Прямой
эфир
Инициаторы: депутаты Д.Бекешев, М.Бакиров
Настоящий законопроект разработан в целях более эффективной защиты прав субъектов персональных данных, в том числе при разработке различными держателями в информационных системах персональных данных.
Предложения и замечания просим отправлять на электронные адреса akismailov@adm.gov.kg, a.aiylchiev@adm.gov.kg, civic@platforma.kg
Номер регистрации № 6-18462/16 01.07.16
Пресс-служба ЖК КР
ПРОЕКТ
ЗАКОН КЫРГЫЗСКОЙ РЕСПУБЛИКИ
О внесении изменений в Закон Кыргызской Республики
«Об информации персонального характера»
Статья 1. Внести вЗакон Кыргызской Республики «Об информации персонального характера»(газета "Эркинтоо" от 18 апреля 2008 года № 28) следующие изменения:
1) в статье 2:
часть 1 после слова «обработки» дополнить словами «, включая использование информационных технологий»; слова «, кроме случаев осуществления работы с персональными данными в целях, исключающих их передачу третьим лицам» - исключить;
часть2после слов «физического лица» дополнить словами «, если при этом не нарушаются права субъектов персональных данных»;
2)в статье 3:
абзац десятый изложить в следующей редакции:
«Уполномоченный государственный органпо персональным данным(уполномоченный государственный орган) - государственный орган, уполномоченный Правительством Кыргызской Республики осуществлять функции и полномочия по обеспечению соответствия обработки персональных данных требованиям настоящего Закона, защите прав субъектов персональных данных (субъектов), регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массива персональных данных, другие задачи, функции и полномочия, предусмотренные настоящим Законом.»;
в абзаце пятнадцатом слова «в любой форме» заменить словами «в форме, предусмотренной настоящим Законом»;
дополнить абзацем двадцать вторым следующего содержания:
«Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств»;
3) подпункт б части 2статьи 8 после слов «группы лиц» дополнить словами «и получение согласия субъекта персональных данных невозможно»;
4) в статье 9:
название статьи изложить в следующей редакции:
«Статья 9. Согласие субъекта персональных данных на предоставление иобработку его персональных данных»;
в части 1:
- первое предложение после слов «своих персональных данных» дополнить словами «и дает согласие на их обработку свободно, осознаннои в форме, позволяющей подтвердить факт его получения,»;
- дополнить абзацем следующего содержания:
«Согласие субъекта должно быть выражено в письменной форме на бумажном носителе, либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.!;
статью дополнить частями 5, 6 следующего содержания:
«5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на сбор и обработку его персональных данных, или доказательство наличия оснований, указанных в подпункте б части 2 статьи 8, пунктах 1-2 части 1 статьи 15 настоящего Закона, возлагается на держателя (обладателя) массива персональных.
6. Порядок получения согласия субъекта персональных данных на сбор и обработку его персональных данных, в том числе в форме электронного документа, включая цели предоставления государственных и муниципальных услуг, устанавливается Правительством Кыргызской Республики.»;
5)статью 10 дополнить частью 1-1 следующего содержания:
«1-1. В том числе субъект персональных данных имеет право на получение от держателя (обладателя) массива персональных данных информации, касающейся обработки его персональных данных, содержащей:
а) подтверждение факта обработки персональных данных держателем (обладателем) массива персональных данных;
б) правовые основания и цели обработки персональных данных;
в) цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных;
г) наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя)), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;
д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
е) сроки обработки персональных данных, в том числе сроки их хранения;
ж) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;
з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
и) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.»;
6) часть 3 статьи 16 признать утратившей силу;
7) в статье 18:
в первом предложении части 2 слова «уполномоченным органом государственной власти по персональным данным» заменить словами «уполномоченным государственным органом», слова «органомгосударственной власти» заменить словами «уполномоченным государственным органом»;
в части 4 после слова «уполномоченным органом государственной власти» заменить словами «уполномоченным государственным органом»;
8)в статье 21:
часть 1 изложить в следующей редакции:
«1. Держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.»;
часть 2 дополнить абзацами десятым, одиннадцатым, двенадцатым в следующей редакции:
«- обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- вести учет машинных носителей персональных данных;
- обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.»;
дополнить частью 3 следующего содержания:
«3. Правительство Кыргызской Республики устанавливает уровни защищенности персональных данных при их обработке в информационных системах, требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.»;
9) в статье 22:
часть 1 после слова «данных» дополнить словами «, при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленными настоящим Законом.».;
часть 2 после слова «сводных» дополнить словами «информационных систем и»;
в части 3 после слова «осуществляется» дополнить словами «уполномоченным государственным органом,»;
10) статью 23признать утратившей силу;
11) часть 2 статьи 24дополнить предложением следующего содержания: «Порядок и форма уведомления субъекта персональных данных о факте передачи его персональных данных третьей стороне, устанавливается Правительством Кыргызской Республики.».;
12) в абзаце третьем части 3 статьи 25 слова «жизненно важных» исключить;
13) часть 1 статьи 27 дополнить абзацем следующего содержания:
«В зависимости от значимости персональных данных определенных субъектов для исторических, социологических, медицинских и других научных целей, вместо уничтожения персональных данных допускается обезличивание таких данных держателем (обладателем) массива в порядке, устанавливаемом Правительством Кыргызской Республики.»;
14)абзац третий части 1статьи 28признать утратившим силу;
15)главу 5 дополнить статьей 29-1 следующего содержания:
«Статья 29-1. Уполномоченный государственный органпо персональным данным
1. На уполномоченный государственный орган по персональным даннымвозлагается обеспечение контроля за соответствием обработки персональных данных требованиям настоящего Закона, защитой прав субъектов персональных данных.
2. Уполномоченный государственный орган по персональным даннымимеет право:
б) требовать от держателя (обладателя) персональных данных внесения изменений, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
в) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
г) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
д) рассматривать материалы, связанные с нарушением прав субъектов персональных данных, принимать установленные законодательством Кыргызской Республики меры к устранению выявленных нарушений и восстановлению нарушенных прав, в том числе привлекать к административной ответственности лиц, виновных в нарушении требований настоящего Закона;
е) при наличии признаков преступлений, связанных с нарушением прав субъектов персональных данных, направлять в органы прокуратуры, другие правоохранительные органы в соответствии с подведомственностью соответствующие материалы для решения вопроса о возбуждении уголовных дел;
ж)вносить в установленном законодательством Кыргызской Республики порядке предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных.
3. Уполномоченный государственный орган по персональным даннымобязан:
а) организовывать в соответствии с требованиями настоящего Закона и других законов защиту прав субъектов персональных данных;
б) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений, и информировать о принятых решениях;
в) вести Реестр держателей персональных данных;
г) составлять регулярные отчетыо положении дел в области защиты прав субъектов персональных данных и о своей деятельности, которыедолжны быть опубликованы или к ним должен быть обеспечен иным образом неограниченный доступ;
д) выполнять иные обязанности, предусмотренные законодательством Кыргызской Республики.
3. Уполномоченный государственный орган по персональным даннымосуществляет сотрудничество с органами, уполномоченными в сфере зашиты персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных.
4. Решения уполномоченного государственного органа по защите прав субъектов персональных данныхмогут быть обжалованы в судебном порядке.
5. Положение об уполномоченном органе по персональным данным утверждается Правительством Кыргызской Республики.»;
16) в статье 30:
часть 1 дополнить абзацами двенадцатым и тринадцатым следующего содержания:
«- получатели или категории получателей, которым могут передаваться данные;
- предполагаемаятрансграничная передача персональных данных.»;
часть 4после слов «всеобщего сведения» дополнить словами«, а также размещает актуальную редакцию Реестра на официальном сайте в Интернете.»;
дополнить частью 5 в следующей редакции:
«5. Порядок регистрации массивов и держателей (обладателей) персональных данных, ведения и опубликования Реестра держателей (обладателей) массивов персональных данных устанавливаются Правительством Кыргызской Республики.».
Статья 2.
Настоящий Закон вступает в силу по истечении пятнадцати дней со дня официального опубликования.
Статья 3.
Правительству Кыргызской Республики в течение шести месяцев привести свои нормативные правовые акты в соответствие с настоящим Законом.
Президент
Кыргызской Республики
Сравнительная таблица
к проекту Закона Кыргызской Республики
«О внесении изменений в закон Кыргызской Республики «Об информации персонального характера»»
|
Действующая редакция |
Новая редакция с учетом вносимых изменений и дополнений |
|
Статья 2. Сфера действия настоящего Закона 1. Действие настоящего Закона распространяется на отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации, кроме случаев осуществления работы с персональными данными в целях, исключающих их передачу третьим лицам. 2. Действие настоящего Закона не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица. |
Статья 2. Сфера действия настоящего Закона 1. Действие настоящего Закона распространяется на отношения, возникающие при работе с информацией персонального характеранезависимо от применяемых средств обработки этой информации, включая использование информационных технологий.
2. Действие настоящего Закона не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными делами физического лица, если при этом не нарушаются права субъектов персональных данных. |
|
Статья 3. Термины и определения Для целей настоящего Закона применяются следующие основные термины и определения: Информация персонального характера (персональные данные) - зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее. Перечень персональных данных - список категорий данных об одном субъекте. Массив персональных данных - любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.). Общедоступные массивы персональных данных - массивы персональных данных, доступ к которым не ограничен законодательством, и предназначенные для общего пользования (справочники, телефонные книги, адресные книги и т.п.). Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных. Субъект персональных данных (субъект) - физическое лицо, к которому относятся соответствующие персональные данные. Держатель (обладатель) массива персональных данных - органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом. Уполномоченный государственный орган - государственный орган, на который возложены функции по регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массива персональных данных и другие задачи, предусмотренные настоящим Законом.
Обработчик - физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора. Получатель персональных данных - орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект персональных данных (субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом. Сбор персональных данных - процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики. Обработка персональных данных - любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных. Согласие субъекта персональных данных - выраженное в любой форме свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных.
Передача персональных данных - предоставление держателем (обладателем) персональных данных третьим лицам в соответствии с настоящим Законом и международными договорами. Трансграничная передача персональных данных - передача держателем (обладателем) персональных данных держателям, находящимся под юрисдикцией других государств. Актуализация персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством Кыргызской Республики. Блокирование персональных данных - временное прекращение передачи, уточнения, использования и уничтожения персональных данных. Уничтожение (стирание или разрушение) персональных данных - действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание. Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком. |
Статья 3. Термины и определения Для целей настоящего Закона применяются следующие основные термины и определения: Информация персонального характера (персональные данные) - зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее. Перечень персональных данных - список категорий данных об одном субъекте. Массив персональных данных - любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.). Общедоступные массивы персональных данных - массивы персональных данных, доступ к которым не ограничен законодательством, и предназначенные для общего пользования (справочники, телефонные книги, адресные книги и т.п.). Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных. Субъект персональных данных (субъект) - физическое лицо, к которому относятся соответствующие персональные данные. Держатель (обладатель) массива персональных данных - органы государственной власти, органы местного самоуправления, юридическиеи (или) физические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных. Уполномоченный государственный орган по персональным данным (уполномоченный государственный орган) - государственный орган, уполномоченный Правительством Кыргызской Республики осуществлять функции и полномочия по обеспечению соответствия обработки персональных данных требованиям настоящего Закона, защите прав субъектов персональных данных (субъектов), регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массива персональных данных, другие задачи, функции и полномочия, предусмотренные настоящим Законом. Обработчик - физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора. Получатель персональных данных - орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект персональных данных (субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом. Сбор персональных данных - процедура получения персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики. Обработка персональных данных - любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных. Согласие субъекта персональных данных - выраженное в форме,предусмотренной настоящим Законом, свободное, конкретное, безоговорочное и осознанное волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с обработкой его персональных данных. Передача персональных данных - предоставление держателем (обладателем) персональных данных третьим лицамв соответствии с настоящим Законом и международными договорами. Трансграничная передача персональных данных - передача держателем (обладателем) персональных данных держателям, находящимся под юрисдикцией других государств. Актуализация персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством Кыргызской Республики. Блокирование персональных данных - временное прекращение передачи, уточнения, использования и уничтожения персональных данных. Уничтожение (стирание или разрушение) персональных данных - действия держателя (обладателя) персональных данных по приведению этих данных в состояние, не позволяющее восстановить их содержание. Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком. Информационная система персональных данных -совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
|
|
Статья 8. Специальные категории персональных данных 1. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются. 2. Часть 1 настоящей статьи не применяется в случаях: а) если субъект персональных данных дал свое согласие на сообщение и обработку таких данных; б) если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц. |
Статья 8. Специальные категории персональных данных 1. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей,исключительно в целях выявления этих факторов, не допускаются. 2. Часть 1 настоящей статьи не применяется в случаях: а) если субъект персональных данных дал свое согласие на сообщение и обработку таких данных; б) если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лици получение согласия субъекта персональных данных невозможно. |
|
Статья 9. Предоставление персональных данных
1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных, за исключением случаев, предусмотренных статьей 15 настоящего Закона. Персональные данные предоставляются субъектом лично либо через доверенное лицо.
2. В целях реализации своих прав и свобод субъект предоставляет данные, а также сведения об их изменениях в соответствующие органы государственной власти, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции. 3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных. 4. Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа. |
Статья 9. Согласие субъекта персональных данных на предоставление и обработку его персональных данных 1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных, и дает согласие на их обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 15 настоящего Закона. Персональные данные предоставляются субъектом лично либо через доверенное лицо. Согласие субъекта должно быть выражено в письменной форме на бумажном носителе, либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью. 2. В целях реализации своих прав и свобод субъект предоставляет данные, а также сведения об их изменениях в соответствующие органы государственной власти, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции. 3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных. 4 Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа. 5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на предоставление и обработку его персональных данных, или доказательство наличия оснований, указанных в подпункте б части второй статьи 8, пунктах 1-2 части первой статьи 15 настоящего Закона, возлагается на держателя (обладателя) массива персональных. 6. Порядок получения согласия субъекта персональных данных на обработку его персональных данных, в том числе в форме электронного документа, включая цели предоставления государственных и муниципальных услуг, устанавливается Правительством Кыргызской Республики. |
|
Статья 10. Доступ субъекта к своим персональным данным 1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 настоящего Закона.
2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации в соответствии со статьей 30 настоящего Закона. 3. Предоставление информации персонального характера их субъекту по инициативе субъекта производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, бесплатно. Плата взимается лишь в том случае, если такая информация предоставляется на материальных носителях (бумага, дискета и т.п.) в размере, не превышающем их стоимости. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий 7 дней с момента подачи заявления. 4. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам. 5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем. |
Статья 10. Доступ субъекта к своим персональным данным 1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 настоящего Закона. 1-1. В том числе субъект персональных данных имеет право на получение от держателя (обладателя) массива персональных информации, касающейся обработки его персональных данных, в том числе содержащей: а) подтверждение факта обработки персональных данных держателем (обладателя) массива персональных данных; б) правовые основания и цели обработки персональных данных; в) цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных; г) наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя)), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона; д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения; е) сроки обработки персональных данных, в том числе сроки их хранения; ж) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом; з) информацию об осуществленной или о предполагаемой трансграничной передаче данных; и) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами. 2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации в соответствии со статьей 30 настоящего Закона. 3. Предоставление информации персонального характера их субъекту по инициативе субъекта производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, бесплатно. Плата взимается лишь в том случае, если такая информация предоставляется на материальных носителях (бумага, дискета и т.п.) в размере, не превышающем их стоимости. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий 7 дней с момента подачи заявления. 4. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам. 5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем. |
|
Статья 16. Держатели (обладатели) массивов персональных данных 1. Органы государственной власти, органы местного самоуправления, осуществляющие работу с массивами персональных данных в соответствии с настоящим Законом и другими нормативными правовыми актами Кыргызской Республики, имеют право выступать в качестве держателей (обладателей) персональных данных. 2. Юридические лица имеют право на работу с персональными данными после регистрации в уполномоченном государственном органе в качестве держателя (обладателя) массива персональных данных в соответствии со статьей 30 настоящего Закона.
|
Статья 16. Держатели (обладатели) массивов персональных данных 1. Органы государственной власти, органы местного самоуправления, осуществляющие работу с массивами персональных данных в соответствии с настоящим Законом и другими нормативными правовыми актами Кыргызской Республики, имеют право выступать в качестве держателей (обладателей) персональных данных. 2. Юридические лица имеют право на работу с персональными данными после регистрации в уполномоченном государственном органе в качестве держателя (обладателя) массива персональных данных в соответствии со статьей 30 настоящего Закона.
|
|
Статья 18. Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных 1. Держатели (обладатели), осуществляющие работу с персональными данными, в пределах компетенции разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими. 2. Указанные перечни согласовываются с уполномоченным органом государственной власти по персональным данным, регистрируются в этом органе и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим органом государственной власти. Данные перечни устанавливают объем сведений, используемых органами государственной власти, органов местного самоуправления для реализации своих полномочий. 3. Порядок регистрации перечней персональных данных определяется Правительством Кыргызской Республики. 4. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства Кыргызской Республики, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным органом государственной власти. 5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.
|
Статья 18. Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных 1. Держатели (обладатели), осуществляющие работу с персональными данными, в пределах компетенции разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими. 2. Указанные перечни согласовываются с уполномоченным государственным органом, регистрируются в этом органе и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим уполномоченным государственным органом. Данные перечни устанавливают объем сведений, используемых органами государственной власти, органов местного самоуправления для реализации своих полномочий. 3. Порядок регистрации перечней персональных данных определяется Правительством Кыргызской Республики. 4. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства Кыргызской Республики, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным государственным органом. 5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.
|
|
Статья 21. Организационные и технические меры защиты персональных данных 1. Держатель (обладатель) массива персональных данных и обработчик обязаны обеспечить гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных.
2. При обработке персональных данных держатель (обладатель) массива персональных данных и обработчик обязаны: - исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом); - препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных); - препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены; - обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных); - обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском); - обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом); - не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль); - обеспечить конфиденциальность информации, полученной при обработке персональных данных. |
Статья 21. Организационные и технические меры защиты персональных данных 1. Держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. При обработке персональных данных держатель (обладатель) массива персональных данных и обработчик обязаны: - исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом); - препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных); - препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены; - обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных); - обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском); - обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом); - не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль); - обеспечить конфиденциальность информации, полученной при обработке персональных данных; - обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; - вести учет машинных носителей персональных данных; - обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 3. Правительство Кыргызской Республики устанавливает уровни защищенности персональных данных при их обработке в информационных системах, требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. |
|
Статья 22. Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными 1. Органы государственной власти и органы местного самоуправления в своей деятельности могут использовать персональные данные, находящиеся у других держателей (обладателей) персональных данных.
2. Формирование сводных массивов персональных данных, полученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных, не допускается.
3. Контроль за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления от других государственных держателей (обладателей) персональных данных, осуществляется вышестоящими инстанциями, правоохранительными органами, а также Омбудсменом (Акыйкатчы) Кыргызской Республики в соответствии с настоящим Законом. |
Статья 22. Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными 1. Органы государственной власти и органы местного самоуправления в своей деятельности могут использовать персональные данные, находящиеся у других держателей (обладателей) персональных данных, при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленными настоящим Законом. 2. Формирование сводных информационных систем и массивов персональных данных, полученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных, не допускается. 3. Контроль за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления от других государственных держателей (обладателей) персональных данных, осуществляется уполномоченным государственным органом, вышестоящими инстанциями, правоохранительными органами, а также Омбудсменом (Акыйкатчы) Кыргызской Республики в соответствии с настоящим Законом. |
|
Статья 23. Организация государственного справочного обслуживания персональными данными 1. С целью организации справочного обслуживания физических и юридических лиц персональными данными уполномоченный государственный орган ведет регистр первичного учета физических лиц на основе данных первичного учета, хранящихся у государственных держателей (обладателей) персональных данных, полученных ими на законных основаниях. 2. Уполномоченный государственный орган организует справочное обслуживание физических и юридических лиц, органов государственной власти и органов местного самоуправления на основе данных регистра первичного учета персональных данных. 3. Порядок ведения регистра первичного учета персональных данных и организации справочного обслуживания определяется Правительством Кыргызской Республики. |
Признать утратившей силу |
|
Статья 24. Передача персональных данных 1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: - крайней необходимости для защиты интересов субъекта персональных данных; - по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа; - на основании законодательства Кыргызской Республики. 2. Держатель (обладатель) массива персональных данных обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.
3. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных. 4. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы, а также персональные данные самому субъекту - бесплатно. |
Статья 24. Передача персональных данных 1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: - крайней необходимости для защиты интересов субъекта персональных данных; - по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа; - на основании законодательства Кыргызской Республики. 2. Держатель (обладатель) массива персональных данных обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок. Порядок уведомления субъекта персональных данных о факте передачи его персональных данных третьей стороне, устанавливается Правительством Кыргызской Республики. 3. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных. 4. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы, а также персональные данные самому субъекту - бесплатно. |
|
Статья 25. Трансграничная передача персональных данных 1. При трансграничной передаче персональных данных держатель (обладатель) массива персональных данных, находящийся под юрисдикцией Кыргызской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике. 2. Кыргызская Республика обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искажение и несанкционированное использование. 3. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при условии: - согласия субъекта персональных данных на эту передачу; - если передача необходима для защиты - если персональные данные содержатся в общедоступном массиве персональных данных. 4. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации. |
Статья 25. Трансграничная передача персональных данных 1. При трансграничной передаче персональных данных держатель (обладатель) массива персональных данных, находящийся под юрисдикцией Кыргызской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике. 2. Кыргызская Республика обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искажение и несанкционированное использование. 3. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при условии: - согласия субъекта персональных данных на эту передачу; - если передача необходима для защиты интересов субъекта персональных данных; - если персональные данные содержатся в общедоступном массиве персональных данных. 4. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации. |
|
Статья 27. Хранение персональных данных 1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.
2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных. 3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа, либо иной статус, предусмотренный законодательством Кыргызской Республики. |
Статья 27. Хранение персональных данных 1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом. В зависимости от значимости персональных данных определенных субъектов для исторических, социологических, медицинских и других научных целей, вместо уничтожения персональных данных допускается обезличивание таких данных держателем (обладателем) массива в порядке, устанавливаемом Правительством Кыргызской Республики. 2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных. 3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа, либо иной статус, предусмотренный законодательством Кыргызской Республики. |
|
Статья 28. Актуализация персональных данных 1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных: - в случаях, предусмотренных законодательством Кыргызской Республики;
- по инициативе субъекта персональных данных, персональные данные которого подлежат изменению в соответствии со статьей 11 настоящего Закона. 2. Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее недельного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами. |
Статья 28. Актуализация персональных данных 1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных: - в случаях, предусмотренных законодательством Кыргызской Республики;
- по инициативе субъекта персональных данных, персональные данные которого подлежат изменению в соответствии со статьей 11 настоящего Закона. 2. Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее недельного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами. |
|
Статья 29. Формы государственного регулирования работы с персональными данными Государство осуществляет регулирование работы с персональными данными в следующих формах: - - ведет учет и регистрацию массивов персональных данных и их держателей (обладателей); - заключает международные договоры о трансграничной передаче персональных данных, за исключением случаев, противоречащих законодательству Кыргызской Республики по защите государственных секретов. |
Статья 29. Формы государственного регулирования работы с персональными данными Государство осуществляет регулирование работы с персональными данными в следующих формах: - определяет уполномоченный государственный орган Кыргызской Республики; - ведет учет и регистрацию массивов персональных данных и их держателей (обладателей); - заключает международные договоры о трансграничной передаче персональных данных, за исключением случаев, противоречащих законодательству Кыргызской Республики по защите государственных секретов. |
|
|
Статья 29-1. Уполномоченный государственный орган по персональным данным 1. На уполномоченный государственный орган по персональным данным возлагается обеспечение контроля за соответствием обработки персональных данных требованиям настоящего Закона, защитой прав субъектов персональных данных. 2. Уполномоченный государственный орган по персональным данным имеет право: 1)принимать в установленном законодательством КыргызскойРеспублики порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего закона; б) требовать от держателя (обладателя) персональных данных внесения изменений, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; в) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; г) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде; д) рассматривать материалы, связанные с нарушением прав субъектов персональных данных, принимать установленные законодательством Кыргызской Республики меры к устранению выявленных нарушений и восстановлению нарушенных прав, в том числе привлекать к административной ответственности лиц, виновных в нарушении требований настоящего Закона; е) при наличии признаков преступлений, связанных с нарушением прав субъектов персональных данных, направлять в органы прокуратуры, другие правоохранительные органы в соответствии с подведомственностью соответствующие материалы для решения вопроса о возбуждении уголовных дел; ж) вносить в установленном законодательством КыргызскойРеспублики порядке предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных. 3. Уполномоченный государственный орган по персональным данным обязан: а) организовывать в соответствии с требованиями настоящего Закона и других законов защиту прав субъектов персональных данных; б) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений, и информировать о принятых решениях; в) вести Реестр держателей персональных данных; г) составлять регулярные отчетыо положении дел в области защиты прав субъектов персональных данных и о своей деятельности, которые должны быть опубликованы или к ним должен быть обеспечен иным образом неограниченный доступ; д) выполнять иные обязанности, предусмотренные законодательством Кыргызской Республики. 3. Уполномоченный государственный орган по персональным данным осуществляет сотрудничество с органами, уполномоченными в сфере зашиты персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных. 4. Решения уполномоченного государственного органа по персональным данным могут быть обжалованы в судебном порядке. 5. Положение об уполномоченном органе персональным данным утверждается Правительством Кыргызской Республики |
|
Статья 30. Регистрация массивов и держателей (обладателей) персональных данных 1. Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном государственном органе. При регистрации фиксируются: - наименование массива персональных данных; - наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс); - цели и способы сбора и использования персональных данных; - режимы и сроки их хранения; - перечень собираемых персональных данных; - категории или группы субъектов персональных данных; - источники сбора персональных данных; - порядок информирования субъектов о сборе и возможной передаче их персональных данных; - меры по обеспечению сохранности и конфиденциальности персональных данных; - лицо, непосредственно ответственное за работу с персональными данными.
2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Кыргызской Республики "О защите государственных секретов Кыргызской Республики", не регистрируются. 3. Уполномоченный государственный орган осуществляет учет массивов персональных данных и держателей (обладателей), осуществляющих работу с персональными данными. 4. Указанный орган ежегодно публикует в средствах массовой информации Реестр держателей персональных данных для всеобщего сведения. |
Статья 30. Регистрация массивов и держателей (обладателей) персональных данных 1. Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном государственном органе. При регистрации фиксируются: - наименование массива персональных данных; - наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс); - цели и способы сбора и использования персональных данных; - режимы и сроки их хранения; - перечень собираемых персональных данных; - категории или группы субъектов персональных данных; - источники сбора персональных данных; - порядок информирования субъектов о сборе и возможной передаче их персональных данных; - меры по обеспечению сохранности и конфиденциальности персональных данных; - лицо, непосредственно ответственное за работу с персональными данными; - получатели или категории получателей, которым могут раскрываться данные; - предполагаемая трансграничная передача персональных данных. 2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Кыргызской Республики "О защите государственных секретов Кыргызской Республики", не регистрируются. 3. Уполномоченный государственный орган осуществляет учет массивов персональных данных и держателей (обладателей), осуществляющих работу с персональными данными. 4. Указанный орган ежегодно публикует в средствах массовой информации Реестр держателей персональных данных для всеобщего сведения, а также размещает актуальную редакцию Реестра на официальном сайте в Интернете. 5. Порядок регистрации массивов и держателей (обладателей) персональных данных, ведения и опубликования Реестра держателей (обладателей) массивов персональных данных устанавливаются Правительством Кыргызской Республики. |
Справка-обоснование
к проекту Закона Кыргызской Республики
«О внесении изменений в Закон Кыргызской Республики
«Об информации персонального характера»
Настоящий законопроект разработан в целях более эффективной защиты прав субъектов персональных данных, в том числе при их обработке различными держателями в информационных системах персональных данных.
Указанный Закон играет важную роль при реализации государственных функций, требующих персонификации/аутентификации субъектов персональных данных, в том числе при организации избирательного процесса с использованием новых информационных технологий, при обработке персональных данных при предоставлении электронных услуг.
Вносимые изменения и дополнения в действующий закон направлены на совершенствование правого регулирования этой сферы, гармонизацию кыргызского законодательства с законодательством стран-участниц Евразийского экономического Союза, что является важным в связи с подписанными Кыргызской Республикой обязательствами по вступлению в указанное интеграционное объединение. Эти изменения важны с точки зрения предстоящего в рамках ЕАЭС электронного взаимодействия, как государственных органов, так и юридических и физических лиц, обмена персональными данными субъектов, включая вопросы трансграничной передачи персональных данных.
Предлагаемые законопроектом изменения в первую очередь касаются установления компетенции Правительства Кыргызской Республики по изданию нормативных правовых актов, регулирующих сферу персональных данных,включая вопросы безопасности, как этого требуют Конституция Кыргызской Республики, конституционный закон «О правительстве Кыргызской Республики», закон Кыргызской Республики «О нормативных правовых актах»: Правительство Кыргызской Республики издает постановления и распоряжения на основе и во исполнение Конституции и законов. Вместе с тем, в действующей редакции закона «Об информации персонального характера», не установленоправо Правительства по утверждениютребований по обеспечению безопасности персональных данных при их обработке в информационных системах, порядку и форме согласия субъекта персональных данных на обработку его персональных данных, порядку уведомления о передаче персональных данных.
Этот пробел восполняется путем дополнения соответствующих статей закона компетенцией Правительства по изданию нормативных правовых актов по указанным вопросам.
Законопроектом вносится дополнение, что согласие субъекта должно быть выражено в письменной форме на бумажном носителе, либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью. Для реализации государственных и муниципальных услуг в электронной виде, требующих персонификации/аутентификации их получателя, закон (статья 9) дополняется положениями о том, что порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, устанавливается Правительством Кыргызской Республики.
Закон должен учитывать возможность и необходимость обработки персональных данных в автоматизированном режиме, а также возможность создания информационной системы персональных данных. При работе с персональными данными необходимо учитывать требования к безопасности персональных данных, уровню защищенности персональных данных.В связи с чем, Закон дополняется соответствующими положениями.
В настоящее время Закон КР «Об информации персонального характера» не содержит отдельной статьи, посвященной статусу и полномочиям органа, уполномоченного в сфере защиты прав субъектов персональных данных, что мешает реализации ряда норм данного закона ввиду отсутствия конкретных полномочий у такого государственного органа. Создание эффективного уполномоченного органа позволит обеспечить выполнение фактически не работающих и не применяющихся норм закона, а следовательно, защитить права граждан Кыргызстана на их персональные данные. Поэтому проект дополняется новой статьей о статусе, функциях и полномочиях такого уполномоченного органа. Предполагается наделение уполномоченного органа определенными функциями и правами, в том числе например, полномочиями по рассмотрению жалоб граждан и эффективному реагированию в целях выявления и пресечения незаконных действий с персональными данными.В результате будут созданы необходимые организационно-правовые основы для деятельности такого уполномоченного органа в Кыргызской Республике.
Законопроект для общественного обсуждения был опубликован на информационном ресурсеhttp://www.kenesh.kg.Все поступившие в ходе общественного обсуждения предложения были учтены во вносимой редакции законопроекта.
Принятие проекта не повлечет за собой социальных, экономических, правовых, правозащитных, гендерных, экологических, коррупционных последствий, а также дополнительных финансовых затрат из государственного бюджета.
После принятия законопроекта Правительство Кыргызской Республики должно будет разработать и принять ряд нормативных правовых актов подзаконного характера, направленных на реализацию содержащихся в законопроекте положений. В том числе:
- Порядок получения согласия субъекта персональных данных, в том числе в форме электронного документа, на обработку его персональных данных, включая цели предоставления государственных и муниципальных услуг;
- Порядок регистрации массивов и держателей (обладателей) персональных данных, ведения Реестра держателей (обладателей) массивов персональных данных;
- Требования по обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных;
-Порядокуведомлениясубъектовперсональныхданныхо передаче их персональных данных третьим лицам.