В Казахстане обновили правила защиты персональных данных. Приказ подписан 22 июня 2026 года, а действовать новые требования начнут с 12 июля 2026 года.
Изменения касаются собственников, операторов и третьих лиц, которые собирают, хранят или обрабатывают персональные данные. То есть компаниям и организациям придется внимательнее относиться к тому, кто имеет доступ к данным клиентов, работников и других лиц.
Теперь нужно будет четко определить бизнес-процессы, где используются персональные данные, утвердить внутренние документы по их сбору, обработке и защите, а также назначить ответственного за организацию обработки данных, если речь идет о юридическом лице.
Отдельно прописано, что персональные данные делятся на общедоступные и данные ограниченного доступа. Именно к данным ограниченного доступа требования будут жестче.
Компании должны будут защищать такие данные от несанкционированного доступа, вовремя выявлять нарушения и снижать последствия, если утечка всё же произошла.
Если нарушение безопасности персональных данных обнаружено, об этом нужно сообщить уполномоченному органу в течение одного рабочего дня. Просто замолчать инцидент уже не получится.
Для данных ограниченного доступа вводятся дополнительные меры: журналы действий пользователей, учет событий в базах данных, защищенные каналы передачи, шифрование, контроль целостности данных и средства идентификации пользователей.
Если база содержит больше 100 тысяч записей персональных данных, потребуется применять идентификацию или аутентификацию пользователей, в том числе биометрическую. Но это касается именно тех лиц, у кого есть доступ к базе.
Еще одно важное требование - сбор, обработка и хранение персональных данных ограниченного доступа должны выполняться через цифровые объекты, серверные помещения или центры обработки данных, расположенные на территории Казахстана.
При взаимодействии с государственными цифровыми объектами операторы должны будут интегрировать свои системы с государственным сервисом контроля доступа к персональным данным.
Для бизнеса это означает больше ответственности и меньше формального подхода. Недостаточно просто хранить данные «где-то в системе». Нужно понимать, какие данные собираются, кто к ним имеет доступ, как они защищены и что делать при нарушении безопасности.


