Закон РК «О персональных данных и их защите»

Сокращённая версия простым языком. Она объясняет основные правила сбора, использования, хранения и защиты сведений о человеке, а также показывает, что гражданин вправе требовать от организаций.

Резюме, а не официальный текст Объём менее 15% исходника Навигация по разделам
Важно. Этот материал помогает понять закон, но не заменяет официальный текст, подзаконные акты и юридическую консультацию. Для жалобы, суда или проверки необходимо сверять конкретную норму с действующей редакцией.

1. Основные понятия

Персональные данныеСведения, относящиеся к определённому человеку или позволяющие определить его личность: имя, ИИН, контакты, адрес, изображение, сведения о здоровье, платежах и другие данные.
Биометрические данныеФизиологические и биологические признаки, по которым можно установить личность: например, параметры лица, отпечатки пальцев или голосовой шаблон.
СубъектФизическое лицо, к которому относятся данные.
Собственник и операторОрганизация или лицо, определяющее работу базы либо непосредственно собирающее, обрабатывающее и защищающее данные.
ОбработкаПрактически любые действия с данными: сбор, запись, хранение, изменение, использование, передача, обезличивание, блокирование и уничтожение.
Нарушение безопасностиНесанкционированный доступ, утечка, незаконное изменение, распространение или уничтожение данных.

2. Главные принципы закона

Организация не вправе собирать данные «на всякий случай». Обработка должна иметь конкретную, заранее определённую и законную цель. Перечень данных должен быть необходимым и достаточным, а не избыточным.

  • должны соблюдаться права и свободы человека;
  • сбор и обработка должны иметь законное основание;
  • данные ограниченного доступа должны оставаться конфиденциальными;
  • обработка не должна причинять человеку материальный или моральный вред либо необоснованно ограничивать его права;
  • данные разрешено использовать только для заявленных целей.
Практический смысл: организация должна уметь объяснить, зачем ей нужен каждый тип данных и почему без него нельзя выполнить конкретную задачу.

5. Хранение, передача и уничтожение

  • Хранение: база с персональными данными должна находиться на территории Республики Казахстан.
  • Срок: данные хранятся до достижения цели сбора, если другой срок не установлен законодательством.
  • Передача третьим лицам: обычно требует согласия и должна соответствовать его условиям.
  • Публикация: распространение в открытых источниках допускается с согласия либо на ином законном основании.
  • Трансграничная передача: допускается при обеспечении защиты данных иностранным государством либо при наличии предусмотренного законом основания, включая отдельное согласие.
  • Уничтожение: требуется после окончания срока хранения, прекращения соответствующих отношений, подтверждения незаконного сбора или в иных установленных случаях.

Для статистических, социологических, научных и маркетинговых исследований данные должны обезличиваться.

6. Автоматизированная обработка

Решение, принятое только автоматизированной системой и влияющее на права или законные интересы человека, допускается при его согласии либо в случаях, прямо предусмотренных законом.

Оператор должен объяснить порядок автоматизированной обработки и возможные последствия, предоставить возможность возразить и сообщить, как защищать свои права. Возражение должно быть рассмотрено в течение трёх рабочих дней.

Пример: если программа автоматически отказывает в услуге, доступе или льготе на основании профиля человека, он вправе потребовать объяснения и оспорить обработку.

7. Права гражданина

Человек вправе знать, есть ли у организации его данные, откуда они получены, с какой целью и каким способом обрабатываются, какие сведения хранятся и как долго.

  • получить доступ к своим данным бесплатно;
  • потребовать исправления или дополнения недостоверных сведений;
  • потребовать блокирования данных при признаках нарушения;
  • потребовать уничтожения незаконно собранных или обрабатываемых данных;
  • отозвать согласие в предусмотренных законом пределах;
  • отказаться от публикации, передачи третьим лицам или трансграничной передачи, если для этого требуется согласие;
  • обжаловать действия оператора и требовать возмещения материального и морального вреда.

8. Обязанности организаций

Собственник или оператор обязан не только получить согласие, но и выстроить систему законной обработки данных.

  • утвердить перечень необходимых и достаточных персональных данных;
  • утвердить внутреннюю политику сбора, обработки и защиты;
  • принимать правовые, организационные и технические меры защиты;
  • уметь доказать получение согласия;
  • отвечать на обращения граждан и мотивировать отказ;
  • исправлять, блокировать или уничтожать данные при наличии оснований;
  • после выявления нарушения безопасности уведомить уполномоченный орган;
  • для юридического лица назначить ответственного за организацию обработки персональных данных.

В ряде случаев оператор должен выполнить исправление, блокирование или уничтожение в течение одного рабочего дня после подтверждения соответствующего основания.

9. Защита персональных данных

Обработка допускается только при обеспечении защиты. Меры должны действовать с момента начала сбора до уничтожения или обезличивания данных.

ПредотвращениеОграничение доступа, разграничение полномочий, безопасная аутентификация, внутренние правила и обучение работников.
ОбнаружениеВыявление несанкционированного доступа, регистрация действий и контроль операций с данными.
Снижение последствийБлокирование доступа, локализация инцидента, восстановление данных и уведомление компетентных органов.
КонфиденциальностьРаботники и третьи лица не вправе распространять ставшие им известными данные без согласия или другого законного основания.

10. Государственный контроль и ответственность

Контроль осуществляют уполномоченный орган и другие государственные органы в пределах компетенции. Они рассматривают обращения, проводят проверки и могут требовать уточнения, блокирования или уничтожения недостоверных и незаконно полученных данных.

За нарушение законодательства наступает ответственность по законам Республики Казахстан. Конкретный вид ответственности зависит от состава нарушения и может устанавливаться административным, гражданским или уголовным законодательством.

Действия или бездействие оператора, третьего лица либо государственного органа могут быть обжалованы в установленном порядке. Споры разрешаются в соответствии с законодательством Республики Казахстан.

11. Как защищать свои права

  1. Зафиксируйте ситуацию.
    Сохраните договор, согласие, экран приложения, переписку, уведомление и сведения о том, какие данные потребовали.
  2. Запросите объяснение.
    Попросите назвать цель, полный перечень данных, срок хранения, получателей, место хранения базы и основание обработки.
  3. Заявите конкретное требование.
    Например: предоставить копию данных, исправить, заблокировать, уничтожить, прекратить передачу или принять отзыв согласия.
  4. Потребуйте письменный ответ.
    Он нужен для подтверждения позиции организации и последующего обжалования.
  5. Обратитесь в уполномоченный орган или суд.
    Приложите документы и чётко опишите нарушение, свои требования и полученный ответ либо отсутствие ответа.
Полезная формулировка запроса: «Прошу сообщить правовое основание, цель, перечень, источник, срок хранения, круг получателей и сведения о трансграничной передаче моих персональных данных, а также предоставить возможность ознакомиться с относящимися ко мне данными».

12. Краткая памятка

  • Согласие должно быть доказуемым и информированным.
  • Собирать можно только необходимые и достаточные данные.
  • Использовать данные разрешено только для заявленной цели.
  • Передача третьим лицам и за границу должна иметь отдельное понятное основание.
  • Человек вправе узнать, что о нём хранится, и потребовать исправления, блокирования или уничтожения.
  • Организация обязана защищать данные и подтверждать законность обработки.
  • Отказ организации можно обжаловать.
Проверяйте редакцию закона. Исходный документ содержит примечания об изменениях 2025–2026 годов и нормах с отложенным вступлением в силу. Для конкретного дела важна редакция, действующая на дату события.