Документ на казахском языке

Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысы

Редакция 08.04.2023 жылы берілген өзгерістер мен толықтырулармен

«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңы 26-бабының 4) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:

1. Қоса беріліп отырған Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары бекітілсін.

2. Осы қаулы 2013 жылғы 25 қарашадан бастап қолданысқа енгізіледі және ресми жариялануға тиіс.

Қазақстан Республикасының Премьер-Министрі С.Ахметов

Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысымен бекітілген

Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары

1-тарау. Жалпы ережелер

1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) «Дербес деректер мен оларды қорғау туралы» Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 4) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.

2. Осы Қағидаларда мынадай негізгі ұғымдар пайдаланылады:

1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;

2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;

3) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

4) дербес деректердi жою – жасалуы нәтижесінде дербес деректердi қалпына келтiру мүмкін болмайтын iс-әрекеттер;

5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;

6) дербес деректерді қамтитын база (бұдан әрі – база) – ретке келтірілген дербес деректердің жиынтығы;

7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;

9) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;

10) дербес деректерді қорғау саласында уәкілетті орган – дербес деректерді қорғау саласындағы басшылықты жүзеге асыратын орталық атқарушы орган;

11) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

12) дербес деректер субъектісі (бұдан әрі – субъект) – дербес деректер тиесілі жеке тұлға;

13) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңдарында сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;

14) қолжетімділігі шектеулі дербес деректер – Қазақстан Республикасының заңнамасымен қолжетімділігі шектелген дербес деректер;

15) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;

16) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы деректер;

17) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау.

Осы Қағидаларда пайдаланылатын өзге ұғымдар Заңға және «Ақпараттандыру туралы» Қазақстан Республикасының Заңына сәйкес қолданылады.

2-тарау. Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібі

3. Тармақ алып тасталды (ескертуді қараңыз)

4. Дербес деректерді жинау және өңдеу кезінде оларға рұқсатсыз, оның ішінде кездейсоқ қол жеткізуге мүмкіндік беретін, нәтижесінде дербес деректерді жою, өзгерту, бұғаттау, көшіру, үшінші тұлғаларға рұқсатсыз беру, рұқсатсыз тарату орын алуы мүмкін шарттар мен факторлардың жиынтығы, сондай-ақ өзге де заңсыз іс-әрекеттер дербес деректердің қауіпсіздігіне төнетін қауіп-қатерлер деп түсініледі.

5. Дербес деректерді қорғау:

1) жеке өмірге қолсұғылмаушылық, жеке және отбасы құпиясы құқықтарын іске асыру;

2) олардың тұтастығын және сақталуын қамтамасыз ету;

3) олардың құпиялылығын сақтау;

4) оларға қол жеткізу құқығын іске асыру;

5) оларды заңсыз жинаудың және өңдеудің алдын алу мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.

6. Тармақ алып тасталды (ескертуді қараңыз)

7. Дербес деректерді қорғауды қамтамасыз ету үшін:

1) дербес деректер қамтылған бизнес-процестерді бөлу;

2) дербес деректерді жалпыға қолжетімді және қолжетімділігі шектеулі деп бөлу;

3) дербес деректерді жинауды және өңдеуді жүзеге асыратын не оларға рұқсаты бар тұлғалардың тізбесін айқындау;

4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы тармақтың 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;

5) дербес деректерге қол жеткізудің тәртібін белгілеу;

6) оператордың дербес деректерді жинауға, өңдеуге және қорғауға қатысты саясатын айқындайтын құжаттарды бекіту;

7) жеке және заңды тұлғалардың жолданымдарын қарау шеңберінде уәкілетті органның сұрау салуы бойынша меншік иесінің және (немесе) оператордың Заңның талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру қажет.

Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде дербес деректерді жеткізгіштердің сақталуында қамтамасыз ету қажет.

8. Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде оларды қорғаудың өзге ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.

9. Қолжетімділігі шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор:

1) қолжетімділік шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділік шектелген дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;

2) қолжетімділік шектеулі дербес деректерді өңдеу, тарату және оларға қол жеткізу тәртібін айқындайды;

3) субъект өтініш берген кезде субъектіге қатысты қолжетімділік шектеулі дербес деректерді бұғаттау тәртібін айқындайды.

Қолжетімділік шектеулі дербес деректерді өңдеу кезінде меншік иесі және (немесе) оператор, сондай-ақ үшінші тұлға:

1) қолжетімділік шектеулі дербес деректерге рұқсаты бар адамдардың тізбесін айқындайды;

2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы дербес деректерді қорғау саласындағы уәкілетті органды хабардар етеді;

3) қолжетімділік шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;

4) базаларды басқару жүйелерінің оқиғаларын журналдауды қамтамасыз етеді;

5) қолжетімділік шектеулі дербес деректерге рұқсаты бар пайдаланушылардың іс-қимылдарын журналдауды қамтамасыз етеді;

6) қолжетімділік шектеулі дербес деректердің тұтастығын бақылау құралдарын қолданады;

7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділік шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;

8) қолжетімділік шектеулі дербес деректер қамтылған бизнес-процестерді бөледі;

9) қолжетімділік шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;

10) қолжетімділік шектеулі дербес деректермен жұмыс жасаған кезде пайдаланушыларды сәйкестендіру және (немесе) аутентификациялау құралдарын қолданады.

10. Қолжетімділік шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.

Қолжетімділік шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 «Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар» Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.

Осы тармақтың талаптары деректерді трансшекаралық беру жағдайларына қолданылмайды.