цифровой кодекс

Цифровой кодекс: шесть месяцев на подготовку. К чему казахстанскому IT-сектору готовиться до июля 2026 года

Чингис Оралбаев

5 min read
Цифровой кодекс: шесть месяцев на подготовку. К чему казахстанскому IT-сектору готовиться до июля 2026 года

9 января 2026 года подписан Цифровой кодекс (Кодекс РК от 9 января 2026 года № 255-VIII). По общему правилу он вступает в силу через шесть месяцев после опубликования, то есть основной массив норм начинает действовать в июле. 

Кодекс насчитывает 106 статей, и значительная их часть не затрагивает деятельность частных компаний. Поэтому ниже мы рассматриваем не структуру акта, а практические ситуации, типичные для любого цифрового сервиса — отказ скоринговой системы, утечка данных, биометрический вход, оборот аналитики. По каждой из них показано, что меняется в правовом режиме и какие действия следует предусмотреть до вступления норм в силу.

Ситуация 1. Автоматический отказ клиенту. Заявка пользователя — на кредит, страховой полис или вакансию — получает отрицательное решение. Ранее объём раскрываемой информации компания определяла самостоятельно. Кодекс устанавливает иной режим.

Если значимое для лица решение принято алгоритмом без участия человека, у этого лица возникает три права: знать, что решение являлось автоматическим, получить понятное обоснование причин и требовать пересмотра решения с участием специалиста. Раскрывать исходный код, формулы и параметры модели при этом не требуется, однако формального уведомления об отказе без указания причин уже недостаточно.

Кого затрагивает в первую очередь: финтех и кредитный скоринг, антифрод-системы, страховой андеррайтинг, HR-tech с автоматическим отбором кандидатов. Если в продукте есть этап, на котором модель выносит решение в отношении человека, к июлю рядом с ним необходимо предусмотреть два механизма — формирование понятного обоснования и процедуру передачи решения на рассмотрение специалиста.

Ситуация 2. Утечка персональных данных. Для казахстанского рынка этот сценарий перестал быть гипотетическим. Прежняя практика предполагала длительное внутреннее расследование, по итогам которого принималось решение об уведомлении. Кодекс закрепляет рамочные требования к кибербезопасности, а конкретные сроки и порядок уведомления будут установлены подзаконными актами, причём эти сроки будут краткими.

Дополнительно вводится централизованный канал информирования: о нарушении безопасности данных субъекта уведомляет не только сама организация, но и оператор «цифрового правительства» — через личный кабинет, мобильное приложение или SMS. Таким образом, факт инцидента становится известен централизованно, что повышает репутационные последствия для организации.

Что следует подготовить заранее: регламент реагирования на инцидент. В нём необходимо закрепить, кто фиксирует момент обнаружения, кто формирует картину инцидента, кто и по какому шаблону направляет уведомление. Разрабатывать процедуру в момент, когда нарушение уже произошло, нецелесообразно: на это не остаётся времени.

Ситуация 3. Монетизация данных. Кодекс впервые вводит платформу обмена продуктами цифровых данных. Для аналитических подразделений это означает возможность легально оформлять и реализовывать обезличенную аналитику. Вместе с тем речь идёт о регулируемом рынке, а не о свободном обороте, и соответствующие ограничения необходимо учитывать.

Оборот сырых, а тем более персональных данных не допускается. Хранение продуктов данных за пределами Республики Казахстан также ограничено в установленных случаях. Принципиально важно, что сами персональные данные предметом сделки не становятся: идентификационные записи в гражданский оборот не вовлекаются. Между рынком данных и оборотом персональных данных проходит чёткая граница, нарушение которой влечёт существенные риски.

Ситуация 4. Биометрический вход и подтверждение по SMS. Кодекс пересматривает две распространённые практики.

  • Биометрия не может быть единственным способом входа. Использование сканирования лица или отпечатка в качестве единственного способа доступа к сервису более не допускается: обязательная биометрическая аутентификация возможна только в случаях, прямо предусмотренных законом. На практике это означает, что при наличии биометрии в продукте необходимо обеспечить альтернативный способ входа.
  • Подтверждение по SMS не равнозначно подписи. Кодекс разграничивает два инструмента. Электронная цифровая подпись является квалифицированной. SMS, push-уведомления и одноразовые пароли относятся к «цифровому подтверждению»: оно применимо для авторизации и простых действий, однако не равнозначно подписи и не обеспечивает неизменность документа. Заключение значимых договоров таким способом недопустимо, что необходимо учитывать при проектировании онбординга и юридически значимых действий в приложении.

Положения, которым уделяют меньше внимания. Ряд норм редко освещается в обзорах, хотя их практический эффект значителен. Кратко по каждой.

—    ЭЦП сотрудника приравнена к подписи с печатью. Электронный документ, удостоверенный ЭЦП уполномоченного работника, признаётся равнозначным бумажному документу с подписью и печатью. Это снимает длительный спор о необходимости бумажного оригинала с оттиском печати и упрощает договорную работу.

—    Субъект получает журнал доступа к своим данным. Каждый запрос данных гражданина фиксируется как цифровое событие в его «цифровом пространстве» с указанием, кто и когда обращался к сведениям. Для организаций, интегрированных с государственными системами, это означает аудит доступа постфактум и вероятный рост числа обращений.

—    Автоматическое подписание допустимо не для всех документов. Вводится ЭЦП цифрового объекта, позволяющая системе самостоятельно подписывать однотипные документы. При этом автоматическое подписание не применяется к документам, устанавливающим или изменяющим гражданские права и обязанности сторон. Для чеков и выписок оно допустимо, для договоров — нет.

—    Возрастной порог для ЭЦП. Электронная цифровая подпись не выдаётся лицам, не достигшим шестнадцати лет, что необходимо учитывать при онбординге несовершеннолетних пользователей.

—    Интеграция с платёжным шлюзом. Банки и платёжные организации обязаны обеспечить интеграцию с платёжным шлюзом «цифрового правительства».

Права субъекта персональных данных. Наряду с обязанностями бизнеса кодекс расширяет права граждан. Ключевое из них — право требовать удаления, обезличивания или ограничения обработки своих данных. В публикациях его нередко именуют «правом на цифровое забвение», однако его пределы следует оценивать реалистично.

Полное удаление сведений из всех систем не гарантируется. Если данные подлежат хранению в силу закона, организация по запросу ограничивает доступ и приостанавливает обработку. При наличии судебного решения, действующего договора, архивных или публичных оснований данные не подлежат изменению. Таким образом, инструмент направлен против избыточной коммерческой обработки и нежелательных рассылок, но не обеспечивает полного удаления присутствия лица в информационном пространстве.

Перечень мер для подготовки. С практической точки зрения до июля целесообразно проработать ограниченный перечень мер, причём не силами одного юриста: к работе следует привлечь юриста, технического руководителя и специалиста, отвечающего за инфраструктуру.

—    Выявить в продукте все автоматические решения в отношении пользователей и обеспечить для них формирование обоснования причин и возможность передачи решения специалисту.

—    Разработать и протестировать регламент реагирования на утечку данных: распределение ролей, сроки, шаблон уведомления.

—    Проверить, не является ли биометрия единственным способом входа, и при необходимости предусмотреть альтернативу.

—    Разграничить в логике сервиса «цифровое подтверждение» и полноценную ЭЦП, прежде всего на этапах заключения договоров.

—    Настроить обработку запросов на удаление и ограничение обработки данных, в том числе на стороне ML-моделей.

Кодекс разграничивает то, что лицо вправе контролировать в отношении своих данных, и то, что государство и регулируемые отрасли обязаны хранить. Для бизнеса это означает переход от деклараций к проверяемым обязанностям.