2013 жылдан бері Қазақстанда «Дербес деректер және оларды қорғау туралы» Заң (№ 94-V) қолданылып келеді. Осы жылдар ішінде ол бірнеше рет толықтырылды және қазір ұйымдардың кең ауқымына Қазақстан азаматтарының деректерін физикалық тұрғыдан Қазақстан Республикасының аумағында орналасқан серверлерде сақтауды міндеттейді. Бұл заңды елемеу күн санап қиынға соғуда: реттеушілік бақылау күшейтілуде, санкциялар өсуде.
Заңда не айтылған
Негізгі құжат — 2013 жылғы 21 мамырдағы № 94-V ҚР Заңы «Дербес деректер және оларды қорғау туралы». Оны мыналар толықтырады:
- ҚР «Ақпараттандыру туралы» Заңы (2020–2024 жж. өзгерістерімен) — мемлекеттік және квазимемлекеттік ұйымдарға қойылатын талаптарды реттейді.
- ҚР Үкіметінің қаулылары — деректерді қорғаудың техникалық талаптарын нақтылайды.
- ЦДИАӨМ талаптары (Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрлігі) — ведомстволық нормалар.
Заңның негізгі нормасы: ҚР азаматтарының дербес деректерін қамтитын деректер базалары Қазақстан аумағында орналасуы тиіс. Бұл серверлердің физикалық орналасу мекенжайына тікелей талап — компанияның юрисдикциясына емес, деректері бар стеллаждың мекенжайына.
Дербес деректер деп не саналады
Қазақстан заңы бойынша дербес деректер — белгілі немесе анықталатын жеке тұлғаға қатысты кез келген мәлімет. Оларға жатады:
- Аты-жөні, туған күні, ЖСН
- Тұрғылықты мекенжайы және байланыс деректері
- Биометриялық деректер (фото, саусақ іздері)
- Денсаулық жағдайы туралы деректер
- Қаржылық деректер және транзакциялар тарихы
- Еңбек қызметі туралы деректер
- Геолокациялық деректер
Қазақстан азаматтары үшін осы өрістердің кем дегенде бірін қамтитын кез келген деректер базасы заң талаптарына жатады.
Заңды кім сақтауы тиіс
Талаптар дербес деректердің барлық операторларына — ҚР азаматтарының дербес деректерін жинайтын, сақтайтын, өңдейтін немесе беретін ұйымдар мен жеке тұлғаларға қолданылады:
- Кез келген меншік нысанындағы қазақстандық компаниялар
- Мемлекеттік органдар мен квазимемлекеттік құрылымдар
- Қазақстан азаматтарының деректерімен жұмыс істейтін шетелдік компаниялар (халықаралық e-commerce, жазылым қызметтері, төлем жүйелері)
- Медициналық мекемелер
- Банктер, МҚҰ және сақтандыру компаниялары
- Телекоммуникациялық операторлар
- HR-платформалар мен кадр агенттіктері
Халықаралық бизнес үшін маңызды мәселе: компанияның шет елде болуы қазақстандық клиенттердің деректерін Қазақстанда сақтау міндетінен босатпайды. Егер сіз ҚР азаматтарының деректерін өңдесеңіз, бұл заңды сақтауға міндеттісіз.
Деректерді сақтау және қорғау талаптары
Локализациядан басқа, заң деректердің өзін қорғауға да талаптар белгілейді:
Техникалық шаралар:
- Дербес деректері бар деректер базаларын шифрлау
- Қол жеткізу құқықтарын шектеу — тек жұмысы үшін қажет қызметкерлер
- Дербес деректермен барлық операцияларды тіркеу
- Резервтік көшірмелерді қорғаумен резервтік көшіру
Ұйымдастырушылық шаралар:
- Дербес деректерді өңдеуге жауаптыны тағайындау
- Дербес деректерді өңдеу саясатын әзірлеу
- Деректер субъектісінің өңдеуге келісімі (жазбаша немесе ЭЦҚ-мен электронды нысанда)
- Деректер жинау кезінде субъектіге хабарлау: мақсаты, құрамы, сақтау мерзімі
Реттеушіге хабарлау: Операторлардың жекелеген санаттары уәкілетті органда (ЦДИАӨМ) дербес деректер базаларын тіркеуге міндетті.
Заңды бұзғаны үшін айыппұлдар
ҚР Әкімшілік құқық бұзушылық туралы кодексі дербес деректер туралы заңды бұзғаны үшін жауапкершілікті көздейді:
| Бұзушылық | Санкция |
|---|---|
| Дербес деректерді заңсыз өңдеу | 200 АЕК дейін айыппұл (~550 000 тг) |
| Деректерді қорғау талаптарын бұзу | Нұсқаулық, айыппұл, қызметті тоқтата тұру |
| Локализация талаптарын сақтамау | Сайтты/қызметті бұғаттау, лицензияны тоқтата тұру |
| Келісімсіз үшінші тұлғаларға деректер беру | 500 АЕК дейін айыппұл (~1 400 000 тг) |
Әкімшілік санкциялардан басқа, «Ақпараттандыру туралы» Заң деректерді сақтау талаптарын бұзатын ресурстарды бұғаттауды көздейді. ЦДИАӨМ байланыс операторларына сайттарды бұғаттау туралы нұсқаулық беруге өкілетті.
Сәйкестіктегі дата-орталықтың рөлі
Деректерді локализациялау талаптарын орындаудың ең тікелей жолы — деректерінің физикалық мекенжайын құжатпен растай алатын қазақстандық дата-орталықта серверлер орналастыру немесе колокация қызметін пайдалану.
Compliance үшін ДДО таңдағанда назар аударатын жайттар:
Физикалық орналасуды құжатпен растау. Дата-орталық Қазақстандағы объектінің мекенжайын растайтын құжаттар ұсына алуы тиіс — ішкі саясат пен тексеру жағдайы үшін.
Қауіпсіздік сертификациясы. ISO 27001 және сыйысымды стандарттар ДДО операторы ақпараттық қауіпсіздік жүйелерін құрғанын растайды.
Сенімділік деңгейі. Деректерді қорғау талаптары олардың қолжетімділігін де қамтамасыз етуді білдіреді. Tier III немесе Tier IV инфрақұрылым апаты салдарынан деректер жоғалмайтынына кепілдік береді.
Физикалық қол жеткізуді тіркеу. Жабдыққа кім, қашан физикалық қол жеткізді — ДДО мұндай журналдарды жүргізіп, сұрау бойынша ұсына алуы тиіс.
Астанадағы Akashi Data Center — ЦДИАӨМ-нің маңызды инфрақұрылым ақпараттық қауіпсіздігіне қойылатын талаптарын ескере отырып жобаланған, қазақстандық юрисдикциядағы Tier IV объект.
Жиі қойылатын сұрақтар
Шетелдік бизнес қазақстандық пайдаланушылардың деректерін Қазақстанда сақтауға міндетті ме?
Иә. Дербес деректер туралы заң ҚР азаматтарының деректерін өңдейтін барлық операторларға қолданылады — компанияның тіркелген еліне қарамастан. Халықаралық e-commerce, SaaS-қызметтер, егер олар қазақстандық клиенттермен жұмыс істесе, локализация талаптарын сақтауға міндетті.
Деректерді шет елде сақтағаны үшін не болады?
Деректерді локализациялау талаптарын бұзу әкімшілік айыппұлдарды, ЦДИАӨМ нұсқаулығын және Қазақстан аумағында байланыс операторы арқылы сайтты немесе қызметті бұғаттауды туындатуы мүмкін.
Қазақстан азаматтарының деректерін сақтау үшін AWS немесе Azure пайдалануға бола ма?
AWS немесе Azure Қазақстан аумағында аймақ ұсынса болады. 2024 жылы ірі жалпыға ортақ бұлттарда қазақстандық аймақтар жоқ — бұл олардың стандартты аймақтарындағы қазақстан азаматтарының дербес деректерінің ресми түрде локализация талаптарын бұзатынын білдіреді. Шешім — Қазақстан ішіндегі жергілікті бұлттағы колокация немесе орналастыру.
Қандай деректерді локализациялаудың қажеті жоқ?
Локализация талабы тікелей қазақстан азаматтарының дербес деректеріне қатысты. Деперсонализацияланған, жинақталған немесе анонимдендірілген деректер бұл талапқа жатпайды. Сондай-ақ субъектінің өз деректерін шетелге айқын келісімі негізінде берген жағдайлары ерекшелік болып саналады.
Дата-орталық дербес деректер туралы заңды сақтауға қалай көмектеседі?
Қазақстандық ДДО-дағы колокация сізге Қазақстандағы серверлердің физикалық жағынан құжатталған орналасуын береді — бұл локализация талабының тікелей орындалуы. Қосымша: сертификатталған ДДО заңның талаптарына өзі кіретін техникалық қорғаныш шараларын (қол жеткізуді бақылау, тіркеу, физикалық қауіпсіздік) қамтамасыз етеді.
Деректерді локализациялау талаптарына сәйкес Қазақстандағы дата-орталықты іздеп жүрсіз бе? Akashi-дегі колокация қызметтері туралы біліңіз — compliance үшін толық құжаттамасы бар Астанадағы Tier IV объект.