Любая организация (государственная, частная), которая имеет совокупную информацию о персональных данных физических лиц (граждан, сотрудников, клиентов, абонентов и т.д.), является держателем (обладателем) массивов персональных данных.
В соответствии с Законом Кыргызской Республики «Об информации персонального характера» держатель (обладатель) массивов персональных данных обязан соблюдать требования законодательства Кыргызской Республики по защите прав субъектов персональных данных.
В соответствии с Законом Кыргызской Республики «Об информации персонального характера» и положением о Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики, за Агентством закреплены полномочия по осуществлению контроля путем проведения проверок за соблюдением требований законодательства Кыргызской Республики по защите прав субъектов персональных данных.
В первоочередную группу по проверкам попадают те организации, в которых уже имеются задокументированные инциденты по нарушениям законодательства в сфере защиты персональных данных.
Для государственных органов
Для регламентации процесса проведения проверок Агентством с держателями (обладателями) массивов персональных данных из числа органов государственной власти, местных государственных администраций и органов местного самоуправления, в том числе с целью исключения возможных коррупционных рисков и создания атмосферы транспарентности, Агентством разработан проект постановления Кабинета Министров Кыргызской Республики «Об осуществлении контроля за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления».
В настоящее время проект проходит процедуру согласования с заинтересованными государственными органами Кыргызской Республики.
Для организаций
Порядок проведения проверок субъектов предпринимательства регулируется Законом Кыргызской Республики “О порядке проведения проверок субъектов предпринимательства” .
В соответствии со статьей 6 данного Закона уполномоченный орган разрабатывает критерии, по которым оценивается степень риска при осуществлении предпринимательской деятельности в сфере, отнесенной к его ведению, и утверждаются Кабинетом Министров Кыргызской Республики.
В связи с этим Агентством разработан проект постановления Кабинета Министров Кыргызской Республики «О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108», который учитывает уже имеющиеся нормативы по определению угроз безопасности при сборе, обработке и хранении персональных данных, в частности Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
В настоящее время проект проходит процедуру общественного обсуждения и согласования с заинтересованными государственными органами.
Реестр массивов персональных данных и держателей (обладателей) массивов персональных данных (далее - Реестр) представляет собой единую систему государственного учета держателей (обладателей) и их массивов персональных данных, а также перечней персональных данных включаемых в те или иные массивы персональных данных.
Согласно статье 30 Закона "Об информации персонального характера", в Реестр подлежат включению:
В Реестр не подлежат включению массивы персональных данных и их держатели (обладатели), содержащие государственные секреты.
Пошаговая инструкция по заполнению Реестра - Руководство пользователя системы «Реестр держателей (обладателей) массивов персональных данных» - размещена здесь.
Также на сайте Агентства в разделе "Помощь" размещена видео-инструкция по заполнению Реестра.
Согласно статье 17 Закона Кыргызской Республики "Об информации персонального характера", держатель массива персональных данных обязан:
а) получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц;
б) обеспечивать режим конфиденциальности персональных данных в случаях, предусмотренных законодательством Кыргызской Республики и настоящим Законом;
в) определить обработчика для обработки персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель самостоятельно возлагает на себя функции и обязанности обработчика;
г) обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;
д) предоставлять персональные данные в недельный срок после поступления запроса от субъекта;
ж) в случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 15 настоящего Закона, в срок, не превышающий одной недели с момента обращения субъекта;
з) представлять по запросам уполномоченного государственного органа или Омбудсмена (Акыйкатчы) Кыргызской Республики в недельный срок информацию, необходимую для исполнения их полномочий.
Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности согласно статье 6 Закона "Об информации персонального характера".
1. Ограничьте доступ к вашим данным
Не рассказывайте о своем имени, фамилии и семейном положении, и тем более не давайте фотографировать или делать копию ваших документов незнакомцам.
2. Не выкладывайте фото своего паспорта в Интернет и не пересылайте через электронную почту или через мессенджеры (Telegram, WhatsApp). Вы можете предоставлять свой паспорт только при получении услуг от государственных органов или банков.
3. Не делитесь информацией о своих банковских картах
Не показывайте и не говорите никому (особенно по телефону) пароли и коды, указанные на банковской карте, или данные для входа в интернет-банкинг.
4. Будьте осторожны с информацией на цифровых носителях
Не заходите в интернет-банкинг с чужих компьютерных устройств или телефонов. Браузер может сохранить ваш пароль автоматически, что может привести к потере данных. Также не делитесь флеш-картами, если на них есть фотографии паспорта, анкеты с указанием паспортных данных или другие персональные данные.
5. Читайте и узнавайте больше об изменении законов, касающихся защиты персональных данных и цифровых технологий, которые вводятся для упрощения передачи данных и их защиты.
Если вы считаете, что ваши права в сфере персональных данных нарушены, то вы можете предпринять следующие действия:
1. Вы можете обратиться непосредственно к держателю или обработчику ваших персональных данных, по вине которого были нарушены ваши права.
По письменному запросу гражданин может получить всю информацию о себе у держателя массива персональных данных на бесплатной основе, за исключением случаев, когда информация предоставляется держателем на материальном носителе (бумага, дискета, флешка и т.д.).
Информация о наличии персональных данных и сами персональные данные должны быть предоставлены в течение 7 дней после получения запроса субъекта персональных данных.
Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.
Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 Закона “Об информации персонального характера” Кыргызской Республики.
2. Если ваши действия не увенчались успехом, а права также нарушены, то вы можете обратиться в Государственное агентство по защите персональных данных при Кабинете Министров для установления фактов нарушения, и в случае их подтверждения, Агентство примет соответствующие меры.
3. Вы также можете обжаловать неправомерные действия держателя или обработчика ваших персональных данных в судебном порядке.
Согласно Закону Кыргызской Республики "Об информации персонального характера", граждане имеют право знать, какие персональные данные государственные, муниципальные или коммерческие организации (владельцы массивов персональных данных) собирают, обрабатывают и хранят персональные данные гражданина, и делают ли они это на законных основаниях.
Право на согласие или отказ в предоставлении персональных данных
Согласно закону “Об информации персонального характера”, субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных, и дает согласие на их обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 15 данного Закона.
В целях реализации своих прав и свобод субъект предоставляет данные, а также сведения об их изменениях в соответствующие органы государственной власти, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции.
Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.
Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа.
Право доступа
Субъект персональных данных имеет право знать о наличии у держателя относящихся к нему персональных данных и иметь к ним доступ. Гражданин также имеет право на получение от держателя массива персональных данных информации, касающейся обработки его персональных данных, содержащей:
По своему письменному запросу субъект может получить всю информацию о себе у держателя массива персональных данных на бесплатной основе, за исключением случаев, когда информация предоставляется держателем на материальном носителе (бумага, дискета, флешка и т.д.).
Информация о наличии персональных данных и сами персональные данные должны быть предоставлены в течение 7 дней после получения запроса субъекта персональных данных.
Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.
Право на доступ может быть ограничено только в случаях, предусмотренных статьей 15 Закона “Об информации персонального характера” Кыргызской Республики.
Право на внесение изменений
При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные. Изменения в персональные данные вносятся по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.
Право на блокирование
В случае если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные.
Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его персональные данные с момента его получения на период проверки заявления.
Право на обжалование
Если субъект персональных данных считает, что в отношении его или ее персональных данных совершены неправомерные действия, он / она вправе обжаловать эти действия в судебном порядке.
Право на возмещение убытков и/или компенсацию морального вреда
Субъект персональных данных имеет право на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке.
GDPR — это закон обеспечивающий защиту прав пользователей в интернете, регулирующий, в частности, передачу, обработку, хранение персональных данных каждого человека, который находится на территории Евросоюза, либо является гражданином ЕС.
Общий список требований GDPR :
Нужно ли соблюдать GDPR в Кыргызстане?
Формально в Кыргызской Республике компании не обязаны соблюдать GDPR — для них действует Закон Кыргызской Республики “Об информации персонального характера”. Но Общий регламент о защите данных действует не только на территории Евросоюза, а распространяется на всех его граждан, где бы они не находились. Если компания собрала и обработала персональные данные резидента Евросоюза — она обязана была это сделать по нормативам GDPR.
Например, если кыргызстанская авиакомпания продала билет гражданину Франции, она должна была это сделать в соответствии с GDPR.
Агентство не имеет доступа к персональным данным, содержащихся в базах данных Держателей (обладателей) массивов персональных данных.
Персональные данные относятся к частной жизни граждан, а тайна частной жизни гарантируется нам Конституцией Кыргызской Республики. Граждане должны точно знать, где хранятся их персональные данные, кто имеет доступ к ним. Граждане должны иметь возможность распоряжаться своими данными как собственностью, должны сами решать, какую информацию они хотят передать, а какую – нет. Для того, чтобы права граждан не нарушались, необходимо проводить информационно-просветительскую работу о том, как можно защитить персональные данные граждан. Также необходимо усиливать ответственность за нарушения законодательства в сфере персональных данных.
В настоящее время ведется полномасштабный сбор персональных данных как в бумажном, так и в электронном виде. И неизвестно, имеют ли право организации на сбор таких данных, как они хранят данные, кто имеет право доступа к данным, есть ли риск утечки данных? Основной целью Агентства является защита персональных данных граждан от незаконных действий организации.
Агентство будет проверять держателей массивов персональных данных, которые осуществляют сбор и обработку персональных данных с использованием информационных систем на безопасность этих систем.
Агентство выполняет следующие функции:
1) в сфере отраслевой политики:
2) в сфере регулирования, координации, надзора и контроля:
Согласно законодательству Кыргызской Республики, к персональным данным относятся биографические и опознавательные данные граждан, личные характеристики, сведения о семейном и финансовом положении, состоянии здоровья и прочее.
Персональные данные – это любая информация, используя которую человека можно прямо или косвенно узнать (идентифицировать).
Например:
Примерами специальной категории («чувствительных») персональных данных являются биометрические данные граждан, медицинские записи больных, банковские реквизиты. Обработка и передача такой информации требует дополнительных мер контроля безопасности
Примеры не персональных данных: