Закон
Республики Казахстан
О персональных данных и их защите
(с изменениями и дополнениями по состоянию на 01.07.2024 г.)
Данная редакция действовала до внесения изменений от 5 июля 2024 года
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия, используемые в настоящем Законе
Статья 2. Цель настоящего Закона
Статья 3. Действие настоящего Закона
Статья 4. Законодательство Республики Казахстан о персональных данных и их защите
Статья 5. Принципы сбора, обработки и защиты персональных данных
Глава 2. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 6. Доступность персональных данных
Статья 7. Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников
Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
Статья 8-1. Государственный сервис
Статья 8-2. Негосударственный сервис
Статья 9. Сбор, обработка персональных данных без согласия субъекта
Статья 10. Доступ к персональным данным
Статья 11. Конфиденциальность персональных данных
Статья 12. Накопление и хранение персональных данных
Статья 13. Изменение и дополнение персональных данных
Статья 14. Использование персональных данных
Статья 15. Распространение персональных данных
Статья 16. Трансграничная передача персональных данных
Статья 17. Обезличивание персональных данных
Статья 18. Уничтожение персональных данных
Статья 19. Сообщение о действиях с персональными данными
Глава 3. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 20. Гарантия защиты персональных данных
Статья 21. Цели защиты персональных данных
Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных
Статья 23. Защита электронных информационных ресурсов, содержащих персональные данные
Статья 23-1. Добровольное киберстрахование
Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА, СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА
Статья 24. Права и обязанности субъекта
Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных
Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ
Статья 26. Компетенция Правительства Республики Казахстан
Статья 27. Компетенция государственных органов
Статья 27-1. Компетенция уполномоченного органа
Статья 27-2. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите
Статья 27-3. Порядок проведения государственного контроля за соблюдением законодательства Республики Казахстан о персональных данных и их защите в отношении государственных органов
Статья 28. Надзор за применением настоящего Закона
Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ
Статья 29. Ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите
Статья 30. Порядок обжалования и рассмотрения споров
Статья 31. Порядок введения в действие настоящего Закона
Настоящий Закон регулирует общественные отношения в сфере персональных данных, а также определяет цель, принципы и правовые основы деятельности, связанные со сбором, обработкой и защитой персональных данных.
Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия, используемые в настоящем Законе
В настоящем Законе используются следующие основные понятия:
1) биометрические данные - персональные данные, которые характеризуют физиологические и биологические особенности субъекта персональных данных, на основе которых можно установить его личность;
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797512 «Поведенческие особенности не относятся к биометрическим данным»
2) персональные данные - сведения, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе;
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797563 «Аккаунт или данные устройства пользователя, которые не определяют конкретного физического лица без привязки дополнительных данных (полного Ф.И.О., ИИН и т.д.), не являются персональными данными»
Статья дополнена подпунктом 2-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
2-1) государственный сервис контроля доступа к персональным данным (далее - государственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
См.: Правила функционирования государственного сервиса контроля доступа к персональным данным
Статья дополнена подпунктом 2-2 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
2-2) негосударственный сервис контроля доступа к персональным данным (далее - негосударственный сервис) - услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом персональных данных при доступе к персональным данным, содержащимся в негосударственных объектах информатизации, включая получение от субъекта персональных данных согласия на сбор, обработку персональных данных или их передачу третьим лицам;
3) блокирование персональных данных - действия по временному прекращению сбора, накопления, изменения, дополнения, использования, распространения, обезличивания и уничтожения персональных данных;
4) накопление персональных данных - действия по систематизации персональных данных путем их внесения в базу, содержащую персональные данные;
5) сбор персональных данных - действия, направленные на получение персональных данных;
6) уничтожение персональных данных - действия, в результате совершения которых невозможно восстановить персональные данные;
7) обезличивание персональных данных - действия, в результате совершения которых определение принадлежности персональных данных субъекту персональных данных невозможно;
8) база, содержащая персональные данные (далее - база), - совокупность упорядоченных персональных данных;
9) собственник базы, содержащей персональные данные (далее - собственник), - государственный орган, физическое и (или) юридическое лицо, реализующие в соответствии с законами Республики Казахстан право владения, пользования и распоряжения базой, содержащей персональные данные;
10) оператор базы, содержащей персональные данные (далее - оператор), - государственный орган, физическое и (или) юридическое лицо, осуществляющие сбор, обработку и защиту персональных данных;
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797552 «Операторы баз, содержащих персональные данные, в том числе иностранцы, иностранное юридическое лицо, филиалы и представительства иностранных юридических лиц, осуществляющие сбор и обработку персональных данных на территории Республики Казахстан, обязаны соблюдать меры по защите персональных данных»
11) защита персональных данных - комплекс мер, в том числе правовых, организационных и технических, осуществляемых в целях, установленных настоящим Законом;
Статья дополнена подпунктами 11-1, 11-2 в соответствии с Законом РК от 25.06.20 г. № 347-VI
11-1) уполномоченный орган в сфере защиты персональных данных (далее - уполномоченный орган) - центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
11-2) исключен в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
См.: Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz)
12) обработка персональных данных - действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797464 «Структурирование, просмотр, раскрытие (в том числе, посредством передачи), доступ, сопоставление, сокращение, удаление относятся к действиям, направленным к использованию и изменению персональных данных»
13) использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
14) хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
15) распространение персональных данных - действия, в результате совершения которых происходит передача персональных данных, в том числе через средства массовой информации или предоставление доступа к персональным данным каким-либо иным способом;
Статья дополнена подпунктом 15-1 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
15-1) нарушение безопасности персональных данных - нарушение защиты персональных данных, повлекшее незаконное распространение, изменение и уничтожение, несанкционированное распространение передаваемых, хранимых или иным образом обрабатываемых персональных данных или несанкционированный доступ к ним;
16) субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся персональные данные;
17) третье лицо - лицо, не являющееся субъектом, собственником и (или) оператором, но связанное с ними (ним) обстоятельствами или правоотношениями по сбору, обработке и защите персональных данных.
Статья 2. Цель настоящего Закона
Целью настоящего Закона является обеспечение защиты прав и свобод человека и гражданина при сборе и обработке его персональных данных.
Статья 3. Действие настоящего Закона
1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.
2. Особенности сбора, обработки и защиты персональных данных могут регулироваться иными законами и актами Президента Республики Казахстан.
3. Действие настоящего Закона не распространяется на отношения, возникающие при:
1) сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан;
2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;
3) сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан «О государственных секретах»;
4) сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.
Статья 4. Законодательство Республики Казахстан о персональных данных и их защите
1. Законодательство Республики Казахстан о персональных данных и их защите основывается на Конституции Республики Казахстан и состоит из настоящего Закона и иных нормативных правовых актов Республики Казахстан.
2. Если международным договором, ратифицированным Республикой Казахстан, установлены иные правила, чем те, которые содержатся в настоящем Законе, то применяются правила международного договора.
Статья 5. Принципы сбора, обработки и защиты персональных данных
Сбор, обработка и защита персональных данных осуществляются в соответствии с принципами:
1) соблюдения конституционных прав и свобод человека и гражданина;
2) законности;
3) конфиденциальности персональных данных ограниченного доступа;
4) равенства прав субъектов, собственников и операторов;
5) обеспечения безопасности личности, общества и государства.
Глава 2. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
В статью 6 внесены изменения в соответствии с Законом РК от 30.12.21 г. № 96-VII (введены в действие с 2 марта 2022 г.) (см. стар. ред.); Законом РК от 14.07.22 г. № 141-VII (см. стар. ред.)
Статья 6. Доступность персональных данных
Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.
Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.
Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в течение одного рабочего дня по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.
При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.
Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.
Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.
См.: Ответ Министра внутренних дел РК от 7 декабря 2019 года на вопрос от 26 ноября 2019 года № 582584 (dialog.egov.kz) «К каким персональным данным относятся сведения о Ф.И.О., адресе проживания и ИИН», Письмо Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 20 февраля 2024 года № ЖТ-2023-03079866 «Касательно публикации информации интернет-ресурсах КГД, содержащей персональные данные ИП (ФИО, БИН, ИИН)»
Статья 7 изложена в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
Статья 7. Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников
1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных пунктом 5 настоящей статьи и статьей 9 настоящего Закона.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797466 «О критериях, которым должно отвечать согласие на сбор и обработку ПД»
2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта осуществляются в соответствии с законодательством Республики Казахстан.
3. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797577 «Онлайн-платформы, а также социальные сети допустимо относить к общедоступным источникам»
4. Требования пункта 3 настоящей статьи не распространяются на обладателей информации в случаях публикации информации, обязанность размещения которой установлена законами Республики Казахстан.
5. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3 и 4 настоящей статьи, при условии наличия ссылки на источник информации.
См.: Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 12 апреля 2022 года на вопрос от 30 марта 2022 года № 732857 (dialog.egov.kz) «О повторном сборе и обработке персональных данных из социальных сетей без согласия субъекта», Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797580 «Вправе ли третьи лица, включая работодателя, осуществлять сбор и обработку ПД, размещенных в социальных сетях в закрытом аккаунте и осуществлять их повторный сбор и обработку»
6. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных статьей 16 настоящего Закона, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797552 «Операторы баз, содержащих персональные данные, в том числе иностранцы, иностранное юридическое лицо, филиалы и представительства иностранных юридических лиц, осуществляющие сбор и обработку персональных данных на территории Республики Казахстан, обязаны соблюдать меры по защите персональных данных»
7. Особенности сбора, обработки персональных данных в электронных информационных ресурсах, содержащих персональные данные, устанавливаются в соответствии с законодательством Республики Казахстан об информатизации с учетом положений настоящего Закона.
8. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
9. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.
Статья дополнена пунктом 10 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.
Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 6 мая 2024 года № ЖТ-2023-03797569 «На уровне законодательства Республики Казахстан по вопросам трудоустройства отсутствуют требования по сбору копий документов, удостоверяющих личность, на бумажном носителе»
Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных
В пункт 1 внесены изменения в соответствии с Законом РК от 25.06.20 г. № 347-VI (см. стар. ред.); изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.
При сборе и (или) обработке персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса.
См.: Правила функционирования государственного сервиса контроля доступа к персональным данным, Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz), Письмо Заместителя Председателя РГУ «Комитет по информационной безопасности» Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июля 2022 года № 27-1-2-27/442-И «Касательно неправомерного получения доверенности от субъектов при оказании банковских услуг», Письмо Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 20 июня 2023 года № ЖТ-2023-01021052 «О получении согласия на сбор и обработку персональных данных для оформления дисконтных карт для покупателей», Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797558 «О механизме отзыва ранее предоставленного согласия на сбор, обработку персональных данных»
2. Субъект или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.
3. Исключен в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
Статья дополнена пунктом 4 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
4. Согласие на сбор и обработку персональных данных включает:
1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) оператора;
2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;
3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;
4) сведения о возможности оператора или ее отсутствии передавать персональные данные третьим лицам;
5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;
6) сведения о распространении персональных данных в общедоступных источниках;
7) перечень собираемых данных, связанных с субъектом;
8) иные сведения, определяемые собственником и (или) оператором.
Глава 2 дополнена статьей 8-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
Статья 8-1. Государственный сервис
1. Собственники и (или) операторы, третьи лица в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 настоящего Закона.
Интеграция осуществляется с соблюдением норм законодательства Республики Казахстан по представлению сведений, отнесенных к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и иным охраняемым законом тайнам, а также другой конфиденциальной информации.
В иных случаях интеграция с государственным сервисом осуществляется на добровольной основе.
Порядок интеграции с государственным сервисом определяется уполномоченным органом и правилами интеграции объектов информатизации «электронного правительства».
См.: Правила функционирования государственного сервиса контроля доступа к персональным данным
2. Посредством государственного сервиса обеспечиваются:
1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;
2) отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;
3) уведомление субъекта о действиях с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);
4) представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.
3. В случаях, предусмотренных подпунктами 4), 6), 8) и 9-3) статьи 9 настоящего Закона, обеспечивается уведомление субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, через государственный сервис.
Глава 2 дополнена статьей 8-2 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)
Статья 8-2. Негосударственный сервис
1. Собственники и (или) операторы, третьи лица в целях оптимизации процедур по получению согласия субъекта или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.
2. Посредством негосударственного сервиса обеспечиваются:
1) предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;
2) уведомление субъекта о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);
3) уведомление субъекта о доступе третьих лиц к его персональным данным.
Статья 9. Сбор, обработка персональных данных без согласия субъекта
Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:
Подпункт 1 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
1) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;
2) осуществления государственной статистической деятельности;
3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания;
4) реализации международных договоров, ратифицированных Республикой Казахстан;
5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно;
Статья дополнена подпунктом 5-1 в соответствии с Законом РК от 11.12.23 г. № 44-VIII (введен в действие с 11 февраля 2024 г.)
5-1) осуществления единым накопительным пенсионным фондом деятельности, связанной с открытием пенсионных счетов, предоставлением информации о сумме пенсионных накоплений, а также об условных пенсионных счетах;
Подпункт 6 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
6) осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;
7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;
8) неисполнения субъектом своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;
9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;
Статья дополнена подпунктом 9-1 в соответствии с Законом РК от 03.07.20 г. № 359-VI; изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
9-1) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;
Статья дополнена подпунктом 9-2 в соответствии с Законом РК от 02.01.21 г. № 399-VI
9-2) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;
Статья дополнена подпунктом 9-3 в соответствии с Законом РК от 02.01.21 г. № 399-VI (введены в действие с 1 июля 2021 г.)
9-3) использования персональных данных субъектов предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан;
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 11 марта 2014 года № ЖТ-2024-03246344 «Касательно государственного сервиса контроля доступа к персональным данным»
Статья дополнена подпунктом 9-4 в соответствии с Законом РК от 30.12.22 г. № 179-VII (введены в действие с 3 марта 2023 г.)
9-4) использования персональных данных гражданина Республики Казахстан со дня подачи заявления о применении процедуры внесудебного или судебного банкротства в соответствии с Законом Республики Казахстан «О восстановлении платежеспособности и банкротстве граждан Республики Казахстан», а также за период до трех лет, предшествующих применению процедуры внесудебного или судебного банкротства;
10) в иных случаях, установленных законами Республики Казахстан.
Статья 10. Доступ к персональным данным
1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного собственнику и (или) оператору на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.
Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Закона или не могут их обеспечить.
2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.
3. Отношения между собственником и (или) оператором, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.
Статья дополнена пунктом 4 в соответствии с Законом РК от 17.11.15 г. № 408-V (введен в действие с 1 марта 2016 г.); внесены изменения в соответствии с Законом РК от 25.06.20 г. № 347-VI (см. стар. ред.); изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
4. Третьи лица могут получать персональные данные, содержащиеся в объектах информатизации государственных органов и (или) государственных юридических лиц, через веб-портал «электронного правительства» при условии согласия субъекта, подтвержденного через государственный сервис.
Статья 11. Конфиденциальность персональных данных
1. Собственники и (или) операторы, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения без согласия субъекта или его законного представителя либо наличия иного законного основания.
2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.
3. Конфиденциальность биометрических данных устанавливается законодательством Республики Казахстан.
Статья 12. Накопление и хранение персональных данных
1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором, а также третьим лицом.
В пункт 2 внесены изменения в соответствии с Законом РК от 24.11.15 г. № 419-V (см. стар. ред.); Законом РК от 02.01.21 г. № 399-VI (см. стар. ред.)
2. Хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, находящейся на территории Республики Казахстан.
Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.
Статья 13. Изменение и дополнение персональных данных
Изменение и дополнение персональных данных осуществляются собственником и (или) оператором на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.
Статья 14. Использование персональных данных
Использование персональных данных должно осуществляться собственником, оператором и третьим лицом только для ранее заявленных целей их сбора.
Статья 15. Распространение персональных данных
Пункт 1 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)
1. Распространение персональных данных допускается при условии согласия субъекта или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.
2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта или его законного представителя.
См.: Письмо Комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 4 мая 2024 года № ЖТ-2023-03797584 «Законодательством Республики Казахстан о персональных данных не предусмотрено требование по уведомлению граждан при изменении условий сбора и обработки»