№

Структурный

элемент

Редакция законодательного акта

Редакция предлагаемого изменения и дополнения

Обоснование

1

2

3

4

5

Гражданский кодекс Республики Казахстан от 27 декабря 1994 года

Статья 145

Статья 145. Право на собственное изображение

1. Никто не имеет право использовать изображение какого-либо лица без его согласия, а в случае его смерти - без согласия наследников.

2. Опубликование, воспроизведение и распространение изобразительного произведения (картина, фотография, кинофильм и другие), в котором изображено другое лицо, допускается лишь с согласия изображенного, а после его смерти с согласия его детей и пережившего супруга. Такого согласия не требуется, если это установлено законодательными актами, либо изображенное лицо позировало за плату.

Статья 145. Право на собственное изображение

Использование и распространение изображения другого лица (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых оно изображено) допускаются лишь с согласия этого лица или его законных представителей, а после его смерти с согласия его наследников. Такое согласие не требуется, если:

1) изображение лица получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях (собраниях, съездах, конференциях, концертах, представлениях, спортивных соревнованиях и подобных мероприятиях), за исключением случаев, когда такое изображение является основным объектом использования;

2) лицо позировало за плату;

3) лицо совершило административное или уголовное правонарушение;

4) государственный служащий или работник квазигосударственного сектора осуществляет служебные обязанности в рабочее время;

5) это установлено законодательными актами.

В целях защиты персональных данных необходимо устранить противоречия между пунктами 1 и 2 статьи 145 Гражданского кодекса, а также установить конкретные случаи, при которых допускается использование и распространение изображения другого лица без его согласия.

Аналогичная норма содержится в Гражданском кодексе Российской Федерации.

Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года

Новый подпункт 117) статьи 138

Статья 138. Сферы деятельности субъектов предпринимательства, в которых осуществляется контроль

Контроль осуществляется:

…

117) отсутствует

Статья 138. Сферы деятельности субъектов предпринимательства, в которых осуществляется контроль

Контроль осуществляется:

…

117) за соблюдением законодательства Республики Казахстан о персональных данных и их защите

В целях наделения уполномоченного органа в сфере защите персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.

Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.

Закон Республики Казахстан «О государственных услугах» от 15 апреля 2013 года

Новый подпункт 6) пункта 2 статьи 19-1

Статья 19-1. Отказ в оказании государственных услуг услугодателями

…

6) отсутствует

Статья 19-1. Отказ в оказании государственных услуг услугодателями

…

6) в случае отказа услугополучателя на доступ к персональным данным ограниченного доступа, которые требуются для оказания государственной услуги.

В целях реализации принципов законности и прозрачности персональные данные должны быть получены с согласия субъекта данных. В этой связи ведутся работы по внедрению Сервиса обеспечения безопасности персональных данных, посредством которого предоставляется разрешение на сбор и обработку в случае подтверждения личности субъекта персональных данных.

Это позволит гражданам контролировать использование их персональных данных путем разрешения или отказа в доступе к ним.

Закон Республики Казахстан «О персональных данных и их защите» от 21 мая 2013 года

Подпункт 11-2) статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

…

2-1) отсутствует

…

11-2) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников и (или) операторов с субъектом, включая получение от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам, в том числе путем реализации данного взаимодействия собственниками и (или) операторами самостоятельно;

Статья 1. Основные понятия, используемые в настоящем Законе

…

2-1) реестр операторов – электронный информационный ресурс, содержащий сведения об операторах, обрабатываемых ими персональных данных и условиях сбора, обработки персональных данных, формируемый на основании уведомлений о факте, начале или прекращении сбора и обработки персональных данных;

…

11-2) сервис обеспечения безопасности персональных данных – услуга, обеспечивающая информационное взаимодействие собственников, уполномоченного органа и (или) операторов с субъектом, включая получение (отзыв) от субъекта согласия на сбор, обработку персональных данных или их передачу третьим лицам;

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях функционал Сервиса дополняется модулями по формированию Реестра согласия, реестра операторов, а также функцией по направлению жалобы уполномоченному органу в случае нарушения прав субъектов.

Абзац 3 статьи 6

Статья 6. Доступность персональных данных

Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

      В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).

      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя либо по решению суда или иных уполномоченных государственных органов.

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

      Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

Статья 6. Доступность персональных данных и особенности сбора, обработки персональных данных из общедоступных источников

1. Персональные данные по доступности подразделяются на общедоступные и ограниченного доступа.

      Общедоступными персональными данными являются персональные данные или сведения, на которые в соответствии с законодательством Республики Казахстан не распространяются требования соблюдения конфиденциальности, доступ к которым является свободным с согласия субъекта.

2. Распространение персональных данных в общедоступных источниках, а также сбор, обработка и распространение персональных данных из общедоступных источников допускается при наличии согласия субъекта или его законного представителя.

Требования настоящего пункта не распространяются на случаи выполнения государственными органами своих функций, предусмотренных законодательством Республики Казахстан, по публикации информации, подлежащей к обязательному раскрытию.

3.      Сведения о субъекте, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, исключаются из общедоступных источников персональных данных в любое время по требованию субъекта или его законного представителя,  уполномоченного органа либо по решению суда.

      При этом расходы, возникающие при уничтожении персональных данных с общедоступных источников персональных данных, возлагаются на собственника и (или) оператора, третье лицо.

      Объем расходов, возникающих при отзыве согласия субъекта или его законного представителя на распространение его персональных данных в общедоступных источниках персональных данных, связанных с уничтожением персональных данных с общедоступных источников персональных данных, а также лица, на которые возлагаются данные расходы, в случае возникновения необходимости определяются в судебном порядке.

4. Персональными данными ограниченного доступа являются персональные данные, доступ к которым ограничен законодательством Республики Казахстан.

В КИБ поступает большое количество жалоб на различные интернет-ресурсы (www.adata.kz, www.fa-fa.kz, телеграмм-бот «ShtrafKZBOT» и т.п.), касающиеся незаконной публикации персональных данных.

В ходе проведенного анализа установлено, что источниками получения публикуемых ими персональных данных являются государственные органы размещающие на общедоступных интернет-ресурсах открытые данные в соответствии с требованиями законодательства.

Вышеописанные обстоятельства поспособствовали частным интернет-ресурсам создать собственную базу данных и распространять их посредством сервиса проверки физических лиц по ФИО и ИИН, в том числе на возмездной основе.

Данные нормы необходимы для пресечения сбора и выгрузки, использования персональных данных, опубликованных в общедоступных источниках.

Пункт 1 статьи 7

Статья 7. Условия сбора, обработки персональных данных

1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона.

Статья 7. Условия сбора, обработки персональных данных

…

1. Сбор, обработка персональных данных осуществляются собственником и (или) оператором, а также третьим лицом с согласия субъекта или его законного представителя в порядке, определяемом уполномоченным органом, за исключением случаев, предусмотренных статьей 9 настоящего Закона, а также при условии уведомления уполномоченного органа в соответствии со статьей 7-1 настоящего Закона.

Данная инициатива поддержана Межведомственной комиссией при Совете Безопасности РК по вопросам информационной безопасности 19.06.2020 г.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.

Новый пункт 6 статьи 7

Статья 7. Условия сбора, обработки персональных данных

…

6. отсутствует

Статья 7. Условия сбора, обработки персональных данных

…

6. Сбор и обработка персональных данных, не соответствующие условиям, предусмотренным  пунктами 1-5 настоящей статьи, являются незаконными.

В целях обеспечения законности и открытости процедур и условий сбора и обработки персональных данных, а также защиты прав субъектов персональных данных.

Новая статья 7-1

Статья 7-1.  Отсутствует

Статья 7-1. Уведомление о факте, начале или прекращении сбора и обработки персональных данных

1. Оператор до начала сбора,  обработки (при осуществлении сбора, обработки) персональных данных, а также при прекращении сбора и обработки персональных данных уведомляет уполномоченный орган.

2. Уведомление о факте, начале или прекращении сбора и обработки персональных данных подаётся оператором в порядке, установленном законодательством о разрешениях и уведомлениях.

3. Уведомление о факте, начале или прекращении сбора и обработки персональных данных содержит следующие сведения:

1. наименование (фамилия, имя, отчество (при наличии)), адрес оператора;
2. дата начала сбора и обработки персональных данных;
3. срок или условие прекращения сбора и обработки персональных данных;
4. наименование персональных данных;
5. категории субъектов, персональные данные которых собираются и обрабатываются;
6. цель сбора и обработки персональных данных;
7. правовое основание для сбора и обработки персональных данных;
8. перечень действий с персональными данными;
9. сведения о наличии или об отсутствии трансграничной передачи персональных данных;
10. описание принимаемых мер по защите персональных данных;
11. сведения о месте нахождения базы, содержащей персональные данные;
12. контактные данные (номера телефонов, почтовые адреса и адреса электронной почты) лица ответственного за организацию обработки персональных данных.

4. На основании сведений, представленных в уведомлении о факте, начале или прекращении сбора и обработки персональных данных уполномоченный орган формирует реестр операторов.

Сведения, содержащиеся в реестре операторов, являются общедоступными.

5. Требования настоящей статьи не распространяется на сбор и обработку персональных данных, производимых в случаях, предусмотренных статьей 9 настоящего Закона.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.

Пункт 1 статьи 8

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, в форме электронного документа или посредством сервиса обеспечения безопасности персональных данных либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

…

3. Субъект вправе дать согласие на сбор, обработку персональных данных через кабинет пользователя на веб-портале «электронного правительства», сервис обеспечения безопасности персональных данных, а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

Статья 8. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных

      1. Субъект или его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных письменно, посредством сервиса обеспечения безопасности персональных данных либо иным способом, позволяющим идентифицировать субъекта и подтвердить факт получения согласия.

…

3. Предоставление доказательства получения согласия субъекта на сбор и обработку персональных данных или доказательства наличия оснований, предусмотренных статьей 9 настоящего Закона, возлагается на оператора.

4. Согласие на сбор, обработку персональных данных дается посредством четкого утвердительного действия, при помощи которого субъект или его законный представитель демонстрирует добровольное, определенное и однозначное согласие на обработку относящихся к нему (доверителю) персональных данных.

5. Согласие на сбор и обработку персональных данных включает сведения о действиях оператора с персональными данными, в том числе:

1) наименование (фамилия, имя, отчество (при наличии)), адрес оператора;

2) перечень персональных данных, на сбор и обработку которых дается согласие субъекта или его законного представителя;

3) цель сбора и обработки персональных данных;

4) перечень действий с персональными данными, на совершение которых дается согласие, в том числе передача третьим лицам, распространение в общедоступных источниках,  трансграничная передача;

5) срок, в течение которого действует согласие на сбор, обработку персональных данных, а также срок хранения персональных данных.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

Новая статья 8-1

Статья 8-1.

Отсутствует

Статья 8-1. Сервис обеспечения безопасности персональных данных

1. Посредством Сервиса обеспечения безопасности персональных данных обеспечивается:

1. предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку персональных данных;
2. отзыв субъектом или его законным представителем согласия на сбор и (или) обработку персональных данных;
3. прием уведомлений о факте, начале или прекращении сбора и обработки персональных данных;
4. ведение реестра операторов персональных данных;
5. подача субъектами уполномоченному органу жалобы на действия (бездействия) операторов при реализации прав субъектов;
6. уведомление субъекта о действиях с его персональными данными, содержащимися в информационных системах государственных органов (просмотр, изменение, дополнение, передача, блокирование, уничтожение);
7. предоставление сведений субъекту о наличии его персональных данных у операторов, включенных в Реестр операторов.
   1. Собственники и (или) операторы в случаях взаимодействия с объектами информатизации «электронного правительства», содержащими персональные данные, обеспечивают интеграцию собственных информационных систем, задействованных в процессах сбора и обработки персональных данных, с Сервисом обеспечения безопасности персональных данных.      

В иных случаях интеграция с Сервисом обеспечения защиты персональных данных осуществляется по инициативе собственника и (или) оператора.

Порядок интеграции с Сервисом обеспечения безопасности персональных данныхопределяется уполномоченным органом и правилами интеграции объектов информатизации «электронного правительства».

3. Собственник и (или) оператор обеспечивает исполнение подпункта 7) пункта 1 настоящей статьи посредством ввода информации в Сервис обеспечения безопасности персональных данных.

4. В случаях, предусмотренных подпунктами 2), 4), 6), 8), 9-3), 12)–15) статьи 9 настоящего Закона, обеспечивается уведомление субъекта об инициаторах запросов на доступ (сбор и обработку) к его персональным данным, содержащимся в объектах информатизации «электронного правительства» через Сервис обеспечения безопасности персональных данных.

В целях обеспечения полноценного функционирования Сервиса необходимо законодательно предусмотреть обязательную интеграцию с Сервисом, перечень сведений, передаваемых при интеграции.

Статья 9

Статья 9. Сбор, обработка персональных данных без согласия субъекта

Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

…

7) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности;

…

9-1) получения органами государственных доходов для осуществления налогового администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

9-2) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;

10) в иных случаях, установленных законами Республики Казахстан.

Статья 9. Сбор, обработка персональных данных без согласия субъекта

Сбор, обработка персональных данных производятся без согласия субъекта или его законного представителя в случаях:

…

7) опубликования персональных данных, в том числе фамилии, имени, отчества (при наличии), должности, биографии, номеров служебных телефонов и адресов служебной электронной почты государственных служащих и работников квазигосударственного сектора, а также кандидатов на выборные государственные должности;

10) получения органами государственных доходов для осуществления налогового (таможенного) администрирования и (или) контроля информации от физических и юридических лиц в соответствии с законами Республики Казахстан;

11) передачи на хранение резервной копии электронных информационных ресурсов, содержащих персональные данные ограниченного доступа, на единую национальную резервную платформу хранения электронных информационных ресурсов в случаях, предусмотренных законами Республики Казахстан;

12) получения информации для рассмотрения обращений физических и юридических лиц в целях реализации и защиты их прав, свобод и законных интересов в порядке, установленном законодательством об административных процедурах;

13) получения адвокатами сведений, необходимых для осуществления адвокатской деятельности в порядке, установленном законодательством Республики Казахстан об адвокатской деятельности и юридической помощи;

14) получения сведений должностными лицами государственных органов при проведении контроля и надзора за проверяемыми субъектами в соответствии с Предпринимательским Кодексом Республики Казахстан;

15) рассмотрения административных дел уполномоченными органами в соответствии с Кодексом Республики Казахстан «Об административных правонарушениях»;

16) предоставления банками информации, сведений и документов в соответствии с Законом Республики Казахстан «О банках и банковской деятельности»;

17) предоставления медицинскими работниками, осуществляющими законную деятельность, персональных медицинских данных в соответствии с  законодательством Республики Казахстан в области здравоохранения;

18) получения государственным органом, осуществляющим противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма,  информации от физических и юридических лиц в соответствии с законами Республики Казахстан.

В целях соблюдения принципов открытости и гласности необходимо определить полный перечень исключений, когда государственные органы и организации вправе собирать и обрабатывать персональные данные без согласия граждан, и сосредоточить их в одном законодательном акте.

Кроме того, требуется исключить случаи, когда осуществление сбора без согласия граждан необоснованно.

Пункт 2 статьи 10

Статья 10. Доступ к персональным данным

…

2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно или в форме электронного документа либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан

Статья 10. Доступ к персональным данным

…

2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается собственнику и (или) оператору письменно, через Сервис обеспечения безопасности персональных данных либо иным способом, позволяющим идентифицировать субъекта и подтвердить факт отправки (получения) запроса.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным данным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.

Пункт 4 статьи 10

 Статья 10. Доступ к персональным данным

…

4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через кабинет пользователя на веб-портале «электронного правительства», а также посредством зарегистрированного на веб-портале «электронного правительства» абонентского номера сотовой связи субъекта путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства» или сервиса обеспечения безопасности персональных данных.

 Статья 10. Доступ к персональным данным

…

4. Третьи лица могут получать персональные данные, содержащиеся в информационных системах государственных органов, через веб-портал «электронного правительства» при условии согласия субъекта, предоставленного через сервис обеспечения безопасности персональных данных.

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях функционал Сервиса дополняется модулями по формированию Реестра согласия, реестра операторов, а также функцией по направлению жалобы уполномоченному органу в случае нарушения прав субъектов.

Пункт 1 статьи 15

Статья 15. Распространение персональных данных

      1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и (или) юридических лиц.

Статья 15. Распространение персональных данных

      1. Распространение персональных данных допускается при условии согласия субъекта, если при этом не затрагиваются законные интересы иных физических и (или) юридических лиц.

В целях пресечения незаконного распространения персональных данных

Статья 18. Уничтожение персональных данных

Персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

      1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

      2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

      3) при вступлении в законную силу решения суда;

      4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

Статья 18. Уничтожение персональных данных

Персональные                                          данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом:

1) по истечении срока хранения в соответствии с пунктом 2 статьи 12 настоящего Закона;

2) при прекращении правоотношений между субъектом, собственником и (или) оператором, а также третьим лицом;

3) при вступлении в законную силу решения суда;

3-1) при выявлении незаконного сбора и обработки персональных данных;

4) в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

В целях обеспечения прекращения обработки персональных данных собранных неправомерно.

Пункт 1 статьи 22

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с порядком, определяемым Правительством Республики Казахстан, обеспечивающие:

…

.

5) отсутствует.

Статья 22. Обязанности собственника и (или) оператора, а также третьего лица по защите персональных данных

1. Собственник и (или) оператор, а также третье лицо обязаны принимать необходимые меры по защите персональных данных в соответствии с настоящим Законом и порядком, определяемым Правительством Республики Казахстан, обеспечивающие:

…

;

5) регистрацию и учет всех действий, совершаемых с персональными данными.

Подпункт 5) пункта 1 статьи 24

Статья 24. Права и обязанности субъекта

1. Субъект имеет право:

…

5) отозвать согласие на сбор, обработку персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

Статья 24. Права и обязанности субъекта

1. Субъект имеет право:

…

5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

В целях приведения в соответствие со статьей 6 настоящего Закона.

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

…

1-1) отсутствует;

…

3-1) отсутствует;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

 1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;

…

3-1) предоставлять уполномоченному органу по запросу информацию, необходимую для подтверждения соблюдения собственником и (или) оператором требований  настоящего Закона;

Подпункт 6) пункта 2 статьи 25

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

…

6) сообщать информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

…

6) сообщать информацию, относящуюся к субъекту, в течение пяти рабочих дней со дня получения обращения субъекта или его законного представителя;

В целях устранения коллизий с ЗРК «О порядке рассмотрения обращений физических и юридических лиц».

Обращения по предоставлению

Подпункт 7) пункта 2 статьи 25

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

…

7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ, если иные сроки не предусмотрены законами Республики Казахстан;

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

…

2. Собственник и (или) оператор обязаны:

…

7) в случае отказа предоставить информацию субъекту или его законному представителю в срок, не превышающий трех рабочих дней со дня получения обращения, представлять мотивированный ответ;

В целях устранения коллизий с ЗРК «О порядке рассмотрения обращений физических и юридических лиц».

Обращения по предоставлению

Новые подпункты 1-1) и 1-2) статьи 27-1

Статья 27-1. Компетенция уполномоченного органа

Уполномоченный орган в пределах своей компетенции:

…

1-1) Отсутствует;

1-2) Отсутствует;

1-3) Отсутствует;

1-4) Отсутствует;

…

6-1) Отсутствует;

…

7-2) Отсутствует;

Статья 27-1. Компетенция уполномоченного органа

Уполномоченный орган в пределах своей компетенции:

…

1-1) осуществляет государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите;

1-2) направляет для исполнения предписания при выявлении нарушений требований законодательства Республики Казахстан о персональных данных и их защите;

1-3) осуществляет прием уведомлений от собственников и (или) операторов о факте, начале или прекращении сбора и обработки персональных данных, а также ведение государственного электронного реестра разрешений и уведомлений в соответствии с Законом Республики Казахстан «О разрешениях и уведомлениях»;

1-4) ведет реестр операторов;

…

6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;

…

7-2) утверждает правила функционирования и использования Сервиса обеспечения безопасности персональных данных;

В целях наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах.

Новая статья 27-2

Статья 27-2. Отсутствует.

Статья 27-2. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите

Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите осуществляется в форме проверок и профилактического контроля в соответствии с Предпринимательским кодексом Республики Казахстан.

В целях наделения уполномоченного органа в сфере защите персональных данных функцией по проведению проверок и профилактического контроля по отношению ко всем субъектам, вовлеченным в процесс сбора и обработки персональных данных.

Данная мера необходима для недопущения незаконного сбора персональных данных граждан, их использования в незаявленных и коммерческих целях, а также пресечения нарушений, предусмотренных законодательством об информатизации, о персональных данных и их защите.

Новая статья 30-1

Статья 30-1. Отсутствует.

Статья 30-1. Переходные положения

1. Собственники и (или) операторы, осуществляющие сбор и обработку персональных данных, до введения в действие настоящего Закона направляют в уполномоченный орган уведомление о факте, начале или прекращении сбора и обработки персональных данных в течение одного года со дня введения в действие настоящего Закона.

2. Собственники и (или) операторы, взаимодействующие с объектами информатизации «электронного правительства», содержащими персональные данные, до введения в действие настоящего Закона обеспечивают интеграцию собственных информационных систем, задействованных в процессах сбора и обработки персональных данных, с Сервисом обеспечения безопасности персональных данных в течение одного года со дня введения в действие настоящего Закона.

3. Собственники и (или) операторы, осуществляющие сбор и обработку персональных данных, до введения в действие настоящего Закона обеспечивают исполнение подпункта 7) пункта 1 статьи 8-1 настоящего Закона  посредством ввода информации в Сервис обеспечения безопасности персональных данных   в течение одного года со дня введения в действие настоящего Закона.

По предложениям, поступившим в ходе обсуждения поправок с бизнес сообществом.

Закон Республики Казахстан «О разрешениях и уведомлениях» от 16 мая 2014 года

Приложение 3 к Закону РК

«О раз-решениях и уведомлениях»

ПЕРЕЧЕНЬ уведомлений

1. Уведомление о начале или прекращении деятельности по проведению морских научных исследований

…

59. Отсутствует

ПЕРЕЧЕНЬ уведомлений

1. Уведомление о начале или прекращении деятельности по проведению морских научных исследований

…

59. Уведомление о факте, начале или прекращении сбора и обработки персональных данных

Данная инициатива поддержана Межведомственной комиссией при Совете Безопасности РК по вопросам информационной безопасности 19.06.2020 г.

Для защиты прав субъектов персональных данных на примере передового международного опыта,  регулирования отношений в сфере персональных данных, предотвращения утечек и пресечения использования персональных данных в целях причинения вреда физическим лицам, путем проведения превентивных и контрольных мер необходимо вести учет операторов персональных данных.

Закон Республики Казахстан «О доступе к информации» от 16 ноября 2015 года

Подпункт 8) статьи 1

   Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

…

8) информация с ограниченным доступом – информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, а также служебная информация с пометкой "Для служебного пользования";

   Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

…

8) информация с ограниченным доступом – информация, отнесенная к государственным секретам, личной, семейной, врачебной, банковской, коммерческой и иным охраняемым законом тайнам, персональные данные ограниченного доступа, а также служебная информация с пометкой «Для служебного пользования»;

В целях недопущения публикации персональных данных в общедоступных ресурсах и их использования в целях причинения вреда субъектам персональных данных необходимо отнести их в соответствии с ЗРК о персональных данных и их защите к информации ограниченного доступа.

Закон Республики Казахстан «Об информатизации» от 24 ноября 2015 года

Пункт 24) статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

…

24) критически важные объекты информационно-коммуникационной инфраструктуры - объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, «электронного правительства»;

Статья 1. Основные понятия, используемые в настоящем Законе

В настоящем Законе используются следующие основные понятия:

…

24) критически важные объекты информационно-коммуникационной инфраструктуры – объекты информационно-коммуникационной инфраструктуры, нарушение или прекращение функционирования которых приводит к незаконному сбору и обработке персональных данных, ограниченного доступа и иных сведений, содержащих охраняемую законом тайну, к чрезвычайной ситуации социального и (или) техногенного характера или к значительным негативным последствиям для обороны, безопасности, международных отношений, экономики, отдельных сфер хозяйства или для жизнедеятельности населения, проживающего на соответствующей территории, в том числе инфраструктуры: теплоснабжения, электроснабжения, газоснабжения, водоснабжения, промышленности, здравоохранения, связи, банковской сферы, транспорта, гидротехнических сооружений, правоохранительной деятельности, «электронного правительства».

Во исполнение протокольного поручения Главу государства по улучшению защиты персональных данных на совещании по вопросам цифровизации (рег.№), в целях повышения эффективности организационных, правовых, технических и контрразведывательных мер по защите персональных данных ограниченного доступа и охраняемых законодательством Казахстана тайн предлагается объекты информационно-коммуникационной инфраструктуры, осуществляющие сбор, обработку, хранение, поиск, передачу и защиту такого рода информации признать критически важными объектами информационно-коммуникационной инфраструктуры. Признание таких объектов информационно-коммуникационной инфраструктуры критически важными позволит распространить на них действующие механизмы, предусмотренные законодательством Казахстана на критически важные объекты информационно-коммуникационной инфраструктуры.

Новый подпункт статьи 1

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

…

46-2) отсутствует

Статья 1. Основные понятия, используемые в настоящем Законе

      В настоящем Законе используются следующие основные понятия:

…

46-2) многофакторная аутентификация – способ проверки подлинности пользователя при помощи комбинации различных факторов, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей и средств биометрической идентификации);

В ходе правоприменительной практики выявлено множество случаев доступа к персональным данным лиц, не имевших право на доступ. Такие случаи были возможны по причине того, что для доступа к ЭИР, содержащим персональные данные, достаточно было знать логин и пароль сотрудника, имевшего законный доступ к ним.

В целях усиления мер по предотвращению несанкционированного доступа к персональным данным, содержащимся на электронных информационных ресурсах, необходимо предусмотреть многофакторную аутентификацию. Данная мера существенно снижает риски несанкционированного доступа. 

Пункт 1 статьи 36

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

      1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа.

      К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных или на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.

      К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан.

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

      1. Электронные информационные ресурсы, содержащие персональные данные, подразделяются на электронные информационные ресурсы, содержащие общедоступные персональные данные, и электронные информационные ресурсы, содержащие персональные данные ограниченного доступа.

      К электронным информационным ресурсам, содержащим общедоступные персональные данные, относятся электронные информационные ресурсы, содержащие персональные данные, доступ к которым является свободным с согласия субъекта персональных данных и на которые в соответствии с законами Республики Казахстан не распространяются требования соблюдения конфиденциальности.

      К электронным информационным ресурсам, содержащим персональные данные ограниченного доступа, относятся электронные информационные ресурсы, доступ к которым ограничен субъектом персональных данных или законами Республики Казахстан.

При доступе к информационным системам, содержащим персональные данные ограниченного доступа, применяется многофакторная аутентификация.

В ходе правоприменительной практики выявлено множество случаев доступа к персональным данным лиц, не имевших право на доступ. Такие случаи были возможны по причине того, что для доступа к ЭИР, содержащим персональные данные, достаточно было знать логин и пароль сотрудника, имевшего законный доступ к ним.

В целях усиления мер по предотвращению несанкционированного доступа к персональным данным, содержащимся на электронных информационных ресурсах, необходимо предусмотреть многофакторную аутентификацию. Данная мера существенно снижает риски несанкционированного доступа. 

Новый пункт статьи 36

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

…

1. отсутствует

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

…

1. Государственный контроль за соблюдением законодательства Республики Казахстан о персональных данных и их защите при формировании и защите электронных информационных ресурсов, содержащих персональные данные, осуществляется уполномоченным органом в сфере защиты персональных данных.

В целях наделения МЦРИАП РК полномочием по осуществлению государственного контроля в сфере сбора, обработки и защиты персональных, содержащихся в электронных информационных ресурсах.

Пункт 3 статьи 26

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

…

  3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется в форме электронного документа или иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан.

      Субъект персональных данных также вправе давать согласие на сбор и обработку персональных данных посредством зарегистрированного на веб-портале «электронного правительства» его абонентского номера сотовой связи путем передачи одноразового пароля или путем отправления короткого текстового сообщения в качестве ответа на уведомление веб-портала «электронного правительства».

4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

Статья 36. Электронные информационные ресурсы, содержащие персональные данные

…

  3. При оказании государственной услуги в электронной форме согласие субъекта персональных данных на сбор и обработку персональных данных посредством информационных систем предоставляется через Сервис обеспечения безопасности персональных данных.

Абзац 2 пункта 3 статьи 36 исключить.

4. Собственники или владельцы информационных систем государственных органов обязаны уведомлять субъектов персональных данных через Сервис обеспечения безопасности персональных данных в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

В целях снижения неконтролируемого со стороны граждан обращения  персональных данных в незаявленных и коммерческих целях вводится  Сервис обеспечения безопасности персональных данных, который послужит центральной площадкой для доступа к персональным граждан для всех организаций вне зависимости от форм собственности. Для обеспечения эффективного и полноценного функционирования Сервиса необходимо исключить альтернативные электронные способы получения согласия на доступ.