Расширенный поиск

Обзор законодательства Республики Кыргызстан в сфере информационной безопасности. Часть 2: Персональные данные, личная и семейная тайна

Персональные данные и защита частной жизни в Кыргызской Республике.

В статье 16 Конституции Кыргызской Республики провозглашены основные права граждан в сфере информационной безопасности:

  • «Каждый имеет право на тайну переписки, телефонных переговоров, телеграфных, почтовых и иных сообщений.
  • Каждый имеет право на неприкосновенность его частной жизни, на уважение и защиту чести и достоинства.
  • Не допускается сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, установленных законом.
  • Каждому гарантируется судебная защита права опровергать недостоверную информацию о себе и членах своей семьи и права требовать изъятия любой информации, а также право на возмещение материального и морального ущерба, причиненного сбором, хранением и распространением недостоверной информации».
Оглавление (показать/скрыть)
Часть 1: Общий обзор
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственные секреты
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптография и техническая защита информации
Часть 7: Электронная разведка
Часть 8: Борьба с киберпреступностью

Конституция КР также декларирует, что каждый имеет право знакомиться в органах государственной власти, органах местного самоуправления, учреждениях и организациях со сведениями о себе, не являющимися государственной или иной защищенной законом тайной. Однако существующее законодательство КР не предусматривает механизм реализации этого положения.

В 2008 году был принят закон КР «Об информации персонального характера», направленный на правовое регулирование работы с персональными данными на основе общепринятых международных принципов и норм в соответствии с Конституцией и законами КР в целях обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных.

При этом данный закон не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица.

Основные понятия

Информация персонального характера (персональные данные) – зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее.

Обработка персональных данных – любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.

Субъект персональных данных (субъект) – физическое лицо, к которому относятся соответствующие персональные данные.

Держатель (обладатель) массива персональных данных – органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом.

В законе также дается определение таким участникам отношений по обработке персональных данных, как обработчик и получатель персональных данных.

Обработчик – физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора.

Получатель персональных данных – орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект персональных данных (субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом.

Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных осуществляет обезличивание используемых данных, придавая им форму анонимных сведений. При этом режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание персональных данных – изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

Принципы и условия работы с персональными данными

Законом определены следующие принципы обработки персональных данных:

  • Персональные данные должны быть получены и обработаны в порядке, предусмотренном законом «Об информации персонального характера».
  • Персональные данные должны собираться для точно и заранее определенных, объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями.
  • Первоначальные данные должны быть точными и в случае необходимости обновляться.
  • Персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них.
  • Для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты.
  • Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях, для автоматизированной обработки информации.
  • Персональные данные должны храниться и защищаться держателями (обладателями) массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.

Основные принципы работы с персональными данными не носят исчерпывающий характер и могут дополняться в соответствии с законодательством КР.

Закон также определяет случаи, при которых держатель (обладатель) массива персональных данных может осуществлять работу с персональными данными:

  1. если субъект персональных данных дал свое согласие на ее проведение;
  2. если она необходима для выполнения органами государственной власти, органами местного самоуправления своей компетенции, установленной законодательством КР;
  3. если она нужна для достижения законных интересов держателей (обладателей);
  4. когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к обработке персональных данных;
  5. когда она необходима для защиты интересов субъекта персональных данных;
  6. если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут согласовываться с субъектом персональных данных с соблюдением права на неприкосновенность частной жизни и свободу слова.

В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т.п.).

По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.). Исключения составляют случаи, когда информация должна носить публичный характер в соответствии с требованиями законодательства КР.

В общедоступные массивы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных.

В случае если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива по запросу субъекта информирует в недельный срок о содержании его персональных данных, об источниках получения и цели использования.

Режим конфиденциальности для общедоступных массивов персональных данных не устанавливается.

Законом определены условия обработки специальной категории персональных данных.

Так сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.

Исключения составляют случаи:

  • если субъект персональных данных дал свое согласие на сообщение и обработку таких данных;
  • если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц.

Принципы сбора, использования биометрических данных и порядок биометрической регистрации установлены в законе КР «О биометрической регистрации граждан КР».

К биометрическим данным отнесены:

  • цифровое графическое изображение лица;
  • графическое строение папиллярных узоров пальцев обеих рук;
  • собственноручная подпись.

Сбор, обработка, хранение и использование биометрических данных осуществляются на принципах:

  1. обязательной биометрической регистрации;
  2. открытости (обеспечения доверия граждан к использованию государством биометрических данных);
  3. гарантии законного использования биометрических и персональных данных органами государственной власти, местного самоуправления, наделенными специальными полномочиями в соответствии с законодательством КР;
  4. защиты базы биометрических данных;
  5. обеспечения безопасности биометрических данных при их сборе, обработке, хранении и использовании в информационных системах и соблюдения требований к материальным носителям.

Несмотря на принцип обязательности сдачи биометрических данных, данным законом установлено, что получение информации о биометрических данных осуществляется при наличии согласия в письменной форме субъекта биометрических данных в соответствии с законодательством КР, за исключением случаев, установленных тем же законом.

Получение информации о биометрических данных осуществляется без согласия субъекта биометрических данных только в случаях осуществления правосудия и исполнения судебного акта, а также в случаях, предусмотренных законодательством КР о национальной безопасности, о противодействии терроризму и коррупции, об оперативно-розыскной деятельности и иных случаях, определяемых законодательством КР.

При трансграничной передаче персональных данных держатель (обладатель) массива персональных данных, находящийся под юрисдикцией Кыргызской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Кыргызской Республике.

Кыргызская Республика обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искажение и несанкционированное использование.

Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может иметь место при условии:

  • согласия субъекта персональных данных на эту передачу;
  • если передача необходима для защиты жизненно важных интересов субъекта персональных данных;
  • если персональные данные содержатся в общедоступном массиве персональных данных.

При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации.

Права субъекта данных и обязанности держателя (обладателя) и обработчика массивов персональных данных. Ответственность

Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных, за исключением случаев, предусмотренных законом. Персональные данные предоставляются субъектом лично либо через доверенное лицо.

В целях реализации своих прав и свобод субъект предоставляет данные, а также сведения об их изменениях в соответствующие органы государственной власти, органы местного самоуправления, имеющие право на работу с персональными данными в пределах их компетенции.

Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.

Субъект персональных данных при отказе в предоставлении своих данных имеет право не указывать причины своего отказа.

Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных  законом.

Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении:

  1. права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных – для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, – в соответствии с законом КР “О защите государственных секретов Кыргызской Республики”;
  2. права доступа субъекта к своим персональным данным, внесения изменений в свои персональные данные, блокирования своих персональных данных:
    • для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением законодательства КР;
    • для персональных данных субъектов, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения в органах, проводящих указанные действия.

Перечень ограничений прав доступа субъекта к своим персональным данным является исчерпывающим.

Держатель (обладатель) массива персональных данных обязан:

  1. получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц;
  2. обеспечивать режим конфиденциальности персональных данных в случаях, предусмотренных законодательством КР и законом «Об информации персонального характера»;
  3. определить обработчика для обработки персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель (обладатель) самостоятельно возлагает на себя функции и обязанности обработчика;
  4. обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;
  5. предоставлять персональные данные в недельный срок после поступления запроса от субъекта;
  6. в случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, в срок, не превышающий одной недели с момента обращения субъекта;
  7. представлять по запросам уполномоченного государственного органа или Омбудсмена (Акыйкатчы) Кыргызской Республики в недельный срок информацию, необходимую для исполнения их полномочий;
  8. в пределах компетенции разрабатывать в соответствии со спецификой своей деятельности перечни персональных данных и руководствоваться ими;
  9. принять к производству заявление субъекта персональных данных (о выявленной недостоверности данных или неправомерности действий с ними держателя (обладателя) массивов) и заблокировать его персональные данные с момента его получения на период проверки заявления;
  10. осуществлять действия по блокированию и снятию с блокирования, уничтожению данных в соответствии с требованиями закона «Об информации персонального характера»;
  11. информировать субъекта персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.

Обработчик персональных данных осуществляет обработку персональных данных на основании договора, заключенного с держателем (обладателем) персональных данных.

Обработчик должен выполнять сбор, запись, хранение, актуализацию, блокирование, уничтожение персональных данных, независимо от способа и средств обработки, по поручению держателя (обладателя) персональных данных.

Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности, согласно  закона.

Субъект персональных данных имеет право на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке.

Ответственность за нарушение норм, установленных законом «Об информации персонального характера», наступает в соответствии с действующим законодательством КР.

Конфиденциальность и безопасность персональных данных

Персональные данные, находящиеся в ведении держателя (обладателя), относятся к конфиденциальной информации, кроме случаев, определенных законом.

Держатель (обладатель) персональных данных и обработчик обязаны обеспечивать охрану персональных данных во избежание несанкционированного доступа, блокирования, передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.

Режим конфиденциальности персональных данных снимается в случаях:

  • обезличивания персональных данных;
  • по желанию субъекта персональных данных.

Держатель (обладатель) массива персональных данных и обработчик обязаны обеспечить гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных.

При обработке персональных данных держатель (обладатель) массива персональных данных и обработчик обязаны:

  • исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);
  • препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);
  • препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены;
  • обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);
  • обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);
  • обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);
  • не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);
  • обеспечить конфиденциальность информации, полученной при обработке персональных данных.

Требования к защите персональных данных и информационной безопасности при их обработке находятся на стадии разработки, которые планируется сформировать в виде подзаконного акта.

Уполномоченный орган

Законом КР «Об информации персонального характера» определено, что государство осуществляет регулирование работы с персональными данными в следующих формах:

  • Правительством КР определяется уполномоченный государственный орган Кыргызской Республики;
  • Правительство КР ведет учет и регистрацию массивов персональных данных и их держателей (обладателей);
  • Правительство КР заключает международные договоры о трансграничной передаче персональных данных, за исключением случаев, противоречащих законодательству КР по защите государственных секретов.

Уполномоченный государственный орган – государственный орган, на который возложены функции по регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массива персональных данных и другие задачи, предусмотренные законом.

Однако до настоящего времени данный уполномоченный орган так и не определен, в связи с чем перечисленные функции (включая ведение реестров) не осуществляются.

Обзор подготовлен Общественным фондом “Гражданская инициатива Интернет политики” по заказу Digital.Report

Читать далее: Часть 3: Государственные секреты

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели