Цифровой кодекс РК вступил в силу: обзор ключевых положений, где ваш продукт может не соответствовать новым требованиям
С 9 июля в Казахстане действует новый Цифровой кодекс. Какие требования уже сейчас касаются FinTech, HR-tech, AI-сервисов и других цифровых продуктов? Автор The Tech, управляющий партнер SOLIS Partners Чингис Оралбаев подготовил обзор ключевых изменений и рассказал, где компании рискуют столкнуться с несоответствием новым нормам.
Ранее Чингис Оралбаев рассказал, почему стартапы теряют деньги из-за базовых юридических ошибок. Прочитать первую колонку можно по ссылке.
Чингис Оралбаев, LL.M., управляющий партнер ТОО SOLIS Partners, член Палаты юридических консультантов РК
Ко мне приходят с одним и тем же: «Кодекс рамочный, подзаконных актов еще нет — можно не спешить». Логика привычная. Но ошибочная.
Цифровой кодекс РК № 255-VIII введен в действие 09.07.2026. В нем 106 статей, но большинство — о госорганах. Поэтому структуру пересказывать не буду. Расскажу вам о шести изменениях, которые затрагивают ваш продукт уже сейчас.
1. Скоринг без объяснения причин отказа больше не проходит — статья 43
Скоринговый отказ, антифрод-блокировка, автоматический скрининг резюме. Раньше вы могли ограничиться только ответом «заявка отклонена». Теперь нет.
Кодекс вводит понятие полностью автоматизированного решения — принятого без участия человека в оценке обстоятельств либо в утверждении результата. Субъект такого решения получает три права:
— знать о факте применения алгоритмической системы
— получить объяснение ключевых факторов и критериев, повлиявших на решение, — без раскрытия алгоритмов, исходного кода и охраняемых законом тайн
— требовать пересмотра решения с участием уполномоченного специалиста, если оно влечет юридические последствия либо затрагивает права и законные интересы.
Что это может значить для вашей команды. Там, где модель выносит решение о человеке, нужны два механизма: генерация человекочитаемого обоснования и маршрут эскалации на специалиста. Требование адресовано к системе, а не к документу: обоснование и эскалация должны работать, а не быть просто описаны.
Я считаю, что это прежде всего может коснуться: финтех и кредитный скоринг, антифрод, страховой андеррайтинг, HR-tech с автоматическим отбором.
2. Клиент узнает об утечке его персональных данных не от вас — статьи 74, 97-99
Стратегия «сначала разберемся внутри, потом решим, сообщать ли клиентам» больше не работает. И дело не только в сроках уведомления пользователей.
Кодекс вводит второй, независимый канал оповещения. Оператор «цифрового правительства» на основании информации уполномоченного органа уведомляет субъектов о нарушении безопасности их персональных данных — через личный кабинет на веб-портале, мобильное приложение или SMS.
3. SMS-код — не подпись, даже если вы так думали — статьи 47 и 49
Цифровое подтверждение — это действие после аутентификации: код, пароль, одноразовый идентификатор, пуш, биометрическое подтверждение. Пункт 4 устанавливает прямо: такое подтверждение не является подписью с помощью ЭЦП и не обеспечивает достоверность и неизменность содержания цифровой записи.
ЭЦП приравнивается к собственноручной только при одновременном соблюдении четырех условий:
— подлинность подписи подтверждена открытым ключом, имеющим сертификат
— подписант правомерно владеет закрытым ключом
— подпись используется в соответствии со сведениями сертификата
— сертификат выдан аккредитованным в РК удостоверяющим центром либо иностранным УЦ, зарегистрированным в доверенной третьей стороне РК.
Это не запрет на SMS. Но теперь у оппонента в споре есть четкое основание оспорить доказательственную силу SMS-подтверждения — прежде всего для договоров и финансовых распоряжений.
Рабочий подход — дифференциация. Разложите действия пользователя по уровню юридического риска: авторизация и простые операции — цифровое подтверждение; сделки и распоряжения — ЭЦП. Я думаю, тут многим проектам стоит провести ревизию онбординга и юридически значимых экранов в своих юзер флоу.
5. Нормы, которые могут изменить документооборот в вашем проекте.
ЭЦП сотрудника = подпись + печать. Если по НПА документ юрлица подлежит заверению печатью, электронный документ с ЭЦП сотрудника, имеющего право подписи, признается равнозначным бумажному с собственноручной подписью и печатью. Спор «пришлите оригинал с мокрой печатью» закрыт.
Автоподписание — не для договоров. Вводится ЭЦП цифрового объекта: система подписывает однотипные документы сама. Но только те, что не содержат волеизъявления на установление, изменение или прекращение гражданских прав и обязанностей. Чеки, выписки, уведомления — да. Договоры — нет.
ЭЦП не выдается до 16 лет. Недостижение шестнадцатилетнего возраста — самостоятельное основание для отказа в выдаче сертификата открытого ключа. Онбординг лиц до 16 лет может потребовать отдельного сценария, если в вашей системе вход только по ЭЦП.
6. Данные можно продавать — но не любые и не куда угодно — статьи 30-31
Кодекс вводит продукт цифровых данных — агрегированный, формализованный результат обработки данных. Такой продукт может быть предметом сделок, отчуждения и передачи на условиях, определенных владельцем. Обезличенную аналитику теперь можно легально упаковывать и продавать через платформы обмена и оборота продуктов цифровых данных. Создавать такие платформы вправе и частный бизнес.
Но это рынок под присмотром, а не вольница. Пункт 9 статья 31 прямо запрещает владельцам платформ:
— оборот исходных/необработанных данных, включая персональные, если иное не установлено законами
— размещение или хранение продуктов данных вне территории РК, если это ограничено
— передачу продуктов данных третьим лицам без согласия их собственника.
| Главное. Идентификационные цифровые записи, в том числе содержащие персональные данные, не участвуют в гражданском обороте. Рынок данных и торговля персональными данными — не одно и то же. |
«Право на забвение» — не кнопка «удалить все». Статья 41 дает право требовать удаления, анонимизации или ограничения обработки персональных данных. Но пункты 3 и 4 содержат жесткие исключения, которые читают редко.
Если закон обязывает хранить данные — вы не удаляете, а ограничиваете доступ и приостанавливаете обработку. И даже этого не делаете при обработке на основании вступившего в силу судебного акта, для исполнения обязательств по закону или договору, для архивного хранения.
Требование вообще не подлежит исполнению, если данные нужны для защиты жизни, здоровья и прав третьих лиц, для рассмотрения дел о правонарушениях, для правосудия, для публичного интереса, прямо установленного законами, для госстатистики и научных исследований при условии анонимизации, для реализации государственных функций и оказания госуслуг.
Сколько стоит несоответствие. По действующему КоАП РК ответственность предусмотрена статьей 79. Максимальный штраф за несоблюдение мер защиты, повлекшее утрату либо незаконный сбор или обработку данных, составляет:
— для крупного бизнеса — 2000 МРП
— для среднего — 1 000 МРП
— для малого — 750 МРП.
При МРП 2026 года 4325 тенге потолок для крупного бизнеса — 8 650 000 тенге.
Сигнал регулятора: обкатано на банках, дойдет до всех. Постановление Правления АРРФР от 20.04.2026 № 81 «Об утверждении минимальных требований по обеспечению информационной безопасности на финансовом рынке» вводится в действие 12.07.2026. Там есть норма, которую казахстанский регулятор раньше прямо не формулировал: первый руководитель финансовой организации несет персональную ответственность за информационную безопасность. Ответственность сместилась с компании на конкретного человека.
Материал носит общий информационный характер по состоянию на 12.07.2026 и не является юридической консультацией. Применение приведенных норм к конкретным обстоятельствам требует отдельного анализа.
