В Казахстане тема утечек персональных данных остаётся одной из самых острых. Партнер DRCQ, глава практики Data Privacy Елжан Кабышев напоминает: закон «О персональных данных и их защите» прямо обязывает организации — от школ и вузов до бизнеса — соблюдать конституционные права граждан и обеспечивать конфиденциальность информации.
По его словам, если человек не давал согласия на публичное распространение сведений, компания обязана принять все меры для их защиты. Нарушение этих норм влечёт административную или уголовную ответственность.
Статья 7 закона закрепляет, что распространение данных в открытых источниках возможно только при согласии граждан. Сбор и обработка допускаются лишь в законных целях, а использование информации для причинения вреда или ограничения прав запрещено.
Елжан подчёркивает принцип минимизации: нельзя собирать данные, избыточные по отношению к целям обработки. Он приводит пример: сервис такси собирает номера телефонов для связи с водителем, но передача базы третьим лицам для рекламы — нарушение закона.
Статья 22 требует от собственников предотвращать несанкционированный доступ и минимизировать последствия инцидентов. А статья 24 даёт гражданам право блокировать данные, запрещать их использование и требовать компенсацию за причинённый вред.
В 2025 году в eGov Mobile появился сервис Nomad Guard, позволяющий проверить, попали ли данные в базы утечек. Однако эксперт DRCQ сомневается в его надёжности: даже при положительном ответе человек мог фигурировать в крупных инцидентах, а уведомления пострадавшим не направляются.
"Юридическая фирма «Digital Rights Center Qazaqstan» в июне 2025 года направила официальное заявление в Комитет по информационной безопасности, в котором мы прямо указали на то, что сервис не уведомляет пострадавших", — сообщил эксперт.
Для контроля доступа к данным он советует использовать сервис «Персональные данные» на портале eGov, где можно увидеть, каким организациям предоставлено согласие, и при необходимости отозвать его.
Эксперт также рекомендует международные инструменты: Have I Been Pwned и Mozilla Monitor помогают проверить, не оказались ли почта или телефон в утечках, и дают советы по защите. Apple‑устройства дополнительно уведомляют о слабых или скомпрометированных паролях.
Для организаций Елжан Кабышев выделяет базовые меры: двухфакторная аутентификация, шифрование дисков BitLocker или FileVault, ограничение прав доступа, соглашения о неразглашении и регулярное обучение сотрудников цифровой гигиене.
По мнению главы юрпрактики DRCQ, только комплексный подход — от соблюдения закона до внедрения технических решений — способен реально снизить риски утечек и укрепить доверие граждан к цифровым сервисам.
По его словам, если человек не давал согласия на публичное распространение сведений, компания обязана принять все меры для их защиты. Нарушение этих норм влечёт административную или уголовную ответственность.
Статья 7 закона закрепляет, что распространение данных в открытых источниках возможно только при согласии граждан. Сбор и обработка допускаются лишь в законных целях, а использование информации для причинения вреда или ограничения прав запрещено.
Елжан подчёркивает принцип минимизации: нельзя собирать данные, избыточные по отношению к целям обработки. Он приводит пример: сервис такси собирает номера телефонов для связи с водителем, но передача базы третьим лицам для рекламы — нарушение закона.
Статья 22 требует от собственников предотвращать несанкционированный доступ и минимизировать последствия инцидентов. А статья 24 даёт гражданам право блокировать данные, запрещать их использование и требовать компенсацию за причинённый вред.
В 2025 году в eGov Mobile появился сервис Nomad Guard, позволяющий проверить, попали ли данные в базы утечек. Однако эксперт DRCQ сомневается в его надёжности: даже при положительном ответе человек мог фигурировать в крупных инцидентах, а уведомления пострадавшим не направляются.
"Юридическая фирма «Digital Rights Center Qazaqstan» в июне 2025 года направила официальное заявление в Комитет по информационной безопасности, в котором мы прямо указали на то, что сервис не уведомляет пострадавших", — сообщил эксперт.
Для контроля доступа к данным он советует использовать сервис «Персональные данные» на портале eGov, где можно увидеть, каким организациям предоставлено согласие, и при необходимости отозвать его.
Эксперт также рекомендует международные инструменты: Have I Been Pwned и Mozilla Monitor помогают проверить, не оказались ли почта или телефон в утечках, и дают советы по защите. Apple‑устройства дополнительно уведомляют о слабых или скомпрометированных паролях.
Для организаций Елжан Кабышев выделяет базовые меры: двухфакторная аутентификация, шифрование дисков BitLocker или FileVault, ограничение прав доступа, соглашения о неразглашении и регулярное обучение сотрудников цифровой гигиене.
По мнению главы юрпрактики DRCQ, только комплексный подход — от соблюдения закона до внедрения технических решений — способен реально снизить риски утечек и укрепить доверие граждан к цифровым сервисам.