Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (с изменениями и дополнениями по состоянию на 30.12.2021 г.)

Закон дополнен статьей 23-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI

Статья 23-1. Добровольное киберстрахование

1. Целью добровольного киберстрахования является возмещение имущественного вреда, причиненного субъекту, собственнику и (или) оператору, третьему лицу, в соответствии с законодательством Республики Казахстан о страховании и страховой деятельности.

2. Добровольное киберстрахование осуществляется в силу волеизъявления сторон.

Виды, условия и порядок добровольного киберстрахования определяются соглашением сторон.

Глава 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА, СОБСТВЕННИКА И (ИЛИ) ОПЕРАТОРА

Статья 24. Права и обязанности субъекта

1. Субъект имеет право:

1) знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных, а также получать информацию, содержащую:

подтверждение факта, цели, источников, способов сбора и обработки персональных данных;

перечень персональных данных;

сроки обработки персональных данных, в том числе сроки их хранения;

2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами;

3) требовать от собственника и (или) оператора, а также третьего лица блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных;

4) требовать от собственника и (или) оператора, а также третьего лица уничтожения своих персональных данных, сбор и обработка которых произведены с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

Подпункт 5 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)

5) отозвать согласие на сбор, обработку, распространение в общедоступных источниках, передачу третьим лицам и трансграничную передачу персональных данных, кроме случаев, предусмотренных пунктом 2 статьи 8 настоящего Закона;

6) дать согласие (отказать) собственнику и (или) оператору на распространение своих персональных данных в общедоступных источниках персональных данных;

7) на защиту своих прав и законных интересов, в том числе возмещение морального и материального вреда;

8) на осуществление иных прав, предусмотренных настоящим Законом и иными законами Республики Казахстан.

2. Субъект обязан представлять свои персональные данные в случаях, установленных законами Республики Казахстан.

Заголовок статьи 25 изложен в редакции Закона РК от 25.06.20 г. № 347-VI (см. стар. ред.)

Статья 25. Права и обязанности собственника и (или) оператора, лица, ответственного за организацию обработки персональных данных

1. Собственник и (или) оператор имеют право осуществлять сбор, обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Казахстан.

В пункт 2 внесены изменения в соответствии с Законом РК от 25.06.20 г. № 347-VI (см. стар. ред.)

2. Собственник и (или) оператор обязаны:

1) утверждать перечень персональных данных, необходимый и достаточный для выполнения осуществляемых ими задач, если иное не предусмотрено законами Республики Казахстан;

Пункт дополнен подпунктом 1-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

1-1) утверждать документы, определяющие политику оператора в отношении сбора, обработки и защиты персональных данных;

2) принимать и соблюдать необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан;

3) соблюдать законодательство Республики Казахстан о персональных данных и их защите;

Пункт дополнен подпунктом 3-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

3-1) предоставлять по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц информацию о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований настоящего Закона;

4) принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

5) представлять доказательство о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Казахстан;

Подпункт 6 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)

6) по обращению субъекта сообщать информацию, относящуюся к нему, в сроки, предусмотренные законодательством Республики Казахстан;

Подпункт 7 изложен в редакции Закона РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.) (см. стар. ред.)

7) в случае отказа в предоставлении информации субъекту или его законному представителю представить мотивированный ответ в сроки, предусмотренные законодательством Республики Казахстан;

8) в течение одного рабочего дня:

изменить и (или) дополнить персональные данные на основании соответствующих документов, подтверждающих их достоверность, или уничтожить персональные данные при невозможности их изменения и (или) дополнения;

блокировать персональные данные, относящиеся к субъекту, в случае наличия информации о нарушении условий их сбора, обработки;

уничтожить персональные данные в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Казахстан;

снять блокирование персональных данных в случае неподтверждения факта нарушения условий сбора, обработки персональных данных.

Пункт дополнен подпунктами 9, 10 в соответствии с Законом РК от 25.06.20 г. № 347-VI

9) предоставлять безвозмездно субъекту или его законному представителю возможность ознакомления с персональными данными, относящимися к данному субъекту;

10) назначить лицо, ответственное за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами.

Действие подпункта 10) части первой настоящего пункта не распространяется на обработку персональных данных в деятельности судов.

См.: Ответ Министра цифрового развития, инноваций и аэрокосмической промышленности РК от 7 сентября 2020 года на вопрос от 20 августа 2020 года № 636689 (dialog.gov.kz) «О назначении на должность лица, ответственного за организацию обработки персональных данных»

Статья дополнена пунктом 3 в соответствии с Законом РК от 25.06.20 г. № 347-VI

3. Лицо, ответственное за организацию обработки персональных данных, обязано:

1) осуществлять внутренний контроль за соблюдением собственником и (или) оператором и его работниками законодательства Республики Казахстан о персональных данных и их защите, в том числе требований к защите персональных данных;

2) доводить до сведения работников собственника и (или) оператора положения законодательства Республики Казахстан о персональных данных и их защите по вопросам обработки персональных данных, требования к защите персональных данных;

3) осуществлять контроль за приемом и обработкой обращений субъектов или их законных представителей.

Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ В СФЕРЕ ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ ЗАЩИТЫ

Статья 26. Компетенция Правительства Республики Казахстан

Правительство Республики Казахстан:

1) разрабатывает основные направления государственной политики в сфере персональных данных и их защиты;

2) осуществляет руководство деятельностью центральных исполнительных органов, входящих в структуру Правительства Республики Казахстан, местных исполнительных органов, в сфере персональных данных и их защиты;

3) утверждает порядок определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;

4) утверждает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

5) выполняет иные функции, возложенные на него Конституцией, законами Республики Казахстан и актами Президента Республики Казахстан.

Статья 27. Компетенция государственных органов

Государственные органы в пределах своей компетенции:

1) разрабатывают и (или) утверждают нормативные правовые акты в сфере персональных данных и их защиты;

2) рассматривают обращения физических и (или) юридических лиц по вопросам персональных данных и их защиты;

3) принимают меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

4) осуществляют иные полномочия, предусмотренные законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

Закон дополнен статьей 27-1 в соответствии с Законом РК от 25.06.20 г. № 347-VI

Статья 27-1. Компетенция уполномоченного органа

1. Уполномоченный орган в пределах своей компетенции:

1) участвует в реализации государственной политики в сфере персональных данных и их защиты;

2) разрабатывает порядок осуществления собственником и (или) оператором, а также третьим лицом мер по защите персональных данных;

Пункт дополнен подпунктом 2-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI

2-1) разрабатывает правила определения собственником и (или) оператором перечня персональных данных, необходимого и достаточного для выполнения осуществляемых ими задач;

3) рассматривает обращения субъекта или его законного представителя о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение;

4) принимает меры по привлечению лиц, допустивших нарушения законодательства Республики Казахстан о персональных данных и их защите, к ответственности, установленной законами Республики Казахстан;

5) требует от собственника и (или) оператора, а также третьего лица уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

6) осуществляет меры, направленные на совершенствование защиты прав субъектов;

Пункт дополнен подпунктом 6-1 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

6-1) создает консультативный совет по вопросам персональных данных и их защиты, а также определяет порядок его формирования и деятельности;

7) утверждает правила сбора, обработки персональных данных;

Пункт дополнен подпунктом 7-1 в соответствии с Законом РК от 02.01.21 г. № 399-VI

7-1) утверждает правила осуществления обследования обеспечения защищенности процессов хранения, обработки и распространения персональных данных ограниченного доступа, содержащихся в электронных информационных ресурсах, по согласованию с Комитетом национальной безопасности Республики Казахстан;

Пункт дополнен подпунктом 7-2 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

7-2) утверждает правила функционирования государственного сервиса контроля доступа к персональным данным;

Пункт дополнен подпунктом 7-3 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

7-3) согласовывает интеграцию негосударственных объектов информатизации с объектами информатизации государственных органов и (или) государственных юридических лиц, при которой осуществляется передача персональных данных и (или) предоставляется доступ к персональным данным;

Пункт дополнен подпунктом 7-4 в соответствии с Законом РК от 30.12.21 г. № 96-VII (введено в действие с 2 марта 2022 г.)

7-4) утверждает правила интеграции с государственным сервисом контроля доступа к персональным данным;

8) осуществляет иные полномочия, предусмотренные настоящим Законом, иными законами Республики Казахстан, актами Президента Республики Казахстан и Правительства Республики Казахстан.

2. В отношении персональных данных, ставших известными уполномоченному органу в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.

Статья 28. Надзор за применением настоящего Закона

Пункт 1 изложен в редакции Закона РК от 11.07.17 г. № 91-VI (см. стар. ред.)

1. Органы прокуратуры осуществляют высший надзор за соблюдением законности в сфере персональных данных и их защиты.

2. Акты прокурорского надзора, вынесенные на основании и в порядке, установленных Законом Республики Казахстан «О Прокуратуре», обязательны для всех органов, организаций, должностных лиц и граждан.

Глава 6. ЗАКЛЮЧИТЕЛЬНЫЕ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ

Статья 29. Ответственность за нарушение законодательства Республики Казахстан о персональных данных и их защите

Нарушение законодательства Республики Казахстан о персональных данных и их защите влечет ответственность в соответствии с законами Республики Казахстан.

Статья 30. Порядок обжалования и рассмотрения споров

Действия (бездействие) субъекта, собственника и (или) оператора, а также третьего лица при сборе, обработке и защите персональных данных могут быть обжалованы в порядке, установленном законами Республики Казахстан.

Споры, возникающие при сборе, обработке и защите персональных данных, подлежат рассмотрению в порядке, установленном законами Республики Казахстан.

Статья 31. Порядок введения в действие настоящего Закона

1. Настоящий Закон вводится в действие по истечении шести месяцев после его первого официального опубликования.

2. Собственники и (или) операторы обязаны в течение трех месяцев со дня введения в действие настоящего Закона привести нормативные правовые акты и иные документы в соответствие с требованиями настоящего Закона.

3. Сбор, обработка персональных данных, осуществленные согласно законодательству Республики Казахстан до введения в действие настоящего Закона, признаются соответствующими требованиям настоящего Закона, если дальнейшие их обработка и защита соответствуют целям их сбора.

Президент

Республики Казахстан

Н. НАЗАРБАЕВ

Астана, Акорда, 21 мая 2013 года

№ 94-V ЗРК