Правила контроля доступа к персональным данным изменились в Казахстане

Министр искусственного интеллекта и цифрового развития приказом от 5 марта 2026 года внес изменения в Правила функционирования государственного сервиса контроля доступа к персональным данным, сообщает Zakon.kz.

Поправками уточнено понятие:

• персональные данные – данные, в том числе биометрические, относящиеся к определенному или определяемому на их основании субъекту персональных данных, зафиксированные на электронном, бумажном и (или) ином материальном носителе.

Также добавлен термин:

• автоматизированная обработка персональных данных – обработка персональных данных объектом информатизации, исключающая участие собственника и (или) оператора, а также третьего лица в процессе обработки.

• информационное взаимодействие собственников и (или) операторов, третьих лиц с субъектом и уполномоченным органом при доступе к персональным данным, содержащимся в объектах информатизации государственных органов и (или) государственных юридических лиц, включая получение от субъекта согласия на сбор, обработку, в том числе автоматизированную обработку персональных данных или их передачу третьим лицам;
• предоставление субъектом или его законным представителем согласия (отказа) на сбор и (или) обработку в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;
• отзыв субъектом или его законным представителем согласия на сбор и (или) обработку, в том числе автоматизированную обработку персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц;
• уведомление субъекта о действиях, в том числе автоматизированную обработку, с его персональными данными, содержащимися в объектах информатизации государственных органов и (или) государственных юридических лиц (доступ, просмотр, изменение, дополнение, передача, блокирование, уничтожение);
• представление субъекту сведений о собственниках и (или) операторах, имеющих согласие на сбор и (или) обработку, в том числе автоматизированную обработку его персональных данных, содержащихся в объектах информатизации государственных органов и (или) государственных юридических лиц.

Также поправками изменен процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора и (или) оператора.

Процесс получения доступа к персональным данным посредством запроса/ответа средствами инициатора, оказывающим проактивные услуги, состоит из:

получения инициатором согласия у субъекта на доступ к его персональным данным следующими способами:

• системы биометрии;
• электронные цифровые подписи;
• бумажные носители информации;
• отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом ЭЦП в токене верификации и кода проактивной услуги (предоставляется инициатором);
• проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;
• проверки государственным сервисом подписи токена верификации на соответствие, представленного эцп;
• проверки государственным сервисом соответствия бизнес-идентификационного номера и кода проактивной услуги;
• проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;
• проверки государственным сервисом на соответствие возможным способам получения доступа к персональным данным и указанным в токене верификации;
• проверки государственным сервисом даты формирования токена верификации;
• формирования государственным сервисом токена безопасности на период оказания проактивной услуги при прохождении всех проверок токена верификации;
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Процесс получения доступа к персональным данным посредством запроса/ответа в режиме протоколирования, состоит из:

• отправки инициатором запроса на доступ к персональным данным к государственному сервису с открытым ключом эцп в токене верификации (с пометкой об отсутствии полученного согласия) и кода из справочника оснований получения доступа к персональным данным без получения согласия субъекта персональным данных;
• проверки государственным сервисом наличия токена верификации в запросе на доступ к персональным данным;
• проверки государственным сервисом подписи токена верификации на соответствие, представленного ЭЦП;
• проверки государственным сервисом бизнес-идентификационного номера на предмет возможности получения токена безопасности в режиме протоколирования;
• проверки государственным сервисом соответствия бизнес-идентификационного номера в токене верификации организации и бизнес-идентификационного номера, указанный в запросе на доступ к персональным данным;
• проверки государственным сервисом даты формирования токена верификации;
• формирования государственным сервисом токена безопасности на период 15 минут при прохождении всех проверок токена верификации;
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Процесс получения доступа к персональным данным посредством запроса/ответа в государственный сервис осуществляются посредством sms-сообщений, отправленных через информационную систему "мобильное правительство", состоит из:

• отправки инициатором и (или) оператором запроса на доступ к персональным данным к государственному сервису;
• проверки государственным сервисом наличия запроса на доступ к персональным данным в процессе обработки;
• при наличии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет статус "ожидание ответа от субъекта";
• при отсутствии запроса на доступ к персональным данным в процессе обработки, государственный сервис отправляет запрос на получение абонентского номера сети сотовой связи субъекта к бмг;
• при отсутствии абонентского номера сети сотовой связи субъекта в бмг, субъект осуществляет регистрацию на веб-портале "электронного правительства";
• после получения абонентского номера сети сотовой связи субъекта от бмг, государственный сервис отправляет запрос на доступ к персональным данным субъекту посредством sms-сообщения с буквенно-цифровым или цифровым одноразовым кодом через информационную систему "мобильное правительство";
• после получения ответа от государственного сервиса статуса "ожидание ответа от субъекта" и идентификатора запроса государственного сервиса, инициатор и (или) оператор отправляет повторный запрос с идентификатором запроса государственного сервиса;
• отправка токена безопасности государственным сервисом при повторном запросе доступа к персональным данным инициатором и (или) оператором с буквенно-цифровым или цифровым одноразовым кодом, соответствующим отправленному коду через информационную систему "мобильное правительство";
• отправки инициатором и (или) оператором запроса на доступ к персональным данным с включенным в запрос токеном безопасности к собственнику;
• проверки собственником токена безопасности на соответствие запросу и сроку действия;
• обработки запроса и отправление ответа собственником инициатору и (или) оператору.

Также указывается, что по процессам, предусмотренным подпунктами 1) и 2) получение согласия субъекта персональных данных и (или) предоставление доступа к персональным данным посредством одноразового пароля (OTP), направляемого через сотовые сети связи, не осуществляется.

Приказ вводится в действие с 23 марта 2026 года.