Қазақстан Республикасының «Дербес деректер туралы» Заңы

Осы Заңда мынадай негізгі ұғымдар пайдаланылады:

1) биометриялық дербес деректер – адамның дене бітімі ерекшіліктерін сипаттайтын және соның негізінде оның жеке басын анықтауға болатын мәліметтер;

2) дербес деректер – жеке тұлғаның жеке басын анықтауға мүмкіндік беретін жеке тұлға туралы ақпарат (материалдық тасымалдағышта тіркелген). Дербес деректерге жеке тұлғаның тегі, аты, әкесінің аты (бар болған жағдайда), туған күні мен жері, жеке сәйкестендіру нөмірі, заңды мекенжайы, оның жеке басын куәландыратын құжаттың нөмірі, отбасы, әлеуметтік жағдайы, жылжитын және жылжымайтын мүлкінің бар-жоғы, білімі, кәсібі, кірістері, арнайы және биометриялық деректері жатады;

3) дербес деректер объектісі - тиісті дербес деректер тиесілі жеке тұлға;

4) дербес деректерді блоктау – дербес деректерді пайдалануды, таратуды, оның ішінде беруді уақытша тоқтату;

5) дербес деректерді жинау – ұстаушының объектіден дербес деректерді алу рәсімі;

6) дербес деректерді жою – нәтижесінде дербес деректердің мазмұны қалпына келтірілмейтін іс-әрекеттер;

7) дербес деректерді иесіздендіру – нәтижесінде дербес деректердің нақты бір объектіге тиесілігі айқындалмайтын іс-әрекеттер;

8) дербес деректерді өңдеу – дербес деректерді жинауды, жүйелендіруді, жинақтауды, сақтауды, жаңартуды (өзгертуді), пайдалануды, таратуды (оның ішінде беруді), иесіздендіруді, блоктауды, жоюды қосқанда, дербес деректермен жасалатын жекелеген іс-әрекеттер (операциялар) немесе олардың жиынтығы;

9) дербес деректерді ұстаушы - дербес деректерді өңдеуді ұйымдастыратын және (немесе) жүзеге асыратын мемлекеттік орган, заңды немесе жеке тұлға;

10) дербес деректерді пайдалану – шешімдер қабылдау немесе дербес деректердің объектісіне немесе басқа да адамдарға қатысты құқықтық салдарларды туындататын не болмаса объектінің немесе басқа да адамдардың құқықтары мен бостандықтарын өзгеше қозғайтын өзге де іс-әрекеттерді жасау мақсатында ұстаушы дербес деректермен жасайтын іс-әрекеттер (операциялар);

11) дербес деректерді тарату – дербес деректерді белгілі бір адамдар тобына беруге (дербес деректерді беру) немесе шектелмеген адамдар тобын дербес деректермен таныстыруға, оның ішінде дербес деректерді бұқаралық ақпарат құралдарында жариялауға, ақпараттық-телекоммуникациялық желілерде орналастыруға немесе қандай да бір өзгеше тәсілмен дербес деректерге рұқсат беруге бағытталған іс-әрекеттер;

12) дербес деректерді халықаралық беру – ұстаушының дербес деректерді Қазақстан Республикасының мемлекеттік шекарасы арқылы шетелдік мемлекеттің билік органына, шетелдік мемлекеттің жеке немесе заңды тұлғасына беруі;

13) жалпыға қолжетімді дербес деректер – дербес деректердің жалпыға қолжетімді көздеріне (өмірбаяндық, библиографиялық анықтамалықтар, телефон, мекенжай кітаптары, жеке хабарландырулар және т.б.) немесе бұқаралық ақпарат құралдарына қосылған және Қазақстан Республикасының қолданыстағы заңнамасымен белгіленген құпияны сақтау талаптары қолданылмайтын дербес деректер;

14) дербес деректердің ақпараттық жүйесі – деректер базасындағы дербес деректердің, сондай-ақ автоматтандыру құралдарын пайдалана отырып немесе осындай құралдарды пайдаланбай оларды өңдеуді жүзеге асыруға мүмкіндік беретін ақпараттық технологиялар мен техникалық құралдардың жиынтығы;

15) үшінші адам – дербес деректердің объектісі немесе ұстаушысы болып табылмайтын, бірақ дербес деректерді өңдеу барысында осы тараптардың бірімен мән-жайлармен немесе өзге де құқықтық қарым-қатынастармен байланысты адам.
2-бап. Осы Заңның мақсаты

Адамның дербес деректерін өңдеу кезінде оның құқықтары мен бостандықтарын қорғауды қамтамасыз ету осы Заңның мақсаты болып табылады.

1. Осы Заң өз құзыреті шегінде міндеттерді шешуі үшін мемлекеттік органдар, заңды және жеке тұлғалар автоматтандыру құралдарын пайдаланып немесе пайдаланбай жүзеге асыратын дербес деректерді өңдеумен байланысты қатынастарды реттейді.

2. Осы Заңның әрекеті:

1) егер бұл ретте дербес деректердің өзге де объектілерінің құқықтары бұзылмаса, жеке тұлғалар өздерінің дербес деректерін тек жеке немесе отбасы қажеттіліктері үшін өңдеу;

2) Қазақстан Республикасы Ұлттық мұрағат қорының құжаттарын және дербес деректерді қамтитын басқа да мұрағаттық құжаттарды Қазақстан Республикасының мұрағаттық іс туралы заңдарына сәйкес сақтауды, жинақтауды, есепке алуды және пайдалануды ұйымдастыру;

3) белгіленген тәртіппен барлау, қарсы барлау, террорға қарсы қызметке жатқызылған дербес деректерді, сондай-ақ мемлекеттік құпияларды құрайтын мәліметтерді өңдеу;

4) қаржылық нарық пен қаржылық ұйымдарды реттеуді, бақылау мен қадағалауды жүзеге асыратын мемлекеттік орган Қазақстан Республикасының заңнамалық актілеріне сәйкес жеке және заңды тұлғалардан ақпарат алу;

5) дербес деректер міндетті түрде иесіздендірілген жағдайда, статистикалық немесе ғылыми мақсаттар үшін пайдалану;

6) дербес деректер объектісінің келісімін алу мүмкін болмаған жағдайда, оның өмірін, денсаулығын немесе өзге де заңды мүдделерін қорғау;

7) пошталық байланыс ұйымдары пошталық жеткізілімдерді жеткізген, байланыс операторлары көрсетілген қызметтер үшін пайдаланушылармен есеп айырысқан, сондай-ақ олардың наразылықтарын қарау;

8) дербес деректер объектісінің құқықтары мен бостандықтары сақталған жағдайда журналистің кәсіби қызметінде не болмаса әдеби немесе өзге де шығармашылықта пайдалану;

9) заңдарға сәйкес жариялаған, оның ішінде мемлекеттік сайлау лауазымдарына үміткерлердің дербес деректерін жариялау;

10) Қазақстан Республикасының жедел-іздестіру қызметі, құқықтық статистика және арнайы есептер, орындаушылық өндіріс, сәйкестендіру нөмірлерінің ұлттық тізілімдері, сондай-ақ заңсыз жолмен алынған кірістерді зандастыруға (жылыстатуға) және терроризмді қаржыландыруға қарсы іс-қимыл туралы заңдарына сәйкес дербес деректерді өңдеу;

11) Қазақстан Республикасының қылмыстық іс жүргізу, қылмыстық-атқару, әкімшілік заңнамасын жүзеге асыру, сондай-ақ еліміздің қорғанысы, мемлекеттің қауіпсіздігі және құқықтық тәртіпті сақтау;

12) Қазақстан Республикасының заңнамасына сәйкес халықтың ұлттық санағын жүзеге асыру;

13) денсаулық сақтау органдары мен ұйымдары (мемлекеттік, мемлекеттік емес секторлар) мен халықты әлеуметтік қорғау органдары медициналық-профилактикалық мақсаттарда өндіріс жүргізу, медициналық диагнозды анықтау, дәрігерлік құпияны сақтай отырып, медициналық және медициналық-әлеуметтік қызметтерді көрсету;

14) қоғамдық бірлестіктер өз қатысушыларына (мүшелеріне) қатысты дербес деректерді өңдеуді жүзеге асыруы;

16) сот төрелігі кезінде;

17) Қазақстан Республикасының заң актiлерiнде көзделген өзге де жағдайларда қолданылмайды.
4-бап. Дербес деректерді өңдеу принциптері

Дербес деректерді өңдеу өңдеудің мақсаттары мен әдістерінің заңдылық, адамның құқықтары мен бостандықтарын құрметтеу және қорғау, құпиялылық, адалдық, жауапкершілік, шынайылық, ақпаратты қорғау принциптеріне сәйкес жүзеге асырылады.

5-бап. Қазақстан Республикасының дербес деректер саласындағы заңнамасы

1. Қазақстан Республикасының дербес деректер саласындағы заңнамасы Қазақстан Республикасының Конституциясына негізделеді және осы Заң мен Қазақстан Республикасының өзге де нормативтік құқықтық актілерінен тұрады.

2. Егер Қазақстан Республикасы ратификациялаған халықаралық шартта осы Заңда қамтылғаннан ережелерден өзге ережелер белгіленсе, онда халықаралық шарттың ережелері қолданылады.

3. Мемлекеттік органдар осы Заңның ережелеріне сәйкес өз өкілеттігі шегінде дербес деректерді өңдеуге қатысты жекелеген мәселелер бойынша нормативтік құқықтық актілерді қабылдайды.

1. Дербес деректерді өңдеуді оларды ұстаушы тек дербес деректер объектісінің келісімімен ғана жүзеге асырады.

2. Дербес деректердің объектісі өзінің дербес деректерін өңдеуге келісімді жеке өзі немесе электрондық құжат және электрондық сандық қол туралы Қазақстан Республикасының заңнамасына сәйкес электрондық сандық қол қою арқылы куәландырылған электрондық құжат нысанында қол қойылған қағаз тасымалдағышта береді немесе оны кері қайтарады.

Дербес деректерді өңдеуге объектінің келісімі немесе оны кері қайтару:

1) тегін, атын, әкесінің атын (бар болған жағдайда), туған күні мен жерін, жеке сәйкестендіру нөмірін, заңды мекенжайын, оның жеке басын куәландыратын құжаттың нөмірін, отбасы, әлеуметтік жағдайын, жылжитын және жылжымайтын мүлкінің бар-жоғын, білімін, кәсібін, кірістерін;

2) объектінің келісімін немесе кері қайтаруды алатын дербес деректерді ұстаушының атауы мен мекенжайын;

3) дербес деректерді өңдеу мақсатын;

4) объектінің өңдеуге келісімі берілетін немесе кері қайтарылатын дербес деректер тізбесін;

5) жасалуға келісім берілетін немесе кері қайтарылатын дербес деректермен іс-әрекеттер тізбесін, Қазақстан Республикасы заңдарының негізінде басқа ұстаушыға немесе үшінші адамға ықтимал немесе міндетті түрде беруді қосқанда, ұстаушының дербес деректерді өңдеудің пайдаланылатын әдістерінің жалпы сипаттамаларын;

6) келісімді беру немесе кері қайтару күнін, дербес деректерін өңдеуге объектінің келісімі әрекет ететін мерзімді қамтуы тиіс.

3. Объект әркетке қабілетсіз немесе қабілеті шектеулі болған жағдайда оның дербес деректерін өңдеуге келісімді оның заңды өкілі береді.

4. Объект қайтыс болған жағдайда оның дербес деректерін өңдеуге келісімді қолданыстағы заңнамаға сәйкес оның мұрагерлері береді.

5. Объектінің дербес деректерін өңдеуге оның келісімін алғанына дәлелдеме ұсыну міндеті, ал жалпыға қолжетімді дербес деректерді өңдеген жағдайда өңделіп жатқан дербес деректердің жалпыға қол жетімді екенін дәлелдеу міндеті ұстаушыға жүктеледі.
7-бап. Биометриялық дербес деректерді өңдеу ерекшеліктері

1. Қазақстан Республикасының жедел-іздестіру қызметі, ұлттық қауіпсіздік, құқықтық статистика және арнайы есептер, атқарушылық өндіріс туралы заңдарының негізінде, сот төрелегін жүргізумен байланысты, сондай-ақ қылмыстық іс жүргізу, қылмыстық-атқару және әкімшілік заңнамада көзделген жағдайларда дербес деректер объектісі келісімінің бар болуын қоспағанда, биометриялық дербес деректерді өңдеуге жол берілмейді.

2. Биометриялық деректерді дербес деректер объектісінің ар-намысын, абыройын қорлатпай және денсаулығына зиян келтірмей дербес деректер ұстаушысы жинайды.

3. Биометриялық деректерді жинау тәртібі мен шарттарын Үкімет айқындайды.

1. Халықты ақпараттық қамтамасыз ету мақсатында жалпыға қолжетімді дербес деректер көздері құрылады. Жалпыға қолжетімді дербес деректер көздеріне дербес деректер объектісінің жазбаша келісімімен оның тегі, аты, әкесінің аты, туған күні мен жері, мекенжайы, абоненттік нөмірі, кәсібі туралы мәліметтер және объект ұсынған өзге де дербес деректер қосылуы мүмкін.

2. Объект туралы мәліметтер объектінің талап етуі не болмаса соттың шешімі бойынша жалпыға қолжетімді дербес деректер көздерінен алынып тасталады.
9-бап. Дербес деректердің құпиялылығы

Дербес деректерге рұқсат алатын ұстаушылар мен үшінші адамдар иесіздендірілген және жалпыға қолжетімді мәліметтерді қоспағанда, олардың құпиялылығын қамтамасыз етеді. Жеке тұлғаның дербес деректеріне рұқсат алған ұстаушы дербес деректер объектісінің келісімінсіз оларды таратуға жол бермеуі туралы талапты сақтауға міндетті.

Статистикалық, әлеуметтік, медициналық және басқа да зерттеулерді жүргізу үшін дербес деректерді ұстаушы пайдаланылатын деректерге анонимді мәлімет нысанын бере отырып оларды иесіздендіреді. Бұл ретте дербес деректер үшін белгіленген құқықтық режим алынады.

1. Дербес деректерді беру үшінші адамның немесе басқа да ұстаушының оларды пайдалануы алу мақсаттарына сәйкес келген жағдайда ғана мүмкін болады.

2. Дербес деректерді алуға бұрын өтінім берілген негіздердің шеңберінен шығатын жағдайларда оларды беру не объектінің келісімімен не Қазақстан Республикасының заңдарына сәйкес жүзеге асырылады.

3. Дербес деректерді беру тәрітібі нормативтік құқықтық актілермен айқындалады.

Осы Заңға және халықаралық шарттарға сәйкес ұстаушылар дербес деректер объектісінің құқықтарын қорғауды қамтамасыз еткен жағдайда ғана дербес деректерді шетел мемлекеттерінің аумағында беру жүзеге асырылды және Қазақстанның конституциялық құрылым негіздерін, адамның денсаулығын, құқықтары мен заңды мүдделерін қорғау, еліміздің қорғанысын, ұлттық қауіпсіздігін қамтамасыз ету мақсатында тыйым салынады немесе шектеу қойылады.

1. Объект өзіне қатысты дербес деректердің ұстаушыда бар екенін білуге және оларды алуға құқылы.

2. Дербес деректер объектісі:

1) дербес деректерді өңдеу фактісін растауды;

2) дербес деректерді өңдеудің мақсаттары мен әдістерін көрсетуді;

3) дербес деректерге рұқсаты бар адамдар туралы мәліметтерді;

4) өңделудегі дербес деректер тізбесін және оларды алу көздерін;

5) дербес деректерді өңдеу мерзімдерін, оның ішінде оларды сақтау мерзімдерін қамтитын ақпаратты қолжетімді құжатталған нысанда алуға құқылы.

3. Тиісті құжаттармен расталған негіздер болған жағдайда, дербес деректер объектісі ұстаушыдан осы деректерді жаңартуды талап етуге құқылы.

4. Егер дербес деректер объектісі олардың шынайы емес екенін анықтаған немесе өзінің дербес деректеріне қатысты іс-әрекеттердің заңдылығына дауласқан жағдайда, ол ұстаушыдан оларды блоктауды не болмаса жоюды талап етуге құқылы.

5. Дербес деректер объектісі осы Заңның 6-бабында көзделген көзделген тәртіппен өзінің дербес деректерін өңдеуге келісімін қайтарып алуға құқылы.
14-бап. Тауарларды, жұмыстарды, қызметтерді нарықта жылжыту, сондай-ақ саяси үгіттеу мен насихаттау мақсатында объектілердің дербес деректерін өңдеу кезіндегі олардың құқықтары

1. Әлуетті тұтынушымен тікелей байланысты жүзеге асыру арқылы байланыс құралдарының көмегімен тауарларды, жұмыстарды, қызметтерді нарықта жылжыту, сондай-ақ саяси үгіттеу мен насихаттау мақсатында дербес деректерді өңдеуге тек дербес деректер объектісінің алдын ала келісімі болған жағдайда ғана жол беріледі.

2. Дербес деректерді ұстаушы объектінің талабы бойынша осы баптың 1-тармағында көрсетілген оның дербес деректерін өңдеуді дереу тоқтатуға міндетті.

15-бап. Дербес деректерді ұстаушының әрекетіне немесе әрекетсіздігіне шағымдану құқығы

1. Егер дербес деректер объектісі ұстаушы оның дербес деректерін өңдеуді осы Заңның талаптарын бұза отырып жүзеге асырды деп есептесе, ол ұстаушының әрекетіне немесе әрекетсіздігіне жоғары тұрған мемлекеттік органға (ұйымға) сот тәртібімен немесе Қазақстан Республикасының заңдарына сәйкес өзге де тәртіппен шағымдануға құқылы.

2. Дербес деректер объектісі өзінің құқықтары мен заңды мүдделерін қорғауға, оның ішінде шығындарды және (немесе) моральдық зиянның өтемақысын сот тәртібімен қайтаруға құқылы.

1. Дербес деректерді жинау кезінде ұстаушы объектінің өтініші бойынша оған осы Заңның 13-бабының 2-тармағында көзделген ақпаратты ұсынуға міндетті.

2. Егер дербес деректерді ұсыну міндеті Қазақстан Республикасының заңдарымен белгіленсе, ұстаушы объектіге дербес деректерін беруден оның бас тартуының құқықтық салдарын түсіндіруге міндетті.

3. Егер дербес деректер ұстаушыдан алынған болса, жаңа ұстаушы оларды өңдеуді бастағанға дейін субъектіге мынадай:

1) дербес деректерді ұстаушының немесе оның өкілінің атауы (тегі, аты, әкесінің аты) және мекенжайы;

2) дербес деректерді жинақтау мен өңдеу мақсаты және оның құқықтық негізі;

3) дербес деректерді жобаланған пайдаланушылар;

4) дербес деректер субъектісінің осы Заңмен белгіленген құқығы туралы ақпаратты ұсынуға міндетті.

1. Ұстаушы дербес деректерді өңдеу кезінде оларды Қазақстан Республикасының заңнамасына сәйкес заңсыз енуден, жоюдан, өзгертуден, блоктаудан, көшіруден, таратудан, сондай-ақ өзге де заңсыз іс-әрекеттерден қорғау үшін қажетті ұйымдастырушылық және техникалық шараларды қабылдауға және сақтауға міндетті.

2. Автоматтандырылған ақпараттық жүйелерді пайдаланған кезде ұстаушы Қазақстан Республикасының аумағында қабылданған ақпараттық қауіпсіздік стандарттарының талаптарын сақтауды қамтамасыз етуге міндетті.
18-бап. Ұстаушының дербес деректер объектісі немесе оның заңды өкілі өтініш білдірген не болмаса сұрау салған кезіндегі міндеттері

1. Объект немесе оның заңды өкілі өтініш білдірген кезде ұстаушы осы Заңның 13-бабында көзделген тәртіппен тиісті объектіге қатысты дербес деректердің бар-жоғы туралы ақпаратты өтеусіз негізде хабарлауға, сондай-ақ дербес деректермен танысу мүмкіндігін ұсынуға міндетті. Объектінің немесе оның заңды өкілінің сұрау салуын ұстаушы оны алған күннен бастап үш жұмыс күні ішінде қарайды.

2. Объектіге немесе оның заңды өкіліне дербес деректер туралы ақпарат ұсынудан бас тартқан жағдайда ұстаушы сұрау салуды алған күннен бастап үш жұмыс күнінен аспайтын мерзімде дәлелді жауап беруге міндетті.
19-бап. Ұстаушының дербес деректерді тек қана автоматтандырылған өңдеу негізінде шешімдер қабылдау кезіндегі құқықтары

1. Қазақстан Республикасының заңдарында көзделген жағдайларды немесе объект келісімінің бар болуын қоспағанда, дербес деректер объектісінің құқықтары мен заңды мүдделерін қозғайтын шешімдерді тек дербес деректерді автоматтандырылған өңдеу негізінде қабылдауға тыйым салынады.

2. Ұстаушы объектіге не болмаса оның заңды өкіліне осы баптың 1-тармағына сәйкес қабылданған шешім туралы түсініктеме беруге және Қазақстан Республикасының заңдарында белгіленген мерзімдерде қарау нәтижелері туралы оған хабарлауға міндетті.
20-бап. Ұстаушының дербес деректерді өңдеу кезінде жол берілген заңнаманы бұзуды жою бойынша міндеттері

1. Ұстаушы не болмаса объект немесе оның заңды өкілі өтініш білдірген (сұрау салған) кезде дербес деректердің шынайы емес болуы немесе осы Заңға сәйкес оларды өңдеудің құқықтық режимін бұзу фактісін анықтаған жағдайда, ұстаушы тиісті объектіге жататын дербес деректерді дереу блоктауды жүзеге асыруға міндетті.

2. Дербес деректердің шынайы емес болу фактілері расталған жағдайда ұстаушы объект немесе оның заңды өкілі ұсынған немесе өзге де қажетті құжаттардың негізінде бір жұмыс күнінің ішінде дербес деректерді жаңартуға және олардан блокты алуға міндетті. Жол берілген заң бұзушылықтарды жою мүмкін болмаған жағдайда ұстаушы дербес деректер анықталған күннен бастап бір жұмыс күні ішінде оларды жоюға міндетті. Жол берілген заң бұзушылықтарды жою немесе дербес деректерді жою туралы ұстаушы субъектіге немесе оның заңды өкіліне хабардар етуге міндетті.

3. Дербес деректерді өңдеу мақсатына қол жеткізілген жағдайда, ұстаушы Қазақстан Республикасының заңдарына сәйкес сақтау, жою бойынша шаралар қабылдауға міндетті.

4. Объект өзінің келісімін қайтарып алған жағдайда ұстаушы оның дербес деректерін өңдеуді тоқтатуға және Қазақстан Республикасының заңдарына сәйкес қайтарып алуды алған күннен бастап бір жұмыс күні ішінде оларды сақтау, жою бойынша шаралар қабылдауға және объект пен оның заңды өкіліне хабардар етуге міндетті.

5-бөлім. Қорытынды ережелер
21-бап. Дербес деректерді өңдеу саласындағы мемлекеттік бақылау мен қадағалау

1. Қазақстан Республикасының дербес деректерді өңдеу саласындағы заңдарының сақталуын мемлекеттік бақылауды және қадағалауды «Қазақстан Республикасындағы мемлекеттік бақылау және қадағалау туралы» Қазақстан Республикасының Заңына сәйкес өз құзыреті шегінде мемлекеттік органдар жүзеге асырады.

2. Дербес деректерді ақпараттық жүйелерде өңдеу кезінде оларды қорғау жөніндегі талаптардың орындалуын бақылауды прокуратура органдары жүзеге асырады.
22-бап. Дербес деректер туралы Қазақстан Республикасының заңнамасын бұзғаны үшін жауапкершілік

Дербес деректер туралы Қазақстан Республикасының заңнамасын бұзу Қазақстан Республикасының заңдарына сәйкес жауапкершілікке әкеп соғады.