По закону РК «О персональных данных и их защите» № 94-V владелец мобильного приложения обязан получить отдельное согласие пользователя на сбор данных, хранить базу персональных данных на серверах в Казахстане, опубликовать политику конфиденциальности, назначить ответственное лицо, внедрить технические меры защиты и уведомить уполномоченный орган об утечке в течение суток.

Разберём каждое требование на языке практики: что именно проверяют, какие решения закладывает разработчик мобильных приложений ещё на этапе архитектуры и во сколько обходится приведение готового продукта в соответствие с законом в 2026 году.

Какой закон регулирует персональные данные в Казахстане

Базовый документ — Закон РК № 94-V «О персональных данных и их защите» от 21 мая 2013 года. С 2022 по 2024 год в него внесли серию поправок, которые заметно ужесточили правила: появилась обязанность оперативно сообщать об инцидентах, расширились полномочия контролирующего органа, а сервисы согласий начали интегрировать с инфраструктурой eGov.

Надзор ведёт Комитет по информационной безопасности Министерства цифрового развития (МЦРИАП). Административная ответственность прописана в статье 79 КоАП РК, а за грубые нарушения — незаконный сбор и распространение сведений о частной жизни — действует статья 147 УК РК.

Важный момент, который часто упускают стартапы: закон не делает исключений по размеру бизнеса. Приложение с сотней установок и банковский сервис с миллионом пользователей — оба считаются операторами персональных данных с одинаковым набором обязанностей.

Какие данные в приложении считаются персональными

Персональные данные — любые сведения, по которым человек определён или может быть определён. В мобильном приложении под закон попадает гораздо больше, чем кажется:

  • ФИО, номер телефона, e-mail, ИИН, дата рождения;
  • геолокация — даже «грубая», по которой восстанавливается маршрут;
  • фотографии профиля и загруженные документы;
  • платёжные реквизиты и история заказов;
  • рекламные идентификаторы IDFA и GAID в связке с поведением;
  • push-токены и device ID, привязанные к аккаунту;
  • биометрия — отпечаток, скан лица, голос (особо охраняемая категория).

Практический вывод: фраза «мы ничего не собираем» почти никогда не соответствует действительности. Если в проекте подключена аналитика, авторизация или push-уведомления — вы уже оператор персональных данных.

Шесть обязанностей владельца приложения по закону РК

1. Согласие пользователя

Согласие должно быть осознанным и отдельным: чекбокс, который пользователь ставит сам, а не предотмеченная галочка и не строчка, спрятанная в оферте. Для разных целей — разные согласия: обработка для оказания услуги и рассылка маркетинга не объединяются в один пункт. Пользователь вправе отозвать согласие, и в приложении должен быть рабочий механизм для этого.

2. Хранение базы данных на территории Казахстана

Статья 12 закона требует, чтобы база, содержащая персональные данные, физически находилась в РК. Backend на AWS во Франкфурте или DigitalOcean в Амстердаме — формальное нарушение, если там лежит основная база пользователей-казахстанцев. Решение — казахстанские дата-центры (PS.kz, Kazteleport, облачные зоны местных провайдеров) либо гибридная схема: персональные данные в РК, обезличенная аналитика — где угодно.

3. Политика конфиденциальности

Публичный документ, доступный до момента сбора данных: какие данные собираются, зачем, сколько хранятся, кому передаются. Для казахстанской аудитории корректно публиковать версии на русском и казахском языках. Шаблон, скопированный у зарубежного сервиса, не подходит — он не отражает требования о локализации и правах субъекта по закону РК.

4. Внутренние документы и ответственное лицо

Оператор назначает ответственного за обработку персональных данных, утверждает перечень собираемых данных и регламентирует доступ сотрудников. Для приложения это означает: доступ к продакшн-базе — только у конкретных людей по ролям, действия с данными логируются.

5. Уведомление об утечках

После поправок последних лет оператор обязан сообщить уполномоченному органу о факте утечки в течение одних суток, локализовать инцидент и устранить причины. «Тихо починить и промолчать» — само по себе отдельное нарушение.

6. Удаление данных по запросу

Пользователь вправе требовать уточнения и удаления своих данных. В приложении должна быть функция удаления аккаунта со всеми связанными записями — это требование и закона, и обоих сторов.

Что требуют App Store и Google Play

Сторы проверяют приватность жёстче, чем кажется, и отклоняют сборки до всякого государственного контроля:

  • App Store: заполненные App Privacy Labels, файл Privacy Manifest (PrivacyInfo.xcprivacy) с декларацией используемых API и трекинговых доменов — без него Apple отклоняет сборки с популярными SDK;
  • Google Play: анкета Data Safety, обязательная функция удаления аккаунта внутри приложения плюс веб-ссылка на удаление;
  • оба стора: ссылка на политику конфиденциальности в карточке приложения и запрос разрешений строго в момент необходимости с объяснением причины.

Расхождение между декларацией в сторе и реальным поведением приложения — частая причина банов: если анкета говорит «геолокацию не собираем», а подключённый рекламный SDK её передаёт, ответственность несёт владелец приложения.

Технические меры защиты: что внедряет разработчик

Закон требует «принимать необходимые меры», а на практике это конкретный инженерный чек-лист:

  • Транспорт: только HTTPS с TLS 1.2+, для финансовых и медицинских сервисов — certificate pinning против перехвата трафика;
  • Хранение на устройстве: токены и чувствительные значения — в Keychain (iOS) и Keystore (Android), а не в обычных настройках приложения;
  • Авторизация: короткоживущие токены вместо хранения паролей — как это устроено, мы разобрали в статье про OAuth-авторизацию в приложении;
  • Вход по Face ID и отпечатку: биометрия не покидает устройство и не передаётся на сервер — детали в материале о биометрии в приложении;
  • Минимизация: собирать только то, без чего сервис не работает; аналитику — обезличивать;
  • Аудит сторонних SDK: каждая библиотека аналитики и рекламы — отдельный канал передачи данных, который нужно отразить в политике и анкетах сторов;
  • Backend: ролевой доступ, шифрование резервных копий, логи без персональных данных в открытом виде.

Штрафы и ответственность в 2026 году

Размеры штрафов по статье 79 КоАП РК исчисляются в МРП (в 2026 году 1 МРП — 4 325 ₸) и зависят от субъекта: для должностных лиц и малого бизнеса — десятки МРП, для среднего и крупного — до 100–200 МРП, то есть порядка 432 500 – 865 000 ₸ за эпизод. За повторные нарушения и инциденты с реальным ущербом суммы выше, а незаконный сбор и распространение сведений о частной жизни может квалифицироваться по статье 147 УК РК — вплоть до лишения свободы по отягчённым составам.

Но прямой штраф — не главный риск. Дороже обходятся блокировка релизов в сторах, отзыв приложения, репутационные потери после публичной утечки и расторжение контрактов с корпоративными заказчиками, которые проверяют подрядчиков на соответствие закону.

Сколько стоит привести приложение в соответствие: цены 2026

Ориентиры для рынка Казахстана — для готового приложения, которое создавалось без учёта требований закона:

Работа Стоимость, ₸ Срок
Аудит приложения и backend на соответствие закону о ПД от 250 000 1–2 недели
Политика конфиденциальности и тексты согласий (рус/каз) от 150 000 до 1 недели
Перенос базы данных на серверы в РК от 300 000 1–3 недели
Шифрование хранения, certificate pinning, Keychain/Keystore от 200 000 1–2 недели
Функция удаления аккаунта и экспорт данных от 150 000 до 1 недели
Privacy Manifest, App Privacy, Data Safety — оформление под сторы от 100 000 2–4 дня
Тестирование на проникновение (пентест) от 800 000 2–4 недели

В новых проектах эти требования закладываются в архитектуру с первого спринта и почти не увеличивают бюджет — переделывать готовое всегда дороже. Команда Applications.kz работает на рынке с 2007 года, за плечами 300+ проектов в Казахстане, ОАЭ и Таиланде, и каждое приложение мы проектируем с учётом закона № 94-V и требований сторов. Если вы планируете разработку мобильного приложения в Алматы или хотите проверить действующий продукт — позвоните по номеру +7 (707) 928-13-15: подготовим смету за 24 часа.

Частые вопросы

Можно ли хранить данные пользователей на зарубежных серверах?

Основная база персональных данных граждан РК должна находиться на серверах в Казахстане — это требование статьи 12 закона. Трансграничная передача допускается отдельно и при условиях: страна-получатель обеспечивает защиту данных либо есть согласие субъекта. Рабочая схема для международных продуктов — база в РК плюс обезличенная аналитика во внешних сервисах.

Нужна ли политика конфиденциальности, если приложение «ничего не собирает»?

Практически всегда нужна. Даже без формы регистрации приложение обычно обрабатывает device ID, push-токены и данные аналитики — этого достаточно, чтобы считаться оператором. К тому же App Store и Google Play требуют ссылку на политику независимо от вашего мнения о составе данных: без неё релиз просто не пройдёт ревью.

Что делать, если произошла утечка данных?

В течение суток уведомить уполномоченный орган, параллельно локализовать инцидент: отозвать скомпрометированные токены, закрыть уязвимость, сменить ключи доступа. Затем — честно сообщить пользователям, чьи данные затронуты, и зафиксировать меры по предотвращению повторения. Сокрытие инцидента усугубляет ответственность и почти всегда вскрывается.

Кто отвечает за нарушение — заказчик приложения или студия-разработчик?

Перед государством отвечает оператор персональных данных — компания, которая владеет приложением и определяет цели сбора. Студия отвечает перед заказчиком по договору: за корректную архитектуру, шифрование, размещение базы в РК. Поэтому требования к защите данных стоит фиксировать в техническом задании ещё до старта разработки.

Распространяется ли закон на небольшой стартап или MVP?

Да, закон № 94-V не содержит порогов по выручке или числу пользователей. MVP с первой сотней регистраций — уже оператор персональных данных со всеми обязанностями. Хорошая новость: на стадии MVP соответствие стоит дёшево — правильный хостинг, базовая политика и согласия закрывают большую часть требований.