Если ваша компания работает с персональными данными граждан Казахстана — данными сотрудников, клиентов, пользователей сервисов — вы обязаны хранить эти данные на серверах, физически расположенных в Казахстане. Это требование закреплено в законодательстве и контролируется уполномоченным государственным органом. Несоблюдение влечёт административную ответственность.

Разбираем, что конкретно требует закон, кого это касается и как выполнить требование на практике.

Правовая основа

Основной документ — Закон Республики Казахстан от 21 мая 2013 года № 94-V «О персональных данных и их защите» (с последующими изменениями). Закон регулирует сбор, обработку, хранение и передачу персональных данных.

Персональные данные по закону — это «информация, относящаяся к определённому или определяемому на её основании физическому лицу». Сюда относятся: ФИО, ИИН, адрес, номер телефона, email, биометрические данные, данные о состоянии здоровья, финансовые сведения и практически любые данные, позволяющие идентифицировать конкретного человека.

Уполномоченный орган — Министерство цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан (МЦРИАП). Министерство ведёт реестр баз данных, проводит проверки и выдаёт предписания.

Требование локализации

Статья 22 Закона устанавливает: сбор и обработка персональных данных граждан Казахстана должны осуществляться с использованием баз данных, находящихся на территории Республики Казахстан.

Практически это означает: база данных, в которой хранятся персональные данные казахстанских граждан, должна располагаться на сервере, физически находящемся в Казахстане.

Облачное хранилище зарубежного провайдера без казахстанского региона не соответствует этому требованию, даже если сам сервис доступен в Казахстане.

Кто обязан соблюдать требование

Требование распространяется на операторов персональных данных — юридических или физических лиц, которые самостоятельно или совместно с другими организуют и (или) осуществляют обработку персональных данных.

На практике это касается:

  • Казахстанских компаний, которые хранят данные сотрудников, клиентов или пользователей.
  • Иностранных компаний, ведущих деятельность в Казахстане и собирающих данные казахстанских пользователей.
  • Интернет-сервисов, мобильных приложений и маркетплейсов, доступных казахстанским пользователям.
  • Банков, страховых компаний, медицинских организаций, телекоммуникационных операторов.
  • Государственных органов и организаций, выполняющих государственные функции.

Исключений по размеру бизнеса нет: требование распространяется на компании любого масштаба, если они обрабатывают персональные данные.

Трансграничная передача данных

Закон разрешает передачу персональных данных за рубеж, но только при соблюдении условий:

  1. Согласие субъекта данных — письменное согласие физического лица на передачу его данных в конкретную страну.
  2. Договор с иностранным государством — страна-получатель должна обеспечивать адекватный уровень защиты персональных данных, признанный Казахстаном.
  3. Предварительное уведомление МЦРИАП о трансграничной передаче.

Важный нюанс: разрешение трансграничной передачи не снимает требование о первичном хранении данных в Казахстане. Копия данных может передаваться за рубеж, но основная база должна оставаться в стране.

Регистрация баз данных

Операторы персональных данных обязаны зарегистрировать свои базы данных в уполномоченном органе. Регистрация осуществляется через портал электронного правительства egov.kz. В реестре указывается, в частности, физическое местонахождение базы данных.

При регистрации оператор подтверждает, что база данных размещена в Казахстане. Несоответствие фактического местонахождения данных заявленному — основание для предписания и штрафа.

Штрафы и ответственность

Ответственность за нарушение законодательства о персональных данных установлена Кодексом об административных правонарушениях Республики Казахстан (КоАП РК).

Основные составы нарушений:

  • Незаконный сбор и обработка персональных данных.
  • Нарушение требований к хранению и защите персональных данных.
  • Несанкционированный доступ к персональным данным или их распространение.
  • Нарушение порядка трансграничной передачи данных.
  • Уклонение от регистрации баз данных.

Штрафы для юридических лиц составляют сотни и тысячи МРП (месячный расчётный показатель). Помимо штрафа, уполномоченный орган вправе выдать предписание об устранении нарушений, ограничить доступ к ресурсу или инициировать блокировку.

В 2022–2024 годах МЦРИАП усилило надзорную активность: количество проверок и предписаний растёт. Крупные международные платформы получали требования о локализации данных.

Как дата-центр в Казахстане помогает соответствовать требованиям

Самый прямой способ выполнить требование о локализации — разместить серверы или базы данных в коммерческом дата-центре на территории Казахстана.

Colocation в казахстанском ЦОД даёт:

  • Документально подтверждённое физическое местонахождение. Договор с ЦОД фиксирует адрес размещения оборудования — это прямое доказательство соответствия при проверке.
  • Возможность аудита. Сертифицированный ЦОД предоставляет документы для проверяющих: SOC-отчёты, акты о физическом размещении.
  • Надёжность и непрерывность. ЦОД уровня Tier III/IV гарантирует аптайм выше 99,98%, что обеспечивает непрерывный доступ к данным.
  • Безопасность. Физическая защита, видеонаблюдение, контроль доступа — требования закона к безопасности персональных данных закрываются на уровне инфраструктуры.

Для компаний, использующих облако, задача решается двумя путями: выбрать облачного провайдера с казахстанским регионом (если такой есть) или перенести базы данных в colocation в Казахстане, оставив остальную инфраструктуру в облаке.

Практические шаги для соответствия

  1. Инвентаризация. Составьте реестр всех баз данных с персональными данными казахстанских граждан. Определите их физическое местонахождение.
  2. Оценка рисков. Выявите базы данных, которые хранятся вне Казахстана.
  3. Миграция. Перенесите соответствующие базы данных на серверы в Казахстане — в colocation или в казахстанское облако.
  4. Регистрация. Зарегистрируйте (или обновите регистрацию) баз данных в МЦРИАП с указанием фактического казахстанского адреса.
  5. Документирование. Сохраняйте договоры с ЦОД, акты размещения, технические паспорта — для представления при проверке.

Частые вопросы

Нужно ли хранить в Казахстане данные иностранных граждан, которые пользуются казахстанским сервисом?

Закон распространяется на персональные данные граждан Казахстана. Данные иностранных граждан под это требование не подпадают, хотя могут регулироваться иностранным законодательством.

Можно ли хранить данные в зарубежном облаке, если провайдер соглашается на казахстанские требования?

Нет, если физический сервер расположен не в Казахстане. Соглашение провайдера соблюдать казахстанское законодательство не заменяет требование о физическом местонахождении базы данных.

Достаточно ли иметь резервную копию в Казахстане при основном хранилище за рубежом?

По действующему толкованию закона — нет. Основная база данных должна находиться в Казахстане. Резервные копии за рубежом допустимы при соблюдении условий трансграничной передачи, но не заменяют локализацию основного хранилища.

Как МЦРИАП узнаёт о местонахождении данных?

При регистрации базы данных оператор сам указывает местонахождение. Кроме того, МЦРИАП проводит плановые и внеплановые проверки, обрабатывает жалобы пользователей и взаимодействует с интернет-провайдерами для контроля трансграничных потоков данных.

Как быстро нужно устранить нарушение после предписания?

Срок устранения указывается в предписании и обычно составляет от 30 до 90 дней. При выявлении систематических нарушений или отказе от исполнения предписания возможна блокировка ресурса.

Ищете дата-центр в Казахстане для выполнения требований о локализации данных? Узнайте об условиях colocation в Akashi — первый Tier IV ЦОД в Центральной Азии, Астана.