Настоящим Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики (далее – Агентство) извещает о начале обсуждения правового регулирования и сборе предложений заинтересованных лиц.
1. Описание проблем, на решение которых направлено предлагаемое регулирование (описать с использованием соответствующих количественных и качественных показателей):
Кыргызская Республика, понимая значение, роль и преимущества информационно-телекоммуникационных технологий в вопросах модернизации системы государственного управления, активно внедряет цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав.
В 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера» (далее – Закон), который регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных.
С 2008 года в Закон были внесены некоторые изменения (в редакции Законов от 20 июля 2017 года № 129, 29 ноября 2021 года № 142, 30 июня 2022 года № 53, 12 июля 2022 года № 61), при этом Закон не обновлялся ключевым образом в течении пятнадцати лет, в связи с чем, назрела острая необходимость модернизации законодательной базы в области защиты персональных данных. В частности существует необходимость упрощения процедур получения согласия на сбор и обработку персональных данных и его отзыв, включения норм по защите персональных данных детей, более четкого установления функций уполномоченного органа, расширения прав субъекта персональных данных и конкретного разграничения прав и обязанностей держателей и обработчиков массивов персональных данных.
Так, в соответствии со статьей 9 действующего Закона согласие субъекта должно быть выражено в письменной форме на бумажном носителе, либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью. Учитывая, что существующий порядок получения согласия является сложным и устаревшим, проектом Закона предлагается упростить существующий порядок получения согласия субъекта персональных данных путем установления порядка получения согласия в добровольном, конкретном, информированном и однозначном волеизъявлении, в котором субъект персональных данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных, в форме, позволяющей подтвердить факт его получения. Кроме того включаются нормы о необходимости получения согласия субъекта персональных данных только в письменной форме или в виде цифрового документа иными законодательными актами.
Действующим законодательством не предусмотрено право субъекта на отзыв своего согласия на обработку его персональных данных, который ограничивает права субъектов персональных данных, в связи с чем, предусматривается ввести статью «Отзыв согласия субъектом персональных данных», который может являться основанием для уничтожения его персональных данных, собранных, обрабатываемых и хранящихся у держателя, в том числе тех данных, которые переданы обработчикам и третьим лицам.
Проектом предусматривается определение биометрических персональных данных и генетических персональных данных, как части специальных категорий персональных данных и их правового режима, а также вводятся понятия профилирования и псевдонимизации.
В настоящее время развитие искусственного интеллекта стремительно прогрессирует. Современные системы искусственного интеллекта повсеместно используются для сбора и обработки как явных данных о человеке, таких как имя, место жительства и т.д., так и неявных сведений. Примером тому являются, социальные сети, где пользователь предоставляет свои персональные данные для регистрации на том или ином сайте (Facebook, Instagram, Одноклассники.ru и др.), а также других целей, а владельцы того или иного сайта в целях трекинга обрабатывают эти данные, в том числе используя технологии на базе искусственного интеллекта.
В связи с вышеизложенным, предлагается ввести статью «Использование автоматизированной обработки персональных данных, влекущее правовые последствия для субъекта персональных данных», которая устанавливает порядок обработки персональных данных субъектов искусственным интеллектом.
Кроме этого, предлагается предусмотреть право возражения субъектом по вопросам обработки его персональных данных, в том числе отказ от обработки для целей прямого маркетинга, а также предусмотреть полномочия уполномоченного государственного органа по персональным данным рассматривать заявления субъекта персональных данных о прекращении обработки излишних персональных данных, а также персональных данных, которые используются в целях прямого маркетинга или рассылки уведомлений, а также незаконной передачи третьим лицам.
Предлагаемым проектом планируется внедрить в качестве права субъекта получать компенсации за причиненный ущерб и моральный вред из средств, поступающих от взысканий, применяемых к держателям в соответствии с Кодексом Кыргызской Республики о правонарушениях.
При этом, предполагается еще несколько уровней, дающих право на получение компенсаций, в их числе медиация и арбитраж. Предполагается создание при Уполномоченном государственном органе независимого арбитража по рассмотрению споров, касающихся компенсации причиненного ущерба и морального вреда, после не урегулирования вопросов, связанных с компенсацией причиненного ущерба и морального вреда посредством привлечения медиатора.
В свою очередь решения арбитража могут быть пересмотрены в судебном порядке по заявлению держателя, также субъект персональных данных, имеет право на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке.
Обеспечение защиты персональных данных детей является одной из важнейших задач в области защиты данных. Дети в интернете сталкиваются с множеством угроз, таких как онлайн-хулиганство, кибербуллинг, недопустимый контент и другие риски. Для того, чтобы предотвратить эти угрозы, необходимо обеспечить эффективную защиту их персональных данных. Данная проблема является важной еще и из-за стремительного развития цифровых технологий и интернет-сервисов. Регулирование сбора, хранения и использования персональных данных детей урегулировано недостаточно четко законодательством Кыргызской Республики. В связи с чем, необходимы предлагаемые изменения, которые подробно регулируют особенности обработки персональных данных детей.
Глава 4 Закона регулирует права и обязанности держателя и обработчика по работе с массивами персональных данных.
В соответствии с частью 2 статьи 16 действующего Закона Кыргызской Республики «Об информации персонального характера» юридические лица имеют право на работу с персональными данными после регистрации в Уполномоченном государственном органе в качестве держателя (обладателя) массива персональных данных. Однако, проектом Закона должны быть предусмотрены положения, упрощающие данную норму, а именно предусматривающие, что юридические и физические лица, имеющие массивы персональных данных с данными более 10000 субъектов персональных данных, а также специальные категории персональных данных, вне зависимости от их количества собираемые для реализации целей, не закрепленных нормативными правовыми актами в качестве обязательных, образовательные и социальные организации, а также все государственные и муниципальные органы должны проходить регистрацию в вышеназванном реестре.
Предлагается дополнить организационные и технические меры защиты персональных данных и обязать держателей и обработчика принять правила внутреннего распорядка и внедрить меры, которые, в частности, отвечают принципам проектируемой защиты данных и защиты данных по умолчанию.
В связи с тем, что норма об обязательном информировании субъектов персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок не исполняется большинством держателей персональных данных, необходимо упростить порядок информирования субъектов персональных данных об осуществленной передаче его персональных данных третьей стороне, за исключением трансграничной передачи персональных данных.
Кроме того, закрепить за Уполномоченным государственным органом по персональным данным определение порядка оценки адекватности применяемых мер защиты персональных данных и законодательства иностранных государств для включения в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных и за держателями ответственность в удостоверении в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
Проектом планируется предусмотреть регламентацию обеспечения соблюдения законодательства в области информации персонального характера и обязать держателей массивов персональных данных не позднее, чем через 72 часа после обнаружения нарушения безопасности персональных данных уведомить Уполномоченный государственный орган по персональным данным об инциденте, а также документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации, также, назначить ответственное лицо по защите персональных данных и предусмотреть правовые основания деятельности ответственного лица по защите персональных данных.
Проектом закона также должно быть предусмотрено право Уполномоченного государственного органа по персональным данным помимо самостоятельного контроля за соблюдением закона в сфере защиты персональных данных, право привлекать сторонние организации осуществляющие контрольные функции в отношении держателей, после прохождения аккредитации в Уполномоченном государственном органе по персональным данным.
Предлагаемые изменения упростят вопросы регистрации в реестре и получения согласия на сбор и обработку персональных данных субъектов и его отзыв, а также будут введены новые положения с учетом внедрения современных технологий.
2. Оценка ожидаемых выгод и преимуществ предлагаемого регулирования (описать с использованием соответствующих количественных и качественных показателей):
Предлагаемые изменения упростят вопросы регистрации в реестре и получения согласия на сбор и обработку персональных данных субъектов, а также будут введены новые положения с учетом внедрения современных технологий.
3. Оценка возможных неблагоприятных последствий (описать с использованием соответствующих количественных и качественных показателей):
Неблагоприятных последствий от регулирования не предвидятся.
4. Характеристика и оценка численности субъектов предпринимательства - адресатов предлагаемого регулирования (описать с использованием соответствующих количественных показателей):
Все государственные и муниципальные органы, а также субъекты предпринимательства, имеющие совокупность массивов персональных данных (данные работников, клиентов, абонентов, пациентов и т.д.).
5. Приблизительная оценка дополнительных расходов и выгод потенциальных адресатов предлагаемого регулирования, связанных с его введением:
Принятие настоящего проекта Закона Кыргызской Республики не повлечет дополнительных финансовых затрат.
Выгоды видятся очевидными и заключаются в том, что в Кыргызской Республике будет эффективно функционировать система защиты персональных данных граждан страны, что будет также проецировать уверенность населению в защищенности и возможности использования новых технологий в своих правоотношениях, что будет увеличивать долю рынка высоких технологий и онлайн-услуг.
6. Приблизительная оценка расходов и выгод бюджета Кыргызской Республики, связанных с введением предлагаемого регулирования:
Затрат из государственного бюджета не предвидится.
Перечень вопросов для участников публичных консультаций:
являются ли указанные проблемы верными, требующими решения путем изменения регулирования;
является ли указанная цель обоснованной, важной для достижения;
является ли предлагаемое регулирование наиболее предпочтительным способом решения проблем;
какие выгоды и преимущества могут возникнуть в случае принятия предлагаемого регулирования;
какие риски и негативные последствия могут возникнуть в случае принятия предлагаемого регулирования;
существуют ли альтернативные более эффективные способы решения проблем;
ваше общее мнение относительно предлагаемого регулирования.
Контакты и сроки для обсуждения информации уведомления
1. Предложения принимаются по электронной почте: | |
2. Срок приема предложений не позднее: | 27 ноября 2023 года |
3. Срок размещения Реестра предложений и ответов на официальном сайте органа разработчика не позднее | 30 ноября 2023 года |