Государственное агентство по защите персональных данных
при Кабинете Министров Кыргызской Республики
«УТВЕРЖДАЮ»
Директор Н.А. Кутнаева
__________________________
«_______» _________________ 2022 г.
АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ
к проекту нормативного правового акта
«О внесении изменений в некоторые законодательные акты
по вопросам защиты персональных данных»
Основание для разработки:
Приказ Государственного агентства по защите персональных данных Кабинете Министров Кыргызской Республики от 26 сентября 2022 года № 9-п «О создании рабочей группы по проведению АРВ проекта постановления Кабинета Министров Кыргызской Республики «О внесении изменений в постановление Правительства Кыргызской Республики «О внесении изменений в некоторые законодательные акты по вопросам защиты персональных данных».
Сроки проведения АРВ: 4-25 октября 2022 года.
Руководитель рабочей группы: | |
К.C. Омельченко - заведующий отделом законодательной экспертизы защиты персональных данных при Кабинете Министров Кыргызской Республики | ________________ |
Члены рабочей группы: | |
И.С. Байкулова - заместитель директора ОФ «Гражданская инициатива интернет политики», заместитель председателя рабочей группы | _________________ |
Ю.Г. Олферьева - старший инспектор управления кадров Министерства внутренних дел Кыргызской Республики | ________________ |
Г.К. Касиева - ведущий специалист управления правового обеспечения Министерства цифрового развития Кыргызской Республики | ________________ |
Г.Т. Ускенбаева - Президент ОЮЛ «Ассоциация поставщиков (производителей и дистрибьюторов)» | _________________ |
В.В. Ткачев - директор по аудиту IT-систем и информационной безопасности ОсОО «Бейкер Тилли Бишкек» | _________________ |
Ж.Ч. Тегизбекова, кандидат юридических наук, эксперт, преподаватель по цифровому праву | _________________ |
А.М. Токтосунова - старший инспектор отдела законодательной экспертизы защиты персональных данных Государственного агентства по защиты персональных данных при Кабинете Министров Кыргызской Республики, секретарь рабочей группы | _________________ |
Контактные данные ответственного лица:
А.М. Токтосунова, телефон 0990950850, e-mail: info@dpa.gov.kg, адрес: 720071, г. Бишкек, пр. Чуй, 265а, здание Национальной Академии наук, 2 этаж, западное крыло Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики.
- Проблемы и основания для изменения регулирования
- Описание проблемы
Кыргызская Республика, понимая значение, роль и преимущества информационно-телекоммуникационных технологий в вопросах модернизации системы государственного управления, начала активно внедрять цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав.
В этой связи в 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера», который достаточно подробно регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных. Закон предусматривает наступление юридической ответственности за неисполнение требований по защите персональных данных, что подразумевает наличие по меньшей мере административных санкций за неисполнение требований или нарушение законодательства. Однако, до сегодняшнего дня в законодательстве Кыргызской Республики отсутствуют нормы, устанавливающие юридическую ответственность лиц, виновных в нарушении законодательства об информации персонального характера. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
Еще в 2016 году Международный деловой совет выпустил статью относительно защиты персональных данных в Кыргызской Республики, в которой отметил, что для полноценного развития института защиты персональных данных (далее – ПД) должны быть разработаны нормативы по порядку организации и проведения государственного контроля над соответствием сбора, обработки, хранения и защиты ПД, по предупреждению и выявлению нарушений, а также система санкций за нарушение законодательства в сфере защиты ПД. В свою очередь, уполномоченный орган должен установить доступную для общества процедуру обжалования неправомерных действий субъектов ПД, а также систему санкций за нарушение установленных требований[1].
Предлагаемый проект Закона разработан в целях реализации Закона Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года № 58, который подразумевает наличие ответственности за нарушение требований законодательства о персональных данных.
Одним из методов обеспечения неукоснительного соблюдения правовых норм сторонами правоотношений, связанных с обработкой персональных данных, является прежде всего наличие юридической ответственности за нарушение норм права. В условиях отсутствия юридических оснований для привлечения к ответственности лиц, виновных в нарушении законов, органы государственной власти не могут обеспечить режим законности, как важной составляющей правового государства, который предполагает гарантии выполнения, содержащихся в нормах права предписаний. Именно законодательное установление процедуры обеспечения законности будет восприниматься гражданами как гарантированное закрепление их реальных возможностей, обеспечиваемых государством.
Особенно это актуализируется в условиях, когда государственные органы и частные структуры используют биометрические данные граждан для обеспечения эффективной цифровой трансформации. В перспективе предусматривается активное использование информационно-коммуникационных технологий для достижения целей модернизации государственного управления, экономики и социальной сферы посредством инновационных технологий, где основным идентификатором гражданина будут выступать только его персональные данные.
Учитывая изложенные обстоятельства разработан проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях статьей, устанавливающей ответственность за:
- сбор, обработку, использование, хранение, передачу, включая обмен, персональных данных без законного основания;
- необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;
- трансграничная передача персональных данных с нарушением установленного законом порядка;
- внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а также отсутствие регистрации в Реестре;
- нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.
Также проектом предусматривается внесение изменений в Налоговый кодекс Кыргызской Республики в части обеспечения доступа уполномоченного государственного органа к информации, составляющей налоговую тайну в случаях, когда это необходимо для реализации своих полномочий, предусмотренных статьей 291 Закона Кыргызской Республики “Об информации персонального характера” в части реализации полномочий по защите прав субъектов персональных данных.
Так как налоговая информация состоит из персональных данных, которые относятся к конкретным субъектам ПД, то в случае обращения субъекта ПД в уполномоченный государственный орган по персональным данным по вопросам, относящимся к компетенции Закона Кыргызской Республики “Об информации персонального характера”, в том числе в соответствии со статьями 19 и 22 вышеназванного Закона, у него отсутствуют правовые основания для реализации своих полномочий.
Эта норма внедряется в связи с тем, что имеющаяся формулировка части 2 статьи 64 Налогового кодекса Кыргызской Республики прямо нивелирует компетенции уполномоченного государственного органа по персональным данным при осуществлении своих контрольных функций, предусмотренных статьей 291 Закона Кыргызской Республики “Об информации персонального характера” при рассмотрении обращений субъектов персональных данных за защитой своих прав.
Результаты анализа мнений заинтересованных лиц относительно существующего регулирования
Заинтересованные лица:
- Уполномоченный орган – Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики считает, что отсутствие механизмов мер взыскания за нарушение положений предусмотренных Законом Кыргызской Республики “Об информации персонального характера” будет способствовать нарушению прав субъектов персональных данных, а также неисполнению требований законодательства и существенно затруднит вопросы внедрения и контроля за правильностью применения системы защиты персональных данных;
- Субъекты предпринимательства считают, что должны быть внедрены справедливые меры защиты прав, вытекающие из отраслевого Закона, которые в полной мере бы обеспечивали неотвратимость наказания, в случаях нарушения прав граждан в области защиты их персональных данных.
- Масштаб проблемы
Разработанным проектом затрагиваются все юридические и физические лица, которые осуществляют сбор, хранение и обработку персональных данных не для личных или семейных целей.
С 2008 года не проводилась работа по внедрению законодательства в области защиты персональных данных, а также отсутствовал контроль соблюдения Закона Кыргызской Республики «Об информации персонального характера», что вылилось в разобщенность системы защиты персональных данных и отсутствие подходов к сбору, хранению и обработке персональных данных с соблюдением прав граждан, в том числе с учетом уважения приватности и конфиденциальности таких данных.
Деятельность держателей и обработчиков массивов персональных данных распространена на всей территории Кыргызской Республики, масштаб проблем не имеет экономического, социального, территориального измерений.
- Основания для изменения регулирования, актуальность решения проблемы
Экономическим основанием для изменения регулирования является отсутствие факторов, стимулирующих к соблюдению законодательства в области защиты персональных данных и обеспечивающих полномочия по административному воздействию в целях обеспечения прав и законных интересов субъектов персональных данных.
Правовым основанием для изменения регулирования является отсутствие норм, устанавливающих ответственность лиц, виновных в нарушении законодательства об информации персонального характера. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
Кроме того, имеются ограничения в получении доступа к персональным данным граждан при исполнении законодательно закрепленных компетенций уполномоченным органом по персональным данным.
Актуальность проблемы определяется необходимостью наличия полномочий на привлечение к ответственности лиц, нарушающих требования по защите информации персонального характера с целью создания соответствующих условий по государственной защите прав субъектов персональных данных, обязанность которых вытекает из положений статьи 63 Конституции Кыргызской Республики.
Помимо этого, у уполномоченного органа имеются ограничения в части доступа к персональным данным, хранящимся в налоговых органах, что препятствует полноценной и эффективной реализации компетенций уполномоченного государственного органа по персональным данным, закрепленным в 291 Закона Кыргызской Республики “Об информации персонального характера”.
- Международный опыт
В ходе подготовки аналитической записки был изучен опыт стран ближнего и дальнего зарубежья по имеющейся ответственности за нарушение законодательства в области защиты персональных данных. В частности, был изучен опыт следующих стран:
- Российская Федерация;
- Республика Казахстан;
- Республика Молдова;
- Республика Армения;
- Республика Узбекистан;
- Республика Беларусь.
Результаты исследования международного опыта в части наличия ответственности за нарушение законодательства в области защиты персональных данных приведено в приложении к настоящей аналитической записке.
Помимо опыта государств из числа бывшего Советского Союза, рабочей группой был изучен опыт Европейского союза. Так, Регламентом защиты персональных данных General Data Privacy Regulations (далее – GDPR) предусматривается ответственность за любое нарушение названного Регламента, при этом максимальный штраф за нарушение норм GDPR составляет 20 млн евро, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта, когда приватность не обеспечена на этапе сбора персональных данных, а также в ходе разработки информационных систем или бизнес-процессов, предусматривающих обработку персональных данных.
В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам.
Исходя из опыта Китайской Народной Республики было установлено, что Законом о защите персональной информации (Personal Information Protection Law of the People’s Republic of China) также предусматривается ответственность за его нарушение, которая значительна по сравнению с ответственностью, предусмотренной в странах СНГ.
Так, согласно ст. 66 указанного закона КНР, если персональная информация обрабатывается в нарушение закона, уполномоченный государственный орган вправе выдавать предписания об устранении нарушений, конфискации незаконного дохода, приостановлении или прекращении работы сервиса или применении программы. Если данные предписания не выполняются, дополнительно к ним может быть наложен штраф в размере до 1 000 000 юаней (136 826 долларов США), а непосредственно ответственные физические лица могут быть оштрафованы на сумму от 10 000 до 100 000 юаней.(1368 до 13 680 долларов США)
При наличии серьезных обстоятельств органы власти, выполняющие обязанности по защите личной информации, должны отдать распоряжение об их исправлении, конфисковать незаконный доход и наложить штраф в размере не более 50 миллионов юаней или 5% годового дохода. Они также могут отдать распоряжение о приостановке соответствующей деятельности или прекращении бизнеса для исправления ситуации, а также сообщить в соответствующий компетентный департамент для аннулирования соответствующих административных лицензий или аннулирования лицензий на ведение бизнеса. Непосредственно ответственное лицо и другие непосредственно ответственные сотрудники подлежат штрафу в размере от 13 680 до 136 826 долларов США, а также может быть принято решение о запрете им занимать должности директора, руководителя, менеджера высокого уровня или сотрудника по защите персональной информации в течение определенного периода.
Из вышеприведенных примеров видно, что во многих странах активно внедряется правовое регулирование в области защиты персональных данных, которое обеспечивается мерами штрафного взыскания за его нарушение, что обеспечивает более эффективное внедрение и реализацию законодательства в области защиты персональных данных.
- Описание предлагаемого регулирования
- Цель государственного регулирования
Основной целью государственного регулирования является внедрение эффективных мер обеспечения соблюдения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий, достижение которой будет способствовать развитию системы защиты персональных данных в Кыргызской Республике.
Индикаторы для оценки прогресса достижения цели
Наименование показателя оценки прогресса | Целевое значение | Срок достижения |
Количественные индикаторы: не используются | ||
Качественные индикаторы | ||
Внедрение мер воздействия на нарушителей законодательства в области защиты персональных данных для эффективного и ответственного сбора, обработки и хранения персональных данных | Создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Наличие мер воздействия является основным механизмом не только в части наказания, но и в части профилактики нарушений законодательства. | III квартал 2023 года |
Внедрение ответственности за нарушение законодательства в области защиты персональных данных | Внедренная ответственность позволяет наиболее эффективно проводить государственную политику в области защиты персональных данных, а также повышения личной ответственности держателей и обработчиков персональных данных за нарушения прав субъектов. | II квартал 2023 года |
Включение полномочий по доступу к персональным данным, находящимся в ведении налоговых органов | Обеспечивает реализацию компетенции уполномоченного государственного органа по персональным данным в части реализации Закона Кыргызской Республики “Об информации персонального характера”, а также позволяет в полной мере осуществить реальную защиту прав субъектов персональных данных при их нарушении. | II квартал 2023 года |
- Предлагаемое регулирование
В ходе проведения анализа регулятивного воздействия перед рабочей группой были рассмотрены следующие варианты:
Вариант № 1. «Оставить все как есть»
Вариант № 2. Принять изменения в Кодекс Кыргызской Республики о правонарушениях и Налоговый кодекс Кыргызской Республики.
- Вариант № 1: «Оставить все как есть»
Данный вариант не меняет существующее регулирование. В случае его сохранения для уполномоченного органа сохранятся условия ненадлежащего выполнения своих функций.
Также не будут эффективно реализованы требования законодательства Кыргызской Республики в области защиты персонального характера.
Сохранится на прежнем уровне защита персональных данных, а нарушенные права могут быть защищены только в судебном порядке, что также существенно забюрократизирует возможность защиты своих прав в досудебном порядке и снизит возможности профилактики и недопущения защиты прав граждан.
Одновременно снизится качество внедрения единообразного подхода в вопросах защиты персональных данных держателями и обработчиками персональных данных.
- Вариант № 2: Принять изменения в Кодекс Кыргызской Республики о правонарушениях и Налоговый кодекс Кыргызской Республики.
Способ регулирования
Предлагается следующее регулирование.
Задача. Создать эффективную систему контроля за деятельностью, связанной со сбором, обработкой и хранением персональных данных и с нарушениями режимов конфиденциальности персональных данных при их сборе, хранении и обработке с действенными мерами воздействия на нарушителей требований законодательства в области защиты информации персонального характера.
Проблемы держателей массивов персональных данных | Предлагаемое регулирование |
В процессе сбора, обработки и хранения персональных данных не соблюдаются требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных. | Проектом предусматривается введение ответственности за нарушение установленного законодательством порядка сбора, хранения, обработки, использования, защиты, передачи и распространения информации персонального характера. |
Ограничение права граждан на доступ к своим персональным данным, а также к методам их обработки и иным документам, связанным с обработкой персональных данных | Проектом предусматривается ответственность за отказ держателем (обладателем) массива персональных данных в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных. |
Неурегулированность вопросов трансграничной передачи персональных данных. Зачастую такие персональные данные передаются с нарушением требований законодательства, в частности, без получения согласия на осуществление трансграничной передачи данных | Проектом предусматривается внесение ответственности за трансграничную передачу персональных данных субъектов персональных данных с нарушением установленного законодательством порядка |
Отсутствие держателей массивов персональных данных в Реестре держателей (обладателей) массивов персональных данных, что является обязательным условием для сбора, хранения и обработки персональных данных, а также внесение неполной или недостоверной информации в указанный Реестр в нарушение принципа открытости в вопросах обработки персональных данных | Проектом предусматривается ответственность за внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а равно сбор, хранение, обработка персональных данных без регистрации в указанном Реестре в установленном порядке |
Нарушение условий конфиденциальности данных при их обработке на бумажных носителях, которые происходят при сборе, хранении и обработке персональных данных в рекламных целях, при договорных отношениях в том числе в рамках трудового законодательства. | Проектом предусматривается ответственность за нарушение держателем (обладателем) массива персональных данных, а равно и обработчиком в процессе обработки персональных данных без использования средств автоматизации обязанности по соблюдению режима конфиденциальности персональных данных при хранении материальных носителей персональных данных |
Неисполнение требований уполномоченного государственного органа по персональным данным, которые вносятся в качестве акта реагирования на нарушения в пределах полномочий определенных Законом Кыргызской Республики “Об информации персональных данных” | Проектом предусматривается ответственность за неисполнение законных требований уполномоченного государственного органа по персональным данным, вытекающих из его полномочий, установленных нормативными правовыми актами Кыргызской Республики |
Ограничение функционала уполномоченного государственного органа по персональным данным при осуществлении контроля и реализации своих полномочий при имеющихся проблемах в правоприменительной практике, в частности невозможность получения доступа к налоговым данным, которые являются персональными данными | Проектом вводится возможность получения доступа к налоговой информации, с целью полноценной реализации своих полномочий по защите прав субъектов персональных данных, а также разрешения возможных спорных вопросов, связанных с налоговой тайной и непосредственно влияющих на права субъектов персональных данных. |
- Оценка вероятности социальных и экономических последствий регулирования
- Ожидаемая результативность (уровень достижения цели регулирования) на дату.
Наименование индикатора | Ожидаемое изменение |
Количественные индикаторы: не используются | |
Качественные индикаторы | |
Обеспечить необходимый уровень контроля за исполнением законодательства о защите персональных данных | Повысится качество обеспечения безопасности персональных данных на организационном и техническом уровнях. Совершенствуются бизнес-процессы по сбору, обработке и хранению персональных данных, что повлечет за собой возможность внедрения услуг нового типа, в том числе с использованием финтех-технологий, а также комбинированных услуг без нарушения прав граждан на защиту своих персональных данных |
Исключить или минимизировать инциденты с персональными данными и нарушение прав граждан в области персональных данных и приватности | Из-за исключения или минимизации инцидентов снижается регуляторная нагрузка на бизнес, что позволяет ему повышать прибыль и развиваться, в том числе посредством внедрения новых технологий с учетом соблюдения законодательства и прав субъектов персональных данных. Создается модель консенсусного взаимодействия держателей, обработчиков, субъектов персональных данных и уполномоченного государственного органа по персональным данным. Отдельно исключается излишний контроль за деятельностью субъектов предпринимательства различного уровня, посредством того, что снижается вероятность наступления инцидентов, связанных с персональными данными, проводится соответствующая работа по недопущению возможного нарушения режима конфиденциальности персональных данных, а также нарушения прав субъектов персональных данных. Одновременно с этим, установление ответственности снижает риски крупных инцидентов с персональными гражданами, а, следовательно, снижается вероятность использования утекших персональных данных в последующих мошеннических целях, что также будет позитивно влиять на криминогенные показатели в области мошенничества. |
Предлагаемые изменения должны обеспечить соблюдение законодательства в области защиты персональных данных, создав условия, при которых, с одной стороны, держателями массивов персональных данных будут предприниматься необходимые меры по недопущению нарушений прав субъектов предпринимательства, а с другой стороны, субъекты будут уверены в наличии правовых оснований для защиты их персональных данных.
Такой баланс взаимоотношений между держателями массивов персональных данных и субъектами персональных данных, выражающийся в приведении своих бизнес-процессов и организационно-правовых основ деятельности в части обработки персональных данных к уровню, установленному законодательством – с одной стороны, и доверие субъектов к держателям – с другой стороны, позволит обеспечить развитие института защиты персональных данных.
Сами по себе изменения должны в ближайшие несколько лет с момента принятия проекта нормативного правового акта обеспечить соответствующий уровень контроля за соблюдением требований в области защиты персональных данных, создание дополнительных внутренних бизнес-процессов, обеспечивающих прозрачность деятельности держателей массивов персональных данных.
В дальнейшем планируется, что качественно новый подход к работе с персональными данными и информацией в целом, с учетом наличия мер воздействия, будет способствовать повышению качества оказываемых услуг, как на территории Кыргызской Республики, так и способствовать выходу кыргызстанских технологических брендов на новые рынки, на которых система обеспечения безопасности сбора, обработки и хранения персональных данных уже эффективно работает.
По мнению комиссии, внедрение данного подхода, а также непосредственно института контроля за соблюдением законодательства в области информации персонального характера, также способствует формированию позитивного инвестиционного климата в Кыргызской Республике, в том числе привлечения инвесторов в области высокотехнологичных производств и информационных технологий.
- Ожидаемое воздействие на экономику, социальный сектор и экологию:
1) воздействие на экономику: ожидается качественное изменение на уровне защищенности информационных систем и информации персонального характера, что будет позитивным сдвигом для повышения интеграционных процессов внутри экономики Кыргызской Республики, а также повышение качества электронных услуг;
2) воздействие на социальную сферу: повышается защищенность персональных данных граждан и их правовая обеспеченность;
3) воздействие на экологию: какого-либо воздействия не ожидается. Более того, при росте защищенности персональных данных будет осуществляться и рост взаимодействия граждан и частного сектора. Посредством информационных технологий благодаря повышению доверия взаимодействие между гражданами и государством, а также государством и частным сектором также перейдет в цифровую плоскость, что будет благотворно влиять на экологию ввиду снижения использования бумаги и вырубки лесного покрова Земли.
- Ожидаемое воздействие на основные группы заинтересованных сторон - адресатов регулирования:
- государственные органы (с разделением по государственным органам): Уполномоченный орган – Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики
Позитивное последствие:
Будут внедрены нормативно-правовые основы по обеспечению прав граждан в области персональных данных.
За счет средств получаемых в ходе правоприменительной практики будет пополняться республиканский бюджет, что будет способствовать частичному покрытию его дефицита.
Негативное последствие: отсутствует.
- предприниматели (с разделением по выбранному критерию):
Держатели массивов персональных данных:
Позитивное последствие: совершенствуется система защиты персональных данных в соответствии с требованиями законодательства с целью создания дополнительных внутренних бизнес-процессов, обеспечивающих прозрачность деятельности субъектов предпринимательства на всех уровнях.
Качественно новый подход к работе с персональными данными клиентов и информацией в целом будет способствовать повышению качества оказываемых услуг, как на территории Кыргызской Республики, так и за ее пределами.
Негативное последствие: отсутствует.
- население (с разделением по выбранному критерию):
Субъекты персональных данных (физические лица):
Позитивное последствие: снижение рисков, связанных с нарушениями режимов конфиденциальности персональных данных при их сборе, хранении и обработке, а также создание эффективной системы реагирования со стороны контролирующего органа на инциденты, связанные с их персональными данными, а также обеспечения их прав, определенных законодательством.
Также предусматривается, что внедрение мер воздействия за нарушение требований законодательства в области защиты персональных данных позволит субъектам персональных данных получать более качественные услуги, а также снизить необходимость избыточного сбора и обработки данных субъектов ПД со стороны субъектов предпринимательства.
Негативное последствие: отсутствует.
- Оценка затрат и выгод
- Оценка затрат и выгод субъектов предпринимательства:
Затраты. Реализация данного варианта регулирования должна обеспечить соблюдение Закона Кыргызской Республики «Об информации персонального характера» путем внедрения комплекса организационно-технических мер для обеспечения режима конфиденциальности персональных данных. Таким образом, возможные затраты субъектов регулирования могут быть связаны с тем, что им придется приводить свои внутренние правила, процедуры, а также техническое оснащение в соответствие с требованиями отраслевого закона, а также Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
При этом все эти меры должны действовать с 2008 года, а организационно-правовые меры – с 2017 года, при этом заложенные проектом методы воздействия базируются исключительно на вышеприведенном законодательстве Кыргызской Республики в области защиты персональных данных.
Непосредственные возможные затраты могут быть связаны только с тем, что в случае наложения взыскания правонарушителю придется оплачивать штраф за неисполнение требований законодательства в области защиты персональных данных.
Выгоды. Внедрение механизма справедливого контроля субъектов предпринимательства с учетом соблюдения прав субъектов исключает излишнее вмешательство в предпринимательскую деятельность в виде необоснованных проверок. Из-за исключения необоснованных плановых проверок снижается регуляторная нагрузка на бизнес, что позволяет ему повышать прибыль и развиваться, в том числе посредством внедрения новых технологий.
- Оценка затрат и выгод государственного бюджета:
Затраты. Отсутствуют.
Выгоды. Создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Предлагаемый проект внедряет единые требования ко всем участникам рынка, что будет способствовать выравниванию уровней защиты персональных данных при их обработке в информационных системах держателей массивов персональных данных, что позволит повысить интенсивность предпринимательской активности, внедрению новых технологий, а также будет способствовать повышению интеграции и информационному взаимодействию всех участников рынка.
Кроме того, внедрение данного регулирования будет способствовать пополнению республиканского бюджета за счет собираемых штрафов за нарушение законодательства в области защиты персональных данных.
Общий вывод по оценкам: предложенное регулирование позволяет обеспечить прогресс в достижении цели и решить идентифицированные проблемы. При этом ожидается достижение важного социального-экономического эффекта в виде повышения защищенности персональных данных и улучшения предпринимательской среды. Воздействие на основных адресатов регулирования являются не обременительными и соответствуют требованиям действующих нормативных правовых актов в области защиты персональных данных.
- Оценка реализационных рисков
- Риски недостаточности необходимых материальных и человеческих ресурсов.
Оценка риска оценивается как средняя, так как держателям массивов персональных данных, в которых отсутствуют уполномоченные лица по персональным данным, должны будут такое лицо определить, также существует возможность, что потребуется дополнительное обучение такого лица.
Меры смягчения – Кабинетом Министров Кыргызской Республики учрежден Учебный центр при уполномоченном государственном органе по персональным данным, который будет осуществлять работу по повышению квалификации сотрудников держателей, занятых в вопросах обеспечения защиты персональных данных.
- Риски недостаточности механизмов для реализации предложенного регулирования.
Величина данного риска оценивается как низкая, так как реализации предложенного регулирования не требует изменения существующего механизма.
Меры противодействия – не требуется.
- Риски необеспечения надлежащего контроля за соблюдением требований, вводимых предложенным регулированием.
Данный риск оценивается как отсутствующий, так как дополнительных мер по контролю не требуется.
Меры противодействия – не требуется.
- Риски несоответствия предложенного регулирования и существующего административно-управленческого потенциала для его реализации.
Данный риск оценивается как отсутствующий, так как объем регулятивного вмешательства незначительный, а существующего потенциала для реализации достаточно.
Меры противодействия – не требуется.
- Оценка воздействия на конкуренцию
Оценка варианта № 2 Принять изменения в Кодекс Кыргызской Республики о правонарушениях и Налоговый кодекс Кыргызской Республики.
Основной (краткий) вывод:
Вариант регулирования № 2 не оказывает негативного воздействия на конкуренцию.
Развернутая информация об оценке воздействия на конкуренцию
№ | Наименование фактора | Оценка "да" или "нет" | Обоснование оценки "да" |
1 | 2 | 3 | 4 |
Оценка уровня концентрации товарного рынка | |||
1 | Имеется ли доминирующее положение, при котором доля какого-либо хозяйствующего субъекта на данном товарном рынке составляет 35 процентов или выше) - при наличии данных? | нет | |
2 | Имеется ли доминирующее положение, при котором совокупное доминирование более чем трех хозяйствующих субъектов, доля каждого из которых больше доли других субъектов на этом рынке и в совокупности превышает 50 процентов, или совокупная доля не более чем пяти хозяйствующих субъектов, доля каждого из которых больше долей других хозяйствующих субъектов на соответствующем рынке - при наличии данных? | нет | |
Оценка экономических ограничений входа-выхода на товарный рынок | |||
3 | Приведет ли новое регулирование к непропорционально высоким затратам:
| нет | |
4 | Приведет ли новое регулирование к существенному ограничению доступа потенциальных участников к ресурсам (материально-вещественным, нематериальным и другим), предложение которых на рынке ограничено? | нет | |
5 | Приведет ли новое регулирование к неприемлемо высоким (способным подорвать экономическую устойчивость) издержкам действующих хозяйствующих субъектов при их вынужденном прекращении деятельности на данном товарном рынке, связанным с новым регулированием? | нет | |
Оценка административных ограничений входа на товарный рынок | |||
6 | Приведет ли новое регулирование к существенному росту лицензионных требований и стоимости процедур получения лицензии для потенциальных участников рынка? | нет | |
7 | Приведет ли новое регулирование к нарушению условий равенства прав хозяйствующих субъектов при административном распределении ограниченных ресурсов? | нет | |
8 | Приведет ли новое регулирование к ограничению действующих хозяйствующих субъектов выбирать механизм ценообразования, определять качество продукции, местонахождение размещения производственных мощностей? | нет | |
Оценка стратегических ограничений входа на товарный рынок | |||
9 | Приведет ли новое регулирование к получению дополнительных преимуществ для участников различных устойчивых форм хозяйственной интеграции (холдинги, финансово-промышленные объединения, кластеры с низким уровнем взаимной конкуренции его участников и высоким уровнем кооперации и другие) по сравнению с другими потенциальными участниками рынка, не входящими в такие формы интеграции? | нет |
- Мнение заинтересованных сторон
В соответствии с Методикой проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденной постановлением Правительства Кыргызской Республики от 10 августа 2022 года № 444 (далее – Методика), уведомление о разработке проекта нормативного правового акта для сбора предложений заинтересованных лиц было размещено на официальном сайте Агентства (https://dpa.gov.kg/ru/npa/20) 4 октября 2022 года для публичных консультаций, на срок не менее 15 дней. Однако каких-либо замечаний и предложений относительно предлагаемого регулирования в адрес Агентства, не поступало.
- Обоснование выбора предпочтительного варианта регулирования
Сравнение вариантов регулирования:
Вариант № 1 «Оставить все как есть»;
Вариант № 2 Принять изменения в Кодекс Кыргызской Республики о правонарушениях и Налоговый кодекс Кыргызской Республики;
показало:
В варианте №1 "оставить все как есть" сохраняются все проблемы, указанные в разделе 1. Проблемы и основания для изменения регулирования.
В варианте № 2 все идентифицированные проблемы устраняются.
Руководствуясь критериями достижения цели, решения проблем и отсутствия негативных эффектов в экономике, социальной сфере и экологии, а также отсутствия чрезмерных административных издержек для держателей массивов персональных данных (предпринимателей) и затрат государства, вариант регулирования № 2 признан более предпочтительным.
Все указанные в разделе 1 проблемы уполномоченного органа по персональным данным, а также трудности держателей массивов персональных данных в процессе своей деятельности и в результате внедрения предлагаемого регулирования будут решены.
Так, предлагаемые изменения должны обеспечить соблюдение законодательства в области защиты персональных данных, создав систему мер воздействия на нарушителей законодательства Кыргызской Республики в области защиты персональных данных.
Одновременно будет решен вопрос обеспечения государственной защиты прав граждан, установленный статьями 29 и 63 Конституции Кыргызской Республики.
В ближайшие несколько лет с момента принятия проекта нормативного правового акта должно быть обеспечено планомерное внедрение системы контроля за соблюдением требований в области защиты персональных данных, создание дополнительных внутренних бизнес-процессов, обеспечивающих прозрачность деятельности субъектов предпринимательства на всех уровнях.
Также, по мнению комиссии, внедрение данного подхода и непосредственно института обеспечительных мер воздействия для усиления контроля за соблюдением законодательства в области информации персонального характера, также способствует формированию позитивного инвестиционного климата в Кыргызской Республике, в том числе привлечения инвесторов в области высокотехнологичных производств и информационных технологий.
Вывод: целесообразно принять проект Закона Кыргызской Республики «О внесении изменений в некоторые законодательные акты по вопросам защиты персональных данных», соответствующий варианту № 2.
- Приложения
- развернутая оценка ожидаемых экономических последствий для предлагаемого регулирования (оценка отражена в аналитической записке);
- информационно-справочные материалы, другая информация необходимая для иллюстрации выводов и рекомендаций проведенного анализа регулятивного воздействия (Приложение 1);
- особые мнения отдельных членов рабочей группы (отсутствуют);
- уведомление о разработке проекта нормативного правового акта по форме согласно приложению 1 к Методике (Приложение 2);
- Реестр предложений и ответов по форме установленной форме (за время публичных консультаций замечания и предложения относительно предлагаемого регулирования в адрес Агентства не поступали);
- отчет о проведении публичных консультаций (за время публичных консультаций замечаний и предложений относительно предлагаемого регулирования в адрес Агентства не поступало);
- приказ о рабочей группе по АРВ (Приложение 3).
Приложение 1
Виды ответственности за нарушение законодательства в области защиты персональных данных в странах ближнего зарубежья
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации | __________ | _____________ | Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе осуществления контрольных функций, представление недостоверной или неполной информации, а равно непредставление запрашиваемых сведений и документов в установленный законом срок 2) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных | Непредставление обрабатывающим лицом установленной законодательством информации по требованию субъекта персональных данных в ходе сбора персональных данных или нарушение порядка предоставления, или разъяснение причин и следствий непредставления | _____________ |
Санкция | Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб. (83$ - 165$) | 1) физических лиц – 77$ - 155$ юридических лиц – 155$ - 388$ 2) физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ | 246$ - 492$$; | |||
Норма | Статья 5.39 КоАП РФ | Статья 742 Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА, п3 | |||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | 1)Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных 2)Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие | Незаконные сбор и (или) обработка персональных данных, если эти деяния не содержат признаков уголовно наказуемого деяния | 1) Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, – влекут наложение штрафа в размере до пятидесяти базовых величин. 2) Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин. 3) Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин. | 1) Несоблюдение основных условий обработки, хранения и использования персональных данных, за исключением случаев, предусмотренных частью (5), 2) Нарушение прав субъекта персональных данных на информирование, на доступ к персональным данным, на вмешательство в отношении персональных данных, на возражение и права не оказаться под воздействием частного решения | 1) Нарушение установленного законом порядка сбора или звукозаписи, или ввода, или координирования, или организации, или корректировки, или хранения, или использования, или преобразования, или восстановления, или передачи личных данных, если данное деяние не содержит признаков преступления 2) Нарушение установленного законом порядка уничтожения или блокирования личных данных, если данное деяние не содержит признаков преступления 3) Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: 4) Неиспользование криптографических средств в ходе обработки личных данных, если данное деяние не содержит признаков преступления влечет назначение штрафа — в стократном размере установленной минимальной заработной платы. 5) Нарушение требований к обеспечению безопасности обработки персональных данных в информационных системах, требований к материальным носителям биометрических персональных данных и технологиям хранения этих персональных данных вне информационных систем, если данное деяние не содержит признаков преступления: 6) Несоблюдение конфиденциальности лицами, обрабатывающими персональные данные, или иными лицами, предусмотренными Законом Республики Армения "О защите персональных данных", во время или после исполнения служебных или трудовых обязанностей, связанных с обработкой персональных данных | Незаконный сбор, систематизация, хранение, изменение, дополнение, использование, предоставление, распространение, передача, обезличивание и уничтожение персональных данных, а равно несоблюдение при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, требований по сбору, систематизации и хранению персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан, и в базах персональных данных, зарегистрированных в установленном порядке в Государственном реестре баз персональных данных, - влечет наложение штрафа на граждан в сумме семи, а на должностных лиц - пятидесяти базовых расчетных величин |
Санкция | 1) административный штраф:
| 1) физических лиц – (60$), должностных лиц, частных нотариусов, частных судебных исполнителей, адвокатов, субъектов малого предпринимательства или некоммерческие организации - (120$), субъектов среднего предпринимательства - (180 $), субъектов крупного предпринимательства - (430$) | 1) 616 $ ; 3) 2466 $$ 4) 24.6$ - 123 $ ИП – 123$ - 308$ ЮЛ – 640$ - 616$ |
должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года. 2) физических лиц – 155$ - 233$ должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ | 1. 492$ - 1231$; 2. 738$ - 1231$; 4. 23$ - 246$; 5. 246$; 6. 246$ - 492$$; 7. 492$ - 738$ Лицо, совершившее установленные настоящей статьей деяния, освобождается от административной ответственности, если в установленный по решению уполномоченного органа срок или до вынесения решения о привлечении к административной ответственности устранило совершенное им нарушение и представило в уполномоченный орган доказательства об этом | Ф.Л. – 192$ Ю.Л. – 1374$ |
Норма | 1) Часть 1 ст. 13.11 КоАП РФ 2) Часть 2 ст. 13.11 КоАП РФ | Статья 79. КоАП РК, п 1. | Статья 23.7. КоАП РБ, п.1, 3, 4. | Статья 741. Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА | Статья 462 КоАП РУз |
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | 1) Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных 2) Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 3)Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) 4) Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них 5) Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов | 1) Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность - 2) Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, если это деяние не содержит признаков уголовно наказуемого деяния | 1) Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин | 1) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных | 1) .Непредставление обрабатывающим лицом установленной законодательством информации по требованию субъекта персональных данных в ходе сбора персональных данных или нарушение порядка предоставления, или неразъяснение причин и следствий непредоставления: 2) Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: 3) Несоблюдение конфиденциальности лицами, обрабатывающими персональные данные, или иными лицами, предусмотренными Законом Республики Армения "О защите персональных данных", во время или после исполнения служебных или трудовых обязанностей, связанных с обработкой персональных данных | ____________ |
Санкция | 1) административный штраф: на граждан – от 1,5 тыс. руб до 3 тыс. руб.; (24.5$ - 49$) на должностных лиц – от 6 тыс. до 12 тыс. руб.; (98$ -196$) на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.; (163,4$ - 326,8$) на юридических лиц – от 30 тыс. до 60 тыс. руб. (490,2$ - 980,4$) 2) административный штраф: на граждан – от 2 тыс. до 4 тыс. руб.; (32,6$ - 65,3$) на должностных лиц – от 8 тыс. до 12 тыс. руб.; (130,7 $ - 196$) на индивидуальных предпринимателей – от 20 тыс. до 30 тыс. руб.; (326,8$ - 490,2$) на юридических лиц – от 40 тыс. до 80 тыс. руб. (653,6$ - 1307,2$) 3) административный штраф: на граждан – от 2 тыс. до 4 тыс. руб.; (32,6$ - 65,3$) на должностных лиц – от 8 тыс. до 12 тыс. руб.; (130,7 $ - 196$) на индивидуальных предпринимателей – от 20 тыс. до 40 тыс. руб.; (326,8$ - 653,6$) на юридических лиц – от 50 тыс. до 90 тыс. руб. (817$ - 1470$) 4) Административный штраф: на граждан – от 1,5 тыс. руб. до 4 тыс. руб.; (24.5$ - 65,3$) на должностных лиц – от 8 тыс. до 20 тыс. руб.; (130,7$ - 326,8$) на индивидуальных предпринимателей – от 20 тыс. до 40 тыс. руб.; (326,8$ - 653,6$) на юридических лиц – от 50 тыс. до 100 тыс. руб. (817$ - 1634$) 5) административный штраф на должностных лиц в размере от 6 тыс. до 12 тыс. руб. (98$ -196$) | 2) физических лиц – 306$; должностных лиц, субъектов малого предпринимательства или некоммерческие организации – 460$ субъектов среднего предпринимательства – 612$ субъектов крупного предпринимательства – 1225$ 3) физических лиц – 306$; должностных лиц, субъектов малого предпринимательства или некоммерческие организации – 612$ субъектов среднего предпринимательства – 918$ субъектов крупного предпринимательства – 1225$ | 50 $ - 1233$$ | физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ | 3)246$ - 492$$; 7)492$ - 738$ | |
Норма | Часть 3 ст. 13.11 КоАП РФ Часть 4 ст. 13.11 КоАП РФ Часть 5 ст. 13.11 КоАП РФ Часть 6 ст. 13.11 КоАП РФ Часть 7 ст. 13.11 КоАП РФ | Статья 79. КоАП РК, п. 2, 3. | Статья 23.7. КоАП РБ, п 2. | Статья 742 Кодекс о правонарушениях РМ, п. 2 | Статья 189.17. КоАП РА, пп. 3, 7. | |
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде | _____________ | _____________ | 1) Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе осуществления контрольных функций, представление недостоверной или неполной информации, а равно непредставление запрашиваемых сведений и документов в установленный законом срок 2) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных 3) Невыполнение в установленный срок решения Национального центра по защите персональных данных о восстановлении прав субъекта персональных данных, в том числе о приостановлении или прекращении обработки персональных данных, о блокировании, полном или частичном уничтожении персональных данных, обрабатываемых с нарушением законодательства в области защиты персональных данных | Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: | ____________ |
Санкция | Административный штраф:
| (1) физических лиц – 77$ - 155$ юридических лиц – 155$ - 388$ (2) физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ 3) физических лиц – 77$ - 155$ должностных лиц – 155$ - 466$ юридических лиц – 388$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года | 123$ - 246$; | |||
Норма | Статья 19.7 КоАП РФ | 1, 2) Статья 742 Кодекс о правонарушениях РМ 3) Статья 743 Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА, п. 4. | |||
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | _________________ | ______________ | 1) Трансграничная передача персональных данных с нарушением законодательства о защите персональных данных | _______________ | ___________ | _____________ |
Санкция | с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года физических лиц – 155$ - 233$ должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года | |||||
Норма | Статья 741. Кодекс о правонарушениях РМ, п. 5 |
Приложение 2
УВЕДОМЛЕНИЕ
о разработке проекта Закона Кыргызской Республики «О внесении изменений в некоторые законодательные акты по вопросам защиты персональных данных»
Настоящим Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики (далее – Агентство) извещает о начале обсуждения правового регулирования и сборе предложений заинтересованных лиц.
1. Описание проблем, на решение которых направлено предлагаемое регулирование (описать с использованием соответствующих количественных и качественных показателей):
Кыргызская Республика, понимая значение, роль и преимущества информационно-телекоммуникационных технологий в вопросах модернизации системы государственного управления, активно внедряет цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав.
В этой связи в 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера», который достаточно подробно регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных. Закон предусматривает наступление юридической ответственности за неисполнение требований по защите персональных данных, что подразумевает наличие по меньшей мере административных санкций за неисполнение требований или нарушение законодательства. Однако до сегодняшнего дня в законодательстве Кыргызской Республики отсутствуют нормы, устанавливающие юридическую ответственность лиц, виновных в нарушении законодательства об информации персонального характера. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
Предлагаемый проект Закона разработан в целях реализации Закона Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года № 58, подразумевающего наличие ответственности за нарушение требований законодательства о персональных данных.
Одним из методов обеспечения неукоснительного соблюдения правовых норм сторонами правоотношений, связанных с обработкой персональных данных, является прежде всего наличие юридической ответственности за нарушение норм права. В условиях отсутствия юридических оснований для привлечения к ответственности лиц, виновных в нарушении законов, органы государственной власти не могут обеспечить режим законности, как важной составляющей правового государства, который предполагает гарантии выполнения содержащихся в нормах права предписаний. Именно законодательное установление процедуры обеспечения законности будет восприниматься гражданами как гарантированное закрепление их реальных возможностей, обеспечиваемых государством.
Особенно это актуализируется в условиях, когда государственные органы и частные структуры используют биометрические данные граждан для обеспечения эффективной цифровой трансформации. В перспективе предусматривается активное использование информационно-коммуникационных технологий для достижения целей модернизации государственного управления, экономики и социальной сферы посредством инновационных технологий, где основным идентификатором гражданина будут выступать только его персональные данные.
Учитывая изложенные обстоятельства был разработан настоящий проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях. Так, Кодекс предлагается дополнить статьей, устанавливающей ответственность за:
-сбор, обработку, использование, хранение, передачу, включая обмен персональных данных без законного основания;
-необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;
-трансграничная передача персональных данных с нарушением установленного законом порядка;
-внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных (далее – Реестр), а также отсутствие регистрации в Реестре;
-нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.
Указанные составы правонарушения вытекают из требований Закона Кыргызской Республики «Об информации персонального характера», которые определяют исчерпывающий перечень правовых оснований для работы с персональными данными граждан, обязанность держателей (обладателей) персональных данных предоставлять соответствующую информацию субъектам персональных данных, уполномоченному органу по персональным данным.
Предусматривается ответственность за трансграничную передачу персональных данных, так как в настоящее время информация персонального характера может собираться на территории Кыргызской Республики и продаваться различным группам, которые могут преследовать корыстные или преступные цели.
Одновременно предусматривается ответственность за внесение недостоверной или неполной информации в Реестр, а также отсутствие регистрации в Реестре в процессе сбора, обработки и хранения персональных данных, что напрямую нарушает права субъектов персональных данных, которые должны иметь возможность получать информации относительно законности собираемых у них персональных данных, при том что сбор, обработка и регистрация персональных данных вообще не допускается без регистрации в Реестре.
Как одна из переходных норм закрепляется ответственность за нарушения Закона Кыргызской Республики “Об информации персонального характера” при сборе, хранении и обработке персональных данных без использования средств автоматизации. Данная норма предусматривает ответственность таких организаций, которые в настоящее время составляют большинство во всех отраслях, несмотря на процессы цифровизации, происходящие в обществе. Другими словами, основным незащищенным направлением может оказаться именно неавтоматизированная обработка персональных данных.
Однако следует понимать, что в ближайшие десятилетия практика сбора, хранения и обработки персональных данных может быть полностью заменена на автоматизированную обработку.
Также отмечаем, что в качестве субъектов указанных правонарушений могут выступать физические и юридические лица. В связи с этим предлагается привлекать к ответственности лиц, выступающих держателями (обладателями) массива персональных данных для повышения ответственности.
Учитывая, что проектом Закона предлагается дополнить Кодекс новой статьей, закономерно вытекает необходимость определения органа, который будет выявлять нарушения законодательства и применять меры ответственности к правонарушителям. В связи с этим проект предусматривает внесение изменений в главу 51 Кодекса Кыргызской Республики о правонарушениях.
Одновременно предлагается внесение изменений в статью 456 в части передачи полномочий органов внутренних дел возбуждать дела о правонарушениях и рассматривать их в ведение Уполномоченного государственного органа по персональным данным, предусмотренных статьями 228 и 2281.
Данная мера предлагается для внесения на основании статьи 291 Закона Кыргызской Республики “Об информации персонального характера”, так как за уполномоченным государственным органом закрепляется функция по контролю за соблюдением законодательства Кыргызской Республики в области персональных данных.
Одновременно следует отметить, что статьи 228 и 2281 напрямую не направлены на общественный порядок, при этом их воздействие нацелено непосредственно на личность, и в первую очередь, преследуют экономические цели. В этой связи данная норма, если и используется органами внутренних дел, то в крайне незначительной степени. Так, за 2020-2021 годы органами внутренних дел в части нарушений персональных данных возбуждено 390 уголовных дел, из которых подавляющая часть (254 дел), относились к делам о подделке документов, незаконной выдаче паспорта и служебном подлоге, квалифицировались как уголовные и подпадали под юрисдикцию органов внутренних дел.
В связи с этим принято решение разграничить полномочия и передать административную часть работы по возбуждению дел о правонарушениях и рассмотрению их в ведение уполномоченного государственного органа по персональным данным.
Также проектом предусматривается внесение изменений в Налоговый кодекс Кыргызской Республики в части обеспечения доступа уполномоченного государственного органа к информации, составляющей налоговую тайну в случаях, когда это необходимо для реализации своих полномочий, предусмотренных статьей 291 Закона Кыргызской Республики “Об информации персонального характера” в части реализации полномочий по защите прав субъектов персональных данных.
Предлагаемые изменения позволят устранить существующую юридическую неопределенность и, соответственно, пространство, в котором сегодня могут действовать правонарушители.
Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу.
Отдельно предлагаемые изменения также позволят усилить независимый статус уполномоченного государственного органа по персональным данным.
2. Оценка ожидаемых выгод и преимуществ предлагаемого регулирования (описать с использованием соответствующих количественных и качественных показателей):
Предлагаемые изменения позволят устранить существующую юридическую неопределенность и соответственно пространство, в котором сегодня могут действовать правонарушители.
Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу.
3. Оценка возможных неблагоприятных последствий (описать с использованием соответствующих количественных и качественных показателей):
Неблагоприятных последствий от регулирования не предвидится.
4. Характеристика и оценка численности субъектов предпринимательства - адресатов предлагаемого регулирования (описать с использованием соответствующих количественных показателей):
Все государственные и муниципальные органы, а также субъекты предпринимательства, имеющие совокупность массивов персональных данных (данные работников, клиентов, абонентов, пациентов и т.д.).
5. Приблизительная оценка дополнительных расходов и выгод потенциальных адресатов предлагаемого регулирования, связанных с его введением:
Принятие настоящего проекта Закона Кыргызской Республики не повлечет дополнительных финансовых затрат.
Выгоды видятся очевидными и заключаются в том, что в Кыргызской Республике будет эффективно функционировать система защиты персональных данных граждан страны, что будет также проецировать уверенность населению в защищенности и возможности использования новых технологий в своих правоотношениях, что будет увеличивать долю рынка высоких технологий и онлайн-услуг.
6. Приблизительная оценка расходов и выгод бюджета Кыргызской Республики, связанных с введением предлагаемого регулирования:
Затрат из государственного бюджета не предвидится.
Перечень вопросов для участников публичных консультаций:
-являются ли указанные проблемы верными, требующими решения путем изменения регулирования;
-является ли указанная цель обоснованной, важной для достижения;
-является ли предлагаемое регулирование наиболее предпочтительным способом решения проблем;
-какие выгоды и преимущества могут возникнуть в случае принятия предлагаемого регулирования;
-какие риски и негативные последствия могут возникнуть в случае принятия предлагаемого регулирования;
-существуют ли альтернативные более эффективные способы решения проблем;
-ваше общее мнение относительно предлагаемого регулирования.
Контакты и сроки для обсуждения информации уведомления
1. Предложения принимаются | |
по электронной почте: | |
2. Срок приема предложений не позднее: | 21 октября 2022 года |
3. Срок размещения Реестра предложений и ответов на официальном сайте органа разработчика не позднее | 25 октября 2022 года |
[1] http://www.ibc.kg/ru/analysis/articles/2112_zaschita_personalnyh_dannyh_v_kyrgyzskoi_respublike