С 2013 года в Казахстане действует Закон «О персональных данных и их защите» (№ 94-V). За прошедшие годы он несколько раз дополнялся, и сегодня обязывает широкий круг организаций хранить данные казахстанских граждан исключительно на серверах, физически расположенных в Республике Казахстан. Игнорировать этот закон становится всё сложнее: регуляторный контроль усиливается, а санкции — растут.
Что говорит закон
Основной документ — Закон РК от 21 мая 2013 года № 94-V «О персональных данных и их защите». Его дополняют:
- Закон РК «Об информатизации» (с поправками 2020–2024 гг.) — регулирует требования к государственным и квазигосударственным организациям.
- Постановления Правительства РК — детализируют технические требования к защите данных.
- Требования МЦРИАП (Министерства цифрового развития, инноваций и аэрокосмической промышленности) — ведомственные нормы.
Ключевая норма закона: базы данных, содержащие персональные данные граждан РК, должны быть расположены на территории Казахстана. Это прямое требование к физическому месту хранения серверов — не к юрисдикции компании, а к адресу стойки с данными.
Что считается персональными данными
По казахстанскому закону, персональные данные — это любые сведения, относящиеся к определённому или определяемому физическому лицу. К ним относятся:
- ФИО, дата рождения, ИИН
- Адрес проживания и контактные данные
- Биометрические данные (фото, отпечатки пальцев)
- Данные о состоянии здоровья
- Финансовые данные и история транзакций
- Данные о трудовой деятельности
- Геолокационные данные
Любая база данных, содержащая хотя бы одно из этих полей для казахстанских граждан, подпадает под требования закона.
Кто обязан соблюдать закон
Требования распространяются на всех операторов персональных данных — организаций и физических лиц, которые собирают, хранят, обрабатывают или передают персональные данные граждан РК:
- Казахстанские компании любой формы собственности
- Государственные органы и квазигосударственные структуры
- Иностранные компании, работающие с данными казахстанских граждан (включая международные e-commerce, сервисы подписки, платёжные системы)
- Медицинские учреждения
- Банки, МФО и страховые компании
- Телекоммуникационные операторы
- HR-платформы и кадровые агентства
Важный момент для международного бизнеса: факт нахождения компании за рубежом не освобождает от обязанности хранить данные казахстанских клиентов в Казахстане. Если вы обрабатываете данные граждан РК, вы обязаны соблюдать этот закон.
Требования к хранению и защите данных
Помимо локализации, закон устанавливает требования к самой защите данных:
Технические меры:
- Шифрование баз данных с персональными данными
- Разграничение прав доступа — только те сотрудники, кому это необходимо для работы
- Журналирование всех операций с персональными данными
- Резервное копирование с защитой резервных копий
Организационные меры:
- Назначение ответственного за обработку персональных данных
- Разработка политики обработки персональных данных
- Согласие субъекта данных на обработку (письменное или в электронной форме с ЭЦП)
- Уведомление субъекта при сборе данных: цель, состав, срок хранения
Уведомление регулятора: Отдельные категории операторов обязаны регистрировать базы персональных данных в уполномоченном органе (МЦРИАП).
Штрафы за нарушение
Ответственность за нарушение закона о персональных данных предусмотрена Кодексом об административных правонарушениях РК:
| Нарушение | Санкция |
|---|---|
| Незаконная обработка персональных данных | Штраф до 200 МРП (~550 000 тг) |
| Нарушение требований к защите данных | Предписание, штраф, приостановление деятельности |
| Несоблюдение требования о локализации | Блокировка сайта/сервиса, приостановление лицензии |
| Передача данных третьим лицам без согласия | Штраф до 500 МРП (~1 400 000 тг) |
Помимо административных санкций, Закон «Об информатизации» предусматривает блокировку ресурсов, нарушающих требования к хранению данных. МЦРИАП наделено полномочиями направлять предписания операторам связи о блокировке сайтов.
Практика правоприменения ужесточается: в 2022–2025 годах проверки соблюдения требований локализации участились, крупные казахстанские компании получали предписания об устранении нарушений.
Роль дата-центра в соблюдении требований
Самый прямой способ выполнить требование о локализации данных — разместить серверы или воспользоваться colocation в казахстанском дата-центре, физический адрес которого вы можете задокументировать.
На что обратить внимание при выборе ЦОД для compliance:
Документальное подтверждение физического расположения. Дата-центр должен предоставлять документы, подтверждающие адрес объекта в Казахстане — для ваших внутренних политик и на случай проверки.
Сертификация по безопасности. ISO 27001 и совместимые стандарты подтверждают, что оператор ЦОД выстроил системы информационной безопасности. Это важно, если ваши данные обрабатываются на инфраструктуре ЦОД, а не только хранятся.
Уровень надёжности. Требования к защите данных предполагают и обеспечение их доступности. Tier III или Tier IV гарантируют, что данные не будут потеряны из-за аварии в инфраструктуре.
Журналирование физического доступа. Кто и когда имел физический доступ к оборудованию — ЦОД должен вести такие журналы и предоставлять их по запросу.
Akashi Data Center в Астане — объект Tier IV в казахстанской юрисдикции, проектируемый с учётом требований МЦРИАП к информационной безопасности критической инфраструктуры.
Что делать прямо сейчас
Практический чеклист для приведения инфраструктуры в соответствие:
- Инвентаризация данных: определите, какие базы данных содержат персональные данные граждан РК.
- Аудит расположения: убедитесь, что все такие базы физически хранятся в Казахстане.
- Облачные сервисы: для иностранных облаков (AWS, Azure, GCP) проверьте, есть ли у них казахстанские регионы, или перенесите данные граждан РК на местную инфраструктуру.
- Документация: зафиксируйте физический адрес хранения в политике обработки персональных данных.
- Технические меры: внедрите шифрование, разграничение доступа, журналирование.
Частые вопросы
Обязан ли иностранный бизнес хранить данные казахстанских пользователей в Казахстане?
Да. Закон о персональных данных распространяется на всех операторов, обрабатывающих данные граждан РК, — вне зависимости от страны регистрации компании. Международные e-commerce, SaaS-сервисы, платёжные системы, если они работают с казахстанскими клиентами, обязаны соблюдать требование о локализации.
Что грозит за хранение данных за рубежом?
Нарушение требований о локализации данных может повлечь административные штрафы, предписания МЦРИАП и блокировку сайта или сервиса на территории Казахстана оператором связи.
Можно ли использовать AWS или Azure для хранения данных казахстанских граждан?
Можно, если AWS или Azure предоставляют регион на территории Казахстана. В 2024 году у крупных публичных облаков казахстанских регионов нет — это означает, что персональные данные казахстанских граждан в их стандартных регионах формально нарушают требования о локализации. Решение — colocation или размещение в местном облаке внутри Казахстана.
Какие данные необязательно локализовывать?
Требование о локализации распространяется именно на персональные данные казахстанских граждан. Обезличенные, агрегированные или анонимизированные данные под это требование не подпадают. Также исключение составляют данные, переданные самим субъектом за рубеж на основании его явного согласия.
Как дата-центр помогает соблюдать закон о персональных данных?
Colocation в казахстанском ЦОД даёт вам физически задокументированное расположение серверов в Казахстане — это прямое выполнение требования о локализации. Дополнительно: сертифицированный ЦОД обеспечивает технические меры защиты (контроль доступа, журналирование, физическая безопасность), которые сами по себе входят в требования закона.
Ищете дата-центр в Казахстане для соответствия требованиям локализации данных? Узнайте об услугах colocation в Akashi — Tier IV объект в Астане с полной документацией для compliance.