Защита персональных данных в Казахстане 2026
Закон, требования, штрафы и как привести бизнес в соответствие
С 2024 года в Казахстане ужесточены требования к обработке персональных данных. Штрафы выросли в 5 раз. Узнайте, как защитить бизнес.
Почему защита данных стала критичной для бизнеса в Казахстане
В 2025-2026 годах Казахстан значительно ужесточил законодательство в сфере защиты персональных данных. Закон РК «О персональных данных и их защите» обновлён, штрафы увеличены в 5 раз, а уполномоченный орган получил право проводить внеплановые проверки.
Что изменилось
- Штрафы выросли — до 10 000 МРП (около 40 000 000 ₸) для юридических лиц за грубые нарушения
- Обязательное уведомление об утечках — в течение 72 часов нужно сообщить регулятору
- Согласие стало строже — явное, информированное, отзываемое согласие на обработку данных
- Трансграничная передача — новые требования к хранению данных казахстанцев на территории РК
Для бизнеса в Астане и Алматы это означает: если ваш сайт собирает email, телефон, ИИН — вы обязаны соблюдать закон. Незнание не освобождает от ответственности.
Статистика нарушений в Казахстане
Данные уполномоченного органа за 2025 год
Рост на 180% по сравнению с 2024
Общая сумма за 2025 год
Среди проверенных компаний КЗ
Зарегистрировано в Казахстане за год
Обязательный для всех компаний
Закон РК «О персональных данных»: ключевые требования
Разберём основные требования закона, которые касаются каждого бизнеса с онлайн-присутствием в Казахстане.
| Требование | Описание | Штраф за нарушение |
|---|---|---|
| Согласие на обработку | Явное, письменное/электронное согласие перед сбором данных | до 1 000 МРП |
| Политика конфиденциальности | Публичный документ с описанием целей и сроков обработки | до 500 МРП |
| Уведомление об утечке | 72 часа на уведомление регулятора и субъектов данных | до 3 000 МРП |
| Локализация данных | Хранение данных граждан РК на серверах в Казахстане | до 5 000 МРП |
| Право на удаление | Субъект вправе требовать удаления своих данных | до 2 000 МРП |
| Назначение DPO | Ответственное лицо за защиту данных (при обработке >100 000 записей) | до 1 000 МРП |
Кого касается закон
Любую компанию, которая собирает персональные данные: интернет-магазины, медицинские учреждения, банки, сервисы доставки, образовательные платформы, HR-агентства. Если у вас есть форма регистрации, обратная связь, CRM — закон касается вас.
Что должен сделать каждый сайт в Казахстане
Чек-лист соответствия закону о персональных данных
Политика конфиденциальности
Разместите на сайте документ с описанием: какие данные собираете, зачем, как долго храните, кому передаёте.
Cookie-баннер и согласие
Всплывающее окно с запросом согласия на обработку данных. Пользователь должен иметь возможность отказаться.
SSL/TLS шифрование
HTTPS обязателен для всех страниц, где собираются данные. Сертификат SSL — минимальное требование безопасности.
Локализация хранения
Данные казахстанцев должны храниться на серверах в Казахстане или в странах с адекватным уровнем защиты.
Механизм удаления данных
Пользователь должен иметь возможность запросить удаление своих данных. Срок исполнения — 15 рабочих дней.
Процедура уведомления об утечке
Разработайте внутренний регламент: обнаружение → оценка → уведомление регулятора (72 часа) → уведомление пользователей.
GDPR vs Закон РК: сравнение требований
Если ваш бизнес работает и с европейскими клиентами, важно понимать различия и сходства казахстанского закона и GDPR.
| Критерий | Закон РК | GDPR (ЕС) |
|---|---|---|
| Согласие | Явное, письменное | Явное, информированное |
| Срок уведомления об утечке | 72 часа | 72 часа |
| Право на удаление | Да, 15 рабочих дней | Да, 30 дней |
| DPO (ответственное лицо) | При >100 000 записей | При массовой обработке |
| Трансграничная передача | Страны с адекватной защитой | Адекватность или SCCs |
| Максимальный штраф | ~40 000 000 ₸ | €20 000 000 или 4% оборота |
| Локализация данных | Рекомендуется в РК | Не требуется в пределах ЕС |
Казахстанский закон во многом гармонизирован с GDPR, но имеет свои особенности по локализации данных и административной ответственности. Если вы соблюдаете GDPR — адаптация под закон РК займёт минимум усилий.
Как привести бизнес в соответствие
От аудита до полного соответствия за 4-8 недель
Аудит текущего состояния
Разработка документации
Техническая реализация
Обучение команды
Мониторинг и поддержка
Стоимость приведения в соответствие в Казахстане
Стоимость зависит от размера бизнеса, объёма данных и текущего уровня защиты. Вот ориентировочные цены на рынке Казахстана.
| Услуга | Малый бизнес | Средний бизнес | Крупный бизнес |
|---|---|---|---|
| Аудит персональных данных | 300 000 ₸ | 600 000 ₸ | 1 500 000 ₸ |
| Разработка документации | 200 000 ₸ | 500 000 ₸ | 1 200 000 ₸ |
| Cookie-баннер и формы согласия | 100 000 ₸ | 200 000 ₸ | 400 000 ₸ |
| Техническая защита (шифрование, логирование) | 200 000 ₸ | 800 000 ₸ | 2 500 000 ₸ |
| Обучение персонала | 100 000 ₸ | 300 000 ₸ | 600 000 ₸ |
| ИТОГО | 900 000 ₸ | 2 400 000 ₸ | 6 200 000 ₸ |
Сравните со штрафом до 40 000 000 ₸ — инвестиция в compliance окупается при первой же проверке.
Тарифы на compliance-аудит
Приведение в соответствие закону о персональных данных
Базовый аудит
Для малого бизнеса и стартапов
- Аудит сайта и форм
- Политика конфиденциальности
- Cookie-баннер
- Базовые рекомендации
- Отчёт с чек-листом
Полный compliance
Для среднего бизнеса — полное соответствие
- Полный аудит процессов
- Комплект документации
- Техническая реализация
- Обучение персонала
- Cookie Consent Management
- 3 месяца поддержки
Enterprise
Для крупного бизнеса с большим объёмом данных
- Аудит всех систем и БД
- GDPR + Закон РК compliance
- DPO как сервис (12 мес)
- Incident response процедуры
- Пентест и оценка уязвимостей
- Ежеквартальный мониторинг
Типичные ошибки казахстанских сайтов
ТОП-7 нарушений, которые находят при проверках
- Нет политики конфиденциальности — 45% сайтов малого бизнеса в Астане не имеют этого документа
- Сбор данных без согласия — формы обратной связи без чекбокса согласия
- Cookie без уведомления — трекинг-скрипты (Google Analytics, Яндекс.Метрика) работают до получения согласия
- Хранение данных за рубежом — использование зарубежных хостингов без адекватной защиты
- Нет механизма удаления — пользователь не может удалить аккаунт и свои данные
- Передача данных третьим лицам — отправка лидов в CRM, рассылки без уведомления пользователя
- Устаревшая документация — политика конфиденциальности не обновлялась с 2020 года
Проведите самостоятельный аудит по этим пунктам или закажите профессиональную проверку у команды OSN.
Часто задаваемые вопросы
Команда OSN — ваш партнёр по защите данных
Команда OSN в Астане помогает казахстанским компаниям привести бизнес в соответствие с законом о персональных данных. Мы совмещаем юридическую экспертизу и техническую реализацию — от аудита до внедрения защитных механизмов на сайте.
Почему OSN
- Комплексный подход — документация + техническая реализация + обучение
- Опыт с казахстанским законодательством — знаем специфику закона РК
- Быстрые сроки — базовый compliance за 2-3 недели
- Поддержка после внедрения — мониторинг, обновление документации при изменениях закона
Не ждите проверки — закажите аудит сейчас и защитите бизнес от штрафов.
Защитите свой бизнес от штрафов
Команда OSN проведёт бесплатную консультацию и оценит уровень соответствия вашего бизнеса закону о персональных данных.
Теги статьи:
Читайте также
Разработка логистической системы в Казахстане 2026: TMS, WMS, стоимость
🚛 Разработка TMS и WMS систем для логистики в Казахстане 2026. Автоматизация склада от 1 500 000 ₸, маршрутизация, интеграция с Kaspi и 1С. Кейсы из Астаны и Алматы
Голосовые помощники и Voice AI для бизнеса в Казахстане 2026
🎙️ Разработка голосовых помощников и Voice AI для бизнеса в Казахстане 2026. Голосовые боты для колл-центров от 800 000 ₸. Распознавание казахского и русского языков
HealthTech-разработка в Казахстане 2026: телемедицина, МИС, стоимость
HealthTech в Казахстане 2026 🏥 Телемедицина, МИС, электронные медкарты. Стоимость от 2 500 000 ₸. Интеграция с КМИС и eGov. Астана, Алматы