GDPR и защита персональных данных в Казахстане: что нужно знать бизнесу в 2026 году
- Harris QMS Expert
- 19 мар.
- 6 мин. чтения
В январе 2024 года утечка данных из крупного казахстанского банка затронула более 2 млн клиентов. Через полгода — аналогичный инцидент в телекоме. По данным Serpstat, запрос «утечка данных» в Казахстане набирает 590 поисковых обращений ежемесячно — это не абстрактная угроза, а повседневная реальность.
Тем временем казахстанские ИТ-компании и экспортёры всё чаще сталкиваются с вопросом от европейских партнёров: «А как у вас с GDPR?» Ответ «у нас свой закон» — недостаточен. Европейские клиенты хотят видеть систему, а не ссылку на статью закона.
Эта статья — практическое руководство для владельцев бизнеса: как связаны GDPR и казахстанский Закон о персональных данных, что требует каждый из них, и как ISO 27001 превращает комплаенс из головной боли в конкурентное преимущество.
Почему защита данных — приоритет №1 для бизнеса в РК
Три фактора сделали 2026 год переломным для защиты персональных данных в Казахстане:
Первый — ужесточение Закона РК «О персональных данных и их защите». Поправки 2023–2025 годов расширили полномочия уполномоченного органа, увеличили штрафы и ввели обязательное уведомление об утечках. Теперь оператор обязан сообщить об инциденте в течение 3 рабочих дней.
Второй — экспортный контекст. Казахстан активно развивает ИТ-экспорт: Astana Hub, МФЦА, налоговые преференции для технологических компаний. Но европейские и ближневосточные клиенты требуют подтверждения защиты данных на уровне GDPR или ISO 27001. Без этого — ни тендера, ни контракта.
Третий — Закон РК «Об искусственном интеллекте» (вступил 18.01.2026). ИИ-системы обрабатывают массивы данных, включая персональные. Закон напрямую требует управления рисками и защиты данных при работе с ИИ.
GDPR и Закон РК: что общего и в чём разница
GDPR (General Data Protection Regulation) — регламент Евросоюза, действующий с 25 мая 2018 года. Он распространяется не только на европейские компании, но и на любой бизнес, обрабатывающий данные граждан ЕС. Это означает: если ваша ИТ-компания из Алматы разрабатывает приложение для европейского клиента и обрабатывает данные его пользователей — GDPR распространяется на вас.
Закон РК «О персональных данных и их защите» (№ 94-V от 21.05.2013, с изменениями) — казахстанский аналог. Он регулирует сбор, обработку и хранение персональных данных на территории РК.
Сравнительная таблица: GDPR vs Закон РК
Параметр | GDPR (ЕС) | Закон РК о ПД |
Территория действия | ЕС + любой бизнес,обрабатывающий данные граждан ЕС | Казахстан + данные,собранные на территории РК |
Согласие субъекта | Явное, информированное,отзываемое | Письменное или электронное,отзываемое |
Право на удаление | Да (Right to be forgotten) | Да (уничтожение по требованию) |
Уведомление об утечке | 72 часа → надзорный орган | 3 рабочих дня → уполн. орган |
DPO (ответственное лицо) | Обязательно в ряде случаев | Обязательно для операторов |
Трансграничная передача | Адекватность страныили спец. механизмы (SCC) | Согласие субъектаили международный договор |
Штрафы | До €20 млн или 4% оборота | До 500 МРП (~$3 500)+ административная ответственность |
Оценка воздействия (DPIA) | Обязательна длявысокорисковой обработки | Не закреплена формально,но рекомендуется |
Ключевое различие: штрафы GDPR в тысячи раз выше казахстанских. Для экспортёров ИТ-услуг именно GDPRопределяет реальный финансовый риск. Один инцидент может стоить больше годовой выручки стартапа.
Кому нужен GDPR-комплаенс в Казахстане?
· ИТ-компании и стартапы, экспортирующие услуги в ЕС (разработка ПО, SaaS, аналитика данных)
· Компании в МФЦА (Astana International Financial Centre): регулирование на базе английского права включает стандарты защиты данных уровня GDPR
· Телеком-операторы с европейскими партнёрами или роуминговыми соглашениями
· Финтех-компании, обрабатывающие платёжные данные международных пользователей
· Медицинские организации, участвующие в международных исследованиях (чувствительные данные)
· Любой бизнес, использующий облачные сервисы с серверами в ЕС (AWS Frankfurt, Azure West Europe)
Важно: даже если вы не экспортируете в ЕС, наличие системы защиты данных уровня GDPR — аргумент при участии в тендерах и привлечении инвестиций. Инвесторы, особенно из ЕС и ОАЭ, проводят due diligence, где защита данных — обязательный пункт.
ISO 27001: мост между Законом РК и GDPR
ISO 27001 — международный стандарт информационной безопасности . Он не заменяет ни GDPR, ни Закон РК, но создаёт систему, которая закрывает требования обоих:
· 114 контролей безопасности (Приложение A) покрывают: управление доступом, шифрование, физическую безопасность, реагирование на инциденты, управление поставщиками
· Реестр активов и классификация данных — основа для выполнения требований к обработке ПД
· Процедура управления инцидентами — соответствует требованию уведомления об утечке (72 часа GDPR / 3 дня РК)
· Оценка рисков — системный подход вместо реактивного «тушения пожаров»
· Аудит третьей стороны — независимое подтверждение для клиентов, регуляторов и инвесторов
ISO 27001 + ISO 27701 = максимальное покрытие. ISO 27701 (управление приватностью) — расширение ISO 27001, специально разработанное для соответствия GDPR. Комбинация двух стандартов даёт полный набор контролей для защиты персональных данных.
Практический чек-лист: 10 шагов к комплаенсу
Шаг 1. Проведите аудит данных: какие ПД вы собираете, где храните, кому передаёте. Составьте реестр обработки.
Шаг 2. Определите правовое основание обработки по Закону РК (согласие, договор, законный интерес).
Шаг 3. Если обрабатываете данные граждан ЕС — определите основание по GDPR (ст. 6).
Шаг 4. Назначьте ответственное лицо за защиту данных (DPO). По Закону РК это обязательно.
Шаг 5. Разработайте политику конфиденциальности на русском и английском языках.
Шаг 6. Внедрите технические меры: шифрование, контроль доступа, логирование, резервное копирование.
Шаг 7. Создайте процедуру реагирования на утечки: обнаружение → оценка → уведомление → устранение.
Шаг 8. Обеспечьте права субъектов: доступ, исправление, удаление, отзыв согласия — по обоим законам.
Шаг 9. Проведите обучение персонала: минимум 2 раза в год + при приёме на работу.
Шаг 10. Рассмотрите сертификацию ISO 27001: системный подход, международное признание, доказательная база для регуляторов.
Бизнес-кейс: почему комплаенс = инвестиция, а не расход
Слыхали типичное возражение «мол, мы не работаем с ЕС, зачем намGDPR?» Ответ — в цифрах:
Фактор | Без комплаенса | С ISO 27001 + комплаенс |
Допуск к тендерам(goszakup.gov.kz) | Базовый | Расширенный(преимущество при оценке) |
Доступ к экспорту в ЕС | Заблокирован(нет доказательств) | Открыт(сертификат = доказательство) |
Стоимость утечки данных | $50 000–$500 000(штраф + репутация + клиенты) | $5 000–$15 000(инцидент под контролем) |
Срок заключения контракта | 3–6 месяцев(длительный due diligence) | 2–4 недели(сертификат ускоряет) |
Доверие инвесторов | Низкое(«а что у вас с данными?») | Высокое(ISO 27001 в портфолио) |
По данным IBM Security, средняя стоимость утечки данных в 2025 году составила $4.88 млн глобально. Для компании из Казахстана прямой ущерб может быть меньше, но репутационные потери и потеря контрактов — сопоставимы.
ISO 27701: следующий уровень защиты приватности
Сертификация ISO 27701 — расширение ISO 27001, специально заточенное под управление приватностью.
Это «мост» между ISO 27001 и GDPR:
· Добавляет контроли для PII (Personally Identifiable Information) к существующей системе ISO 27001
· Определяет роли: контролёр данных (controller) и обработчик данных (processor) — терминология GDPR
· Включает требования к оценке воздействия на приватность (PIA / DPIA)
· Обеспечивает доказательную базу для надзорных органов ЕС и РК
Для клиентов Qmpetence: если у вас уже есть ISO 27001, внедрение ISO 27701 занимает 4–6 недель и экономит 25–35% бюджета vs отдельное внедрение. Это оптимальный путь к GDPR-комплаенсу.
Часто задаваемые вопросы
В: Распространяется ли GDPR на казахстанские компании?
О: Да, если вы обрабатываете персональные данные граждан ЕС — независимо от того, где зарегистрирована ваша компания. Разработка ПО, SaaS-сервис, аналитика данных для европейского клиента — всё это подпадает под GDPR.
В: Какие штрафы грозят за нарушение защиты данных в РК?
О: По Закону РК: до 500 МРП (~$3 500). По GDPR: до €20 млн или 4% глобального годового оборота. Для экспортёров финансовый риск определяет именно GDPR.
В: Чем ISO 27001 помогает в соответствии GDPR?
О: ISO 27001 создаёт систему управления информационной безопасностью, которая закрывает технические и организационные требования GDPR: шифрование, контроль доступа, управление инцидентами, обучение персонала. Сертификат — доказательство для регуляторов и клиентов.
В: Нужен ли DPO (ответственный за данные) казахстанской компании?
О: По Закону РК — да, каждый оператор ПД обязан назначить ответственное лицо. По GDPR — в определённых случаях (масштабная обработка, чувствительные данные). На практике рекомендуем назначать DPO во всех случаях.
В: Сколько стоит внедрение системы защиты данных?
О: ISO 27001: $8 000–$25 000 (зависит от размера и сложности). ISO 27001 + ISO 27701: $12 000–$35 000. Срок: 3–6 месяцев. Для компаний из Astana Hub и МФЦА — часть затрат может быть компенсирована грантами.
В: Что делать при утечке данных?
О: По Закону РК: уведомить уполномоченный орган в течение 3 рабочих дней. По GDPR: 72 часа с момента обнаружения. Важно иметь процедуру реагирования ДО инцидента — ISO 27001 включает это как обязательный контроль.
В: Как связаны GDPR и Закон РК «Об искусственном интеллекте»?
О: Закон об ИИ (вступил 18.01.2026) требует управления рисками и защиты данных при работе с ИИ-системами. ISO 42001 (управление ИИ) + ISO 27001 (информационная безопасность) + ISO 27701 (приватность) — полный стек комплаенса для компаний, использующих ИИ.
В: Можно ли заменить GDPR-комплаенс сертификатом ISO 27001?
О: Нет. ISO 27001 — не замена GDPR, а инструмент для его выполнения. Сертификат демонстрирует «надлежащие технические и организационные меры» (ст. 32 GDPR), но не освобождает от обязанностей по регламенту. Однако при расследовании наличие ISO 27001 — серьёзный смягчающий фактор.
Следующий шаг
Защита данных — не отдельный проект, а непрерывный процесс. Начните с аудита: что вы собираете, где храните, кому передаёте. Затем выстройте систему — ISO 27001 даёт для этого проверенный фреймворк.
Qmpetence помогает казахстанским и узбекистанским компаниям внедрить ISO 27001 и ISO 27701 по принципу KAIZEN: минимальные затраты, максимальная ценность, измеримый результат. Наша команда работает с ИТ-стартапами, телекомами, финтехами и промышленными компаниями с 1997 г.
Комментарии