В частности, в правилах уточняются основные понятия, такие как банк, государственный сервис контроля доступа к персональным данным, оператор базы, содержащей персональные данные, субъект персональных данных, токен безопасности и т.д.
Также уточняется, что заявка на получение персональных данных подается на государственный сервис с указанием следующих данных:
- наименование услуг, в рамках которых будет получен доступ к персональным данным;
- сервисы, необходимые для оказания конкретных услуг, с описанием бизнес-процессов;
- период оказания услуг;
- время хранения и обработки персональных данных;
- обоснование для хранения персональных данных.
При несоответствии заявки действующему законодательству РК заявка возвращается на доработку.
При подаче заявки указывается один из следующих способов отправки запроса на доступ к персональным данным, включая получение от субъекта согласия (отказ) на сбор, обработку персональных данных или их передачу третьим лицам.
При соответствии информационных систем единым требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности, при наличии протоколов испытаний на соответствие требованиям информационной безопасности:
- запрос/ответ через Единый контакт-центр "1414" – данный способ доступен инициаторам или операторам (по умолчанию);
- запрос/ответ средствами инициатора или оператора – данный способ доступен инициаторам или операторам, являющимся банками или имеют согласование с уполномоченным органом в сфере защиты персональных данных, информационные системы которых имеют оперативный центр информационной безопасности;
- запрос/ответ средствами инициатора в рамках оказания проактивной услуги – данный способ доступен инициаторам, оказывающим проактивные услуги;
- запрос/ответ в режиме протоколирования;
- запрос/ответ в государственный сервис осуществляются посредством SMS-сообщений, отправленных через информационную систему "Мобильное правительство" – данный способ доступен инициаторам или операторам, при этом запрос отправляется в государственный сервис в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом, а ответ предоставляется в виде SMS-сообщения с буквенно-цифровым или цифровым одноразовым кодом в государственный сервис.
При выборе способа запрос/ответ средствами инициатора и оператора в заявке на интеграцию с государственным сервисом прилагается протоколы испытаний.
Приказ вводится в действие с 20 июня 2025 года.