Досье на проект Цифрового кодекса Республики Казахстан (сентябрь 2025 года)

6. Хранение персональных данных, содержащихся в базах данных, осуществляется собственником и (или) оператором, а также третьим лицом в электронной базе, находящейся в серверном помещении на территории Республики Казахстан, с принятием необходимых мер по защите персональных данных в соответствии с порядком, определяемым уполномоченным органом.

Глава 9. АНАЛИТИКА ДАННЫХ В ГОСУДАРСТВЕННОМ УПРАВЛЕНИИ

Статья 55. Аналитика данных

Под аналитикой данных в государственном управлении понимается процесс обработки данных с целью получения информации и выводов для принятия решения при осуществлении государственных функций, в том числе предоставления вытекающих из них государственных услуг и цифровых сервисов.

Статья 56. Осуществление аналитики данных

1. Государственные органы, государственные учреждения, не являющиеся государственными органами, и субъекты квазигосударственного сектора предоставляют доступ оператору к своим данным для осуществления аналитики данных.

Оператор осуществляет сбор, обработку, хранение, передачу данных для осуществления аналитики данных в государственном управлении.

2. Доступ к данным, являющимся конфиденциальными, для осуществления аналитики данных осуществляется с учетом обеспечения их псевдоанонимизации. Данные используются для осуществления аналитики данных в государственном управлении при условии их псевдоанонимизации.

РАЗДЕЛ 3. ПЕРСОНАЛЬНЫЕ ДАННЫЕ И ИХ ЗАЩИТА

Глава 10. СБОР И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 57. Особенности применения настоящего раздела Кодекса

Действие настоящего раздела Кодекса не распространяется на отношения, возникающие при:

1) сборе, обработке и защите персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц и требования законов Республики Казахстан;

2) формировании, хранении и использовании документов Национального архивного фонда Республики Казахстан и других архивных документов, содержащих персональные данные, в соответствии с законодательством Республики Казахстан о Национальном архивном фонде и архивах;

3) сборе, обработке и защите персональных данных, отнесенных к государственным секретам в соответствии с Законом Республики Казахстан «О государственных секретах»;

4) сборе, обработке и защите персональных данных в ходе разведывательной, контрразведывательной, оперативно-розыскной деятельности, а также осуществлении охранных мероприятий по обеспечению безопасности охраняемых лиц и объектов в пределах, установленных законами Республики Казахстан.

Статья 58. Доступность персональных данных

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта персональных данных.

Сведения о субъекте персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в течение одного рабочего дня по требованию субъекта персональных данных или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора базы персональных данных, третье лицо.

Объем расходов, возникающих при отзыве согласия субъекта персональных данных или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

Персональными данными ограниченного доступа являются сведения или совокупность сведений о физическом лице, доступ к которым ограничен законодательством Республики Казахстан

Статья 59. Условия сбора, обработки персональных данных и особенности сбора, обработки персональных данных из общедоступных источников

1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором базы персональных данных, а также третьим лицом с согласия субъекта персональных данных или его законного представителя в порядке, определяемом уполномоченным органом в сфере защиты персональных данных, за исключением случаев, предусмотренных пунктом 5 настоящей статьи и требованиями настоящего Кодекса.

2. Сбор, обработка персональных данных умершего (признанного судом безвестно отсутствующим или объявленного умершим) субъекта персональных данных осуществляются в соответствии с законодательством Республики Казахстан.

3. Распространение персональных данных в общедоступных источниках допускается при наличии согласия субъекта или его законного представителя, оформленного отдельно от иных согласий субъекта.

Собственник и (или) оператор обязаны обеспечить субъекту возможность определить отдельный перечень персональных данных, разрешенных субъектом его законным представителем для распространения персональных данных в общедоступных источниках.

4. В случае распространения персональных данных в общедоступных источниках самим субъектом или его законным представителем без предоставления собственнику и (или) оператору, а также третьему лицу согласия, предусмотренного пунктом 3 настоящей статьи, обязанность предоставить доказательства законности последующего сбора, распространения или иной обработки таких персональных данных возлагается на каждое лицо, осуществившее их сбор, распространение или иную обработку.

Требования пункта 3 настоящей статьи не распространяются на собственников и (или) операторов, а также третьих лиц в случаях распространения персональных данных в общедоступных источниках, обязанность размещения которых установлена законами Республики Казахстан.

При этом собственники и (или) операторы, а также третье лица обеспечивают предоставление доступа субъекту или его законному представителю только по своим персональным данным, распространенным в общедоступных источниках на основании части первой настоящего пункта, после прохождения ими процедур авторизации и идентификации, если иное не предусмотрено частью третей настоящего пункта.

Доступ к судебным актам Верховного Суда Республики Казахстан, местных и других судов Республики Казахстан, за исключением текстов судебных актов, предусматривающих положения, которые содержат сведения, составляющие государственную или иную охраняемую законом тайну, а также судебные акты по делам, рассмотренным в закрытом судебном разбирательстве, размещенным на сервисах Интернет-ресурса Верховного Суда Республики Казахстан, предоставляется после прохождения авторизации и идентификации.

5. Допускается повторный сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3 и 4 настоящей статьи, при условии наличия ссылки на источник информации.

Допускается последующий сбор, обработка и распространение третьими лицами персональных данных, опубликованных на основании пунктов 3, 3-1 и 4 настоящей статьи, при условии наличия ссылки на источник информации.

6. Обработка персональных данных в виде трансграничной передачи персональных данных, за исключением случаев, предусмотренных требованиями настоящего Кодекса, распространения персональных данных в общедоступных источниках, а также их передачи третьим лицам осуществляется при условии согласия субъекта персональных данных.

7. Особенности сбора, обработки персональных данных в базах данных, содержащих персональные данные, устанавливаются в соответствии с настоящим Кодексом и иными законодательными актами.

8. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

9. Не подлежат обработке персональные данные, содержание и объем которых являются избыточными по отношению к целям их обработки.

10. Запрещаются сбор, обработка копий документов, удостоверяющих личность, на бумажном носителе, за исключением случаев отсутствия интеграции с объектами информатизации государственных органов и (или) государственных юридических лиц, невозможности идентификации субъекта с использованием технологических средств, а также в иных случаях, предусмотренных законами Республики Казахстан.

Исключительные случаи сбора, обработки копий документов, удостоверяющих личность, на бумажном носителе, предусмотренные частью первой настоящего пункта, не распространяются на использование и представление документов, удостоверяющих личность, формируемых посредством сервиса цифровых документов.

11. Субъект персональных данных или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия.

При сборе и (или) обработке персональных данных, содержащихся в базах данных государственных органов и (или) государственных юридических лиц, согласие предоставляется посредством государственного сервиса, за исключением случаев, определенных правилами интеграции с государственным сервисом.

12. Субъект персональных данных или его законный представитель не может отозвать согласие на сбор, обработку персональных данных в случаях, если это противоречит законам Республики Казахстан, либо при наличии неисполненного обязательства.

13. Согласие на сбор и обработку персональных данных включает:

1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), бизнес-идентификационный номер (индивидуальный идентификационный номер) собственника и (или) оператора базы персональных данных;

2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта персональных данных;

3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

4) сведения о возможности собственника и (или) оператора базы персональных данных или ее отсутствии передавать персональные данные третьим лицам;

5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

6) сведения о возможности собственника и (или) оператора базы персональных данных или ее отсутствии осуществлять распространение персональных данных в общедоступных источниках;

7) перечень собираемых данных, связанных с субъектом персональных данных;

8) иные сведения, определяемые собственником и (или) оператором.

Статья 60. Сбор и обработка биометрических данных

1. Сбор и обработка биометрических данных физического лица осуществляются в целях установления личности на основании его уникальных биометрических данных.

2. Порядок сбора и обработки биометрических данных физического лица определяется в соответствии со статьей... настоящего Кодекса.

3. Обработка биометрических данных физического лица включает в себя действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение биометрических данных.

4. Основные требования к сбору, обработке и защите дактилоскопической и геномной информации устанавливаются в соответствии с законодательством Республики Казахстан в сфере дактилоскопической и геномной регистрации.

5. Допускается хранение биометрических данных физического лица (данные изображения, видео- и аудиозаписи; дактилоскопическая и геномная информация; информация о радужной оболочке глаза; результаты анализов ДНК и другие) на материальных носителях вне информационных систем биометрических данных.

6. Запрещается организациям, осуществляющим сбор и обработку биометрических данных, использовать биометрические данные физического лица для других целей, не предусмотренных основной (уставной) деятельностью.

Статья 61. Биометрическая идентификация

1. Биометрическая идентификация проводится при идентификации пользователя на стороне собственника или владельца базы данных.

Статья 62. Согласие и отказ на сбор и обработку биометрических данных

1. Перед сбором и обработкой биометрических данных работник государственного или частного учреждения получает его согласие на сбор и обработку биометрических данных.

2. В случае несогласия человека на сбор и обработку его биометрических данных оформляется соответствующий отказ в письменной/электронной форме, а идентификация производится любым не противоречащим законодательству Республики Казахстан методом.

Отношения, связанные с дактилоскопической и (или) геномной регистрацией граждан Республики Казахстан, иностранцев и лиц без гражданства, регулируются в соответствии с законодательством Республики Казахстан в сфере дактилоскопической и геномной регистрации.

3. Отказ физического лица от прохождения биометрической идентификации с использованием его биометрических данных не может служить основанием для отказа ему в обслуживании, если иное не предусмотрено международным договором, ратифицированным Республикой Казахстан.

Статья 63. Государственный сервис

1. Собственники и (или) операторы базы персональных данных, третьи лица в случае взаимодействия с базами данных государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечивают интеграцию собственных баз данных, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом, за исключением случаев, предусмотренных настоящим Кодексом.

Интеграция осуществляется с соблюдением норм законодательства Республики Казахстан по представлению сведений, отнесенных к государственным секретам, личной, семейной, банковской, коммерческой тайне, тайне медицинского работника и иным охраняемым законом тайнам, а также другой конфиденциальной информации.

В иных случаях интеграция с государственным сервисом осуществляется на добровольной основе.

2. Посредством государственного сервиса обеспечиваются:

1) предоставление субъектом персональных данных или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных, содержащихся в базах данных государственных органов и (или) государственных юридических лиц;

2) отзыв субъектом персональных данных или его законным представителем согласия на сбор и (или) обработку персональных данных, содержащихся в базах данных государственных органов и (или) государственных юридических лиц;

3) уведомление субъекта персональных данных о действиях с его персональными данными, содержащимися в базах данных государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);

4) представление субъекту персональных данных сведений о собственниках и (или) операторах базы персональных данных, имеющих согласие на сбор и (или) обработку его персональных данных, содержащихся в базах данных государственных органов и (или) государственных юридических лиц.

3. В случаях, предусмотренных требованиями настоящего Кодекса, обеспечивается уведомление субъекта персональных данных об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в базах данных государственных органов и (или) государственных юридических лиц, через государственный сервис.

Статья 64. Негосударственный сервис

1. Собственники и (или) операторы базы персональных данных, третьи лица в целях оптимизации процедур по получению согласия субъекта персональных данных или его законного представителя на сбор и (или) обработку персональных данных в случае отсутствия взаимодействия с базами данных государственных органов и (или) государственных юридических лиц, содержащими персональные данные, вправе использовать негосударственные сервисы.

2. Посредством негосударственного сервиса обеспечиваются:

1) предоставление субъектом персональных данных или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;

2) уведомление субъекта персональных данных о действиях с его персональными данными (просмотр, изменение, дополнение, передача, блокирование, уничтожение);

3) уведомление субъекта персональных данных о доступе третьих лиц к его персональным данным.

Статья 65. Сбор, обработка персональных данных без согласия субъекта персональных данных

Сбор, обработка персональных данных производятся без согласия субъекта персональных данных или его законного представителя в случаях:

1) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;

2) осуществления государственной статистической деятельности;

3) осуществления аналитики данных в целях совершенствования государственного управления;

4) реализации международных договоров, ратифицированных Республикой Казахстан;

5) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта персональных данных или его законного представителя невозможно;

6) осуществления законной профессиональной деятельности журналиста и (или) деятельности теле-, радиоканалов, периодических печатных изданий, информационных агентств, сетевых изданий либо научной, литературной или иной творческой деятельности при условии соблюдения требований законодательства Республики Казахстан по обеспечению прав и свобод человека и гражданина;

7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

8) неисполнения субъектом персональных данных своих обязанностей по представлению персональных данных в соответствии с законами Республики Казахстан;

9) получения государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации от физических и юридических лиц в соответствии с законодательством Республики Казахстан;

10) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

11) передачи на хранение резервной копии баз данных, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения баз данных в случаях, предусмотренных законами Республики Казахстан;

12) использования персональных данных субъектов персональных данных предпринимательства, относящихся непосредственно к их предпринимательской деятельности, для формирования реестра бизнес-партнеров при условии соблюдения требований законодательства Республики Казахстан;

13) предоставления государственных услуг в соответствии с законодательством Республики Казахстан;

14) осуществления единым накопительным пенсионным фондом деятельности, связанной с открытием пенсионных счетов, предоставлением информации о сумме пенсионных накоплений, а также об условных пенсионных счетах;

Статья 65-1. Государственный сервис контроля доступа к персональным данным при деятельности судов, правоохранительных и специальных органов

1. Органы прокуратуры в соответствии с Конституцией Республики Казахстан, Конституционным законом «О прокуратуре» и иными законами Республики Казахстан осуществляют высший надзор за законностью получения доступа к персональным данным судами, правоохранительными и специальными органами, при осуществлении своей деятельности, в том числе посредством государственного сервиса контроля доступа к персональным данным при деятельности судов, правоохранительных и специальных органов.

2. При взаимодействии судов, правоохранительных и специальных органов с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечиваются интеграция с государственным сервисом СПСО.

Статья 66. Специальная категория персональных данных

1. Запрещается обработка персональных данных, раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения, членство в профессиональном союзе, а также обработка биометрических данных, а также касающихся состояния здоровья и интимной жизни, в целях идентификации субъекта персональных данных, за исаключением случаев, предусмотренных настоящей статьей.

2. Обработка персональных данных, указанных в пункте 1 настоящей статьи допускается в следующих случаях:

1) если субъект персональных данных дал согласие на обработку этих персональных данных для одной или нескольких целей;

2) обработка персональных данных осуществляется в соответствии с законодательством о социальной защите, трудовым и пенсионным законодательством;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

4) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

5) осуществления деятельности правоохранительных органов, судов и иных уполномоченных государственных органов, которые возбуждают и рассматривают дела об административных правонарушениях, исполнительного производства;

6) обработка персональных данных осуществляется в медицинских целях, для установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну;

7) в других случаях, предусмотренных настоящим Кодексом и законами Республики Казахстан.

2. Законами Республики Казахстан могут вводиться дополнительные условия, в том числе ограничения, в отношении обработки биометрических данных или данных о здоровье.

Статья 67. Особенности автоматизированной обработки персональных данных

1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных пунктом 2 настоящей статьи.

2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных, а также в случаях, установленных законами Республики Казахстан.

3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, обеспечить право на участии представителя оператора в процессе принятия решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Статья 68. Доступ к персональным данным

1. Доступ к персональным данным определяется условиями согласия субъекта персональных данных или его законного представителя, предоставленного собственнику и (или) оператору базы персональных данных на их сбор и обработку, если иное не предусмотрено законодательством Республики Казахстан.

Доступ к персональным данным должен быть запрещен, если собственник и (или) оператор базы персональных данных, и (или) третье лицо отказываются принять на себя обязательства по обеспечению выполнения требований настоящего Кодекса или не могут их обеспечить.

2. Обращение (запрос) субъекта персональных данных или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору базы персональных данных письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

3. Отношения между собственником и (или) оператором базы персональных данных, и (или) третьим лицом относительно доступа к персональным данным регулируются законодательством Республики Казахстан.

4. Третьи лица могут получать персональные данные, содержащиеся в базах данных государственных органов и (или) государственных юридических лиц, через портал «электронного правительства» при условии согласия субъекта персональных данных, подтвержденного через государственный сервис.

Статья 69. Конфиденциальность персональных и биометрических данных

1. Собственники и (или) операторы базы персональных данных, а также третьи лица, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований не допускать их распространения и передачи без согласия субъекта персональных данных или его законного представителя либо наличия иного законного основания.

2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.

3. Конфиденциальность биометрических данных устанавливается настоящим Кодексом и законами Республики Казахстан.

Статья 70. Накопление и хранение персональных данных

1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для выполнения задач, осуществляемых собственником и (или) оператором базы персональных данных, а также третьим лицом.

2. Срок хранения персональных данных определяется датой достижения целей их сбора и обработки, если иное не предусмотрено законодательством Республики Казахстан.

Статья 71. Изменение и дополнение персональных данных

Изменение и дополнение персональных данных осуществляются собственником и (или) оператором базы персональных данных на основании обращения (запроса) субъекта персональных данных или его законного представителя либо в иных случаях, предусмотренных законами Республики Казахстан.

Статья 72. Использование персональных данных

Использование персональных данных должно осуществляться собственником базы персональных данных, оператором базы персональных данных и третьим лицом только для ранее заявленных целей их сбора.

Статья 73. Распространение персональных данных

1. Распространение и передача персональных данных допускается при условии согласия субъекта персональных данных или его законного представителя, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

2. Распространение и передача персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора, осуществляется с согласия субъекта персональных данных или его законного представителя.

Статья 74. Трансграничная передача персональных данных

1. Трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств, иностранному физическому и юридическому лицу.

2. В соответствии с настоящим Кодексом трансграничная передача персональных данных на территорию иностранных государств осуществляется только в случае обеспечения этими государствами защиты персональных данных.

3. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:

1) наличия согласия субъекта персональных данных или его законного представителя на трансграничную передачу его персональных данных;

2) предусмотренных международными договорами, ратифицированными Республикой Казахстан;

3) предусмотренных законами Республики Казахстан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения;

4) защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта персональных данных или его законного представителя невозможно.

4. Трансграничная передача персональных данных может быть запрещена или ограничена законами Республики Казахстан.

5. Особенности трансграничной передачи служебной информации об абонентах и (или) пользователях услуг связи определяются настоящим Кодексом.

Статья 75. Обезличивание персональных данных

1. Обезличивание персональных данных осуществляется посредством анонимизации и псевдоанонимизации.

При псевдоанонимизации персональные данные не могут быть отнесены к определенному субъекту персональных данных без использования дополнительной информации.

Дополнительная информация должна храниться отдельно и быть защищена техническими и организационными мерами, гарантирующим, что персональные данные не отнесены к идентифицированному или идентифицируемому физическому лицу.

Не допускается передача третьим лицам дополнительной информации, которая позволит идентифицировать конкретного субъекта персональных данных.

Персональные данные являются анонимизированными в случае, если невозможно прямо или косвенно определить принадлежность данных конкретному субъекту персональных данных.

2. Допускается обработка анонимизированных данных для проведения статистических, социологических, научных, маркетинговых исследований, разработки и тестирования инновационных технологий без согласия субъекта персональных данных.

Запрещается владельцу либо оператору баз данных использовать информацию и методы, а также совершать действия которые могут определить принадлежность обезличенных данных конкретному субъекту персональных данных.

Статья 76. Уничтожение персональных данных

Персональные данные подлежат уничтожению собственником и (или) оператором базы персональных данных, а также третьим лицом:

1) по истечении срока хранения в соответствии с требованиями настоящего Кодекса;

2) при прекращении правоотношений между субъектом персональных данных, собственником и (или) оператором базы персональных данных, а также третьим лицом;

3) при вступлении в законную силу решения суда;

4) при выявлении сбора и обработки персональных данных без согласия субъекта персональных данных или его законного представителя, за исключением случаев, предусмотренных требованиями настоящего Кодекса;

5) в иных случаях, установленных настоящим Кодексом и иными нормативными правовыми актами Республики Казахстан.

Статья 77. Сообщение о действиях с персональными данными

1. При наличии условия об уведомлении субъекта персональных данных о передаче его персональных данных третьему лицу собственник и (или) оператор базы персональных данных в течение десяти рабочих дней уведомляют об этом субъекта персональных данных или его законного представителя, если иное не предусмотрено законами Республики Казахстан.

2. Требования пункта 1 настоящей статьи не распространяются на случаи:

1) выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, а также осуществления деятельности частными нотариусами, частными судебными исполнителями и адвокатами;

2) осуществления сбора и обработки персональных данных в статистических, социологических или научных целях.

Глава 11. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 78. Гарантия защиты персональных данных

1. Персональные данные подлежат защите, которая гарантируется государством и осуществляется в порядке, определяемом Правительством Республики Казахстан.

2. Сбор и обработка персональных данных осуществляются только в случаях обеспечения их защиты.

Статья 79. Цели защиты персональных данных

Защита персональных данных осуществляется путем применения комплекса мер, в том числе правовых, организационных и технических, в целях:

1) реализации прав на неприкосновенность частной жизни, личную и семейную тайну;

2) обеспечения их целостности и сохранности;

3) соблюдения их конфиденциальности;

4) реализации права на доступ к ним;

5) предотвращения незаконного их сбора и обработки.

Статья 80. Обязанности собственника и (или) оператора базы персональных данных, а также третьего лица по защите персональных данных

1. Собственник и (или) оператор базы персональных данных, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Кодексом и порядком, определяемым уполномоченным органом в сфере защиты персональных данных, обеспечивающие:

1) предотвращение несанкционированного доступа к персональным данным;

2) своевременное обнаружение фактов несанкционированного доступа к персональным данным, если такой несанкционированный доступ не удалось предотвратить;

3) минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным;

4) предоставление доступа государственной технической службе к базам данных, использующим, хранящим, обрабатывающим и распространяющим персональные данные ограниченного доступа, содержащиеся в электронных базах данных, для осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных базах данных в порядке, определяемом уполномоченным органом в сфере защиты персональных данных.

5) регистрацию и учет действий, предусмотренных требованиями настоящего Кодекса.

2. Обязанности собственника и (или) оператора базы персональных данных, а также третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо необратимого обезличивания.

Статья 81. Защита баз данных, содержащих персональные данные

Особенности защиты баз данных, содержащих персональные данные, осуществляются в соответствии с настоящим Кодексом и законодательством Республики Казахстан.

Собственники и владельцы баз данных, содержащие персональные данные, собственник и (или) оператор базы персональных данных, а также третьи лица обязаны принимать меры по их защите в соответствии с настоящим Кодексом и законодательством Республики Казахстан.

Данная обязанность возникает с момента получения баз данных, содержащих персональные данные, или сбора персональных данных и до их уничтожения либо необратимого обезличивания.

Статья 82. Киберстрахование

1. Целью киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.

2. Собственники и (или) операторы, обрабатывающие персональные данные более одного миллиона субъектов, осуществляют обязательное киберстрахование своих баз от нарушения безопасности персональных данных.

3. Собственники и (или) операторы, обрабатывающие персональные данные менее одного миллиона субъектов, осуществляют киберстрахование на добровольной основе в силу волеизъявления сторон.