Егер компанияңыз Қазақстан азаматтарының дербес деректерімен — қызметкерлер, клиенттер, қызмет пайдаланушылары — жұмыс істесе, сіз бұл деректерді Қазақстан аумағында физикалық тұрғыда орналасқан серверлерде сақтауға заң бойынша міндеттісіз. Бұл талап заңнамада бекітілген, уәкілетті мемлекеттік орган бақылайды және сақталмаса — әкімшілік жауапкершілікке алып келеді.

Заң нені конкретті талап ететінін, кімге қатысты екенін және талапты тәжірибеде қалай орындауға болатынын талдаймыз.

Құқықтық негіз

Негізгі құжат — Қазақстан Республикасының 2013 жылғы 21 мамырдағы № 94-V «Дербес деректер және оларды қорғау туралы» Заңы (кейінгі өзгерістермен). Заң дербес деректерді жинауды, өңдеуді, сақтауды және беруді реттейді.

Заң бойынша дербес деректер — «белгілі бір немесе оның негізінде анықталатын жеке тұлғаға қатысты ақпарат». Бұған мыналар кіреді: аты-жөні, ЖСН, мекенжайы, телефон нөмірі, email, биометриялық деректер, денсаулық туралы мәліметтер, қаржылық деректер және нақты адамды анықтауға мүмкіндік беретін кез келген ақпарат.

Уәкілетті орган — Қазақстан Республикасының Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі (ЦДИАӨМ). Министрлік дерекқорлар тізілімін жүргізеді, тексерулер жүргізеді және нұсқамалар береді.

Локализациялау талабы

Заңның 22-бабы мынаны белгілейді: Қазақстан азаматтарының дербес деректерін жинау және өңдеу Қазақстан Республикасының аумағында орналасқан дерекқорларды пайдалана отырып жүзеге асырылуы тиіс.

Тәжірибеде бұл мынаны білдіреді: қазақстандық азаматтардың дербес деректері сақталатын дерекқор Қазақстан аумағында физикалық орналасқан серверде болуы тиіс.

Қазақстандық аймағы жоқ шетелдік провайдердің бұлтты қоймасы, сервис Қазақстанда қолжетімді болса да, бұл талапты қанағаттандырмайды.

Талапты кім сақтауы тиіс

Талап дербес деректер операторларына — дербес деректерді өңдеуді дербес немесе басқалармен бірлесіп ұйымдастыратын және (немесе) жүзеге асыратын заңды немесе жеке тұлғаларға — қолданылады.

Тәжірибеде бұл мыналарға қатысты:

  • Қызметкерлер, клиенттер немесе пайдаланушылардың деректерін сақтайтын қазақстандық компаниялар.
  • Қазақстанда қызмет ететін және қазақстандық пайдаланушылардың деректерін жинайтын шетелдік компаниялар.
  • Қазақстандық пайдаланушыларға қолжетімді интернет-сервистер, мобильді қолданбалар және маркетплейстер.
  • Банктер, сақтандыру компаниялары, медициналық ұйымдар, телекоммуникациялық операторлар.
  • Мемлекеттік органдар және мемлекеттік функцияларды орындайтын ұйымдар.

Бизнес көлемі бойынша ерекшелік жоқ: дербес деректерді өңдесе — кез келген масштабтағы компанияларға талап қолданылады.

Деректерді шектен тыс беру

Заң дербес деректерді шетелге беруге рұқсат береді, бірақ тек шарттар сақталғанда:

  1. Деректер субъектісінің келісімі — жеке тұлғаның өз деректерін нақты елге беруге жазбаша келісімі.
  2. Шетелдік мемлекетпен шарт — алушы ел Қазақстан мойындаған дербес деректерді қорғаудың жеткілікті деңгейін қамтамасыз етуі тиіс.
  3. ЦДИАӨМ-ге алдын ала хабарлау шектен тыс берілу туралы.

Маңызды нюанс: шектен тыс беруге рұқсат деректерді бастапқы Қазақстанда сақтау талабын алып тастамайды. Деректердің көшірмесі шетелге жіберілуі мүмкін, бірақ негізгі дерекқор елде қалуы тиіс.

Дерекқорларды тіркеу

Дербес деректер операторлары дерекқорларын уәкілетті органда тіркеуге міндетті. Тіркеу egov.kz электрондық үкімет порталы арқылы жүзеге асырылады. Тізілімде дерекқордың физикалық орналасуы, атап айтқанда, көрсетіледі.

Тіркеу кезінде оператор дерекқордың Қазақстанда орналасқанын растайды. Деректердің нақты орналасуының мәлімделгенге сәйкессіздігі — нұсқама мен айыппұлға негіз.

Айыппұлдар мен жауапкершілік

Дербес деректер туралы заңнаманы бұзғаны үшін жауапкершілік Қазақстан Республикасының Әкімшілік құқық бұзушылықтар туралы кодексімен (ӘҚБтК) белгіленген.

Негізгі бұзушылық құрамдары:

  • Дербес деректерді заңсыз жинау және өңдеу.
  • Дербес деректерді сақтау мен қорғау талаптарын бұзу.
  • Дербес деректерге рұқсатсыз қол жеткізу немесе оларды тарату.
  • Деректерді шектен тыс беру тәртібін бұзу.
  • Дерекқорларды тіркеуден жалтару.

Заңды тұлғалар үшін айыппұлдар жүздеген және мыңдаған АЕК (айлық есептік көрсеткіш) мөлшеріне жетеді. Айыппұлдан басқа, уәкілетті орган бұзушылықтарды жою туралы нұсқама беруге, ресурсқа қол жеткізуді шектеуге немесе бұғаттауды бастауға құқылы.

2022–2024 жылдары ЦДИАӨМ бақылау белсенділігін күшейтті: тексерулер мен нұсқамалардың саны өсуде. Ірі халықаралық платформалар деректерді локализациялау туралы талаптар алды.

Қазақстандық дата-орталық сәйкестікке қалай көмектеседі

Локализациялау талабын орындаудың ең тура жолы — серверлерді немесе дерекқорларды Қазақстан аумағындағы коммерциялық дата-орталыққа орналастыру.

Қазақстандық ДДО-дағы колокация мыналарды береді:

  • Құжатпен расталған физикалық орналасу. ДДО-мен шарт жабдықтың мекенжайын бекітеді — тексеру кезінде сәйкестіктің тікелей дәлелі.
  • Аудит мүмкіндігі. Сертификатталған ДДО тексерушілер үшін құжаттарды ұсынады: SOC есептері, физикалық орналастыру актілері.
  • Сенімділік пен үздіксіздік. Tier III/IV деңгейіндегі ДДО 99,982–99,995% аптайм кепілдігін береді, деректерге үздіксіз қол жеткізуді қамтамасыз етеді.
  • Қауіпсіздік. Физикалық қорғаныс, бейнебақылау, кіруді бақылау — дербес деректерді қорғаудың заңнамалық талаптары инфрақұрылым деңгейінде шешіледі.

Бұлтты пайдаланатын компаниялар үшін мәселе екі жолмен шешіледі: қазақстандық аймағы бар бұлт провайдерін таңдау (болса) немесе дерекқорларды Қазақстандағы колокацияға тасымалдап, қалған инфрақұрылымды бұлтта қалдыру.

Сәйкестік үшін практикалық қадамдар

  1. Инвентаризация. Қазақстан азаматтарының дербес деректері бар барлық дерекқорлардың тізілімін жасаңыз. Олардың физикалық орналасуын анықтаңыз.
  2. Тәуекелді бағалау. Қазақстаннан тыс сақталатын дерекқорларды анықтаңыз.
  3. Тасымалдау. Тиісті дерекқорларды Қазақстандағы серверлерге — колокацияға немесе қазақстандық бұлтқа — тасымалдаңыз.
  4. Тіркеу. Дерекқорларды нақты қазақстандық мекенжайды көрсете отырып ЦДИАӨМ-де тіркеңіз (немесе тіркеуді жаңартыңыз).
  5. Құжаттау. ДДО шарттарын, орналастыру актілерін, техникалық паспорттарды сақтаңыз — тексеру кезінде ұсыну үшін.

Жиі қойылатын сұрақтар

Қазақстандық қызметті пайдаланатын шетелдік азаматтардың деректерін Қазақстанда сақтау керек пе?

Заң Қазақстан азаматтарының дербес деректеріне қолданылады. Шетелдік азаматтардың деректері бұл локализациялау талабына жатпайды, бірақ тиісті шетелдік заңнамамен реттелуі мүмкін.

Провайдер қазақстандық талаптарды сақтауға келіссе, деректерді шетелдік бұлтта сақтауға бола ма?

Жоқ, физикалық сервер Қазақстанда тұрмаса. Провайдердің қазақстан заңнамасын сақтау туралы шарттық келісімі дерекқордың физикалық орналасуы туралы талапты ауыстырмайды.

Негізгі қойма шетелде болса, Қазақстанда резервтік көшірмені сақтау жеткілікті ме?

Заңның қазіргі түсіндірмесі бойынша — жоқ. Негізгі дерекқор Қазақстанда болуы тиіс. Шетелдегі резервтік көшірмелерге шектен тыс берілу шарттары сақталған кезде рұқсат етіледі, бірақ негізгі қоймалауды локализациялауды ауыстырмайды.

ЦДИАӨМ деректердің орналасуы туралы қалай біледі?

Дерекқорды тіркеу кезінде оператордың өзі орналасуды көрсетеді. Сонымен қатар ЦДИАӨМ жоспарлы және жоспарсыз тексерулер жүргізеді, пайдаланушылардың шағымдарын өңдейді және шектен тыс деректер ағындарын бақылауға интернет-провайдерлермен өзара әрекеттеседі.

Нұсқамадан кейін бұзушылықты қанша уақытта жою керек?

Жою мерзімі нұсқамада көрсетіледі және әдетте 30-дан 90 күнге дейін болады. Жүйелі бұзушылықтар анықталса немесе нұсқаманы орындаудан бас тартылса — ресурсты бұғаттауға болады.

Деректерді локализациялау талаптарын орындау үшін Қазақстандағы дата-орталықты іздеп жүрсіз бе? Akashi-дегі колокация шарттары туралы біліңіз — Орталық Азиядағы алғашқы Tier IV ДДО, Астана.