ПРАВИТЕЛЬСТВО КЫРГЫЗСКОЙ РЕСПУБЛИКИ
ПОСТАНОВЛЕНИЕ
от 21 ноября 2017 года № 759
Об утверждении Порядка получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядка и формы уведомления субъектов персональных данных о передаче их персональных данных третьей стороне
В соответствии со статьями 9 и 24 Закона Кыргызской Республики "Об информации персонального характера", статьями 10 и 17 конституционного Закона Кыргызской Республики "О Правительстве Кыргызской Республики" Правительство Кыргызской Республики
ПОСТАНОВЛЯЕТ:
1. Утвердить Порядок получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядок и форму уведомления субъектов персональных данных о передаче их персональных данных третьей стороне согласно приложению.
2. Государственным органам исполнительной власти, государственным органам, не входящих в систему исполнительной власти (по согласованию), юридическим лицам (по согласованию), являющимся держателями (обладателями) массивов персональных данных, принять необходимые меры по обеспечению выполнения настоящего постановления.
3. Настоящее постановление вступает в силу со дня официального опубликования.
Премьер-министри | С. Исаков |
ПОРЯДОК
получения согласия субъекта персональных данных на сбор и обработку его персональных данных, порядок и форма уведомления субъектов персональных данных о передаче их персональных данных третьей стороне
1. Общие положения
1. Настоящий Порядок устанавливает форму и процедуру получения согласия субъекта персональных данных, в том числе в форме электронного документа, на сбор и обработку его персональных данных в соответствии с Законом Кыргызской Республики "Об информации персонального характера", а также обязательные процедуры уведомления субъекта персональных данных о факте передачи его персональных данных третьей стороне.
2. Настоящий Порядок подлежит применению держателями (обладателями) массивов персональных данных, осуществляющими сбор, хранение, обработку, использование, передачу персональных данных, включая трансграничную передачу персональных данных.
3. Используемые в настоящем Порядке понятия применяются в значениях, определенных в законах Кыргызской Республики "Об информации персонального характера", "Об электронной подписи", "Об электронном управлении".
2. Порядок получения согласия субъекта персональных данных, в том числе в форме электронного документа, на сбор и обработку его персональных данных, включая цели предоставления государственных и (или) муниципальных услуг
4. В целях получения согласия субъекта на официальных сайтах исполнителей государственных или муниципальных услуг и (или) держателей (обладателей) персональных данных размещаются формы (бланки на бумажном носителе или в форме электронного документа) согласия субъекта на обработку его персональных данных, в том числе необходимых для получения услуг, предоставляемых данным органом/держателем массива персональных данных.
5. Держатель (обладатель) массива персональных данных должен ознакомить субъекта персональных данных перед предоставлением им своих персональных данных, с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также проинформировать об ином возможном использовании персональных данных.
6. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных и дает согласие на их сбор и обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 15 Закона Кыргызской Республики "Об информации персонального характера".
Субъект персональных данных предоставляет персональные данные лично либо через доверенное лицо.
7. Согласие субъекта персональных данных должно быть выражено в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики об электронной подписи.
8. Согласие субъекта персональных данных, в том числе в форме электронного документа, на сбор и обработку его персональных данных, включая цели предоставления государственных и муниципальных услуг (далее - согласие субъекта), должно содержать:
- фамилию, имя, отчество, адрес места жительства (места пребывания) субъекта персональных данных, данные документа, удостоверяющего его личность;
- фамилию, имя, отчество, адрес места жительства (места пребывания) доверенного лица (представителя) субъекта персональных данных, данные документа, удостоверяющего его личность, реквизиты нотариальной доверенности или иного документа, подтверждающего полномочия этого доверенного лица (представителя) (при получении согласия от доверенного лица (представителя) субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес держателя (обладатель) массива персональных данных или обработчика, получающего согласие субъекта персональных данных;
- указание на основание и цель сбора, использования, обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес обработчика (при наличии);
- перечень действий с персональными данными, на совершение которых дается согласие, включая возможность передачи персональных данных третьей стороне, иное возможное использование персональных данных, общее описание используемых держателем (обладателем) массива персональных данных способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, если иное не установлено Законом Кыргызской Республики "Об информации персонального характера".
9. Согласие субъекта персональных данных в целях получения государственных и муниципальных услуг предоставляется по типовой форме согласно приложению к настоящему Порядку.
10. Держатель (обладатель) массива персональных данных обязан в течение всего срока обработки (и хранения) персональных данных хранить информацию, позволяющую предоставить доказательство согласия субъекта персональных данных на предоставление своих персональных данных и осуществление процедур, связанных с обработкой его персональных данных, в частности:
- при информационном взаимодействии посредством обмена электронными документами, подписанными электронной подписью в соответствии с законодательством Кыргызской Республики - электронный документ, подписанный электронной подписью субъекта персональных данных или его доверенного лица (представителя) и содержащий предусмотренное настоящим Порядком согласие субъекта персональных данных в форме электронного документа на обработку его персональных данных;
- при информационном взаимодействии в электронном формате путем получения доступа к информационной системе держателя (обладателя) массива персональных данных с использованием логина и пароля субъекта персональных данных или его доверенного лица (представителя) - сведения о факте доступа к информационной системе с использованием данного логина и пароля, протокол действий субъекта персональных данных или его доверенного лица в информационной системе с использованием данного логина и пароля;
- при осуществлении процедур, связанных с обработкой персональных данных субъекта без использования электронных документов или информационных систем - документ на бумажном носителе, заверенный собственноручной подписью лица, предоставляющего персональные данные (субъекта персональных данных или его доверенного лица (представителя), однозначно подтверждающий факт дачи субъектом персональных данных согласия на обработку его персональных данных.
3. Порядок и форма уведомления субъектов персональных данных о факте передаче его персональных данных третьей стороне
11. Передача персональных данных от одного держателя (обладателя) другому допускается при наличии у держателя (обладателя), которому эти персональные данные передаются, правовых оснований осуществления работы с персональными данными, предусмотренных статьей 5 Закона Кыргызской Республики "Об информации персонального характера", на момент такой передачи.
12. Держатель (обладатель) массива персональных данных обязан в недельный срок с момента передачи персональных данных информировать субъекта персональных данных об осуществленной передаче его персональных данных третьей стороне, за исключением случаев, предусмотренных подпунктами а) и б) пункта 2 части 1 статьи 15 Закона Кыргызской Республики "Об информации персонального характера". При этом форма уведомления может быть сообщением по телефону, смс-сообщением, письмом, сообщением электронной почты по согласованию с субъектом персональных данных и на усмотрение держателя (обладателя) массива персональных данных.
13. Держатель (обладатель) массива персональных данных при получении персональных данных должен запросить у субъекта персональных данных его контактную информацию (адрес места жительства (места пребывания), номер телефона, адрес электронной почты), с использованием которой субъект в удобной для него форме может быть уведомлен о факте передачи его персональных данных третьей стороне.
В отсутствие контактной информации субъекта персональных данных держатель (обладатель) массива персональных данных должен предпринять действия по информированию субъекта персональных данных о передаче его персональных данных третьей стороне, запросив недостающую контактную информацию у органов государственной власти или органов местного самоуправления, либо получив ее из общедоступных источников персональных данных.
Во всех случаях получения контактной информации о субъекте персональных данных не от самого субъекта персональных данных держатель (обладатель) массива персональных данных должен убедиться, что:
- полученная контактная информация однозначно относится именно к этому субъекту персональных данных (например, субъект был идентифицирован с использованием государственных информационных систем Кыргызской Республики либо держатель (обладатель) массива персональных данных предварительно связался с субъектом персональных данных в целях удостоверения его личности);
- сбор дополнительной контактной информации о субъекте персональных данных в целях его информирования не входит в противоречие с теми целями обработки персональных данных, в которых происходило формирование массива персональных данных;
- держателем (обладателем) массива персональных данных, у которого запрашиваются контактные данные субъекта персональных данных в целях направления уведомления, получено согласие субъекта персональных данных (в случаях, установленных Законом Кыргызской Республики "Об информации персонального характера") на передачу его персональных данных третьей стороне.
14. Форму уведомления держатель (обладатель) массива персональных данных выбирает по согласованию с субъектом персональных данных, исходя из способа связи с субъектом (по телефону, смс-сообщением, письмом, сообщением электронной почты). При этом держатель (обладатель) массива персональных данных должен хранить доказательства информирования субъекта персональных данных об осуществленной передаче его персональных данных третьей стороне (копии писем, телефонограмм, сообщений) и предоставлять их субъекту персональных данных или уполномоченному государственному органу по их запросам в соответствии с Законом Кыргызской Республики "Об информации персонального характера".
15. В целях информирования субъекта персональных данных об обстоятельствах передачи его персональных данных третьей стороне в содержание уведомления включаются следующие сведения:
- наименование либо фамилия, имя, отчество и адрес держателя (обладателя) массива персональных данных или его представителя;
- основание передачи персональных данных;
- состав переданных персональных данных;
- цель обработки персональных данных и общее описание способов обработки;
- источник получения персональных данных.
16. Если держатель (обладатель) массива персональных данных на основании имеющихся у него данных не может уведомить субъект персональных данных о передаче его персональных данных, он обязан сообщить об этом в уполномоченный государственный орган по персональным данным, предоставив данные, позволяющие идентифицировать субъект персональных данных в случае обращения его в уполномоченный государственный орган по персональным данным, а также сведения о предпринятых попытках держателя (обладателя) массива персональных данных информировать такого субъекта персональных данных о передаче его персональных данных.
17. Уполномоченный государственный орган по персональным данным, получив в соответствии со статьей 19 Закона Кыргызской Республики "Об информации персонального характера" заявление субъекта персональных данных о неправомерной передаче персональных данных, незамедлительно проверяет наличие в своих информационных системах сведений о предпринятых попытках держателя (обладателя) массива персональных данных информировать данный субъект персональных данных и в случае обнаружения указанных сведений сообщает об этом субъекту персональных данных (с приложением контактной информации держателя массива персональных данных) и держателю массива персональных данных (с приложением контактной информации о субъекте персональных данных).
18. В целях информирования субъекта персональных данных об осуществлении передачи его персональных данных третьей стороне уполномоченным государственным органом по персональным данным организуется добровольная регистрация субъекта персональных данных и хранится контактная информация, предоставленная субъектом персональных данных. В случае получения от держателя (обладателя) массива персональных данных уведомления о невозможности информировать субъект персональных данных о передаче его персональных данных и идентификации субъекта персональных данных в числе зарегистрированных уполномоченным государственным органом по персональным данным, уполномоченный государственный орган по персональным данным информирует субъект персональных данных о передаче его персональных данных с использованием контактной информации, предоставленной субъектом персональных данных при регистрации.
Приложение
ТИПОВАЯ ФОРМА
Согласие субъекта персональных данных на сбор и обработку его персональных данных
Населенный пункт, дата
Я,
___________________________________________________________________________________________
(фамилия, имя, отчество)
проживающий по адресу: _____________________________________________________________________
___________________________________________________________________________________________
Документ, удостоверяющий личность: ___________________________ серия ___________ № ___________
(вид документа)
выдан _____________________________________________________________________________________
(дата выдачи) (кем выдан)
(для доверенных лиц)
действующий от имени ______________________________________________________________________
(фамилия, имя, отчество)
проживающего по адресу: ____________________________________________________________________
Документ, удостоверяющий личность: ___________________________ серия ___________ № ___________
(вид документа)
выдан _____________________________________________________________________________________
(дата выдачи) (кем выдан)
на основании _______________________________________________________________________________
(доверенности, закона, иного правового акта)
свободно, осознанно, по своей воле даю согласие ________________________________________________
(наименование, адрес собственника или владельца
информационной системы, ФИО обработчика)
на обработку (любая операция или набор операций, выполняемых независимо от способов
держателем (обладателем) персональных данных либо по его поручению, автоматическими
средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки,
блокирования, стирания и разрушения персональных данных), а также на:
передачу персональных данных (предоставление держателем (обладателем) персональных
данных третьим лицам в соответствии с Законом Кыргызской Республики "Об информации
персонального характера" и международными договорами;
трансграничную передачу персональных данных (передача держателем (обладателем)
персональных данных держателям, находящимся под юрисдикцией других государств)
следующих персональных данных:
1. _____________________________________________________________________________________
2. _____________________________________________________________________________________
3. _____________________________________________________________________________________
4. _____________________________________________________________________________________
5. _____________________________________________________________________________________
6. _____________________________________________________________________________________
7. _____________________________________________________________________________________
8. _____________________________________________________________________________________
(указать требуемые перечень данных, например: фамилия, имя и отчество (прежние фамилия,
имя, отчество, дата, место и причина изменения (в случае изменения); дата и место рождения;
сведения о гражданстве (в том числе предыдущее гражданство, иные гражданства); сведения об
образовании (наименование и год окончания образовательной организации, наименование и
реквизиты документа об образовании, квалификация, направление подготовки или специальность
по документу об образовании); сведения о наличии ученой степени; информация о владении
иностранными языками, уровне владения; спортивное звание, спортивный разряд; адрес места
жительства (места пребывания); номер контактного телефона или сведения о других способах
связи; вид, серия, номер документа, удостоверяющего личность, наименование органа,
выдавшего его, дата выдачи; идентификационный номер налогоплательщика; номер страхового
свидетельства обязательного пенсионного страхования; реквизиты полиса обязательного
медицинского страхования; отношение к воинской обязанности, сведения по воинскому учету
(для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
семейное положение, состав семьи; сведения о трудовой деятельности (включая военную
службу, работу по совместительству, предпринимательскую деятельность и т.п.);
государственные награды, иные награды и знаки отличия (кем награжден и когда); информация
о наличии либо отсутствии судимости; сведения о доходах, расходах, об имуществе и
обязательствах имущественного характера; личная фотография).
Вышеуказанные персональные данные предоставляю для обработки в целях предоставления
мне государственной (муниципальной) услуги _____________________________________________
__________________________________________________________ (указать наименование услуги)
Я ознакомлен(а) с тем, что:
1) согласие на обработку персональных данных действует с даты подписания настоящего согласия
в течение всего срока предоставления мне государственной (муниципальной) услуги и хранения
данных об оказанной услуге в соответствии с законодательством Кыргызской Республики;
2) согласие на обработку персональных данных может быть отозвано на основании письменного
заявления в произвольной форме;
3) в случае отзыва согласия на обработку персональных данных обработка моих персональных
данных полностью или частично может быть продолжена в соответствии со статьями5и15
Закона Кыргызской Республики "Об информации персонального характера".
Дата начала обработки персональных данных: _____________________________________________
(число, месяц, год)
"___" __________________ 20__ г.
______________________________________________ ________________________________________
Подпись ФИО