Защита персональных данных в Казахстане: технические требования к архитектуре и шифрованию

База должна быть здесь

Статья 12 Закона о ПДн устанавливает: база с персональными данными должна находиться на территории Казахстана. Для данных ограниченного доступа требование жёстче — сбор и обработка должны вестись на объектах информатизации, размещённых в РК. Зарубежные облака не запрещены полностью, но первичная база — в казахстанском контуре. Всё, что выходит за пределы страны, оформляется как передача данных с соответствующим основанием.

Отдельный нюанс касается шифрования. Правила требуют хранить данные ограниченного доступа с применением средств криптографической защиты не ниже третьего уровня безопасности по стандарту СТ РК 1073-2007, а передачу вести по защищённым каналам или с шифрованием. Есть ещё одна деталь, на которую обращают внимание не все: если база превышает сто тысяч записей данных ограниченного доступа, нужны средства идентификации и аутентификации пользователей, включая биометрическую. Для растущих b2c-продуктов эта планка ближе, чем кажется.

Один день на реагирование и новая логика согласий

Статья 25 Закона о ПДн и сопутствующие правила отводят один рабочий день на уведомление уполномочённого органа с момента обнаружения нарушения безопасности данных. Это исключает привычную схему «сначала внутреннее расследование, потом решим». Как отмечает источник, регламент реагирования нужно писать заранее: кто фиксирует время обнаружения, кто собирает состав инцидента, по какому шаблону формируется уведомление.

Параллельно меняется логика управления согласиями. Закон вводит государственный и негосударственный сервисы контроля доступа к персональным данным — через них субъект будет давать и отзывать согласия. Если продукт взаимодействует с объектами информатизации госорганов — например, получает данные пользователя через государственные системы, — интеграция с государственным сервисом становится обязанностью, а не опцией. По сути, это ещё один внешний контур в схеме авторизации, который стоит закладывать в роадмап заранее.

Автоматизация — только с согласием и правом на возражение

Новая статья 19-1 запрещает автоматизированную обработку, в результате которой у человека возникают, меняются или прекращаются права, без его согласия или вне случаев, прямо предусмотренных законами. Скоринг, автоматический отказ в услуге, профилирование с юридическими последствиями — всё это попадает под ограничение.

Из опубликованной информации следует, что конституционная норма о защите персональных данных (ст. 21 Конституции РК) теперь содержит прямое указание «в том числе с применением цифровых технологий» — формулировка, адресованная сервисам и платформам. В совокупности с январским Цифровым кодексом это формирует среду, в которой архитектурные решения становятся предметом проверки, а не только корпоративной политикой. Продуктовым командам, работающим с казахстанским рынком, стоит отслеживать подзаконные акты и технические стандарты, которые дополнят рамку закона ближайшими месяцами.