Закон о персональных данных в Казахстане № 94-V: штрафы и требования в 2026 году

С 13 марта 2025 года компания из категории крупного предпринимательства, допустившая утечку клиентской базы, рискует получить штраф в 2 000 МРП. Для 2026 года при базовой ставке в 4 325 тенге эта сумма составляет 8,65 млн тенге. Государство планомерно ужесточает законодательство Республики Казахстан, поэтому бизнес больше не может ограничиваться формальной политикой конфиденциальности на сайте.

Разбираемся, как работает закон о персональных данных Казахстана с практической точки зрения — и как его соблюсти:

• как организовать сбор и обработку сведений о гражданах, 
• как безопасно использовать облачные сервисы,
• что делать компаниям, чтобы не получить штраф за нарушение.

Как и почему меняется закон

Закон Республики Казахстан от 21 мая 2013 года № 94-V — это базовый акт, который регулирует любую деятельность по работе с данными человека на территории страны. Будь вы владельцем интернет-магазина, клиникой или IT-стартапом, вы подчиняетесь его правилам.

За 2025 и 2026 годы законодательство Республики Казахстан в этой сфере меняли трижды, заставляя бизнес относиться ответственнее к персональным данным:

• Март 2025 года. Вступил в силу закон № 155-VIII. Он отредактировал статью 79 КоАП. Штрафы стали больше, при этом их уровень разделили по тому, кто нарушил закон. Малый бизнес платит меньше, крупный — миллионы тенге (подробнее в таблице ниже).
• Март 2026 года. Начали действовать поправки по закону № 248-VIII. Они внесли изменения по процедурам контроля и взаимодействия с государственным сервисом.
• Июль 2026 года. Готовится вступление в силу закона № 256-VIII, требующего от бизнеса очередной ревизии внутренних процессов.

Недостаточно ознакомиться с законом один раз. Нужно регулярно следить за изменениями, актуализировать политику обработки персональных данных и обновлять инфраструктуру хранения, чтобы не нарушать закон.

Что закон требует от бизнеса: 4 главных правила

Как только вы сохраняете имя клиента, его e-mail или телефон в CRM-систему, юридически вы становитесь оператором данных — тем самым лицом, которое отвечает за их безопасность. Регулятор оценивает работу оператора по четырем критериям.

1. Наличие разрешения на работу с данными. Вы имеете право собирать данные только в том случае, если получили согласие субъекта. Это должно быть активное действие пользователя — например, проставленная галочка в форме регистрации. Субъект — это сам человек (клиент, сотрудник, пользователь). Если он несовершеннолетний, согласие за него дает законный представитель — родитель или опекун.
   Закон разрешает работать без согласия только в исключительных случаях: при выполнении требований налоговой службы, для защиты жизненно важных интересов гражданина, при ведении государственной статистики с обязательным обезличиванием или в рамках отправления правосудия.

2. Соблюдение заявленной цели. Вы можете запрашивать только ту информацию, которая объективно нужна для решения конкретной задачи. Если вы оформляете скидочную карту, вам достаточно номера телефона. Требовать документ удостоверяющий личность или ИИН в такой ситуации — это незаконный избыточный сбор. Каждая заявка и анкета должны соответствовать заявленной цели.
3. Учет доступности. Информация делится на две большие категории. Общедоступный массив — это данные, которые человек сам открыл для всех (например, контакты на визитке). Но даже эти данные нельзя массово парсить без оснований. Вторая категория — персональные данные ограниченного доступа. К ним относятся биометрия, медицинская тайна, дактилоскопия, налоговая информация. Они требуют усиленных мер защиты и сложного шифрования.
4. Поддержание актуальности и ограниченное хранение. Бизнес не может копить данные «про запас». Вы обязаны обновлять неточные адреса или фамилии, а как только срок предоставления услуги истек или клиент удалил аккаунт — компания обязана удалить всю его историю.

Как использовать зарубежные сервисы и облака

Большинство IT-продуктов опирается на внешнюю инфраструктуру: CRM-системы, сервисы email-рассылок, облачные хостинги. Прежде чем подключать любой из них, запомните базовую норму закона.

По статье 12 закона № 94-V вы обязаны хранить персональные данные в базе, которая находится на территории Казахстана. Требование действует с 2016 года и касается всех — от интернет-магазина до банка.

Это не запрет на зарубежные сервисы. Это значит, что основная база с данными ваших клиентов должна физически лежать на серверах в РК. А любая отправка этих данных за границу — в облако иностранного провайдера или во внешний сервис аналитики — это уже трансграничная передача, и она регулируется отдельно. Закон классифицирует использование сторонних сервисов как передачу данных третьим лицам, поэтому у бизнеса два сценария.

Работа внутри страны. Если вы передаете данные компании, серверы которой находятся в Казахстане, достаточно подписать стандартный договор на хранение персональных данных. Главное — зафиксировать, что данные хранятся только на казахстанских серверах, требование строгой конфиденциальности и обязанность обеспечить техническую сохранность баз.

Работа с иностранной инфраструктурой. Под трансграничной передачей понимают любую отправку персональных данных клиента на серверы за пределами страны. Аренда мощностей в AWS или Google Cloud с хранением данных там же или использование иностранного сервиса аналитики — это трансграничная передача. Она находится под особым контролем.

Базовое правило статьи 16: передавать данные за рубеж можно, если страна-получатель обеспечивает их защиту. Если защита там не гарантирована, передача допустима при одном из условий:

1. Вы прямо предупредили клиента о выгрузке за рубеж и получили его согласие.
2. Вы убедились, что инфраструктура на стороне получателя защищена. Здесь сложно дать конкретику: международный ориентир — конвенция Совета Европы № 108, но «адекватность» защиты в спорной ситуации оценит уполномоченный орган. Чтобы не рисковать, изучите закон и судебную практику.

Дополнительная мера, которую стоит заложить — соглашение об обработке данных (Data Processing Agreement, DPA). По закону № 94-V оно прямо не обязательно, но защищает вас в отношениях с провайдером. В DPA вы прописываете, что иностранный провайдер:

• обрабатывает данные только по вашим инструкциям,
• не использует данные ваших клиентов в своих интересах,
• удалит все бэкапы после расторжения контракта.

Штрафы: что будет за утечки и работу без согласий

Нарушения в работе с персональными данными в Республике Казахстан считаются административными — но штрафы при этом значительны. 

Все они прописаны в статье 79 КоАП РК. Размер штрафа зависит от статуса компании и тяжести проступка.

На 2026 год 1 МРП — 4 325 тенге. Для простоты расчета штрафа вы можете умножить показатель на 4 500. Тогда окажется, что незаконная обработка данных обойдется должностному лицу в сумму до 270 000 тенге, а утеря данных приведет к тому, что физлицо оштрафуют на сумму до 900 000 тенге. 

Уголовный кодекс (статья 147 УК РК) включается в тех случаях, когда незаконное распространение сведений наносит существенный вред правам личности. Кроме того, любой пользователь имеет право подать гражданский иск с требованием публичных извинений, удаления информации и компенсации морального ущерба.

Чек-лист: как бизнесу легализовать работу и пройти проверку

Чтобы профессиональная деятельность компании не приводила к штрафам, настройте процессы на стыке юриспруденции и IT.

• Разработайте и внедрите политику конфиденциальности. Разместите понятный документ на сайте. Опишите в нем простым языком: кто вы, зачем собираете данные клиентов, где храните серверы и кому передаете списки.
• Используйте шифрование и анонимизацию. Применяйте алгоритм AES-256 для физического хранения и протокол TLS 1.3 для передачи. Если ваши аналитики обучают ML-модели или считают конверсии, внедрите псевдонимизацию — заменяйте реальные имена на цифровые токены.
• Настройте контроль доступов. Менеджер по продажам должен видеть только контакты своих лидов, а не иметь кнопку «Экспорт всей базы в Excel». Система должна вести аудит-лог — записывать, кто, когда и к какой карточке клиента обращался. Журналирование поможет быстро найти виновника при внутренних расследованиях.
• Подключитесь к государственному сервису контроля доступа. Этот государственный сервис работает с 2022 года. Он позволяет гражданам видеть, какие ведомства обращались к их профилям. Если вы интегрируете свои решения с государственными базами (например, при выдаче онлайн-кредитов), вы обязаны поддерживать взаимодействие с этой платформой.
• Обучите сотрудников. Фишинг и человеческий фактор — главные причины компрометации баз. Обяжите всех специалистов, работающих с клиентами, подписать NDA и пройдите с ними инструктаж по цифровой гигиене.

Часто задаваемые вопросы (FAQ)

Распространяется ли закон на иностранных граждан в РК?

Да. Закон РК о персональных данных и их защите охраняет права и свободы человека вне зависимости от страны выдачи его паспорта. Если иностранец пользуется казахстанским сервисом, покупает билеты у местного оператора или работает в казахстанской компании, правила сбора и хранения применяются в полном объеме.

Считаются ли файлы cookies или IP-адрес персональными данными?

Комитет по информационной безопасности разъясняет ситуацию так: Сами по себе обезличенные сетевые идентификаторы или данные устройства не защищаются законом, так как по ним невозможно безошибочно узнать конкретного человека. Но как только вы связываете IP-адрес или cookie с конкретным аккаунтом, номером телефона или ИИН, весь этот массив становится персонифицированным и подпадает под действие закона.

Что конкретно делать компании, если произошла масштабная утечка базы данных?

1. Локализовать проблему. Немедленно изолируйте скомпрометированный сервер, обновите пароли, заблокируйте утекшие ключи авторизации и устраните техническую уязвимость, через которую «ушли» данные. Полностью смените доступы, проведите внеплановый аудит соблюдения регламентов кибербезопасности.
2. Уведомить регулятора. По закону у вас есть один рабочий день с момента обнаружения инцидента, чтобы сообщить о нарушении безопасности в уполномоченный орган (Комитет по информационной безопасности) и указать контакты ответственного за обработку данных. Отдельно стоит оповестить и самих пострадавших пользователей: закон не выделяет для этого такой же жесткий срок, но прозрачность снижает репутационный ущерб и работает в вашу пользу при разбирательстве. Сокрытие утечки ничего не экономит: к ответственности за саму утечку добавится отдельное нарушение — невыполнение обязанности уведомить регулятора.
3. Начать внутреннее расследование. Службе безопасности и юристам стоит составить акт о нарушении, где зафиксируют объем утечки, причину проблемы и список сотрудников, дежуривших в этот момент. Этот документ потребуется для общения с регулятором и защиты в суде.