С 23 марта 2026 года в Казахстане вступают
в силу новые правила работы государственного сервиса контроля доступа к персональным данным. Приказ МИИЦР РК от 5 марта № 120/НҚ уточняет ключевые понятия и порядок функционирования сервиса.
Персональные данные теперь определяются шире: это любые сведения, включая биометрические, относящиеся к конкретному субъекту и зафиксированные на электронных, бумажных или иных носителях.
Введено понятие «автоматизированная обработка» — когда данные обрабатываются объектом информатизации без участия собственника, оператора или третьих лиц. Это отражает рост цифровизации и необходимость регулирования процессов без человеческого вмешательства.
Функционирование госсервиса теперь охватывает автоматизированные процессы: взаимодействие собственников и операторов с субъектами, получение согласия на сбор и передачу данных, уведомления о действиях с ними и предоставление сведений о тех, кто имеет доступ.
Особое внимание уделено процедуре согласия при автоматизированной обработке: субъект или его представитель может дать согласие, отказ или отозвать его. Все действия фиксируются и сопровождаются уведомлениями, включая просмотр, изменение, передачу или уничтожение данных.
Изменён процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги. Теперь он детализирован и предусматривает разные сценарии: проактивные услуги, режим протоколирования и использование SMS‑уведомлений через «мобильное правительство».
В проактивном режиме инициатор получает согласие субъекта через биометрию, ЭЦП или бумажные носители. Далее запрос проходит серию проверок: наличие токена, подпись, соответствие бизнес‑идентификационного номера, дата формирования.
Если все проверки пройдены, сервис формирует токен безопасности на период оказания услуги. Этот токен включается в запрос к собственнику данных, который проверяет его и отправляет ответ инициатору или оператору.
В режиме протоколирования доступ возможен без согласия субъекта, но только по основаниям из справочника. В этом случае токен безопасности формируется на 15 минут, что ограничивает время использования и повышает контроль.
Третий вариант — через SMS‑сообщения. Сервис отправляет субъекту одноразовый код, который используется для формирования токена безопасности. После проверки собственником запрос обрабатывается и инициатор получает ответ.
В условиях постоянно изменяющегося регулирования компании всё чаще сталкиваются с вопросами обработки и защиты персональных данных.
DRCQ оказывает комплексную юридическую поддержку: помогает соблюдать законы Казахстана, в том числе Data Protection Rules МФЦА, и международные стандарты (включая GDPR), а также снизить риски нарушений; разрабатывает внутренние документы и политики, проводит аудит бизнес процессов на предмет соблюдения требований по защите персональных данных.
Если вы собираете, храните или передаёте персональные данные — убедитесь, что ваша модель соответствует закону. Мы вам в этом поможем.
kz@drc.law
+7 (775) 007‑81‑99
DRCQ.law
Персональные данные теперь определяются шире: это любые сведения, включая биометрические, относящиеся к конкретному субъекту и зафиксированные на электронных, бумажных или иных носителях.
Введено понятие «автоматизированная обработка» — когда данные обрабатываются объектом информатизации без участия собственника, оператора или третьих лиц. Это отражает рост цифровизации и необходимость регулирования процессов без человеческого вмешательства.
Функционирование госсервиса теперь охватывает автоматизированные процессы: взаимодействие собственников и операторов с субъектами, получение согласия на сбор и передачу данных, уведомления о действиях с ними и предоставление сведений о тех, кто имеет доступ.
Особое внимание уделено процедуре согласия при автоматизированной обработке: субъект или его представитель может дать согласие, отказ или отозвать его. Все действия фиксируются и сопровождаются уведомлениями, включая просмотр, изменение, передачу или уничтожение данных.
Изменён процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги. Теперь он детализирован и предусматривает разные сценарии: проактивные услуги, режим протоколирования и использование SMS‑уведомлений через «мобильное правительство».
В проактивном режиме инициатор получает согласие субъекта через биометрию, ЭЦП или бумажные носители. Далее запрос проходит серию проверок: наличие токена, подпись, соответствие бизнес‑идентификационного номера, дата формирования.
Если все проверки пройдены, сервис формирует токен безопасности на период оказания услуги. Этот токен включается в запрос к собственнику данных, который проверяет его и отправляет ответ инициатору или оператору.
В режиме протоколирования доступ возможен без согласия субъекта, но только по основаниям из справочника. В этом случае токен безопасности формируется на 15 минут, что ограничивает время использования и повышает контроль.
Третий вариант — через SMS‑сообщения. Сервис отправляет субъекту одноразовый код, который используется для формирования токена безопасности. После проверки собственником запрос обрабатывается и инициатор получает ответ.
В условиях постоянно изменяющегося регулирования компании всё чаще сталкиваются с вопросами обработки и защиты персональных данных.
DRCQ оказывает комплексную юридическую поддержку: помогает соблюдать законы Казахстана, в том числе Data Protection Rules МФЦА, и международные стандарты (включая GDPR), а также снизить риски нарушений; разрабатывает внутренние документы и политики, проводит аудит бизнес процессов на предмет соблюдения требований по защите персональных данных.
Если вы собираете, храните или передаёте персональные данные — убедитесь, что ваша модель соответствует закону. Мы вам в этом поможем.
kz@drc.law
+7 (775) 007‑81‑99
DRCQ.law