Цифровой кодекс: что меняется для граждан и бизнеса
Фото: pixabay
9 января 2026 года президент подписал Цифровой кодекс (Кодекс РК от 9 января 2026 года №255-VIII). Документ собрал в один свод то, что годами было разбросано по десяткам законов: технологии, данные, цифровые права. Вводится он в действие через шесть месяцев после опубликования (ст. 106), а значит, основная часть норм заработает примерно с июля 2026 года. Попутно уходит в историю Закон об ЭЦП 2003 года.
Кодекс уже окрестили "цифровой конституцией", и доля правды в этом есть. Но за громкой вывеской бизнесу важно другое: какие нормы реально поменяют то, как компания обращается с данными, и к чему готовиться уже сейчас. Об этом и поговорим – без пересказа всех 106 статей, только то, что действительно меняет рынок уже сейчас.
Сначала – о том, что меняется для казахстанцев в связи с Цифровым кодексом.
С июля у казахстанцев появляется то, что в прессе называют "правом на цифровое забвение". В кодексе оно записано суше – право требовать удаления, анонимизации или ограничения обработки своих персональных данных (ст. 41). На практике это значит, что можно потребовать перестать названивать с рекламой, убрать свою фамилию из чужих рассылок, прекратить передачу данных партнерам.
Только иллюзий строить не стоит: стереть себя из всех систем не выйдет. Если закон обязывает хранить данные, компания по требованию человека лишь ограничит к ним доступ и приостановит обработку, но не удалит (п. 3). А по ряду оснований – судебное решение, исполнение договора, архив, публичный интерес, госуслуги – данные не трогают вовсе (п. 4). Так что "забвение" защищает от коммерческой избыточности данных о вас, а не превращает интернет в место, где можно бесследно исчезнуть.
Что по-настоящему меняет правила для бизнеса.
Если отбросить второстепенное, рынок двигают несколько норм. Объединяет их одно: они касаются почти каждого, кто держит клиентские данные, и именно под них раньше всего пойдут подзаконные акты.
- Робот больше не может молча отказать (ст. 43).
Если судьбу человека решает алгоритм – скоринг отказал в кредите, антифрод заблокировал операцию, система отсеяла кандидата, у этого человека теперь есть право узнать, что решала машина, услышать понятное объяснение причин (без раскрытия кода) и потребовать, чтобы решение пересмотрел живой специалист. Сильнее всего это заденет финтех, кредитование, страхование и HR-tech. Привычный "черный ящик", который просто выдает "нет", больше не пройдет.
- На уведомление об утечке – считанные часы.
Старая логика "сначала неделю расследуем внутри, потом решим, говорить ли" осталась в прошлом. Кодекс задает рамку кибербезопасности (ст. 96-99), а конкретные сроки и порядок еще жестче прописываются в подзаконных актах. Это значит, что регламент реагирования нужно написать заранее: кто фиксирует момент обнаружения, кто собирает картину инцидента, кто и по какому шаблону отправляет уведомление. Когда инцидент уже случился, сочинять процедуру некогда.
- Данные можно продавать – но не любые и не куда угодно (ст. 30-31).
Кодекс впервые вводит платформу обмена продуктами цифровых данных. Звучит как "данные – новая нефть", и отчасти так и есть: обезличенную аналитику можно легально упаковывать и продавать. Но это рынок под присмотром, а не вольница. Оборачивать сырые и тем более персональные данные нельзя, как и хранить продукты данных за пределами Казахстана, если это ограничено (ст. 31, п. 9). И главное – сами персональные данные товаром не становятся: идентификационные записи в гражданском обороте не участвуют (ст. 21). Иначе говоря, рынок данных и торговля персональными данными – это не одно и то же, и путать их опасно.
- Биометрия перестает быть "входом по умолчанию" (ст. 48).
Обязательная биометрическая аутентификация теперь допустима только там, где ее прямо разрешает закон. На практике это "бьет" по привычке частного бизнеса делать скан лица или отпечаток единственным способом войти в обычный сервис.
- ЭЦП и SMS-код – это разные весовые категории (ст. 47 и 49).
Кодекс аккуратно развел два мира. Есть электронная цифровая подпись – "тяжелая", квалифицированная (ст. 49). А есть "цифровое подтверждение" – SMS, push, одноразовые пароли (ст. 47). Второе удобно для авторизации и простых действий в приложении, но оно не равно подписи и не гарантирует неизменность документа. Серьезный договор им не подпишешь – и это стоит учитывать в онбординге и документообороте.
Также хотелось бы выделить некоторые нормы, которые не всегда упоминаются в обзорах коллег, но мы считаем, что они также имеют большое значение с точки зрения практических последствий.
Подпись сотрудника приравнена к подписи с печатью юридического лица (ст. 61). Электронный документ, удостоверенный ЭЦП уполномоченного работника, признается равнозначным бумажному документу, подписанному и заверенному печатью организации (п. 5). Норма без лишней огласки снимает давний спор о необходимости представления бумажного оригинала с оттиском печати и имеет прямой эффект для договорной работы.
Об утечке клиента уведомляет государство (ст. 74). Информирование субъекта о нарушении безопасности его персональных данных возложено также на оператора "цифрового правительства" и осуществляется через личный кабинет, мобильное приложение или SMS (пп. 15). Таким образом, факт инцидента у конкретной организации становится известен централизованно, что закономерно повышает репутационную цену ошибки.
Гражданин видит, кто обращался к его данным (ст. 76-77). Каждый запрос данных гражданина фиксируется как цифровое событие и отражается в его "цифровом пространстве". По сути, у человека появляется журнал обращений: кто и когда получал доступ к его сведениям. Для компаний, интегрированных с государственными системами, это означает аудит доступа постфактум – и, следует признать, потенциальный рост числа обращений и жалоб.
Автоматическое подписание допустимо не для всех документов (ст. 49). Кодекс вводит ЭЦП цифрового объекта, позволяющую системе самостоятельно подписывать однотипные документы. Установлена и четкая граница: автоматическое подписание недопустимо в отношении документов, устанавливающих или изменяющих гражданские права и обязанности сторон (п. 3). Чеки и выписки – допустимо, договоры – нет.
Сюда же следует отнести два более узких, но практически значимых положения: банки и платежные организации обязаны обеспечить интеграцию с платежным шлюзом "цифрового правительства" (ст. 80), а ЭЦП более не выдается лицам, не достигшим шестнадцати лет (ст. 60), – это необходимо учитывать при онбординге несовершеннолетних пользователей.
Закон уже начал работать: один показательный пример из финансового рынка.
Лучшее доказательство того, что кодекс – не декларация, появилось еще до его вступления в силу.
Постановлением правления АРРФР от 20 апреля 2026 года №81 утверждены минимальные требования по информационной безопасности на финансовом рынке – они заработают 12 июля 2026 года. И там есть норма, которую раньше казахстанский регулятор прямо не формулировал: первый руководитель финансовой организации лично отвечает за информационную безопасность. Ответственность сместилась с компании на конкретного человека. Если наложить на это анонсированную (но пока не принятую) уголовную статью за массовые утечки, картина становится наглядной: круг тех, кому могут адресовать претензии, очерчен заранее. Формально это требования для финсектора. Но мы по опыту знаем, как это работает: обкатанное на банках со временем перетекает в смежные отрасли.
Искусственный интеллект. Кодекс закрепляет принципы работы с ИИ – этика, прозрачность, недискриминация, человек сохраняет контроль (ст. 5, 13). Есть и тонкий момент на стыке с правом на удаление: нельзя продолжать обучать модель на данных пользователя, который попросил их стереть. При этом не надо приписывать кодексу лишнего – классификации ИИ по уровням риска, как в европейском AI Act, здесь нет. Детальное регулирование вынесено в отдельный Закон об искусственном интеллекте, на который кодекс ссылается напрямую (ст. 100). Кодекс задает рамку, конкретику пишут профильные законы.
Сколько стоит ошибка. Здесь важно не выдавать желаемое за действительное. Сегодня штраф по ст. 79 КоАП за нарушения в сфере персональных данных установлен до 2000 МРП. Разговоры о кратном повышении штрафов, удлинении срока давности и уголовной ответственности за массовые утечки – это пока поправки в работе, а не действующая норма. Поэтому конкретные цифры до их принятия стоит читать как намерение регулятора, а не как потолок. Но направление сомнений не вызывает: курс на "нулевую терпимость" к нарушениям в области персональных данных.
Вместо вывода. Защита данных перестала быть заботой одного юриста. Сегодня это командная работа – юрист, техлид и тот, кто отвечает за инфраструктуру, садятся за один стол. Кодекс лишь обозначил границу между тем, что человек вправе контролировать в своем цифровом следе, и тем, что государство и регулируемые отрасли обязаны хранить. Для бизнеса это означает переход от красивых деклараций к обязанностям, исполнение которых можно и нужно проверить.
Чингис Оралбаев, LL.M., управляющий партнер ТОО "SOLIS Partners"
Эксперт по IT-праву и цифровым технологиям, член Палаты юридических консультантов РК. Более 10 лет опыта с крупными международными и казахстанскими проектами.
Материал подготовлен в информационных целях по состоянию на дату публикации и не является юридической консультацией. Применение приведенных норм к конкретным обстоятельствам требует отдельного анализа.
