Закон Республики Казахстан «О персональных данных и их защите» — один из тех документов, которые каждый Product Owner в КЗ должен знать хотя бы в общих чертах. Нарушение закона влечёт штрафы до 1 000 МРП (около 3 700 000 ₸ в 2025 году) и может привести к блокировке продукта. При этом многие казахстанские стартапы узнают о требованиях закона только после проверки.
Что считается персональными данными: ФИО, ИИН, номер телефона, email, адрес, биометрические данные, данные о здоровье, геолокация, финансовые данные. Даже cookie и device ID могут считаться персональными данными, если позволяют идентифицировать пользователя.
Ключевые требования закона для IT-продуктов
- 1Согласие — перед сбором данных нужно получить явное согласие пользователя. Не хватает галочки «Я согласен с условиями». Нужно: понятное описание, какие данные собираете, зачем, кому передаёте, как долго храните. Пользователь должен иметь возможность отозвать согласие.
- 2Локализация данных — персональные данные граждан РК должны храниться на серверах, расположенных на территории Казахстана. Это означает: если вы используете AWS или Google Cloud, данные казахстанских пользователей должны быть на серверах в КЗ (или ближайших доступных — обычно это спорный вопрос). Практическое решение: используйте казахстанские хостинги (PS.kz, Hoster.kz) или облака с КЗ-локацией.
- 1Трансграничная передача — передача данных за пределы РК возможна, но с ограничениями. Если передаёте данные в страну, не обеспечивающую адекватную защиту — нужно отдельное согласие пользователя.
- 2Уведомление об утечке — при утечке персональных данных вы обязаны уведомить уполномоченный орган и субъектов данных. Срок — «незамедлительно» (на практике — 72 часа).
Что PO должен сделать в продукте
- 1Политика конфиденциальности на русском и казахском языках — не копируйте generic шаблон, опишите конкретно ваш продукт.
- 2Экран согласия при регистрации — с чёткими чекбоксами: отдельно согласие на обработку данных, отдельно — на маркетинговые рассылки.
- 3Возможность удаления аккаунта — пользователь должен иметь возможность удалить все свои данные. Apple и Google требуют это для публикации в App Store и Google Play.
- 4Минимизация данных — собирайте только те данные, которые реально нужны. Не запрашивайте ИИН, если достаточно номера телефона.
GDPR vs казахстанский закон: если ваш продукт работает и в ЕС, и в КЗ, вам нужно соблюдать оба закона. Казахстанский закон во многом повторяет GDPR, но есть различия: в КЗ строже требования к локализации данных, но мягче штрафы. Практический совет: если вы соответствуете GDPR, вы почти соответствуете закону КЗ — нужно дополнительно обеспечить локализацию данных.
Чеклист для PO: политика конфиденциальности актуальна и на двух языках, согласие на обработку данных получается явно, данные хранятся на серверах в КЗ (или есть обоснование), есть функция удаления аккаунта, команда знает процедуру реагирования на утечку, проводится ежегодный аудит обработки данных.
Визуализация ключевых концепций
Предпросмотр кода
flowchart TD
subgraph Закон["Закон о персональных данных РК"]
CONSENT["Явное согласие"]
LOCAL["Локализация данных"]
TRANS["Трансграничная передача"]
BREACH["Уведомление об утечке"]
end
subgraph Действия["Что сделать в продукте"]
POLICY["Полити...