• Мое избранное
Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы
Внимание! Документ утратил силу с 17.07.2023 г.

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Редакции абзаца
  • 4

Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысы

Осы Қаулы 17.07.2023 жылдан бастап күшін жойды ҚР Үкіметінің 13.07.2023 жылғы № 559 Қаулысына сәйкес
Редакция 08.04.2023 жылы берілген өзгерістер мен толықтырулармен  
«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңы 26-бабының 4) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:
Кіріспе жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
1. Қоса беріліп отырған Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары бекітілсін.
2. Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.
Қазақстан Республикасының    Премьер-Министрі    С.Ахметов
Қазақстан Республикасы
Үкіметінің
2013 жылғы 3 қыркүйектегі
№ 909 қаулысымен
бекітілген
Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары
Осы Қағидалар жаңа редакцияда жазылды ҚР Үкіметінің 18.01.2021 жылғы № 12 Қаулысына сәйкес (03.09.2013 ж. редакцияны қараңыз)(өзгерту 30.01.2021 жылдан бастап қолданысқа енгізіледі)
1-тарау. Жалпы ережелер
1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) «Дербес деректер мен оларды қорғау туралы» Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 4) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.
1-тармақ жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:
1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;
2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;
3) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;
4) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;
5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;
6) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;
7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
9) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;
10) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;
11) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;
12) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;
13) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңдарында сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;
13-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 26.10.2022 жылғы № 849 Қаулысына сәйкес (14.04.2022 ж. редакцияны қараңыз)(өзгерту 11.11.2022 жылдан бастап қолданысқа енгізіледі)
14) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;
15) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;
16) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы деректер;
16-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
17) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау.
2-тармақ 17-тармақшамен толықтырылды ҚР Үкіметінің 30.04.2021 жылғы № 285 Қаулысына сәйкес (өзгерту 16.05.2021 жылдан бастап қолданысқа енгізіледі)
17-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
Осы Қағидаларда пайдаланылатын өзге ұғымдар Заңға және «Ақпараттандыру туралы» Қазақстан Республикасының Заңына сәйкес қолданылады.
2-тарау. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібі
3. Тармақ алып тасталды (ескертуді қараңыз)
3-тармақ өзгертілді ҚР Үкіметінің 30.04.2021 жылғы № 285 Қаулысымен (18.01.2021 ж. редакцияны қараңыз)(өзгерту 16.05.2021 жылдан бастап қолданысқа енгізіледі)
3-тармақ өзгертілді ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысымен (30.04.2021 ж. редакцияны қараңыз) (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
3-тармақ алып тасталды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
4. Дербес деректерді жинау және өңдеу кезінде оларға рұқсатсыз, оның ішінде кездейсоқ қол жеткізуге мүмкіндік беретін, нәтижесінде дербес деректерді жою, өзгерту, бұғаттау, көшіру, үшінші тұлғаларға рұқсатсыз беру, рұқсатсыз тарату орын алуы мүмкін шарттар мен факторлардың жиынтығы, сондай-ақ өзге де заңсыз іс-әрекеттер дербес деректердің қауіпсіздігіне төнетін қауіп-қатерлер деп түсініледі.
5. Дербес деректерді қорғау:
1) жеке өмірге қолсұғылмаушылық, жеке және отбасы құпиясы құқықтарын іске асыру;
2) олардың тұтастығын және сақталуын қамтамасыз ету;
3) олардың құпиялылығын сақтау;
4) оларға қол жеткізу құқығын іске асыру;
5) оларды заңсыз жинаудың және өңдеудің алдын алу мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.
6. Тармақ алып тасталды (ескертуді қараңыз)
6-тармақ алып тасталды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
7. Дербес деректерді қорғауды қамтамасыз ету үшін:
1) дербес деректер қамтылған бизнес-процестерді бөлу;
2) дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деп бөлу;
3) дербес деректерді жинауды және өңдеуді жүзеге асыратын не оларға рұқсаты бар тұлғалардың тізбесін айқындау;
4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы тармақтың 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;
5) дербес деректерге қол жеткізудің тәртібін белгілеу;
5-тармақша өзгертілді ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысымен (30.04.2021 ж. редакцияны қараңыз) (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
6) оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды бекіту;
7-тармақ 6-тармақшамен толықтырылды ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысына сәйкес (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
7) жеке және заңды тұлғалардың жолданымдарын қарау шеңберінде уәкілетті органның сұрау салуы бойынша меншік иесінің және (немесе) оператордың Заңның талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру қажет.
7-тармақ 7-тармақшамен толықтырылды ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысына сәйкес (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде дербес деректерді жеткізгіштердің сақталуында қамтамасыз ету қажет.
8. Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде оларды қорғаудың өзге ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.
9. Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор:
1) қолжетімділік шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділік шектелген дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;
2) қолжетімділік шектеулі дербес деректерді өңдеу, тарату және оларға қол жеткізу тәртібін айқындайды;
3) субъект өтініш берген кезде субъектіге қатысты қолжетімділік шектеулі дербес деректерді бұғаттау тәртібін айқындайды.
Қолжетімділік шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:
1) қолжетімділік шектеулі дербес деректерге рұқсаты бар адамдардың тізбесін айқындайды;
2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы дербес деректерді қорғау саласындағы уәкілетті органды хабардар етеді;
3) қолжетімділік шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;
4) базаларды басқару жүйелерінің оқиғаларын журналдауды қамтамасыз етеді;
5) қолжетімділік шектеулі дербес деректерге рұқсаты бар пайдаланушылардың іс-қимылдарын журналдауды қамтамасыз етеді;
6) қолжетімділік шектеулі дербес деректердің тұтастығын бақылау құралдарын қолданады;
7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділік шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;
8) қолжетімділік шектеулі дербес деректер қамтылған бизнес-процестерді бөледі;
9) қолжетімділік шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;
10) қолжетімділік шектеулі дербес деректермен жұмыс жасаған кезде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау құралдарын қолданады.
10. Қолжетімділік шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.
Қолжетімділік шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 «Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар» Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.
Осы тармақтың талаптары деректерді трансшекаралық беру жағдайларына қолданылмайды.