Қазақстан Республикасының
Заңы
Дербес деректер және оларды қорғау туралы
(2023.03.03. берілген өзгерістер мен толықтырулармен)
Осы редакция 2023 жылғы 19 сәуірде енгізілген өзгерістеріне дейін қолданылды
1-тарау. ЖАЛПЫ ЕРЕЖЕЛЕР
1-бап. Осы Заңда пайдаланылатын негiзгi ұғымдар
2-бап. Осы Заңның мақсаты
3-бап. Осы Заңның қолданылуы
4-бап. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасы
5-бап. Дербес деректердi жинау, өңдеу және қорғау қағидаттары
2-тарау. ДЕРБЕС ДЕРЕКТЕРДІ ЖИНАУ ЖӘНЕ ӨҢДЕУ
6-бап. Дербес деректерге қолжетімділік
7-бап. Дербес деректерді жинау, өңдеу шарттары
8-бап. Субъектiнiң дербес деректердi жинауға, өңдеуге келiсiм беру (керi қайтарып алу) тәртiбi
8-1-бап. Мемлекеттік сервис
8-2-бап. Мемлекеттік емес сервис
9-бап. Дербес деректердi субъектiнiң келiсiмiнсiз жинау, өңдеу
10-бап. Дербес деректерге қол жеткізу
11-бап. Дербес деректердiң құпиялылығы
12-бап. Дербес деректерді жинақтау және сақтау
13-бап. Дербес деректерді өзгерту және толықтыру
14-бап. Дербес деректерді пайдалану
15-бап. Дербес деректерді тарату
16-бап. Дербес деректерді трансшекаралық беру
17-бап. Дербес деректердi иесiздендiру
18-бап. Дербес деректерді жою
19-бап. Дербес деректермен іс-әрекеттер жасау туралы хабарлама
3-тарау. ДЕРБЕС ДЕРЕКТЕРДІ ҚОРҒАУ
20-бап. Дербес деректерді қорғау кепілдігі
21-бап. Дербес деректерді қорғаудың мақсаттары
22-бап. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі міндеттері
23-бап. Дербес деректерді қамтитын электрондық ақпараттық ресурстарды қорғау
23-1-бап. Ерікті киберсақтандыру
4-тарау. СУБЪЕКТІНІҢ, МЕНШІК ИЕСІНІҢ ЖӘНЕ (НЕМЕСЕ) ОПЕРАТОРДЫҢ ҚҰҚЫҚТАРЫ МЕН МІНДЕТТЕРІ
24-бап. Субъектiнiң құқықтары мен міндеттері
25-бап. Меншік иесінің және (немесе) оператордың, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаның құқықтары мен міндеттері
5-тарау. ДЕРБЕС ДЕРЕКТЕР ЖӘНЕ ОЛАРДЫ ҚОРҒАУ САЛАСЫНДАҒЫ МЕМЛЕКЕТТІК РЕТТЕУ
26-бап. Қазақстан Республикасы Үкiметiнiң құзыретi
27-бап. Мемлекеттік органдардың құзыреті
27-1-бап. Уәкілетті органның құзыреті
28-бап. Осы Заңның қолданылуын қадағалау
6-тарау. ҚОРЫТЫНДЫ ЖӘНЕ ӨТПЕЛІ ЕРЕЖЕЛЕР
29-бап. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасын бұзғаны үшiн жауаптылық
30-бап. Дауларға шағым жасау және оларды қарау тәртібі
31-бап. Осы Заңды қолданысқа енгiзу тәртiбi
Осы Заң дербес деректер саласындағы қоғамдық қатынастарды реттейді, сондай-ақ дербес деректердi жинаумен, өңдеумен және қорғаумен байланысты қызметтiң мақсатын, қағидаттарын және құқықтық негiздерiн айқындайды.
1-тарау. ЖАЛПЫ ЕРЕЖЕЛЕР
1-бап. Осы Заңда пайдаланылатын негiзгi ұғымдар
Осы Заңда мынадай негiзгi ұғымдар пайдаланылады:
1) биометриялық деректер - дербес деректер субъектісінің физиологиялық және биологиялық ерекшелiктерiн сипаттайтын дербес деректер, олардың негізінде осы субъектінің жеке басын анықтауға болады;
2) дербес деректер - мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;
2021.30.12. № 96-VII ҚР Заңымен 2-1) тармақшамен толықтырылды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді)
2-1) дербес деректерге қол жеткізуді мемлекеттік бақылау сервисі (бұдан әрі – мемлекеттік сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен және уәкілетті органмен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;
2021.30.12. № 96-VII ҚР Заңымен 2-2) тармақшамен толықтырылды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді)
2-2) дербес деректерге қол жеткізуді мемлекеттік емес бақылау сервисі (бұдан әрі – мемлекеттік емес сервис) – дербес деректер субъектісінен дербес деректерді жинауға, өңдеуге немесе оларды үшінші тұлғаларға беруге келісім алуды қоса алғанда, мемлекеттік емес ақпараттандыру объектілеріндегі дербес деректерге қол жеткізу кезінде меншік иелерінің және (немесе) операторлардың, үшінші тұлғалардың дербес деректер субъектісімен ақпараттық өзара іс-қимылын қамтамасыз ететін қызмет;
3) дербес деректердi бұғаттау - дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;
4) дербес деректерді жинақтау - дербес деректерді қамтитын базаға дербес деректерді енгізу арқылы оларды жүйелендіру жөніндегі іс-әрекеттер;
5) дербес деректерді жинау - дербес деректерді алуға бағытталған іс-әрекеттер;
6) дербес деректердi жою - жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;
7) дербес деректердi иесiздендiру - жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;
8) дербес деректерді қамтитын база (бұдан әрі - база) - ретке келтірілген дербес деректердің жиынтығы;
9) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі - меншік иесі) - дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
10) дербес деректерді қамтитын базаның операторы (бұдан әрі - оператор) - дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
11) дербес деректерді қорғау - осы Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;
2020.25.06. № 347-VІ ҚР Заңымен 11-1) тармақшамен толықтырылды
11-1) дербес деректерді қорғау саласында уәкілетті орган (бұдан әрі - уәкілетті орган) - дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;
11-2) 2021.30.12. № 96-VII ҚР Заңымен алып тасталды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
12) дербес деректердi өңдеу - дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;
13) дербес деректердi пайдалану - меншік иесінің, оператордың және үшінші тұлғаның қызмет мақсаттарын іске асыруға бағытталған дербес деректермен жасалатын iс-әрекеттер;
14) дербес деректерді сақтау - дербес деректердің тұтастығын, құпиялылығын және қолжетімділігін қамтамасыз ету жөніндегі іс-әрекеттер;
15) дербес деректердi тарату - жасалуы нәтижесінде дербес деректер берілетін, оның ішінде бұқаралық ақпарат құралдары арқылы берілетін немесе қандай да бiр өзгеше тәсiлмен дербес деректерге қол жеткізу ұсынылатын іс-әрекеттер;
16) дербес деректер субъектiсi (бұдан әрі - субъект) - дербес деректер тиесілі жеке тұлға;
17) үшiншi тұлға - субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға.
2-бап. Осы Заңның мақсаты
Осы Заңның мақсаты адамның және азаматтың дербес деректерiн жинау және өңдеу кезiнде оның құқықтары мен бостандықтарын қорғауды қамтамасыз ету болып табылады.
3-бап. Осы Заңның қолданылуы
1. Осы Заңмен дербес деректердi жинауға, өңдеуге және қорғауға байланысты қатынастар реттеледi.
2. Дербес деректердi жинау, өңдеу және қорғау ерекшелiктері өзге де заңдармен және Қазақстан Республикасы Президентінің актілерімен реттелуі мүмкін.
3. Осы Заңның күші:
1) егер бұл ретте басқа да жеке және (немесе) заңды тұлғалардың құқықтары және Қазақстан Республикасы заңдарының талаптары бұзылмаса, субъектілердің тек қана жеке және отбасылық мұқтаж үшін дербес деректерді жинауы, өңдеуі және қорғауы;
2) Қазақстан Республикасының Ұлттық мұрағат қоры және мұрағаттар туралы заңнамасына сәйкес дербес деректердi қамтитын Қазақстан Республикасы Ұлттық мұрағат қорының құжаттарын және басқа да мұрағаттық құжаттарды қалыптастыру, сақтау және пайдалану;
3) «Мемлекеттік құпиялар туралы» Қазақстан Республикасының Заңына сәйкес мемлекеттік құпияларға жатқызылған дербес деректерді жинау, өңдеу және қорғау;
4) Қазақстан Республикасының заңдарында белгіленген шектерде барлау, қарсы барлау, жедел-іздестіру қызметі, сондай-ақ қорғалатын тұлғалар мен объектілердің қауіпсіздігін қамтамасыз ету жөніндегі күзет іс-шараларын жүзеге асыру барысында дербес деректерді жинау, өңдеу және қорғау кезiнде туындайтын қатынастарға қолданылмайды.
4-бап. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасы
1. Қазақстан Республикасының дербес деректер және оларды қорғау туралы заңнамасы Қазақстан Республикасының Конституциясына негiзделедi және осы Заң мен Қазақстан Республикасының өзге де нормативтiк құқықтық актiлерiнен тұрады.
2. Егер Қазақстан Республикасы ратификациялаған халықаралық шартта осы Заңда қамтылғаннан өзгеше қағидалар белгiленсе, онда халықаралық шарттың қағидалары қолданылады.
5-бап. Дербес деректердi жинау, өңдеу және қорғау қағидаттары
Дербес деректердi жинау, өңдеу және қорғау:
1) адамның және азаматтың конституциялық құқықтары мен бостандықтарын сақтау;
2) заңдылық;
3) қолжетімділігі шектеулі дербес деректердің құпиялылығы;
4) субъектілер, меншік иелері және операторлар құқықтарының теңдігі;
5) жеке бастың, қоғамның және мемлекеттің қауіпсіздігін қамтамасыз ету қағидаттарына сәйкес жүзеге асырылады.
2-тарау. ДЕРБЕС ДЕРЕКТЕРДІ ЖИНАУ ЖӘНЕ ӨҢДЕУ
2020.25.06. № 347-VІ ҚР Заңымен 6-бап жаңа редакцияда (бұр.ред.қара); 2021.30.12. № 96-VII ҚР Заңымен (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара); 2022.14.07. № 141-VІІ ҚР Заңымен (бұр.ред.қара) 6-бап өзгертілді
6-бап. Дербес деректерге қолжетімділік
Дербес деректер қолжетімділігі бойынша жалпыға бірдей қолжетімді және қолжетімділігі шектеулі болып бөлінеді.
Қазақстан Республикасының заңдарына сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер жалпыға бірдей қолжетімді дербес деректер болып табылады.
Субъект туралы жиналуы және өңделуі Қазақстан Республикасының заңнамасы бұзыла отырып жасалған мәліметтер субъектінің немесе оның заңды өкілінің талап етуі бойынша не соттың немесе өзге де уәкілетті мемлекеттік органдардың шешімі бойынша бір жұмыс күні ішінде дербес деректердің жалпыға бірдей қолжетімді көздерінен алып тасталады.
Бұл ретте дербес деректердің жалпыға бірдей қолжетімді көздерінен дербес деректерді жою кезінде туындайтын шығыстар меншік иесіне және (немесе) операторға, үшінші тұлғаға жүктеледі.
Субъектінің немесе оның заңды өкілінің өзінің дербес деректерін дербес деректердің жалпыға бірдей қолжетімді көздерінде таратуға келісімін кері қайтарып алу кезінде туындайтын, дербес деректердің жалпыға бірдей қолжетімді көздерінен дербес деректерді жоюға байланысты шығыстардың көлемі, сондай-ақ осы шығыстар жүктелетін адамдар қажеттілік туындаған жағдайда сот тәртібімен айқындалады.
Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер қолжетімділігі шектеулі дербес деректер болып табылады.
2021.30.12. № 96-VII ҚР Заңымен 7-бап жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
7-бап. Дербес деректерді жинау, өңдеу шарттары және жалпыға бірдей қолжетімді көздерден алынған дербес деректерді жинаудың, өңдеудің ерекшеліктері
1. Осы баптың 5-тармағында және осы Заңның 9-бабында көзделген жағдайларды қоспағанда, дербес деректерді жинауды, өңдеуді меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға субъектінің немесе оның заңды өкілінің келісімімен уәкілетті орган айқындайтын тәртіппен жүзеге асырады.
2. Қайтыс болған (сот хабар-ошарсыз кеткен деп таныған немесе қайтыс болды деп жариялаған) субъектінің дербес деректерін жинау, өңдеу Қазақстан Республикасының заңнамасына сәйкес жүзеге асырылады.
3. Дербес деректерді жалпыға бірдей қолжетімді көздерде таратуға субъектінің немесе оның заңды өкілінің келісімі болған кезде жол беріледі.
4. Осы баптың 3-тармағының талаптары орналастыру міндеті Қазақстан Республикасының заңдарында белгіленген ақпарат жарияланған жағдайларда ақпарат иеленушілерге қолданылмайды.
5. Ақпарат көзіне сілтеме болған жағдайда, осы баптың 3 және 4-тармақтарының негізінде жарияланған дербес деректерді үшінші тұлғалардың қайта жинауына, өңдеуіне және таратуына жол беріледі.
6. Осы Заңның 16-бабында көзделген жағдайларды қоспағанда, дербес деректерді трансшекаралық беру түрінде дербес деректерді өңдеу, дербес деректерді жалпыға бірдей қолжетімді көздерде тарату, сондай-ақ оларды үшінші тұлғаларға беру субъектінің келісімі болған жағдайда жүзеге асырылады.
7. Дербес деректерді қамтитын электрондық ақпараттық ресурстарда дербес деректерді жинау, өңдеу ерекшеліктері осы Заңның ережелері ескеріле отырып, Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.
8. Дербес деректерді өңдеу нақты, алдын ала айқындалған және заңды мақсаттарға жетумен шектелуге тиіс. Дербес деректерді жинау мақсаттарымен үйлеспейтіндей етіп дербес деректерді өңдеуге жол берілмейді.
9. Мазмұны мен көлемі дербес деректерді өңдеу мақсаттарына қатысты артық болып табылатын дербес деректер өңделуге жатпайды.
8-бап. Субъектiнiң дербес деректердi жинауға, өңдеуге келiсiм беру (керi қайтарып алу) тәртiбi
2020.25.06. № 347-VІ ҚР Заңымен 1-тармақ өзгертілді (бұр.ред.қара); 2021.30.12. № 96-VII ҚР Заңымен 1-тармақ жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
1. Субъект немесе оның заңды өкілі дербес деректерді жинауға, өңдеуге жазбаша, мемлекеттік сервис, мемлекеттік емес сервис арқылы не келісімді алғанын растауға мүмкіндік беретін өзге де тәсілмен келісім береді (оны кері қайтарып алады).
Мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинау және (немесе) өңдеу кезінде келісім мемлекеттік сервис арқылы беріледі..
2. Субъект немесе оның заңды өкілі дербес деректердi жинауға, өңдеуге берген келісімді, егер бұл Қазақстан Республикасының заңдарына қайшы келсе не орындалмаған міндеттемесі болған кезде кері қайтарып ала алмайды.
3. 2021.30.12. № 96-VII ҚР Заңымен алып тасталды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
2021.30.12. № 96-VII ҚР Заңымен 4-тармақпен толықтырылды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді)
4. Дербес деректерді жинауға және өңдеуге келісім мыналарды қамтиды:
1) оператордың атауы (тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе), бизнес сәйкестендіру нөмірі (жеке сәйкестендіру нөмірі);
2) субъектінің тегі, аты, әкесінің аты (егер ол жеке басты куәландыратын құжатта көрсетілсе);
3) дербес деректерді жинауға, өңдеуге келісім қолданыста болатын мерзім немесе кезең;
4) оператордың дербес деректерді үшінші тұлғаларға беру мүмкіндігі немесе оның болмауы туралы мәліметтер;
5) дербес деректерді өңдеу процесінде оларды трансшекаралық берудің болуы не болмауы туралы мәліметтер;
6) дербес деректердің жалпыға бірдей қолжетімді көздерде таратылуы туралы мәліметтер;
7) субъектіге байланысты жиналатын деректердің тізбесі;
8) меншік иесі және (немесе) оператор айқындайтын өзге де мәліметтер.
2021.30.12. № 96-VII ҚР Заңымен 8-1-баппен толықтырылды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді)
8-1-бап. Мемлекеттік сервис
1. Меншік иелері және (немесе) операторлар, үшінші тұлғалар мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың дербес деректер бар ақпараттандыру объектілерімен өзара іс-қимыл жасаған жағдайда, осы Заңның 9-бабының 1), 2), 9) және 9-2) тармақшаларында көзделген жағдайларды қоспағанда, дербес деректерді жинау және өңдеу процестеріне тартылған өздерінің ақпараттандыру объектілерінің мемлекеттік сервиспен интеграциялануын қамтамасыз етеді.
Интеграция Қазақстан Республикасы заңнамасының мемлекеттік құпияларға, жеке басының құпиясына, отбасылық, банктік, коммерциялық құпияға, медицина қызметкерінің құпиясына және заңмен қорғалатын өзге де құпияларға жатқызылған мәліметтерді, сондай-ақ басқа да құпия ақпаратты ұсыну жөніндегі нормалары сақтала отырып жүзеге асырылады.
Өзге жағдайларда мемлекеттік сервиспен интеграция ерікті негізде жүзеге асырылады.
Мемлекеттік сервиспен интеграциялау тәртібін уәкілетті орган айқындайды және «электрондық үкіметтің» ақпараттандыру объектілерін интеграциялау қағидаларында айқындалады.
2. Мыналар мемлекеттік сервис арқылы қамтамасыз етіледі:
1) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге келісім беруі (одан бас тартуы);
2) субъектінің немесе оның заңды өкілінің мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді жинауға және (немесе) өңдеуге келісімді кері қайтарып алуы;
3) субъектіні мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерімен жасалатын әрекеттер туралы хабардар ету (қол жеткізу, қарау, өзгерту, толықтыру, беру, бұғаттау, жою);
4) субъектіге мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі өзінің дербес деректерін жинауға және (немесе) өңдеуге келісімі бар меншік иелері және (немесе) операторлар туралы мәліметтерді ұсыну.
3. Осы Заңның 9-бабының 4), 6), 8) және 9-3) тармақшаларында көзделген жағдайларда, субъектіні мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі оның дербес деректеріне қол жеткізуге (жинауға және өңдеуге) сұрау салулардың бастамашылары туралы мемлекеттік сервис арқылы хабардар ету қамтамасыз етіледі.
2021.30.12. № 96-VII ҚР Заңымен 8-2-баппен толықтырылды (2022 ж. 2 наурыздан бастап қолданысқа енгізілді)
8-2-бап. Мемлекеттік емес сервис
1. Меншік иелері және (немесе) операторлар, үшінші тұлғалар субъектінің немесе оның заңды өкілінің дербес деректерді жинауға және (немесе) өңдеуге келісімін алу жөніндегі рәсімдерді оңтайландыру мақсатында мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың дербес деректерді қамтитын ақпараттандыру объектілерімен өзара іс-қимылы болмаған жағдайда, мемлекеттік емес сервистерді пайдалануға құқылы.
2. Мыналар мемлекеттік емес сервис арқылы қамтамасыз етіледі:
1) субъектінің немесе оның заңды өкілінің дербес деректерді жинауға және (немесе) өңдеуге келісім беруі (одан бас тартуы);
2) субъектіні оның дербес деректерімен жасалатын әрекеттер (қарау, өзгерту, толықтыру, беру, бұғаттау, жою) туралы хабардар ету;
3) субъектіні үшінші тұлғалардың оның дербес деректеріне қол жеткізуі туралы хабардар ету.
9-бап. Дербес деректердi субъектiнiң келiсiмiнсiз жинау, өңдеу
Дербес деректерді субъектінің немесе оның заңды өкілінің келісімінсіз жинау, өңдеу:
2021.30.12. № 96-VII ҚР Заңымен 1) тармақша жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
1) құқық қорғау органдарының, соттардың және әкімшілік құқық бұзушылықтар туралы істерді қозғайтын және қарайтын өзге де уәкілетті мемлекеттік органдардың қызметін, атқарушылық іс жүргізуді жүзеге асырған;
2) мемлекеттік статистикалық қызметті жүзеге асырған;
3) дербес деректердi мiндеттi түрде иесiздендiру шартымен оларды статистикалық мақсаттар үшiн мемлекеттік органдар пайдаланған;
4) Қазақстан Республикасы ратификациялаған халықаралық шарттар iске асырылған;
5) егер субъектiнiң немесе оның заңды өкілінің келiсiмiн алу мүмкiн болмаса, адамның және азаматтың конституциялық құқықтары мен бостандықтарын қорғаған;
2021.30.12. № 96-VII ҚР Заңымен 6) тармақша жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
6) Қазақстан Республикасының адамның және азаматтың құқықтары мен бостандықтарын қамтамасыз ету жөніндегі заңнамасының талаптары сақталған жағдайда, журналистiң заңды кәсiптік қызметi және (немесе) теле-, радиоарналардың, мерзімді баспасөз басылымдарының, ақпарат агенттіктерінің, желілік басылымдардың қызметі не ғылыми, әдеби немесе өзге де шығармашылық қызмет жүзеге асырылған;
7) Қазақстан Республикасының заңдарына сәйкес дербес деректер, оның iшiнде сайланбалы мемлекеттiк лауазымдарға кандидаттардың дербес деректерi жарияланған;
8) Қазақстан Республикасының заңдарына сәйкес субъект дербес деректерді ұсыну жөніндегі өз міндеттерін орындамаған;
9) қаржы нарығы мен қаржы ұйымдарын реттеудi, бақылауды және қадағалауды жүзеге асыратын мемлекеттiк орган Қазақстан Республикасының заңнамасына сәйкес жеке және заңды тұлғалардан ақпарат алған;
2020.03.07. № 359-VI ҚР Заңымен 9-1) тармақшамен толықтырылды; 2021.30.12. № 96-VII ҚР Заңымен 9-1) тармақша жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
9-1) салықтық (кедендік) әкімшілендіруді және (немесе) бақылауды жүзеге асыру үшін мемлекеттік кіріс органдары Қазақстан Республикасының заңдарына сәйкес жеке және заңды тұлғалардан ақпарат алған;
2021.02.01. № 399-VI ҚР Заңымен 9-2) тармақшамен толықтырылды
9-2) Қазақстан Республикасының заңдарында көзделген жағдайларда, қолжетімділігі шектеулі дербес деректерді қамтитын электрондық ақпараттық ресурстардың резервтік көшірмесі электрондық ақпараттық ресурстарды сақтаудың бірыңғай ұлттық резервтік платформасына сақтауға берілген;
2021.02.01. № 399-VI ҚР Заңымен 9-3) тармақшамен толықтырылды (2021 ж. 1 шілдеден бастап қолданысқа енгізілді)
9-3) Қазақстан Республикасы заңнамасының талаптарын сақтау шарттарымен кәсіпкерлік субъектілерінің тікелей өз кәсіпкерлік қызметіне қатысты дербес деректері бизнес-әріптестердің тізілімін қалыптастыру үшін пайдаланылған;
2022.30.12. № 179-VІІ ҚР Заңымен 9-4) тармақшамен толықтырылды (2023 ж. 3 наурыздан бастап қолданысқа енгізілді)
9-4) Қазақстан Республикасы азаматының дербес деректері «Қазақстан Республикасы азаматтарының төлем қабілеттілігін қалпына келтіру және банкроттығы туралы» Қазақстан Республикасының Заңына сәйкес соттан тыс немесе сот арқылы банкроттық рәсімін қолдану туралы арыз берілген күннен бастап, сондай-ақ соттан тыс немесе сот арқылы банкроттық рәсімін қолданудың алдындағы үш жылға дейінгі кезеңде пайдаланылған;
10) Қазақстан Республикасының заңдарында белгіленген өзге де жағдайларда жүргізіледі.
10-бап. Дербес деректерге қол жеткізу
1. Егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, дербес деректерге қол жеткізу субъектінің немесе оның заңды өкілінің меншік иесіне және (немесе) операторға оларды жинауға, өңдеуге берген келісімінің шарттарымен айқындалады.
Егер меншік иесі және (немесе) оператор және (немесе) үшінші тұлға осы Заңның талаптарын орындауды қамтамасыз ету жөніндегі міндеттемелерді өзіне алудан бас тартса немесе оларды қамтамасыз ете алмаса, дербес деректерге қол жеткізуге тыйым салынуға тиіс.
2. Субъектінің немесе оның заңды өкілінің өз дербес деректеріне қол жеткізуге қатысты өтініш жасауы (сұрау салуы) меншік иесіне және (немесе) операторға жазбаша немесе электрондық құжат нысанында не Қазақстан Республикасының заңнамасына қайшы келмейтін қорғау іс-әрекеттерінің элементін қолдану арқылы өзге де тәсілмен беріледі.
3. Меншік иесінің және (немесе) оператордың және (немесе) үшінші тұлғаның арасындағы дербес деректерге қол жеткізуге қатысты қатынастар Қазақстан Республикасының заңнамасымен реттеледі.
2015.17.11. № 408-V ҚР Заңымен 4-тармақпен толықтырылды (2016 ж. 1 наурыздан бастап қолданысқа енгізілді); 2020.25.06. № 347-VІ ҚР Заңымен 4-тармақ өзгертілді (бұр.ред.қара); 2021.30.12. № 96-VII ҚР Заңымен 4-тармақ жаңа редакцияда (2022 ж. 2 наурыздан бастап қолданысқа енгізілді) (бұр.ред.қара)
4. Үшінші тұлғалар мемлекеттік органдардың және (немесе) мемлекеттік заңды тұлғалардың ақпараттандыру объектілеріндегі дербес деректерді субъектінің мемлекеттік сервис арқылы расталған келісімі болған жағдайда «электрондық үкіметтің» веб-порталы арқылы ала алады.
11-бап. Дербес деректердiң құпиялылығы
1. Қолжетімділігі шектеулі дербес деректерге қол жеткізе алатын меншік иелері және (немесе) операторлар, сондай-ақ үшiншi тұлғалар субъектінің немесе оның заңды өкілінің келісімі не өзге де заңды негіздер болмағанда оларды таратуға жол бермеу талаптарын сақтау арқылы олардың құпиялылығын қамтамасыз етедi.
2. Кәсіптік, қызметтік қажеттілікке, сондай-ақ еңбек қатынастарына байланысты қолжетімділігі шектеулі дербес деректер өздеріне белгілі болған адамдар олардың құпиялылығын қамтамасыз етуге мiндеттi.