Юрист объяснил, почему новый закон о персональных данных станет испытанием для бизнеса
24 июня 2026 года президент Казахстана подписал Закон РК № 326-VIII. У бизнеса и ИТ-компаний есть ровно 60 календарных дней до вступления норм в силу, чтобы перестроить свои информационные системы и процессы под новые жесткие требования регулятора.
Специально для Digital Business управляющий партнер ТОО «SOLIS Partners» Чингис Оралбаев подготовил детальный разбор ключевых нововведений правового режима и составил пошаговый чек-лист для комплаенса.
Уведомление регулятора
Одним из главных новшеств для рынка становится обязательное декларирование своей деятельности перед государством. Как отмечает Чингис Оралбаев, теперь компаниям придется официально сообщать уполномоченному органу о ключевых параметрах работы с базами данных:
«Закон вводит обязанность собственника, оператора и третьего лица уведомлять уполномоченный орган о начале и о прекращении обработки персональных данных. Уведомление содержит сведения о применяемых мерах защиты, дате начала обработки, передаче данных третьим лицам, наличии трансграничной передачи, перечне обрабатываемых данных и месте нахождения базы. В тридцатидневный срок уполномоченный орган вносит сведения в соответствующий реестр либо исключает их из него», - говорит Оралбаев.
Важная оговорка: эта обязанность не является всеобщей. Малые и средние операторы от нее освобождены - требование распространяется только на крупные структуры.
Для этого закон вводит четкую шкалу классификации компаний по объёму уникальных субъектов:
- Малые - до 10 000 субъектов;
- Средние - от 10 000 до 500 000 субъектов;
- Крупные - 500 000 субъектов и более.
При этом если ваша компания обрабатывает персональные данные ограниченного доступа (например, биометрию или медицинские сведения), то её категория автоматически повышается на один уровень. База на 8 тысяч человек с биометрическими данными юридически будет считаться уже не малой, а средней.
Что важно знать разработчикам
Серьезные изменения коснулись и самой структуры баз данных. Чингис Оралбаев обращает внимание ИТ-специалистов на то, что в законодательстве наконец появился жестко структурированный список параметров, которые безоговорочно требуют согласия пользователя и особого режима защиты:
«Введено понятие идентификатора персональных данных и установлен закрытый перечень относимых к нему сведений:
- фамилия, имя, отчество в совокупности;
- индивидуальный идентификационный номер;
- изображение лица субъекта;
- биометрический вектор лица и его производные, допускающие восстановление до первоначального значения».
Этот пункт имеет критическое значение для систем видеоаналитики и распознавания лиц (Face ID), так как биометрический вектор теперь официально признан полноценным цифровым идентификатором.
Разграничение операций
Технический нюанс поправок заключается в разделении привычных процедур очистки информации. По словам эксперта, разработчикам придется пересмотреть архитектуру хранения данных из-за детальной классификации процессов, которые раньше обобщенно именовались «уничтожением».
Маскирование и хеширование на уровне хранения данных теперь официально стали обязательными методами защиты, а порядок их применения детально пропишет регулятор. При этом право пользователя на удаление данных не абсолютно: оператор может на законных основаниях отказать в удалении, руководствуясь статьей 41 Цифрового кодекса РК.
Государственные реестры нарушений
Самым болезненным с точки зрения комплаенса нововведением эксперт называет появление государственных надзорных баз, которые лишат бизнес возможности кулуарно скрывать инциденты и утечки информации.
«Инцидент безопасности утрачивает характер внутреннего события организации: сведения о нем поступают в государственный реестр через каналы кибербезопасности независимо от позиции оператора. Это формирует прямой репутационный и регуляторный риск», - говорит Оралбаев.
В Казахстане учреждаются сразу два реестра: Реестр лиц, осуществляющих обработку данных (на основе поданных уведомлений), и Реестр нарушений безопасности. Сведения об утечках будут стекаться туда напрямую от структур кибербезопасности (ГЦК, НКЦК) по факту любого несанкционированного доступа к базам без согласия граждан.
Другие важные изменения для технологического сектора
Хостинг-провайдеры теперь выделены в самостоятельную фигуру в Законе «О кибербезопасности». Теперь они обязаны напрямую взаимодействовать с НКЦК, незамедлительно сообщать клиентам об уязвимостях и аппаратно защищать свою инфраструктуру.
Кэширующие серверы и CDN
Функционирование сетей доставки контента на территории Казахстана получило официальную правовую регламентацию, операторы связи обязаны присоединять такие серверы к своим сетям.
В Законе «О связи» закреплен строгий список метаданных (IMEI, IP-адреса, протоколы, лог-файлы обращений к ресурсам). Часть этих положений до конца 2027 года будет тестироваться в режиме пилотного проекта под контролем КНБ.
Внедряется ИИН е-резидента
Иностранцы смогут получать этот статус удаленно для легального онлайн-доступа к казахстанским финансовым, банковским и коммуникационным услугам.