Часто задаваемые вопросы

Любая организация (государственная, частная), которая имеет совокупную информацию о персональных данных физических лиц (граждан, сотрудников, клиентов, абонентов и т.д.), является держателем (обладателем) массивов персональных данных. 

В соответствии с Законом Кыргызской Республики «Об информации персонального характера» держатель (обладатель) массивов персональных данных обязан соблюдать требования законодательства Кыргызской Республики по защите прав субъектов персональных данных. 

В соответствии с Законом Кыргызской Республики «Об информации персонального характера» и положением о Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики, за Агентством закреплены полномочия по осуществлению контроля путем проведения проверок за соблюдением требований законодательства Кыргызской Республики по защите прав субъектов персональных данных.

В первоочередную группу по проверкам попадают те организации, в которых уже имеются задокументированные инциденты по нарушениям законодательства в сфере защиты персональных данных.

Для государственных органов

Для регламентации процесса проведения проверок Агентством с держателями (обладателями) массивов персональных данных из числа органов государственной власти, местных государственных администраций и органов местного самоуправления, в том числе с целью исключения возможных коррупционных рисков и создания атмосферы транспарентности, Агентством разработан проект постановления Кабинета Министров Кыргызской Республики «Об осуществлении контроля за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления».

В настоящее время проект проходит процедуру согласования с заинтересованными государственными органами Кыргызской Республики.

 Для организаций

Порядок проведения проверок субъектов предпринимательства регулируется Законом Кыргызской Республики “О порядке проведения проверок субъектов предпринимательства” .

В соответствии со статьей 6 данного Закона уполномоченный орган разрабатывает критерии, по которым оценивается степень риска при осуществлении предпринимательской деятельности в сфере, отнесенной к его ведению, и утверждаются Кабинетом Министров Кыргызской Республики.

В связи с этим Агентством разработан проект постановления Кабинета Министров Кыргызской Республики «О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108», который учитывает уже имеющиеся нормативы по определению угроз безопасности при сборе, обработке и хранении персональных данных, в частности Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.

В настоящее время проект проходит процедуру общественного обсуждения и согласования с заинтересованными государственными органами.


Реестр массивов персональных данных и держателей (обладателей) массивов персональных данных (далее - Реестр) представляет собой единую систему государственного учета держателей (обладателей) и их массивов персональных данных, а также перечней персональных данных включаемых в те или иные массивы персональных данных.

Согласно статье 30 Закона "Об информации персонального характера", в Реестр подлежат включению:

  • наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс);
  • наименование массива персональных данных;
  • цели и способы сбора и использования персональных данных;
  • режимы и сроки их хранения;
  • перечень собираемых персональных данных;
  • категории или группы субъектов персональных данных;
  • источники сбора персональных данных;
  • порядок информирования субъектов о сборе и возможной передаче их персональных данных;
  • меры по обеспечению сохранности и конфиденциальности персональных данных;
  • лицо, непосредственно ответственное за работу с персональными данными.
  • получатели или категории получателей, которым могут передаваться данные;
  • предполагаемая трансграничная передача персональных данных.

В Реестр не подлежат включению массивы персональных данных и их держатели (обладатели), содержащие государственные секреты.

Пошаговая инструкция по заполнению Реестра - Руководство пользователя системы «Реестр держателей (обладателей) массивов персональных данных» - размещена здесь

Также на сайте Агентства в разделе "Помощь" размещена видео-инструкция по заполнению Реестра.

Согласно статье 17 Закона Кыргызской Республики "Об информации персонального характера", держатель массива персональных данных обязан:

а) получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц;

б) обеспечивать режим конфиденциальности персональных данных в случаях, предусмотренных законодательством Кыргызской Республики и настоящим Законом;

в) определить обработчика для обработки персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель самостоятельно возлагает на себя функции и обязанности обработчика;

г) обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;

д) предоставлять персональные данные в недельный срок после поступления запроса от субъекта;

ж) в случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 15 настоящего Закона, в срок, не превышающий одной недели с момента обращения субъекта;

з) представлять по запросам уполномоченного государственного органа или Омбудсмена (Акыйкатчы) Кыргызской Республики в недельный срок информацию, необходимую для исполнения их полномочий.

Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности согласно статье 6 Закона "Об информации персонального характера".

1. Ограничьте доступ к вашим данным

Не рассказывайте о своем имени, фамилии и семейном положении, и тем более не давайте фотографировать или делать копию ваших документов незнакомцам.

2. Не выкладывайте фото своего паспорта в Интернет и не пересылайте через электронную почту или через мессенджеры (Telegram, WhatsApp). Вы можете предоставлять свой паспорт только при получении услуг от государственных органов или банков.

3. Не делитесь информацией о своих банковских картах

Не показывайте и не говорите никому (особенно по телефону) пароли и коды, указанные на банковской карте, или данные для входа в интернет-банкинг.

4. Будьте осторожны с информацией на цифровых носителях  

Не заходите в интернет-банкинг с чужих компьютерных устройств или телефонов. Браузер может сохранить ваш пароль автоматически, что может привести к потере данных. Также не делитесь флеш-картами, если на них есть фотографии паспорта, анкеты с указанием паспортных данных или другие персональные данные.

5. Читайте и узнавайте больше об изменении законов, касающихся защиты персональных данных и цифровых технологий, которые вводятся для упрощения передачи данных и их защиты.

Если вы считаете, что ваши права в сфере персональных данных нарушены, то вы можете предпринять следующие действия:

1. Вы можете обратиться непосредственно к держателю или обработчику ваших персональных данных, по вине которого были нарушены ваши права. 

По письменному запросу гражданин может получить всю информацию о себе у держателя массива персональных данных на бесплатной основе, за исключением случаев, когда информация предоставляется держателем на материальном носителе (бумага, дискета, флешка и т.д.).

Информация о наличии персональных данных и сами персональные данные должны быть предоставлены в течение 7 дней после получения запроса субъекта персональных данных.

Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.

Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 Закона “Об информации персонального характера” Кыргызской Республики.

2. Если ваши действия не увенчались успехом, а права также нарушены, то вы можете обратиться в Государственное агентство по защите персональных данных при Кабинете Министров для установления фактов нарушения, и в случае их подтверждения, Агентство примет соответствующие меры.

3. Вы также можете обжаловать неправомерные действия держателя или обработчика ваших персональных данных в судебном порядке.

Согласно Закону Кыргызской Республики "Об информации персонального характера", граждане имеют право знать, какие персональные данные государственные, муниципальные или коммерческие организации (владельцы массивов персональных данных) собирают, обрабатывают и хранят персональные данные гражданина, и делают ли они это на законных основаниях.

Право на согласие или отказ в предоставлении персональных данных

Согласно закону “Об информации персонального характера”, субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных, и дает согласие на их обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 15 данного Закона.

В целях реализации своих прав и свобод субъект предоставляет данные, а также сведения об их изменениях в соответствующие органы государственной власти, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции.

Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.

Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа.

Право доступа

Субъект персональных данных имеет право знать о наличии у держателя относящихся к нему персональных данных и иметь к ним доступ. Гражданин также имеет право на получение от держателя массива персональных данных информации, касающейся обработки его персональных данных, содержащей:

  1. подтверждение факта обработки персональных данных держателем массива персональных данных;
  2. правовые основания и цели обработки персональных данных;
  3. цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных
  4. наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;
  5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
  6. сроки обработки персональных данных, в том числе сроки их хранения;
  7. порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;
  8. информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  9. иные сведения, предусмотренные настоящим Законом и иными нормативными правовыми актами.

По своему письменному запросу субъект может получить всю информацию о себе у держателя массива персональных данных на бесплатной основе, за исключением случаев, когда информация предоставляется держателем на материальном носителе (бумага, дискета, флешка и т.д.).

Информация о наличии персональных данных и сами персональные данные должны быть предоставлены в течение 7 дней после получения запроса субъекта персональных данных.

Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.

Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 Закона “Об информации персонального характера” Кыргызской Республики.

Право на внесение изменений

При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные. Изменения в персональные данные вносятся по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.

Право на блокирование

В случае если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные. 

Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его персональные данные с момента его получения на период проверки заявления.

Право на обжалование 

Если субъект персональных данных считает, что в отношении его или ее персональных данных совершены неправомерные действия, он / она вправе обжаловать эти действия в судебном порядке.

Право на возмещение убытков и/или компенсацию морального вреда

Субъект персональных данных имеет право на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке.

GDPR — это закон обеспечивающий защиту прав пользователей в интернете, регулирующий, в частности, передачу, обработку, хранение персональных данных каждого человека, который находится на территории Евросоюза, либо является гражданином ЕС.

Общий список требований GDPR : 

  • собирать данные только с согласия пользователя;
  • использовать их только по заявленному назначению;
  • после работы с данными — удалять их;
  • уничтожать данные по требованию владельца;
  • хранить персональные данные в безопасности;
  • не распространять данные без согласия пользователя

Нужно ли соблюдать GDPR в Кыргызстане?

Формально в Кыргызской Республике компании не обязаны соблюдать GDPR — для них действует Закон Кыргызской Республики “Об информации персонального характера”. Но Общий регламент о защите данных действует не только на территории Евросоюза, а распространяется на всех его граждан, где бы они не находились. Если компания собрала и обработала персональные данные резидента Евросоюза — она обязана была это сделать по нормативам GDPR. 

Например, если кыргызстанская авиакомпания продала билет гражданину Франции, она должна была это сделать в соответствии с GDPR.

Агентство не имеет доступа к персональным данным, содержащихся в базах данных Держателей (обладателей) массивов персональных данных.

Персональные данные относятся к частной жизни граждан, а тайна частной жизни гарантируется нам Конституцией Кыргызской Республики. Граждане должны точно знать, где хранятся их персональные данные, кто имеет доступ к ним. Граждане должны иметь возможность распоряжаться своими данными как собственностью, должны сами решать, какую информацию они хотят передать, а какую – нет. Для того, чтобы права граждан не нарушались, необходимо проводить информационно-просветительскую работу о том, как можно защитить персональные данные граждан. Также необходимо усиливать ответственность за нарушения законодательства в сфере персональных данных.

В настоящее время ведется полномасштабный сбор персональных данных как в бумажном, так и в электронном виде. И неизвестно, имеют ли право организации на сбор таких данных, как они хранят данные, кто имеет право доступа к данным, есть ли риск утечки данных? Основной целью Агентства является защита персональных данных граждан от незаконных действий организации.

Агентство будет проверять держателей массивов персональных данных, которые осуществляют сбор и обработку персональных данных с использованием информационных систем на безопасность этих систем.

Агентство выполняет следующие функции:

1) в сфере отраслевой политики:

  • содействие развитию и реализации государственной политики в области персональных данных в пределах своей компетенции;
  • разработка единой государственной политики в области защиты персональных данных;
  • осуществление функции государственного заказчика научно-технических и инвестиционных программ и проектов в области защиты персональных данных;
  • обеспечение выполнения обязательств, принятых в рамках международных договоров в сфере персональных данных, вступивших в силу в соответствии с законодательством Кыргызской Республики;
  • обеспечение согласованности деятельности государственных органов по вопросам реализации и защиты прав субъектов персональных данных, в том числе безопасности, при обработке персональных данных;
  • разработка проектов нормативных правовых актов и решений Кабинета Министров Кыргызской Республики в области правового регулирования работы с персональными данными, защиты прав субъектов персональных данных, обеспечения безопасной обработки персональных данных, отраслевых стандартов, технических условий, инструкций в сфере персональных данных, а также технических актов по регулированию деятельности в области персональных данных;

2) в сфере регулирования, координации, надзора и контроля:

  • осуществление контроля путем проведения проверок за соблюдением требований законодательства Кыргызской Республики по защите персональных данных и прав субъектов персональных данных;
  • ведение учета и регистрации массивов персональных данных и их держателей (обладателей);
  • формирование и ведение Реестра держателей (обладателей) массивов персональных данных;
  • согласование перечней персональных данных держателей (обладателей) массивов персональных данных;
  • осуществление контроля за использованием персональных данных, полученных государственными органами, местными государственными администрациями и органами местного самоуправления от других государственных держателей (обладателей) персональных данных;
  • координация использования государственными органами, местными государственными администрациями и органами местного самоуправления в своей деятельности персональных данных, находящихся у других держателей (обладателей) персональных данных;
  • дача рекомендаций по спорным вопросам, возникающим между участниками информационного взаимодействия при обработке, хранении и передаче персональных данных, в том числе с использованием элементов электронного управления;
  • осуществление контроля за обеспечением исполнения требований законодательства Кыргызской Республики по содержанию и обработке персональных данных в информационных системах персональных данных, а также защите персональных данных;
  • осуществление мониторинга практики обеспечения безопасности персональных данных при их обработке, обобщение и публикация лучших практик и стандартов обеспечения безопасности персональных данных при их обработке;
  • оказание содействия субъектам персональных данных в реализации и защите их прав;
  • рассмотрение обращений субъектов персональных данных о нарушениях законодательства в сфере персональных данных и вынесение заключений;
  • направление в правоохранительные органы материалов, связанных с нарушением прав субъектов персональных данных, предусмотренных законодательством Кыргызской Республики в сфере персональных данных, для принятия соответствующих мер по исполнению законодательства Кыргызской Республики;
  • осуществление методической помощи по организации защиты персональных данных.

Согласно законодательству Кыргызской Республики, к персональным данным относятся биографические и опознавательные данные граждан, личные характеристики, сведения о семейном и финансовом положении, состоянии здоровья и прочее.

Персональные данные – это любая информация, используя которую человека можно прямо или косвенно узнать (идентифицировать). 

Например:

  • ФИО; 
  • персональный идентификационный номер (ПИН/ИНН); 
  • биометрические данные; 
  • семейное положение; 
  • онлайн-идентификатор (имя пользователя в социальных сетях, IP-адрес); 
  • кадры камеры видеонаблюдения, позволяющие идентифицировать физическое лицо; 
  • другая информация.

Примерами специальной категории («чувствительных») персональных данных являются биометрические данные граждан, медицинские записи больных, банковские реквизиты. Обработка и передача такой информации требует дополнительных мер контроля безопасности

Примеры не персональных данных:

  • регистрационный номер организации;
  • ИНН юридического лица;
  • электронный адрес организации;
  • название города без конкретной привязке к адресу и имени субъекта персональных данных;
  • имя человека без одновременной привязки фамилии и общества, а если сочетание распространенное, то без дополнительных идентифицирующих признаков.