ИПС "Әділет"

О внесении изменения в приказ исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ "Об утверждении Правил осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных"

Приказ Заместителя Премьер-Министра – Министра искусственного интеллекта и цифрового развития Республики Казахстан от 30 апреля 2026 года № 232/НҚ. Зарегистрирован в Министерстве юстиции Республики Казахстан 5 мая 2026 года № 38665

Примечание ИЗПИ!
Вводится в действие с 12.07.2026

ПРИКАЗЫВАЮ:

1. Внести в приказ исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ "Об утверждении Правил осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 34919) следующее изменение:

Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных, утвержденных указанным приказом, изложить в новой редакции согласно приложению к настоящему приказу.

2. Комитету по информационной безопасности Министерства искусственного интеллекта и цифрового развития Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства искусственного интеллекта и цифрового развития Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства искусственного интеллекта и цифрового развития Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра искусственного интеллекта и цифрового развития Республики Казахстан.

4. Настоящий приказ вводится в действие с 12 июля 2026 года и подлежит официальному опубликованию.

Заместитель Премьер-Министра
– Министр искусственного интеллекта
и цифрового развития
Республики Казахстан

Ж. Мадиев

	Приложение к приказу Заместитель Премьер- Министра – Министр искусственного интеллекта и цифрового развития Республики Казахстан от 30 апреля 2026 года № 232/НҚ
	Утверждены приказом исполняющего обязанности Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ

Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных

Глава 1. Общие положения

1. Настоящие Правила осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных (далее – Правила) разработаны в соответствии с Законом Республики Казахстан "О персональных данных и их защите" (далее – Закон), подпунктом 352) пункта 15 Положения о Министерстве искусственного интеллекта и цифрового развития Республики Казахстан, утвержденного постановлением Правительства Республики Казахстан от 9 октября 2025 года № 846 и определяют порядок осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных.

2. В настоящих Правилах используются следующие основные понятия:

1) персональные данные – сведения или совокупность сведений о субъекте персональных данных, дополненные одним или несколькими идентификаторами персональных данных;

2) собственник базы, содержащей персональные данные (далее – собственник), – государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;

3) оператор базы, содержащей персональные данные (далее – оператор), – государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;

4) уполномоченный орган в сфере защиты персональных данных (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

5) нарушение безопасности персональных данных – нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;

6) субъект персональных данных (далее – субъект) – физическое лицо, к которому относятся персональные данные;

7) оператор "цифрового правительства" – юридическое лицо, определяемое Правительством Республики Казахстан, обеспечивающее функционирование цифровых объектов "цифрового правительства";

8) веб-портал "цифрового правительства" – цифровой объект, представляющий собой "единое окно" доступа к консолидированной информации, размещаемой государственными органами и иными субъектами, участвующими в предоставлении государственных услуг, включая нормативную правовую базу, а также к государственным и иным услугам, оказываемым в электронной форме.

Иные понятия, используемые в настоящих Правилах, применяются в соответствии с Законом и Законом Республики Казахстан "О кибербезопасности".

Глава 2. Порядок уведомления субъектов персональных данных о нарушении безопасности персональных данных

3. Уведомление (оповещение) о нарушении безопасности персональных данных направляется уполномоченному органу письменно или в форме электронного документа либо способом с применением элементов защитных действий, не противоречащих Закону.

4. В течение 1 (одного) рабочего дня c момента обнаружения нарушения безопасности персональных данных, в соответствии с подпунктом 5) пункта 2 настоящих Правил, собственник и (или) оператор уведомляют уполномоченный орган о данном нарушении с указанием следующей информации:

контактные данные лица, ответственного за организацию обработки персональных данных (при наличии);

меры, предпринятые для устранения нарушения;

персональные данные субъектов, необходимые для последующего направления им уведомления: фамилия, имя, отчество (при его наличии) и (или) индивидуальный идентификационный номер и (или) абонентский номер сотовой связи.

5. Центр обеспечения кибербезопасности, служба реагирования на инциденты кибербезопасности, национальный координационный центр кибербезопасности, отраслевой центр кибербезопасности, национальная служба реагирования на компьютерные инциденты кибербезопасности, государственный оперативный центр кибербезопасности в пределах своей компетенции, в соответствии с законодательством Республики Казахстан о кибербезопасности, в течение трех часов c момента обнаружения ими нарушения безопасности персональных данных оповещают уполномоченный орган о данном нарушении с указанием следующей информации:

необходимые меры для защиты персональных данных, в том числе правовые, организационные и технические.

6. Уполномоченный орган в течение 1 (одного) рабочего дня с момента получения уведомления о нарушении безопасности персональных данных, в соответствии с пунктами 4 и 5 настоящих Правил, направляет оператору "цифрового правительства" следующую информацию:

возможные риски нарушения прав и законных интересов субъектов;

меры, рекомендуемые субъектам для защиты своих персональных данных;

контактные данные лица, ответственного за организацию обработки персональных данных (при наличии).

7. Оператор "цифрового правительства" на основании информации, полученной от уполномоченного органа, осуществляет уведомление субъектов о нарушении безопасности персональных данных либо об обработке персональных данных путем направления информации в личный кабинет на веб-портале "цифрового правительства", мобильное приложение "цифрового правительства" и (или) на их абонентский номер сотовой связи в виде короткого текстового сообщения.

"Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің міндетін атқарушының 2024 жылғы 9 тамыздағы № 481/НҚ бұйрығына өзгеріс енгізу туралы

Қазақстан Республикасы Премьер-Министрінің орынбасары – Жасанды интеллект және цифрлық даму министрінің 2026 жылғы 30 сәуірдегі № 232/НҚ бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2026 жылғы 5 мамырда № 38665 болып тіркелді

ЗҚАИ-ның ескертпесі!
Осы бұйрық 12.07.2026 ж. бастап қолданысқа енгізіледі

БҰЙЫРАМЫН:

1. "Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидаларын бекіту туралы" Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің міндетін атқарушының 2024 жылғы 9 тамыздағы № 481/НҚ бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 34919 болып тіркелген) мынадай өзгеріс енгізілсін:

көрсетілген бұйрықпен бекітілген Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидалары осы бұйрыққа қосымшаға сәйкес жаңа редакцияда жазылсын.

2. Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Ақпараттық қауіпсіздік комитеті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

1) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркеуді;

2) осы бұйрық ресми жарияланғаннан кейін Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің интернет-ресурсында орналастыруды;

3) осы бұйрық мемлекеттік тіркелгеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Жасанды интеллект және цифрлық даму министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтер ұсынуды қамтамасыз етсін.

3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Жасанды интеллект және цифрлық даму вице-министріне жүктелсін.

4. Осы бұйрық 2026 жылдың 12 шілдеден бастап қолданысқа енгізіледі және ресми жариялануға жатады.

Қазақстан Республикасы
Премьер-Министрінің орынбасары –
Жасанды интеллект және цифрлық даму министрі

Ж. Мадиев

Қазақстан Республикасы
Премьер-Министрінің
орынбасары – Жасанды
интеллект және цифрлық даму
министрі
2026 жылғы 30 сәуірдегі
№ 232/НҚ Бұйрыққа қосымша
Қазақстан Республикасының
Цифрлық даму, инновациялар
және аэроғарыш өнеркәсібі
министрінің міндетін
атқарушының
2024 жылғы 9 тамыздағы
№ 481/НҚ бұйрығымен
бекітілген

Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру қағидалары

1-тарау. Жалпы ережелер

1. Осы Дербес деректердің қауіпсіздігін бұзу туралы дербес деректер субъектілерін хабардар етуді жүзеге асыру туралы қағидалары (бұдан әрі – Қағидалар) "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы Заңына (бұдан әрі – Заң), Қазақстан Республикасы Үкіметінің 2025 жылғы 9 қазандағы № 846 қаулысымен бекітілген Қазақстан Республикасының Жасанды интеллект және цифрлық даму министрлігі туралы ереженің 15-тармағының 352) тармақшасына сәйкес әзірленген және дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар етуді жүзеге асыру тәртібін айқындайды.

2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

1) дербес деректер – дербес деректердің бір немесе бірнеше сәйкестендіргішімен толықтырылған, дербес деректер субъектісі туралы мәліметтер немесе мәліметтер жиынтығы;

2) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі), – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

3) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор), – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

4) дербес деректерді қорғау саласындағы уәкілетті орган (бұдан әрі – уәкілетті орган) – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

5) дербес деректер қауіпсіздігінің бұзылуы – берілетін, сақталатын немесе өзге де түрде өңделетін дербес деректердің заңсыз таралуына, өзгертілуіне және жойылуына, санкцияланбаған таралуына немесе оларға санкцияланбаған қол жеткізуге алып келген дербес деректер қорғалуының бұзылуы;

6) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

7) "цифрлық үкіметтің" операторы – Қазақстан Республикасының Үкіметі айқындайтын, "цифрлық үкіметтің" цифрлық объектілерінің жұмыс істеуін қамтамасыз ететін заңды тұлға;

8) "цифрлық үкіметтің" веб-порталы – нормативтік құқықтық базаны қоса алғанда, мемлекеттік қызметтер көрсетуге қатысатын мемлекеттік органдар мен өзге де субъектілер орналастыратын шоғырландырылған ақпаратқа, сондай-ақ электрондық нысанда көрсетілетін мемлекеттік және өзге де көрсетілетін қызметтерге қол жеткізудің "бірыңғай терезесін" білдіретін цифрлық объект.

Осы Қағидаларда пайдаланылатын өзге де ұғымдар Заңға және "Киберқауіпсіздік туралы" Қазақстан Республикасының Заңына сәйкес қолданылады.

2-тарау. Дербес деректер субъектілерін дербес деректердің қауіпсіздігін бұзу туралы хабардар ету тәртібі

3. Дербес деректер қауіпсіздігінің бұзылуы туралы хабардар ету (хабарлама) уәкілетті органға жазбаша немесе электрондық құжат нысанында не Заңға қайшы келмейтін қорғау іс-қимылдарының элементтерін қолдана отырып жіберіледі.

4. Осы Қағидалардың 2-тармағының 5) тармақшасына сәйкес дербес деректер қауіпсіздігінің бұзылуы анықталған сәттен бастап 1 (бір) жұмыс күні ішінде меншік иесі және (немесе) оператор уәкілетті органды осы бұзушылық туралы келесі ақпаратты көрсете отырып хабардар етеді:

дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректері (болған кезде);

бұзушылықты жою үшін қабылданған шаралар;

субъектілердің кейіннен оларға хабарлама жіберу үшін қажетті дербес деректері: тегі, аты, әкесінің аты (бар болған кезде) және (немесе) жеке сәйкестендіру нөмірі және (немесе) ұялы байланыстың абоненттік нөмірі.

5. Киберқауіпсіздікті қамтамасыз ету орталығы, киберқауіпсіздіктің оқыс оқиғаларына ден қою қызметі, киберқауіпсіздікті ұлттық үйлестіру орталығы, киберқауіпсіздіктің салалық орталығы, киберқауіпсіздіктің компьютерлік оқыс оқиғаларына ден қою жөніндегі ұлттық қызметі, киберқауіпсіздіктің мемлекеттік жедел орталығы өз құзыреті шегінде Қазақстан Республикасының киберқауіпсіздік туралы заңнамасына сәйкес дербес деректер қауіпсіздігінің бұзылуы анықталған сәттен бастап осы бұзушылық туралы үш сағат ішінде уәкілетті органды келесі ақпаратты көрсете отырып хабардар етеді:

дербес деректерді қорғау үшін қажетті шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық.

6. Уәкілетті орган дербес деректер қауіпсіздігінің бұзылуы туралы хабарламаны алған сәттен бастап 1 (бір) жұмыс күні ішінде осы Қағидалардың 4 және 5-тармақтарына сәйкес "цифрлық үкіметтің" операторына келесі ақпаратты жібереді:

субъектілердің құқықтары мен заңды мүдделерін бұзудың ықтимал тәуекелдері;

субъектілерге өздерінің дербес деректерін қорғау үшін ұсынылатын шаралар;

дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның байланыс деректері (болған кезде).

7. "Цифрлық үкіметтің" операторы уәкілетті органнан алынған ақпарат негізінде субъектілерді дербес деректер қауіпсіздігінің бұзылуы туралы не дербес деректерді өңдеу туралы ақпаратты қысқа мәтіндік хабарлама түрінде "цифрлық үкімет" веб-порталындағы жеке кабинетке, "цифрлық үкіметтің" мобильдік қосымшасына және (немесе) олардың ұялы байланысының абоненттік нөміріне жіберу арқылы хабардар етуді жүзеге асырады.