В Казахстане ужесточат ответственность за утечку персональных данных и обновят законы о кибербезопасности
Власти Казахстана готовят масштабное обновление законодательства в сфере защиты персональных данных и цифровой безопасности. Планируется внести изменения в Кодекс об административных правонарушениях, Уголовный кодекс, а также в профильные законы, регулирующие обращение с персональными данными и вопросы кибербезопасности. Об этом сообщил заместитель премьер-министра - министр искусственного интеллекта и цифрового развития Жаслан Мадиев, выступая на заседании правительства в Астане.
По его словам, реформа строится вокруг двух ключевых направлений: внедрение современных организационно-технических механизмов защиты и усиление ответственности операторов, работающих с персональными данными граждан.
Мадиев подчеркнул, что в государственные и ведомственные информационные системы будут внедряться новые технологические решения - в частности, хэширование и маскирование данных. Эти инструменты призваны обеспечить дополнительный уровень защиты, чтобы при несанкционированном доступе к базам злоумышленник не мог получить сведения в открытом и пригодном для использования виде.
Одним из приоритетных шагов станет ограничение выгрузки информации из государственных баз данных. В дальнейшем акцент будет смещён в сторону прямой интеграции информационных систем, когда данные обрабатываются внутри защищённого контура, без массового экспорта. Выгрузка будет допускаться только в исключительных случаях, чётко прописанных в законе, что должно значительно снизить риск их неконтролируемого распространения.
Правительство также намерено создать единый реестр операторов персональных данных с их классификацией. В него будут включаться организации и структуры, которые систематически собирают, хранят и обрабатывают персональные сведения граждан. Одновременно планируется формирование реестра доверенных иностранных получателей данных - речь идёт о зарубежных компаниях и институтах, которые смогут работать с персональными данными казахстанцев при соблюдении установленных требований и стандартов безопасности.
Отдельный акцент сделан на развитии киберкультуры - как среди специалистов, так и среди рядовых пользователей. Вице-премьер отметил, что недостаточно только технических барьеров: необходимо, чтобы граждане понимали риски цифровой среды, умели ответственно обращаться со своими данными и критически относились к запросам о предоставлении личной информации.
Значительные изменения ожидают и самих операторов персональных данных. Для них вводится обязанность незамедлительно сообщать о фактах утечки не только уполномоченному государственному органу, но и непосредственно пострадавшим гражданам. Это позволит людям быстрее принимать меры: менять пароли, блокировать карты, пересматривать настройки доступа к своим аккаунтам и сервисам. Кроме того, операторы будут обязаны уведомлять уполномоченный орган о начале обработки персональных данных - фактически это создаст более прозрачную и контролируемую среду.
Рассматривается и серьёзное ужесточение санкций за нарушения. По словам Мадиева, в проекте реформ предусматривается введение уголовной ответственности за крупномасштабные утечки персональных данных. Одновременно предлагается повысить максимальный размер административного штрафа до 5000 месячных расчётных показателей (МРП). С учётом того, что с 1 января 2026 года один МРП установлен на уровне 4325 тенге, сумма штрафа может достигать более 21 млн тенге - это должно стать чувствительным стимулом для компаний инвестировать в безопасность.
Повышение ответственности и внедрение новых технологий напрямую связано с поручениями президента Казахстана Касым-Жомарта Токаева. Глава государства ранее потребовал выстроить системный подход к защите личных данных на фоне участившихся случаев их утечки и в целом пересмотреть методы борьбы с киберпреступностью. Новые инициативы правительства фактически становятся ответом на этот запрос и шагом к формированию более защищённой цифровой среды.
***
Ожидаемые изменения для бизнеса и государственных органов
Для государственных органов и компаний, работающих с большими массивами информации о гражданах, реформы означают необходимость пересмотра внутренних процессов. Им предстоит обновить регламенты безопасности, провести аудит информационных систем, внедрить шифрование, сегментацию доступа и системы мониторинга инцидентов.
Особенно серьёзная нагрузка ляжет на крупные банки, телеком-операторов, медицинские учреждения, образовательные организации и сервисы с массовой регистрацией пользователей. Им придётся выстраивать целостную систему управления данными: от момента их сбора до уничтожения или обезличивания.
Как усиление защиты скажется на рядовых гражданах
Для обычных пользователей изменения, с одной стороны, могут привести к более строгим процедурам идентификации и дополнительным шагам при получении услуг, с другой - увеличить уровень безопасности. Люди чаще будут получать уведомления об инцидентах, понимать, какие данные и кем собираются, каких операторов можно считать более надёжными.
Если система уведомлений об утечках заработает полноценно, граждане смогут оперативно реагировать на угрозы: блокировать доступ к личным кабинетам, отзывать согласия на обработку данных, требовать удаления информации или её корректировки.
Значение реестра операторов и доверенных получателей
Создание реестра операторов персональных данных может стать важным инструментом прозрачности. Граждане и бизнес получат возможность проверить, зарегистрирован ли тот или иной сервис в качестве оператора, на каком основании он собирает данные, несёт ли он ответственность перед государством.
Реестр доверенных иностранных получателей важен в контексте трансграничной передачи данных. Многие популярные цифровые платформы, облачные сервисы, корпоративные системы находятся за пределами Казахстана. Чёткие правила и перечень доверенных получателей помогут минимизировать риски, когда данные пользователей покидают национальную юрисдикцию.
Повышение киберкультуры как долгосрочная цель
Технические меры - лишь часть задач. Без изменения отношения людей к собственной цифровой безопасности любые законы будут работать не в полную силу. Повышение киберкультуры может включать образовательные программы в школах и вузах, тренинги для госслужащих и сотрудников компаний, информационные кампании для населения.
Речь идёт о том, чтобы сформировать у людей привычки: не передавать пароли третьим лицам, внимательно относиться к подозрительным письмам и сообщениям, не публиковать лишние персональные данные в открытом доступе, использовать двухфакторную аутентификацию и регулярно обновлять программное обеспечение.
Связь с глобальными тенденциями
Развитие регулирования в сфере персональных данных в Казахстане вписывается в общемировой тренд. Многие страны ужесточают требования к операторам, вводят крупные штрафы за утечки, требуют прозрачности в вопросах обработки и хранения данных. В этом контексте обновление национального законодательства позволяет Казахстану приблизиться к передовым стандартам и облегчить взаимодействие с зарубежными партнёрами и инвесторами.
Одновременно это создаёт для бизнеса дополнительную нагрузку и необходимость адаптации, но в долгосрочной перспективе повышает доверие пользователей к цифровым сервисам и стабилизирует цифровую экономику.
Какие шаги операторам стоит предпринять уже сейчас
Компании и организации, которые обрабатывают персональные данные, могут не ждать окончательного принятия всех поправок и уже сейчас начать подготовку:
- провести инвентаризацию хранимых и обрабатываемых данных;
- определить, какие сведения действительно необходимы, а от каких можно отказаться;
- внедрить или усилить шифрование и маскирование;
- ограничить доступ к базам данных по принципу "минимально необходимого";
- разработать план реагирования на инциденты утечки, включая алгоритм уведомления граждан;
- обучить персонал основам информационной безопасности.
Перспектива формирования единой экосистемы защиты
Предлагаемые изменения свидетельствуют о стремлении государства выстроить не набор разрозненных запретов, а комплексную систему защиты персональных данных. Она будет включать в себя законодательные нормы, технические стандарты, механизмы надзора и ответственности, а также просветительские меры.
Если все заявленные инициативы будут реализованы последовательно, Казахстан может получить более устойчивую инфраструктуру цифровой безопасности, где интересы государства, бизнеса и граждан учитываются в едином правовом и технологическом поле.
