Цифровой кодекс РК вступил в силу: обзор ключевых положений, где ваш продукт может не соответствовать новым требованиям 

image 2026 07 02 18 22 33

С 9 июля в Казахстане действует новый Цифровой кодекс. Какие требования уже сейчас касаются FinTech, HR-tech, AI-сервисов и других цифровых продуктов? Автор The Tech, управляющий партнер SOLIS Partners Чингис Оралбаев подготовил обзор ключевых изменений и рассказал, где компании рискуют столкнуться с несоответствием новым нормам. 

Ранее Чингис Оралбаев рассказал, почему стартапы теряют деньги из-за базовых юридических ошибок. Прочитать первую колонку можно по ссылке.

Чингис Оралбаев, LL.M., управляющий партнер ТОО SOLIS Partners, член Палаты юридических консультантов РК

Ко мне приходят с одним и тем же: «Кодекс рамочный, подзаконных актов еще нет — можно не спешить». Логика привычная. Но ошибочная.

Цифровой кодекс РК № 255-VIII введен в действие 09.07.2026. В нем 106 статей, но большинство — о госорганах. Поэтому структуру пересказывать не буду. Расскажу вам о шести изменениях, которые затрагивают ваш продукт уже сейчас. 

1. Скоринг без объяснения причин отказа больше не проходит — статья 43

Скоринговый отказ, антифрод-блокировка, автоматический скрининг резюме. Раньше вы могли ограничиться только ответом «заявка отклонена». Теперь нет.

Кодекс вводит понятие полностью автоматизированного решения — принятого без участия человека в оценке обстоятельств либо в утверждении результата. Субъект такого решения получает три права:

— знать о факте применения алгоритмической системы
— получить объяснение ключевых факторов и критериев, повлиявших на решение, — без раскрытия алгоритмов, исходного кода и охраняемых законом тайн
— требовать пересмотра решения с участием уполномоченного специалиста, если оно влечет юридические последствия либо затрагивает права и законные интересы.

Что это может значить для вашей команды. Там, где модель выносит решение о человеке, нужны два механизма: генерация человекочитаемого обоснования и маршрут эскалации на специалиста. Требование адресовано к системе, а не к документу: обоснование и эскалация должны работать, а не быть просто описаны.

Я считаю, что это прежде всего может коснуться: финтех и кредитный скоринг, антифрод, страховой андеррайтинг, HR-tech с автоматическим отбором.

2. Клиент узнает об утечке его персональных данных не от вас — статьи 74, 97-99 

Стратегия «сначала разберемся внутри, потом решим, сообщать ли клиентам» больше не работает. И дело не только в сроках уведомления пользователей.

Кодекс вводит второй, независимый канал оповещения. Оператор «цифрового правительства» на основании информации уполномоченного органа уведомляет субъектов о нарушении безопасности их персональных данных — через личный кабинет на веб-портале, мобильное приложение или SMS.

3. SMS-код — не подпись, даже если вы так думали — статьи 47 и 49 

Цифровое подтверждение — это действие после аутентификации: код, пароль, одноразовый идентификатор, пуш, биометрическое подтверждение. Пункт 4 устанавливает прямо: такое подтверждение не является подписью с помощью ЭЦП и не обеспечивает достоверность и неизменность содержания цифровой записи.

ЭЦП приравнивается к собственноручной только при одновременном соблюдении четырех условий:

— подлинность подписи подтверждена открытым ключом, имеющим сертификат
— подписант правомерно владеет закрытым ключом
— подпись используется в соответствии со сведениями сертификата
— сертификат выдан аккредитованным в РК удостоверяющим центром либо иностранным УЦ, зарегистрированным в доверенной третьей стороне РК.

Это не запрет на SMS. Но теперь у оппонента в споре есть четкое основание оспорить доказательственную силу SMS-подтверждения — прежде всего для договоров и финансовых распоряжений.

Рабочий подход — дифференциация. Разложите действия пользователя по уровню юридического риска: авторизация и простые операции — цифровое подтверждение; сделки и распоряжения — ЭЦП. Я думаю, тут многим проектам стоит провести ревизию онбординга и юридически значимых экранов в своих юзер флоу.

5. Нормы, которые могут изменить документооборот в вашем проекте. 

ЭЦП сотрудника = подпись + печать. Если по НПА документ юрлица подлежит заверению печатью, электронный документ с ЭЦП сотрудника, имеющего право подписи, признается равнозначным бумажному с собственноручной подписью и печатью. Спор «пришлите оригинал с мокрой печатью» закрыт.

Автоподписание — не для договоров. Вводится ЭЦП цифрового объекта: система подписывает однотипные документы сама. Но только те, что не содержат волеизъявления на установление, изменение или прекращение гражданских прав и обязанностей. Чеки, выписки, уведомления — да. Договоры — нет.

ЭЦП не выдается до 16 лет. Недостижение шестнадцатилетнего возраста — самостоятельное основание для отказа в выдаче сертификата открытого ключа. Онбординг лиц до 16 лет может потребовать отдельного сценария, если в вашей системе вход только по ЭЦП.  

6. Данные можно продавать — но не любые и не куда угодно — статьи 30-31 

Кодекс вводит продукт цифровых данных — агрегированный, формализованный результат обработки данных. Такой продукт может быть предметом сделок, отчуждения и передачи на условиях, определенных владельцем. Обезличенную аналитику теперь можно легально упаковывать и продавать через платформы обмена и оборота продуктов цифровых данных. Создавать такие платформы вправе и частный бизнес.

Но это рынок под присмотром, а не вольница. Пункт 9 статья 31 прямо запрещает владельцам платформ:

— оборот исходных/необработанных данных, включая персональные, если иное не установлено законами
— размещение или хранение продуктов данных вне территории РК, если это ограничено
— передачу продуктов данных третьим лицам без согласия их собственника.

Главное. Идентификационные цифровые записи, в том числе содержащие персональные данные, не участвуют в гражданском обороте. Рынок данных и торговля персональными данными — не одно и то же. 

«Право на забвение» — не кнопка «удалить все». Статья 41 дает право требовать удаления, анонимизации или ограничения обработки персональных данных. Но пункты 3 и 4 содержат жесткие исключения, которые читают редко.

Если закон обязывает хранить данные — вы не удаляете, а ограничиваете доступ и приостанавливаете обработку. И даже этого не делаете при обработке на основании вступившего в силу судебного акта, для исполнения обязательств по закону или договору, для архивного хранения.

Требование вообще не подлежит исполнению, если данные нужны для защиты жизни, здоровья и прав третьих лиц, для рассмотрения дел о правонарушениях, для правосудия, для публичного интереса, прямо установленного законами, для госстатистики и научных исследований при условии анонимизации, для реализации государственных функций и оказания госуслуг.

Сколько стоит несоответствие. По действующему КоАП РК ответственность предусмотрена статьей 79. Максимальный штраф за несоблюдение мер защиты, повлекшее утрату либо незаконный сбор или обработку данных, составляет:
— для крупного бизнеса — 2000 МРП
— для среднего — 1 000 МРП
— для малого — 750 МРП.
При МРП 2026 года 4325 тенге потолок для крупного бизнеса — 8 650 000 тенге.

Сигнал регулятора: обкатано на банках, дойдет до всех. Постановление Правления АРРФР от 20.04.2026 № 81 «Об утверждении минимальных требований по обеспечению информационной безопасности на финансовом рынке» вводится в действие 12.07.2026. Там есть норма, которую казахстанский регулятор раньше прямо не формулировал: первый руководитель финансовой организации несет персональную ответственность за информационную безопасность. Ответственность сместилась с компании на конкретного человека. 

Материал носит общий информационный характер по состоянию на 12.07.2026 и не является юридической консультацией. Применение приведенных норм к конкретным обстоятельствам требует отдельного анализа.