Настоящим Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики (далее – Агентство) извещает о начале обсуждения правового регулирования и сборе предложений заинтересованных лиц.

1. Описание проблем, на решение которых направлено предлагаемое регулирование (описать с использованием соответствующих количественных и качественных показателей):

Кыргызская Республика, понимая значение, роль и преимущества информационно-телекоммуникационных технологий в вопросах модернизации системы государственного управления, активно внедряет цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав. 

В этой связи в 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера», который регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных. Закон предусматривает наступление юридической ответственности за неисполнение требований по защите персональных данных, что подразумевает наличие по меньшей мере административных санкций за неисполнение требований или нарушение законодательства.

В настоящее время статьей 228-1 Кодекса Кыргызской Республики о правонарушениях предусмотрена только ответственность за нарушение требований по защите информации персонального и коммерческого характера с наложением штрафа на физических лиц в размере 200 расчетных показателей. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.


2. Описание цели предлагаемого регулирования (при возможности, привести соответствующие количественные и качественные показатели) и способа решения проблем:

Предлагаемый проект Закона разработан в целях реализации Закона Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года № 58, подразумевающего наличие ответственности за нарушение требований законодательства о персональных данных. 

Одним из методов обеспечения неукоснительного соблюдения правовых норм сторонами правоотношений, связанных с обработкой персональных данных, прежде всего является наличие юридической ответственности за нарушение норм права. В условиях отсутствия юридических оснований для привлечения к ответственности лиц, виновных в нарушении законов, органы государственной власти не могут обеспечить режим законности, как важной составляющей правового государства, который предполагает гарантии выполнения содержащихся в нормах права предписаний. Именно законодательное установление процедуры обеспечения законности будет восприниматься гражданами как гарантированное закрепление их реальных возможностей, обеспечиваемых государством. 

Особенно это актуализируется в условиях, когда государственные органы и частные структуры используют биометрические данные граждан для обеспечения эффективной цифровой трансформации. В перспективе предусматривается активное использование информационно- коммуникационных технологий для достижения целей модернизации государственного управления, экономики и социальной сферы посредством инновационных технологий, где основным идентификатором гражданина будут выступать только его персональные данные.

Учитывая изложенные обстоятельства был разработан настоящий проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях. Так, Кодекс предлагается дополнить статьей, устанавливающей ответственность за: 

  • сбор, обработку, использование, хранение, передачу, включая обмен, персональных данных без законного основания;

  • необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;

  • трансграничная передача персональных данных с нарушением установленного законом порядка;

  • внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а также отсутствие регистрации в Реестре;

  • нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.

Указанные составы правонарушения вытекают из требований Закона Кыргызской Республики «Об информации персонального характера», которые определяют исчерпывающий перечень правовых оснований для работы с персональными данными граждан, обязанность держателей (обладателей) персональных данных предоставлять соответствующую информацию субъектам персональных данных, уполномоченному органу по персональным данным.

Предусматривается ответственность за трансграничную передачу персональных данных, так как в настоящее время информация персонального характера может собираться на территории Кыргызской Республики и продаваться различным группам, которые могут преследовать корыстные или преступные цели.

Одновременно предусматривается ответственность за внесение недостоверной или неполной информации в Реестр, а также отсутствие регистрации в реестре в процессе сбора, обработки и хранения персональных данных, что напрямую нарушает права субъектов персональных данных, которые должны иметь возможность получать информации относительно законности собираемых у них персональных данных, при том что сбор, обработка и регистрация персональных данных вообще не допускается без регистрации в Реестре.

Как одна из переходных норм закрепляется ответственность за нарушения Закона Кыргызской Республики “Об информации персонального характера” при сборе, хранении и обработке персональных данных без использования средств автоматизации. Данная норма предусматривает ответственность таких организаций, которые в настоящее время составляют большинство во всех отраслях, несмотря на процессы цифровизации, происходящие в обществе. Другими словами, основным незащищенным направлением может оказаться именно неавтоматизированная обработка персональных данных.

Однако следует понимать, что в ближайшие десятилетия практика сбора, хранения и обработки персональных данных может быть полностью заменена на автоматизированную обработку.

Также отмечаем, что в качестве субъектов указанных правонарушений могут выступать физические и юридические лица. В связи с этим предлагается привлекать к ответственности лиц, выступающих держателями (обладателями) массива персональных данных для повышения ответственности.

    Учитывая, что проектом Закона предлагается дополнить Кодекс новой статьей, закономерно вытекает необходимость определения органа, который будет выявлять нарушения законодательства и применять меры ответственности к правонарушителям. В связи с этим проект предусматривает внесение изменений в главу 51 Кодекса Кыргызской Республики о правонарушениях. 

Одновременно предлагается внесение изменений в статью 456 в части передачи полномочий органов внутренних дел возбуждать дела о правонарушениях и рассматривать их в ведение Уполномоченного государственного органа по персональным данным, предусмотренных статьями 228 и 2281. 

Данная мера предлагается для внесения на основании статьи 291 Закона Кыргызской Республики “Об информации персонального характера”, так как за уполномоченным государственным органом закрепляется функция по контролю за соблюдением законодательства Кыргызской Республики в области персональных данных.

Одновременно следует отметить, что статьи 228 и 2281 напрямую не направлены на общественный порядок, при этом их воздействие нацелено непосредственно на личность, и в первую очередь преследует экономические цели, в этой связи данная норма если и используется органами внутренних дел, то в крайне незначительной степени. Так, за 2020-2021 годы органами внутренних дел в части нарушений персональных данных возбуждено 390 уголовных дел, из которых подавляющая часть (254 дела), относились к делам о подделке документов, незаконной выдаче паспорта и служебном подлоге, все эти дела квалифицировались как уголовные и подпадали под юрисдикцию органов внутренних дел.

В связи с этим принято решение разграничить полномочия и передать административную часть работы по возбуждению дел о правонарушениях и рассмотрению их в ведение уполномоченного государственного органа по персональным данным.

Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу.

Отдельно предлагаемые изменения также позволят усилить независимый статус уполномоченного государственного органа по персональным данным.


3. Оценка ожидаемых выгод и преимуществ предлагаемого регулирования (описать с использованием соответствующих количественных и качественных показателей):

Предлагаемые изменения позволят устранить существующую юридическую неопределенность и соответственно пространство, в котором сегодня могут действовать правонарушители.

Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу. 

4. Оценка возможных неблагоприятных последствий (описать с использованием соответствующих количественных и качественных показателей):

Неблагоприятных последствий от регулирования  не предвидятся. 


5. Характеристика и оценка численности субъектов предпринимательства - адресатов предлагаемого регулирования (описать с использованием соответствующих количественных показателей):

Все государственные и муниципальные органы, а также субъекты предпринимательства, имеющие совокупность массивов персональных данных (данные работников, клиентов, абонентов, пациентов и т.д.).

6. Приблизительная оценка дополнительных расходов и выгод потенциальных адресатов предлагаемого регулирования, связанных с его введением:

Принятие настоящего проекта Закона Кыргызской Республики не повлечет дополнительных финансовых затрат.

Выгоды видятся очевидными и заключаются в том, что в Кыргызской Республике будет эффективно функционировать система защиты персональных данных граждан страны, что будет также проецировать уверенность населению в защищенности и возможности использования новых технологий в своих правоотношениях, что будет увеличивать долю рынка высоких технологий и онлайн-услуг.

7. Приблизительная оценка расходов и выгод республиканского/местного бюджета, связанных с введением предлагаемого регулирования:

Затрат из государственного бюджета не предвидится.     

      

Перечень вопросов для участников публичных консультаций:

  • являются ли указанные проблемы верными, требующими решения путем изменения регулирования;

  • является ли указанная цель обоснованной, важной для достижения;

  • является ли предлагаемое регулирование наиболее предпочтительным способом решения проблем;

  • какие выгоды и преимущества могут возникнуть в случае принятия предлагаемого регулирования;

  • какие риски и негативные последствия могут возникнуть в случае принятия предлагаемого регулирования;

  • существуют ли альтернативные более эффективные способы решения проблем;

  • ваше общее мнение относительно предлагаемого регулирования.


Контакты и сроки для обсуждения информации уведомления


1. Предложения принимаются

 

по электронной почте:

info@dpa.gov.kg 

на почтовый адрес: 

пр. Чуй, 265а, 720071

2. Срок приема предложений не позднее:

13 июня  2024 года

3. Срок размещения Реестра предложений и ответов на официальном сайте органа разработчика не позднее 

14 июня 2024 года