Если ваш бизнес собирает, хранит или обрабатывает персональные данные клиентов или сотрудников — вы обязаны соблюдать Закон РК «О персональных данных и их защите». Это касается любых данных, позволяющих идентифицировать физическое лицо.
Что считается персональными данными
ФИО, дата рождения, ИИН
Адрес, номер телефона, электронная почта
Данные документов (удостоверение, паспорт)
Биометрические данные (фото, отпечатки)
Сведения о здоровье, доходах, имуществе
Обязанности бизнеса
Получите согласие — перед сбором данных возьмите письменное или электронное согласие субъекта. Укажите цель сбора, перечень данных и срок хранения
Используйте только по назначению — данные нельзя использовать для целей, на которые согласие не давалось
Обеспечьте безопасность — примите технические и организационные меры защиты от несанкционированного доступа, утечки, изменения или уничтожения
Назначьте ответственное лицо — определите сотрудника, отвечающего за обработку персональных данных
Удалите по требованию — субъект вправе отозвать согласие, и вы обязаны прекратить обработку и удалить данные
Трансграничная передача
Передача персональных данных за рубеж допускается в страны, обеспечивающие адекватную защиту. Перечень таких стран определяется уполномоченным органом. При передаче в другие страны требуется согласие субъекта. Подробнее о локализации — на странице требования к хранению данных.
Ответственность за нарушение
За нарушение законодательства о персональных данных предусмотрены административные штрафы. За незаконное распространение данных — уголовная ответственность. Контролирующий орган — Комитет по информационной безопасности Министерства цифрового развития.