. Уполномоченный орган в течение 1 (одного) рабочего дня с момента получения уведомления о нарушении безопасности персональных данных, в соответствии с пунктами 4 и 5 настоящих Правил, направляет оператору "цифрового правительства" следующую информацию:
возможные риски нарушения прав и законных интересов субъектов;
меры, рекомендуемые субъектам для защиты своих персональных данных;
персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи;
контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).
7. Оператор "цифрового правительства" на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в личный кабинет на веб-портале "цифрового правительства", мобильное приложение "цифрового правительства" и (или) на их абонентский номер сотовой связи в виде короткого текстового сообщения.
