1. Право
  2. Конфиденциальность и безопасность личных данных в РК: вызовы и решения

Право на защиту персональных данных в Казахстане: анализ и практика применения

Персональные данные в РК: защита, права, правоприменение

Право на защиту персональных данных относится к числу фундаментальных прав человека, признанных как международным сообществом, так и национальными системами права. В Казахстане это право закреплено Конституцией, а также реализовано через специальное законодательство и многочисленные подзаконные акты. Рост числа цифровых сервисов, автоматизация государственного управления, проникновение информационных технологий в частную и корпоративную сферы актуализировали вопросы конфиденциальности, ответственности и законности обработки персональных данных.

1. Понятие и правовая основа защиты персональных данных

Персональные данные — любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту данных), позволяющая идентифицировать его прямо или косвенно (ФИО, ИИН, паспортные данные, адрес, биометрия, сведения о здоровье и т.д.).

Основные источники регулирования:

  • Конституция Республики Казахстан (ст. 18, ст. 19)

  • Закон «О персональных данных и их защите» от 21 мая 2013 года № 94-V (далее — Закон)

  • Подзаконные акты: правила, стандарты, приказы уполномоченного органа

  • Международные договоры и соглашения

2. Основные принципы защиты персональных данных

  1. Законность и прозрачность обработки
    Обработка допускается только на законных основаниях, с соблюдением прав субъекта и уведомлением о целях сбора.

  2. Целевое ограничение
    Сбор и обработка данных разрешены только для конкретных, заранее определённых и законных целей.

  3. Минимизация и актуализация
    Операторы обязаны собирать только необходимые данные, обеспечивать их точность и актуальность.

  4. Конфиденциальность
    Доступ к персональным данным строго ограничен, сведения не подлежат раскрытию третьим лицам без согласия субъекта.

  5. Безопасность
    Оператор обязан применять технические и организационные меры защиты от несанкционированного доступа, утраты, изменения или уничтожения данных.

  6. Ответственность оператора
    За нарушение законодательства предусмотрена административная и иная ответственность.

3. Субъекты и участники правоотношений

  • Субъект персональных данных — физическое лицо, к которому относится информация.

  • Оператор персональных данных — государственный орган, юридическое или физическое лицо, осуществляющее сбор, хранение, обработку, передачу данных.

  • Третьи лица — получатели данных по поручению оператора или с согласия субъекта.

4. Права субъекта персональных данных

Гражданин вправе:

  • получать информацию о целях и способах обработки его данных;

  • требовать уточнения, блокирования или уничтожения данных;

  • давать и отзывать согласие на обработку;

  • обжаловать действия оператора;

  • добиваться компенсации вреда при утечке, неправомерном доступе или иной незаконной обработке;

  • получать сведения о передаче данных третьим лицам;

  • обращаться с жалобой в уполномоченный орган, суд, прокуратуру.

5. Обязанности оператора персональных данных

  • Обеспечивать защиту данных;

  • Получать согласие субъекта (за исключением случаев, установленных законом);

  • Соблюдать условия хранения, передачи и уничтожения данных;

  • Вести учет и регистрацию операций по обработке;

  • Немедленно информировать субъекта и уполномоченный орган о случаях утечки или неправомерного доступа;

  • Своевременно реагировать на запросы субъектов и госорганов.

6. Основания и механизмы обработки персональных данных

Обработка допускается:

  • при наличии письменного или электронного согласия субъекта;

  • при необходимости исполнения договора с участием субъекта;

  • для защиты жизни, здоровья, иных жизненно важных интересов;

  • для исполнения обязанностей, возложенных законом на оператора (например, налоговый учёт, отчетность в госорганы);

  • при осуществлении прав и законных интересов оператора или третьих лиц (без нарушения прав субъекта).

Специальные категории данных (биометрические, сведения о здоровье) обрабатываются только с отдельного согласия, либо если прямо предусмотрено законом.

7. Трансграничная передача персональных данных

Передача за пределы Казахстана допускается при условии:

  • получения отдельного согласия субъекта;

  • наличия в стране-получателе адекватного уровня защиты;

  • заключения соответствующего договора между оператором и получателем.

Особое внимание уделяется обмену данными с иностранными IT-компаниями, банковским сектором, интернет-сервисами.

8. Технические и организационные меры защиты

  • Назначение ответственного по защите данных в организации;

  • Регулярные аудиты безопасности;

  • Применение средств криптографической защиты;

  • Ограничение доступа (разграничение прав);

  • Ведение журналов обработки;

  • Обучение сотрудников, разработка внутренних регламентов;

  • Уведомление о нарушениях безопасности.

9. Ответственность за нарушение законодательства

Административная ответственность:
Штрафы за нарушение порядка обработки, хранения, распространения, неуведомление субъекта, несоблюдение требований безопасности.

Гражданско-правовая ответственность:
Компенсация вреда, причинённого субъекту (например, при публикации, утечке, мошенничестве с использованием данных).

Уголовная ответственность:
В случаях несанкционированного доступа к особо охраняемым сведениям, с корыстными мотивами, с тяжкими последствиями.

Пример:
В 2023 году крупный интернет-ритейлер был оштрафован за массовую рассылку SMS-рекламы клиентам без их согласия.

10. Судебная и административная практика

  • Растёт число жалоб на незаконную обработку данных, массовые рассылки без согласия, утечку из госорганов и частных компаний.

  • Судебные дела касаются как компенсации вреда, так и восстановления прав (удаление информации, прекращение распространения, изменение записей).

  • В ряде случаев суды признавали нарушения даже при отсутствии прямого вреда, если оператор не мог доказать факт получения согласия или соблюдения других требований.

Пример:
Гражданин подал иск к банку о незаконной передаче его персональных данных коллекторской организации. Суд удовлетворил требование, обязал банк удалить данные и выплатить компенсацию.

11. Практические рекомендации гражданам и бизнесу

  • Всегда читайте условия соглашений, давайте согласие осознанно.

  • Запрашивайте информацию о целях и объёме обработки.

  • Проверяйте наличие уведомлений, контактов ответственного по данным.

  • В случае споров — фиксируйте переписку, обращайтесь с жалобой письменно.

  • Для бизнеса: формализуйте внутренние процедуры, обучайте персонал, внедряйте регулярные проверки и контроль.

12. Актуальные вызовы и тенденции

  • Массовая цифровизация, интеграция госуслуг, рост числа утечек.

  • Возрастающие требования к безопасности в связи с развитием облачных сервисов, Big Data, биометрических технологий.

  • Рост активности граждан, повышение юридической грамотности, востребованность судебной и административной защиты.

  • Обсуждаются новые поправки к закону, усиление полномочий уполномоченного органа, внедрение европейских стандартов.

ТОП-10 вопросов и ответов по законодательству РК о персональных данных 

Вопрос 1. Можно ли обрабатывать данные без согласия гражданина?
Ответ:
Только в случаях, прямо предусмотренных законом (например, государственная статистика, налоговые цели, выполнение договора, защита жизни и здоровья). Пример: медицинское учреждение имеет право передать сведения о здоровье без согласия в экстренных случаях.

Вопрос 2. Что делать, если мои данные незаконно распространили в интернете?
Ответ:
Необходимо обратиться к оператору, потребовать удаления данных, направить жалобу в уполномоченный орган или суд. Пример: суд обязал удалить публикацию и выплатить компенсацию морального вреда.

Вопрос 3. Как узнать, кто и зачем собирает мои персональные данные?
Ответ:
Вы вправе запросить у оператора полную информацию о целях, сроках и способах обработки, перечне передаваемых данных. Оператор обязан ответить в течение 30 дней.

Вопрос 4. Какие сведения считаются биометрическими?
Ответ:
Биометрические — это физические характеристики, позволяющие идентифицировать человека: отпечатки пальцев, радужка, лицо, голос, ДНК.

Вопрос 5. Кто может быть оператором персональных данных?
Ответ:
Любое юридическое или физическое лицо, государственный орган, осуществляющий сбор, хранение, обработку данных (например, банк, интернет-магазин, клиника, школа).

Вопрос 6. Как отозвать ранее данное согласие?
Ответ:
Направить письменное или электронное заявление оператору, который обязан прекратить обработку и уничтожить ваши данные, если нет иных законных оснований.

Вопрос 7. За что могут привлечь к ответственности по закону о персональных данных?
Ответ:
За обработку без согласия, передачу третьим лицам без оснований, нарушение безопасности, неинформирование субъекта, невыполнение требований по удалению данных.

Вопрос 8. Обязаны ли операторы информировать об утечке данных?
Ответ:
Да, в течение 3 рабочих дней оператор должен уведомить субъект и уполномоченный орган о факте несанкционированного доступа.

Вопрос 9. Можно ли требовать удаления данных после расторжения договора?
Ответ:
Да, по общему правилу оператор обязан уничтожить ваши данные по вашему требованию, если нет иных оснований для их хранения (например, налоговый учёт, судебное разбирательство).

Вопрос 10. Как взыскать компенсацию за незаконную обработку или утечку данных?
Ответ:
Подавайте иск в суд о компенсации вреда (материального и/или морального). Пример: гражданин взыскал компенсацию после публикации паспортных данных без согласия.

ТОП-10 кейсов от юридической компании 

1. Спор о незаконной передаче персональных данных коллектору
Банк передал сведения о должнике коллекторской компании без согласия. Суд обязал банк удалить данные и компенсировать моральный вред.

2. Утечка данных клиентов интернет-магазина
После публикации базы заказов в открытом доступе пострадавшие обратились с коллективным иском. Компания привлечена к административной ответственности, проведён аудит.

3. Незаконное использование биометрических данных в ТРЦ
Система видеонаблюдения использовала распознавание лиц без предупреждения посетителей. Суд обязал прекратить обработку и удалить собранные сведения.

4. Нарушение права на удаление данных после увольнения
Работодатель отказался удалить личные сведения бывшего сотрудника. После жалобы в госорган данные были удалены, организация оштрафована.

5. Массовая рассылка рекламы без согласия
Клиенты получили SMS-рассылку без подписки. Оператор оштрафован, обязательство прекратить рассылку.

6. Передача медицинских данных страховой компании без информирования пациента
Суд признал действия больницы нарушением, обязал удалить сведения и выплатить компенсацию.

7. Несанкционированный доступ к базе данных госоргана
Хакерская атака раскрыла сведения о гражданах. Должностные лица привлечены к ответственности, меры безопасности ужесточены.

8. Спор о публикации фото ребёнка в соцсетях
Родители обратились за защитой прав ребёнка после публикации фото школы без согласия. Суд обязал удалить изображения.

9. Ошибка при обработке данных в кредитном бюро
В результате сбоя клиенту отказали в кредите. После обращения данные были исправлены, компания принесла извинения.

10. Судебное взыскание за незаконную продажу клиентской базы
Компания продала базу клиентов третьему лицу без согласия. Суд взыскал компенсацию с виновных, договор признан недействительным.

Право на защиту персональных данных — один из важнейших механизмов обеспечения частной жизни и безопасности личности в современном обществе. Соблюдение требований закона, регулярный контроль за обработкой, осознанное согласие и активная позиция гражданина позволяют минимизировать риски утечек, неправомерного использования и нарушения прав. Для бизнеса и госорганов внедрение современных мер защиты и прозрачность процедур становится необходимым условием доверия и успешной работы в цифровую эпоху. Судебная практика показывает: грамотная защита своих прав возможна — и становится все более востребованной в Казахстане.

Все представленные сведения собраны из открытых источников и носят исключительно информационный характер. Мы не гарантируем их полноту, точность и актуальность. Перед принятием решений рекомендуем самостоятельно проверять информацию или обращаться к профильным специалистам.

Полезная информация и другие статьи

На сайте femida-justice.com вы найдете множество других статей по юридическим вопросам: бракоразводные процессы, защита прав потребителей, трудовые споры, вопросы недвижимости и многое другое.

Наши материалы помогут вам:

  • Разобраться в тонкостях казахстанского законодательства
  • Получить полезные советы от практикующих юристов
  • Избежать распространённых ошибок при решении юридических задач

Читайте больше в нашем блоге

Дополнительные юридические разборы, аналитика и практические рекомендации вы можете найти в нашем блоге: blog.femida-justice.com.

Мы регулярно публикуем свежие материалы, чтобы вы всегда были в курсе актуальных изменений и юридических трендов в Казахстане.

Похожие статьи

Подобрали для Вас ещё 4 статьи — возможно, они вам пригодятся!

Есть сложности с юридическими вопросами?

У нас вы получите только квалифицированную поддержку от опытных юристов по ДОСТУПНЫМ ЦЕНАМ!

Для Вашего удобства мы добавили возможность оплаты наших услуг с помощью Kaspi QR с рассрочкой Kaspi Red!

Отсканируйте QR Код с помощью приложения Kaspi и произведите оплату. Укажите в сообщении продавцу Ваш контактный телефон для связи!

Начать работать

Условия пользования

Прочитайте и примите наши условия пользования, чтобы продолжить.