Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидаларын бекіту туралы
Қазақстан Республикасы Үкіметінің 2013 жылғы 3 қыркүйектегі № 909 қаулысы
Осы Қаулы 17.07.2023 жылдан бастап күшін жойды ҚР Үкіметінің 13.07.2023 жылғы № 559 Қаулысына сәйкес
«Дербес деректер және оларды қорғау туралы» Қазақстан Республикасының Заңы 26-бабының 4) тармақшасына сәйкес Қазақстан Республикасының Үкіметі ҚАУЛЫ ЕТЕДІ:
Кіріспе жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
1. Қоса беріліп отырған Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары бекітілсін.
Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру қағидалары
Осы Қағидалар жаңа редакцияда жазылды ҚР Үкіметінің 18.01.2021 жылғы № 12 Қаулысына сәйкес (03.09.2013 ж. редакцияны қараңыз)(өзгерту 30.01.2021 жылдан бастап қолданысқа енгізіледі)
1. Осы Меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды іске асыру қағидалары (бұдан әрі – Қағидалар) «Дербес деректер мен оларды қорғау туралы» Қазақстан Республикасының Заңы (бұдан әрі – Заң) 26-бабының 4) тармақшасына сәйкес әзірленді және меншік иесінің және (немесе) оператордың, сондай-ақ үшінші тұлғаның дербес деректерді қорғау жөніндегі шараларды жүзеге асыру тәртібін айқындайды.
1-тармақ жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
1) дербес деректер – мәліметтер негізінде айқындалған немесе айқындалатын дербес деректер субъектісіне қатысты, электрондық, қағаз және (немесе) өзге де материалдық жеткізгіште тiркелген cол мәліметтер;
2) дербес деректердi бұғаттау – дербес деректердi жинауды, жинақтауды, өзгертуді, толықтыруды, пайдалануды, таратуды, иесiздендiруді және жоюды уақытша тоқтату жөніндегі іс-әрекеттер;
5) дербес деректердi иесiздендiру – жасалуы нәтижесiнде дербес деректердiң дербес деректер субъектiсіне тиесiлiгiн анықтау мүмкін болмайтын iс-әрекеттер;
7) дербес деректерді қамтитын базаның меншік иесі (бұдан әрі – меншік иесі) – дербес деректерді қамтитын базаны Қазақстан Республикасының заңдарына сәйкес иелену, пайдалану және оған билік ету құқығын іске асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
8) дербес деректерді қамтитын базаның операторы (бұдан әрі – оператор) – дербес деректерді жинауды, өңдеуді және қорғауды жүзеге асыратын мемлекеттік орган, жеке және (немесе) заңды тұлға;
9) дербес деректерді қорғау – Заңда белгіленген мақсаттарда жүзеге асырылатын шаралар, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешені;
11) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;
13) жалпыға бірдей қолжетімді дербес деректер – Қазақстан Республикасының заңдарында сәйкес құпиялылықты сақтау талаптары қолданылмайтын, оларға қол жеткізу субъектінің келісімімен еркін болып табылатын дербес деректер немесе мәліметтер;
13-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 26.10.2022 жылғы № 849 Қаулысына сәйкес (14.04.2022 ж. редакцияны қараңыз)(өзгерту 11.11.2022 жылдан бастап қолданысқа енгізіледі)
15) үшінші тұлға – субъект, меншік иесі және (немесе) оператор болып табылмайтын, бiрақ дербес деректердi жинау, өңдеу және қорғау бойынша олармен (онымен) мән-жайлар немесе құқық қатынастары арқылы байланысты болатын тұлға;
16) электрондық ақпараттық ресурстар – электрондық жеткізгіште және ақпараттандыру объектілерінде қамтылған электрондық-цифрлық нысандағы деректер;
16-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
17) электрондық ақпараттық ресурстарда қамтылған, қолжетімділігі шектеулі дербес деректерді сақтау, өңдеу және тарату процестерінің қорғалуын қамтамасыз етуді зерттеп-қарау (бұдан әрі – зерттеп-қарау) – электрондық ақпараттық ресурстарда қамтылған қолжетімділігі шектеулі дербес деректерді өңдеуді, сақтауды, таратуды және қорғауды жүзеге асырған кезде қолданылатын қауіпсіздік шаралары мен қорғау әрекеттерін бағалау.
2-тармақ 17-тармақшамен толықтырылды ҚР Үкіметінің 30.04.2021 жылғы № 285 Қаулысына сәйкес (өзгерту 16.05.2021 жылдан бастап қолданысқа енгізіледі)
17-тармақша жаңа редакцияда жазылды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
3-тармақ өзгертілді ҚР Үкіметінің 30.04.2021 жылғы № 285 Қаулысымен (18.01.2021 ж. редакцияны қараңыз)(өзгерту 16.05.2021 жылдан бастап қолданысқа енгізіледі)
3-тармақ өзгертілді ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысымен (30.04.2021 ж. редакцияны қараңыз) (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
3-тармақ алып тасталды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
4. Дербес деректерді жинау және өңдеу кезінде оларға рұқсатсыз, оның ішінде кездейсоқ қол жеткізуге мүмкіндік беретін, нәтижесінде дербес деректерді жою, өзгерту, бұғаттау, көшіру, үшінші тұлғаларға рұқсатсыз беру, рұқсатсыз тарату орын алуы мүмкін шарттар мен факторлардың жиынтығы, сондай-ақ өзге де заңсыз іс-әрекеттер дербес деректердің қауіпсіздігіне төнетін қауіп-қатерлер деп түсініледі.
5) оларды заңсыз жинаудың және өңдеудің алдын алу мақсатында шаралар кешенін, оның ішінде құқықтық, ұйымдастырушылық және техникалық шаралар кешенін қолдану арқылы жүзеге асырылады.
6-тармақ алып тасталды ҚР Үкіметінің 17.03.2023 жылғы № 228 Қаулысына сәйкес (26.10.2022 ж. редакцияны қараңыз)(өзгерту 08.04.2023 жылдан бастап қолданысқа енгізіледі)
4) егер меншік иесі және (немесе) оператор заңды тұлғалар болып табылған жағдайда, дербес деректерді өңдеуді ұйымдастыруға жауапты тұлғаны тағайындау. Дербес деректерді өңдеуді ұйымдастыруға жауапты адамның міндеттері Заңның 25-бабының 3-тармағында көрсетілген. Осы тармақтың 4) тармақшасының күші соттар қызметінде дербес деректерді өңдеуге қолданылмайды;
5) дербес деректерге қол жеткізудің тәртібін белгілеу;
5-тармақша өзгертілді ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысымен (30.04.2021 ж. редакцияны қараңыз) (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
7) жеке және заңды тұлғалардың жолданымдарын қарау шеңберінде уәкілетті органның сұрау салуы бойынша меншік иесінің және (немесе) оператордың Заңның талаптарын сақтауын қамтамасыз ету үшін пайдаланылатын тәсілдер мен рәсімдер туралы ақпарат беру қажет.
7-тармақ 7-тармақшамен толықтырылды ҚР Үкіметінің 14.04.2022 жылғы № 219 Қаулысына сәйкес (өзгерту 30.04.2022 жылдан бастап қолданысқа енгізіледі)
8. Ақпараттандыру объектілерінде дербес деректерді жинау және өңдеу кезінде оларды қорғаудың өзге ерекшеліктері Қазақстан Республикасының ақпараттандыру туралы заңнамасына сәйкес белгіленеді.
1) қолжетімділік шектеулі дербес деректерді өңдеу мақсаттарын белгілейді. Қолжетімділік шектелген дербес деректер декларацияланатын мақсаттарға сәйкес пайдаланылады;
2) қолжетімділік шектеулі дербес деректерге заңсыз қол жеткізуге байланысты ақпараттық қауіпсіздік инциденттері туралы дербес деректерді қорғау саласындағы уәкілетті органды хабардар етеді;
3) қолжетімділік шектеулі дербес деректерді өңдеуді жүзеге асыратын техникалық құралдарға ақпаратты қорғау құралдарын, бағдарламалық қамтылымның жаңартуларын орнатуды қамтамасыз етеді;
7) егер Қазақстан Республикасының заңнамасында өзгеше көзделмесе, қолжетімділік шектеулі дербес деректерді өзге тұлғаларға қорғалған байланыс арналары бойынша және (немесе) шифрлауды қолдана отырып және дербес деректер субъектісінің келісімі болған кезде беруді қамтамасыз етеді;
9) қолжетімділік шектеулі дербес деректердің сенімді сақталуын қамтамасыз ету үшін ақпаратты криптографиялық қорғау құралдарын қолдануды қамтамасыз етеді;
10. Қолжетімділік шектеулі дербес деректерді жинау және өңдеу Қазақстан Республикасының аумағында орналасқан ақпараттандыру объектілері арқылы жүзеге асырылады.
Қолжетімділік шектеулі дербес деректерді сақтау және беру ҚР СТ 1073-2007 «Ақпаратты криптографиялық қорғау құралдары. Жалпы техникалық талаптар» Қазақстан Республикасының стандартына сәйкес қауіпсіздіктің үшінші деңгейінен төмен емес параметрлері бар ақпаратты криптографиялық қорғау құралдарын пайдалану арқылы жүзеге асырылады.