Статья 15. Распространение персональных данных
Пункт 1 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.
2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797584 «Законодательством Республики Казахстан о персональных данных не предусмотрено требование по уведомлению граждан при изменении условий сбора и обработки»
Статья 16. Трансграничная передача персональных данных
1. Трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797519 «База, находящейся на территории Республики Казахстан, должна быть актуальной по мере наполнение базы, находящейся за пределами территории Республики Казахстан»
2. В соответствии с настоящим Законом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.
См.также: Соглашение о расширенном партнерстве и сотрудничестве между Европейским Союзом и его государствами-членами, с одной стороны, и Республикой Казахстан, с другой стороны (Астана, 21 декабря 2015 года), Ответ Министра информации и коммуникаций РК от 14 июня 2018 года на вопрос от 5 июня 2018 года № 501349 (dialog.egov.kz) «Регламент General Data Protection Regulation (GDPR) применяется к обработке персональных данных в Евросоюзе, независимо от того, осуществляется ли обработка в Евросоюзе, или нет»
3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
1) наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;
3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;
4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797584 «Законодательством Республики Казахстан о персональных данных не предусмотрено требование по уведомлению граждан при изменении условий сбора и обработки», Письмо заместителя Председателя Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 сентября 2024 года № ЗТ-2024-05108864 «О запрете на на сбор, обработку копий документов, удостоверяющих личность, на бумажном носителе, и в электронном виде через онлайн-платформы, сервисы обмена мгновенными сообщениями (WhatsApp)», Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 14 февраля 2025 года № ЖТ-2023-00419999 «Об обязанности операторов уведомлять уполномоченный орган о трансграничной передаче персональных данных»
4. Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан.
Статья 16 дополнена пунктом 5 в соответствии с Законом РК от 28.12.17 г. № 128-VI
5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются Законом Республики Казахстан «О связи».
См. изменения в статью 17 - Закон РК от 05.07.24 г. № 115-VIII (вводится в действие с 7 января 2025 г.)
Статья 17 изложена в редакции Закона РК от 25.06.20 г. № 347-VI (см. стар. ред.)
Статья 17. Обезличивание персональных данных
1. При сборе, обработке персональных данных для проведения статистических, социологических, научных, маркетинговых исследований собственник и (или) оператор, а также третье лицо, передающие персональные данные, обязаны их обезличить в соответствии с правилами сбора, обработки персональных данных.
Пункт 2 изложен в редакции Закона РК от 14.07.22 г. № 141-VII (см. стар. ред.); внесены изменения в соответствии с Законом РК от 05.07.24 г. № 115-VIII (введен в действие 7 января 2025 г.) (см. стар. ред.)
2. При сборе, обработке персональных данных для осуществления аналитики данных в целях реализации государственными органами деятельности обезличивание персональных данных осуществляется оператором информационно-коммуникационной инфраструктуры «электронного правительства» в соответствии с требованиями по управлению данными, за исключением случаев, когда обезличивание персональных данных произведено собственником и (или) оператором.
Статья 18. Уничтожение персональных данных
Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:
1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;
2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;
3) при вступлении в законную силу решения суда;
Статья дополнена пунктом 3-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
3-1) при выявлении сбора и обработки персональных данных без согласия субъекта или его законного представителя, за исключением случаев, предусмотренных пунктом 5 статьи 7 и статьей 9 настоящего Закона;
4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.
Статья 19. Сообщение о действиях с персональными данными
1. При наличии условия об уведомлении субъекта о передаче его персональных данных третьему лицу собственник и (или) оператор в течение десяти рабочих дней уведомляют об этом субъекта или его законного представителя, если иное не предусмотрено законами Республики Казахстан.
2. Требования пункта 1 настоящей статьи не распространяются на случаи:
1) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;
2) осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.
Глава 3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 20. Гарантия защиты персональных данных
Пункт 1 изложен в редакции Закона РК от 02.01.21 г. № 399-VI (см. стар. ред.); Закона РК от 19.04.23 г. № 223-VII (введены в действие с 1 мая 2023 г.) (см. стар. ред.)
1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом уполномоченным органом.
2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.
Статья 21. Цели защиты персональных данных
Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:
1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;
2) обеспечения их целостности и сохранности;
3) соблюдения их конфиденциальности;
4) реализации права на доступ к ним;
5) предотвращения незаконного их сбора и обработки.
Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных
В пункт 1 внесены изменения в соответствии с Законом РК от 02.01.21 г. № 399-VI (см. стар. ред.); Законом РК от 30.12.21 г. № 96-VII (введены в действие с 2 марта 2022 г.) (см. стар. ред.); Законом РК от 19.04.23 г. № 223-VII (введены в действие с 1 мая 2023 г.) (см. стар. ред.)
1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым уполномоченным органом, обеспечивающие:
1) предотвращение несанкционированного доступа к персональным данным;
2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;
3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;
Пункт дополнен подпунктом 4 в соответствии с Законом РК от 02.01.21 г. № 399-VI
4) предоставление доступа государственной технической службе к объектам информатизации, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных информационных ресурсах, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах в порядке, определяемом уполномоченным органом;
Пункт дополнен подпунктом 5 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 настоящего Закона.
2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
Статья 23 изложена в редакции Закона РК от 02.01.21 г. № 399-VI (см. стар. ред.)
Статья 23. Защита электронных информационных ресурсов, содержащих персональные данные
Особенности защиты электронных информационных ресурсов, содержащих персональные данные, осуществляются в соответствии с настоящим Законом и законодательством Республики Казахстан об информатизации.
Закон дополнен статьей 23-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI
Статья 23-1. Добровольное киберстрахование
1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.
2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.
Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.
Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА, СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА
Статья 24. Права и обязанности субъекта
1. Субъект имеет право:
1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
Подпункт 5 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.
2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
Заголовок статьи 25 изложен в редакции Закона РК от 25.06.20 г. № 347-VI (см. стар. ред.)
Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных
1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.
В пункт 2 внесены изменения в соответствии с Законом РК от 25.06.20 г. № 347-VI (см. стар. ред.)
2. Собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
Пункт дополнен подпунктом 1-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
Пункт дополнен подпунктом 3-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
Подпункт 6 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;
Подпункт 7 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;
В подпункт 8 внесены изменения в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 1 июля 2024 г.) (см. стар. ред.)
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных;
c момента обнаружения нарушения безопасности персональных данных уведомить уполномоченный орган о таком нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
См: Приказ и.о. Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 9 августа 2024 года № 481/НҚ «Об утверждении Правил осуществления уведомления субъектов персональных данных о нарушении безопасности персональных данных»
Пункт дополнен подпунктами 9, 10 в соответствии с Законом РК от 25.06.20 г. № 347-VI
9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;
10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.
Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.
См.: Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz) «О назначении на должность лица, ответственного за организацию обработки персональных данных»
Статья дополнена пунктом 3 в соответствии с Законом РК от 25.06.20 г. № 347-VI
3. Лицо, ответственное за организацию обработки персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ
Статья 26 изложена в редакции Закона РК от 19.04.23 г. № 223-VII (введены в действие с 1 мая 2023 г.) (см. стар. ред.)
Статья 26. Компетенция Правительства Республики Казахстан
Правительство Республики Казахстан разрабатывает основные направления государственной политики в сфере персональных данных и их защиты.
Статья 27 изложена в редакции Закона РК от 05.07.24 г. № 115-VIII (введен в действие с 17 июля 2024 г.) (см. стар. ред.)
Статья 27. Компетенция центральных государственных органов и местных исполнительных органов областей, городов республиканского значения и столицы
1. Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты Республики Казахстан в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
2. Местные исполнительные органы области, города республиканского значения и столицы:
1) рассматривают обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимают соответствующие решения;
2) осуществляют государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении субъектов частного предпринимательства в пределах соответствующей административно-территориальной единицы;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) требуют от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
5) осуществляют меры, направленные на совершенствование защиты прав субъектов;
6) осуществляют в интересах местного государственного управления иные полномочия, возлагаемые на местные исполнительные органы области, городов республиканского значения и столицы законодательством Республики Казахстан.
Закон дополнен статьей 27-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI
Статья 27-1. Компетенция уполномоченного органа
1. Уполномоченный орган в пределах своей компетенции:
Подпункт 1 изложен в редакции Закона РК от 19.04.23 г. № 223-VII (введены в действие с 1 мая 2023 г.) (см. стар. ред.)
1) формирует и реализует государственную политику в сфере персональных данных и их защиты;
Пункт дополнен подпунктом 1-1 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
1-1) осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите;
2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
Пункт дополнен подпунктом 2-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI
2-1) разрабатывает правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
Пункт дополнен подпунктами 2-2 и 2-3 в соответствии с Законом РК от 19.04.23 г. № 223-VII (введены в действие с 1 мая 2023 г.)
2-2) определяет порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
2-3) определяет порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;
4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
6) осуществляет меры, направленные на совершенствование защиты прав субъектов;
Пункт дополнен подпунктом 6-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;
Пункт дополнен подпунктом 6-2 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
6-2) направляет оператору информационно-коммуникационной инфраструктуры «электронного правительства» информацию о нарушении безопасности персональных данных, влекущем риск нарушения прав и законных интересов субъектов, в целях, предусмотренных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
7) утверждает правила сбора, обработки персональных данных;
Пункт дополнен подпунктом 7-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI
7-1) утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с Комитетом национальной безопасности Республики Казахстан;
Пункт дополнен подпунктом 7-2 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-2) утверждает правила функционирования государственного сервиса контроля доступа к персональным данным;
Пункт дополнен подпунктом 7-3 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов и (или) государственных юридических лиц, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным;
Пункт дополнен подпунктом 7-4 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-4) утверждает правила интеграции с государственным сервисом контроля доступа к персональным данным;
8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
Закон дополнен статьей 27-2 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
Статья 27-2. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите
Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме внеплановой проверки в соответствии с Предпринимательским кодексом Республики Казахстан, если иное не установлено частями второй и третьей настоящей статьи.
В отношении государственных органов осуществляется государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в соответствии с настоящим Законом.
Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении Национального Банка Республики Казахстан и его организаций осуществляется в соответствии с Предпринимательским кодексом Республики Казахстан, настоящим Законом и Законом Республики Казахстан «О Национальном Банке Республики Казахстан».
Закон дополнен статьей 27-3 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
Статья 27-3. Порядок проведения государственного контроля за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов
1. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов (далее - субъекты контроля) проводится уполномоченным органом в форме проверок.
Проверки делятся на периодические и внеплановые.
Периодические проверки в отношении субъектов контроля осуществляются согласно следующим источникам информации:
1) результатам предыдущих проверок;
2) результатам мониторинга отчетности и сведений;
3) результатам анализа интернет-ресурсов государственных органов;
4) сведениям государственной технической службы.
См.: проверочный лист за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении собственников и (или) операторов, а также третьих лиц
2. Периодические проверки проводятся с периодичностью не чаще одного раза в год в соответствии с планом проведения периодических проверок, утвержденным первым руководителем уполномоченного органа.
Уполномоченный орган не позднее 1 декабря года, предшествующего году проверок, утверждает план проведения периодических проверок.
План проведения периодических проверок размещается на интернет-ресурсе уполномоченного органа не позднее 20 декабря года, предшествующего году проверок.
План проведения периодических проверок включает:
1) номер и дату утверждения плана;
2) наименование государственного органа;
3) наименование субъекта контроля;
4) место нахождения субъекта (объекта) контроля;
5) сроки проведения проверки;
6) предмет проверки;
7) подпись лица, уполномоченного подписывать план.
Внесение изменений и дополнений в план проведения периодических проверок осуществляется в случаях ликвидации, реорганизации субъекта контроля, изменения его наименования или перераспределения полномочий между субъектами контроля.
3. Внеплановой проверкой является проверка, назначаемая уполномоченным органом, в случаях:
1) наличия подтвержденных обращений на субъект контроля, поступивших от физических и юридических лиц, о нарушении требований законодательства Республики Казахстан о персональных данных и их защите;
2) обращения физических и юридических лиц, права и законные интересы которых нарушены;
3) требования прокурора по конкретным фактам причинения либо об угрозе причинения вреда правам и законным интересам физических и юридических лиц, государства;
4) обращения государственных органов по конкретным фактам причинения вреда правам и законным интересам физических и юридических лиц, государства, а также по конкретным фактам нарушений требований законодательства Республики Казахстан, неустранение которых влечет причинение вреда правам и законным интересам физических и юридических лиц;
5) повторной проверки, связанной с обращением субъекта контроля о несогласии с первоначальной проверкой;
6) поручения органа уголовного преследования по основаниям, предусмотренным Уголовно-процессуальным кодексом Республики Казахстан;
7) необходимости проведения контроля исполнения акта о результатах проверки.
4. Должностные лица уполномоченного органа при проведении проверки имеют право:
1) беспрепятственного доступа на территорию и в помещения субъекта (объекта) контроля в соответствии с предметом проверки при предъявлении документов, указанных в пункте 8 настоящей статьи;
2) получать документы (сведения) на бумажных и электронных носителях либо их копии для приобщения к акту о результатах проверки, а также доступ к автоматизированным базам данных (информационным системам) в соответствии с предметом проверки с соблюдением требований о государственных секретах и иных охраняемых законом тайнах;
3) осуществлять аудио-, фото- и видеосъемку;
4) привлекать специалистов, консультантов и экспертов государственных органов, подведомственных и иных организаций.
5. Субъекты контроля либо их уполномоченные представители при проведении проверки вправе:
1) не допускать к проверке должностных лиц уполномоченного органа, прибывших для проведения проверки, в случаях:
превышения либо истечения указанных в акте о назначении проверки сроков, не соответствующих срокам, установленным настоящей статьей;
отсутствия документов, предусмотренных пунктом 8 настоящей статьи;
2) обжаловать акт о результатах проверки в порядке, установленном законодательством Республики Казахстан.
6. Субъекты контроля либо их уполномоченные представители при проведении проверки обязаны:
1) обеспечить беспрепятственный доступ должностных лиц уполномоченного органа на территорию и в помещения субъекта (объекта) контроля;
2) представлять должностным лицам уполномоченного органа документы (сведения) на бумажных и электронных носителях либо их копии для приобщения к акту о результатах проверки, а также доступ к автоматизированным базам данных (информационным системам) в соответствии с предметом проверки с соблюдением требований о государственных секретах и иных охраняемых законом тайнах;
3) сделать отметку на втором экземпляре акта о назначении проверки и акта о результатах проверки в день ее окончания;
4) обеспечить безопасность лиц, прибывших для проведения проверки, от вредных и опасных производственных факторов воздействия в соответствии с установленными для данного объекта нормативами.
7. Проверка проводится на основании акта о назначении проверки.
В акте о назначении проверки указываются:
1) дата и номер акта;
2) наименование государственного органа;
3) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), уполномоченного (уполномоченных) на проведение проверки;
4) сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;
5) наименование субъекта контроля, его место нахождения.
В случае проверки структурного подразделения государственного органа в акте о назначении проверки указываются его наименование и место нахождения;
6) предмет проверки;
7) вид проверки;
8) срок проведения проверки;
9) основания проведения проверки;
10) проверяемый период;
11) права и обязанности субъекта контроля;
12) подпись руководителя субъекта контроля либо его уполномоченного лица о получении или об отказе в получении акта;
13) подпись лица, уполномоченного подписывать акт.
При проведении проверки уполномоченный орган обязан известить субъект контроля о начале проведения проверки не менее чем за сутки до ее начала с указанием предмета проведения проверки.
Началом проведения проверки считается дата вручения субъекту контроля акта о назначении проверки.
8. Должностные лица уполномоченного органа, прибывшие на объект для проверки, обязаны предъявить субъекту контроля:
1) акт о назначении проверки;
2) служебное удостоверение либо идентификационную карту;
3) при необходимости - разрешение компетентного органа на посещение режимных объектов.
9. Срок проведения проверки устанавливается с учетом предмета проверки, а также объема предстоящих работ и не должен превышать десять рабочих дней.
Срок проведения проверки может быть продлен только один раз не более чем на пятнадцать рабочих дней. Продление осуществляется решением руководителя уполномоченного органа.
Продление сроков проведения проверки оформляется дополнительным актом о продлении сроков проверки с уведомлением субъекта контроля, в котором указываются дата и номер приказа предыдущего акта о назначении проверки и причины продления.
Уведомление о продлении сроков проверки вручается субъекту контроля уполномоченным органом за один рабочий день до продления с уведомлением о вручении.
10. По результатам проверки должностными лицами уполномоченного органа, осуществляющими проверку, составляется акт о результатах проверки.
Первый экземпляр акта о результатах проверки в электронной форме сдается в государственный орган, осуществляющий в пределах своей компетенции деятельность в области государственной правовой статистики и специальных учетов, второй экземпляр с копиями приложений, за исключением копий документов, имеющихся в оригинале у субъекта контроля, на бумажном носителе под роспись или в электронной форме вручается субъекту контроля (руководителю либо его уполномоченному лицу) для ознакомления и принятия мер по устранению выявленных нарушений и других действий, третий экземпляр остается у уполномоченного органа.
11. В акте о результатах проверки указываются:
1) дата, время и место составления акта;
2) наименование государственного органа;
3) номер и дата акта о назначении проверки (дополнительного акта о продлении срока при его наличии);
4) фамилия, имя, отчество (если оно указано в документе, удостоверяющем личность) и должность лица (лиц), проводившего (проводивших) проверку;
5) сведения о специалистах, консультантах и экспертах государственных органов, подведомственных и иных организаций, привлекаемых для проведения проверки;
