Пункт дополнен подпунктом 5 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
5) регистрацию и учет действий, предусмотренных подпунктами 3), 4), 5) и 6) пункта 4 статьи 8 настоящего Закона.
2. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
Статья 23 изложена в редакции Закона РК от 02.01.21 г. № 399-VI (см. стар. ред.)
Статья 23. Защита электронных информационных ресурсов, содержащих персональные данные
Особенности защиты электронных информационных ресурсов, содержащих персональные данные, осуществляются в соответствии с настоящим Законом и законодательством Республики Казахстан об информатизации.
Закон дополнен статьей 23-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI
Статья 23-1. Добровольное киберстрахование
1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.
2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.
Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.
Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА, СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА
Статья 24. Права и обязанности субъекта
1. Субъект имеет право:
1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:
подтверждение факта, цели, источников, способов сбора и обработки персональных данных;
перечень персональных данных;
сроки обработки персональных данных, в том числе сроки их хранения;
2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;
3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;
4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
Подпункт 5 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;
6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;
7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;
8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.
2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.
Заголовок статьи 25 изложен в редакции Закона РК от 25.06.20 г. № 347-VI (см. стар. ред.)
Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных
1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.
В пункт 2 внесены изменения в соответствии с Законом РК от 25.06.20 г. № 347-VI (см. стар. ред.)
2. Собственник и (или) оператор обязаны:
1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;
Пункт дополнен подпунктом 1-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;
2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;
3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;
Пункт дополнен подпунктом 3-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;
4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;
Подпункт 6 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;
Подпункт 7 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;
8) в течение одного рабочего дня:
изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;
блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;
уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;
снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.
Пункт дополнен подпунктами 9, 10 в соответствии с Законом РК от 25.06.20 г. № 347-VI
9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;
10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.
Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.
См.: Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz) «О назначении на должность лица, ответственного за организацию обработки персональных данных»
Статья дополнена пунктом 3 в соответствии с Законом РК от 25.06.20 г. № 347-VI
3. Лицо, ответственное за организацию обработки персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;
2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;
3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.
Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ
Статья 26. Компетенция Правительства Республики Казахстан
Правительство Республики Казахстан:
1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;
2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;
3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.
Статья 27. Компетенция государственных органов
Государственные органы в пределах своей компетенции:
1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;
2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;
3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
Закон дополнен статьей 27-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI
Статья 27-1. Компетенция уполномоченного органа
1. Уполномоченный орган в пределах своей компетенции:
1) участвует в реализации государственной политики в сфере персональных данных и их защиты;
2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;
Пункт дополнен подпунктом 2-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI
2-1) разрабатывает правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;
3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;
4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;
5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
6) осуществляет меры, направленные на совершенствование защиты прав субъектов;
Пункт дополнен подпунктом 6-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;
7) утверждает правила сбора, обработки персональных данных;
Пункт дополнен подпунктом 7-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI
7-1) утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с Комитетом национальной безопасности Республики Казахстан;
Пункт дополнен подпунктом 7-2 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-2) утверждает правила функционирования государственного сервиса контроля доступа к персональным данным;
Пункт дополнен подпунктом 7-3 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов и (или) государственных юридических лиц, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным;
Пункт дополнен подпунктом 7-4 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
7-4) утверждает правила интеграции с государственным сервисом контроля доступа к персональным данным;
8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.
2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
Статья 28. Надзор за применением настоящего Закона
Пункт 1 изложен в редакции Закона РК от 11.07.17 г. № 91-VI (см. стар. ред.)
1. Органы прокуратуры осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты.
В пункт 2 внесены изменения в соответствии с Законом РК от 05.11.22 г. № 157-VII (введены в действие с 18 ноября 2022 г.) (см. стар. ред.)
2. Акты прокурорского надзора, вынесенные на основании и в порядке, установленных Конституционным законом Республики Казахстан «О прокуратуре», обязательны для всех органов, организаций, должностных лиц и граждан.
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ
Статья 29. Ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите
Нарушение законодательства Республики Казахстан о персональных данных и их защите влечет ответственность в соответствии с законами Республики Казахстан.
Статья 30. Порядок обжалования и рассмотрения споров
Действия (бездействие) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленном законами Республики Казахстан.
Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном законами Республики Казахстан.
Статья 31. Порядок введения в действие настоящего Закона
1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.
2. Собственники и (или) операторы обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствие с требованиями настоящего Закона.
3. Сбор, обработка персональных данных, осуществленные согласно законодательству Республики Казахстан до введения в действие настоящего Закона, признаются соответствующими требованиям настоящего Закона, если дальнейшие их обработка и защита соответствуют целям их сбора.
Президент
Республики Казахстан
Н. НАЗАРБАЕВ
Астана, Акорда, 21 мая 2013 года
№ 94-V ЗРК