Государственное агентство по защите персональных данных

при Кабинете Министров Кыргызской Республики


«УТВЕРЖДАЮ»

Директор Н.А. Кутнаева

_________________________

«_______» _________________ 2022 г.




АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ

к проекту нормативного правового акта 

«О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108»

Основание для разработки: 

Приказ Государственного агентства по защите персональных данных Кабинете Министров Кыргызской Республики от 28 июля 2022 года № 28-а «О создании рабочей группы по проведению АРВ проекта постановления Кабинета Министров Кыргызской Республики «О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108».


Сроки проведения АРВ: 1-25 августа 2022 года.

Рабочая группа:


К.C. Омельченко


________________________


И.С. Байкулова


________________________



А.Р. Дженышбеков


________________________



Г.Т. Ускенбаева


________________________



В.В. Ткачев


________________________



А.М. Токтосунова


________________________





Контактные данные ответственного лица:

720071, г. Бишкек, пр. Чуй, 265а, здание Национальной Академии наук, 2 этаж, западное крыло

Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики

ФИО

А.М. Токтосунова



Телефон: 0990950850

e-mail: info@dpa.gov.kg



  1. ПРОБЛЕМЫ И ОСНОВАНИЯ ДЛЯ ИЗМЕНЕНИЯ РЕГУЛИРОВАНИЯ


Несмотря на принятие в 2008 году Закона Кыргызской Республики «Об информации персонального характера», до 2021 года отсутствовал эффективный механизм защиты персональных данных, а также прав субъектов персональных данных.

  1. Описание проблем

Согласно статье 19 Закона, на уполномоченный орган возлагаются функции по осуществлению роли надзорного органа в сфере защиты персональных данных. 

С целью решения вышеуказанных задач постановлением Кабинета Министров Кыргызской Республики «О Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики» от 22 декабря 2021 года № 325 создано Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики.

В соответствии со статьей 291 Закона Кыргызской Республики «Об информации персонального характера» на уполномоченный государственный орган возлагается обеспечение контроля за соответствием обработки персональных данных требованиям вышеназванного Закона, а также защита прав субъектов персональных данных.

В соответствии с Положением о Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики (далее – Агентство), утвержденным вышеназванным постановлением, за Агентством закреплены полномочия по осуществлению контроля путем проведения проверок за соблюдением требований законодательства Кыргызской Республики по защите персональных данных и прав субъектов персональных данных.

Постановлением Жогорку Кенеша Кыргызской Республики “Об утверждении Перечня уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства” от 26 мая 2022 года № 276-VII, Агентство включено в Перечень уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства.

Однако для реализации полномочий по проведению проверок субъектов предпринимательства необходимо разработать критерии по оценке рисков при осуществлении предпринимательской деятельности.

В соответствии со статьей 6 Закона Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства» уполномоченный орган разрабатывает критерии, по которым оценивается степень риска при осуществлении предпринимательской деятельности в сфере, отнесенной к его ведению, которые утверждаются Кабинетом Министров Кыргызской Республики.

В связи с этим требуется наличие нормативов по определению угроз безопасности при сборе, обработке и хранении персональных данных и с учетом существующих требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.

 

  1. Результаты анализа мнений заинтересованных лиц относительно существующего регулирования 

Заинтересованные лица: 

  • Уполномоченный орган – Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики считает, что существующие проблемы затрудняют возможности проведения контрольных мероприятий, предусмотренных законодательством Кыргызской Республики об информации персонального характера и проверках субъектов предпринимательства, что, в свою очередь, способствует нарушению прав субъектов персональных данных, а также способствует неисполнению требований уже имеющихся нормативных правовых актов;

  • Субъекты предпринимательства считают, что должны быть внедрены справедливые методики оценки рисков, на основании которых осуществляются контрольные мероприятия, при этом они должны опираться на уже имеющиеся регулятивные документы.


  1. Масштаб проблемы

  • Все субъекты предпринимательства, имеющие совокупность массивов персональных данных (данные работников, клиентов, абонентов, пациентов и т.д.), количество которых равняется количеству юридических лиц.

  • С 2008 года не проводилось ни одного контрольного мероприятия на предмет соблюдения Закона Кыргызской Республики «Об информации персонального характера».

Одновременно с момента принятия Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760, также не проводилось контрольных мероприятий на предмет их соблюдения.

Деятельность держателей массивов персональных данных распространена на всей территории Кыргызской Республики, масштаб проблем не имеет экономического, социального, территориального измерений.

 

  1. Экономические и правовые основания для изменения регулирования.

Экономическим основанием для изменения регулирования являются отсутствие механизмов оценки рисков предпринимательской деятельности, в ходе которой осуществляется сбор, обработка и хранение информации персонального характера. 

Правовым основанием для изменения регулирования является отсутствие нормативов по оценке рисков предпринимательской деятельности. При этом государство ответственно за своевременное вмешательство для эффективного регулирования процессов сбора, обработки и хранения персональных данных при соблюдении баланса интересов государства (граждан) и держателей массивов персональных данных.

Актуальность проблемы определяется необходимостью осуществления контроля за соблюдением прав граждан посредством организации проверок субъектов предпринимательства с учетом внедрения методик оценки рисков.


  1. Международный опыт регулирования

В Российской Федерации действует постановление Правительства Российской Федерации «О применении риск-ориентированного подхода при организации отдельных видов государственного контроля (надзора) и внесении изменений в некоторые акты Правительства Российской Федерации» от 17 августа 2016 г. № 806, в соответствии с которым принят приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 21 декабря 2020 г. № 160, которым также определяется риск-ориентированный подход к проведению проверок субъектов предпринимательства в области информации персонального характера.

Риск-ориентированный подход заключается в том, что контрольная деятельность, предполагающая, что интенсивность государственного контроля (надзора) или муниципального контроля за деятельностью контролируемого лица, а также формы такого контроля (надзора) напрямую зависят от рисков нанесения ущерба охраняемым законом ценностям из-за возможного несоблюдения требований в ходе такой деятельности

При этом отраслевым Федеральным законом «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» выделяется шесть категорий риска причинения вреда (ущерба):

  • чрезвычайно высокий риск;

  • высокий риск;

  • значительный риск;

  • средний риск;

  • умеренный риск;

  • низкий риск.

В Кыргызской Республике постановлением Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108, устанавливается всего 3 уровня.

От отнесения объектов контроля к определенным категориям риска зависят виды и периодичность проведения в отношении них плановых контрольных (надзорных) мероприятий. Поэтому принципиально важными являются критерии отнесения объектов контроля (надзора) к категориям риска, а также количество этих категорий, которое определяется контрольным (надзорным) органом в отдельном нормативном документе.

В Республике Казахстан контроль проводится по особому порядку на основе степени риска – проверки, назначаемые органом контроля и надзора на основе оценки степени риска в соответствии с приказом министра национальной экономики Республики Казахстан «Об утверждении критериев оценки степени риска и проверочных листов в области поддержки и защиты субъектов частного предпринимательства» от 31 октября 2018 года № 49, который зарегистрирован в Министерстве юстиции Республики Казахстан в качестве нормативного правового акта 6 ноября 2018 года № 17699.

При этом в Казахстане имеется конкретный перечень нарушений с баллами, в соответствии с которыми по утвержденным формулам рассчитывается степень риска и исходя из этой методики устанавливается периодичность проверок субъектов предпринимательства.

В Республике Молдова принято постановление Правительства Республики Молдова «Об утверждении Методологии государственного контроля предпринимательской деятельности на основе анализа рисков, выполняемого Национальным агентством общественного здоровья» от 17 октября 2018 года № 1014, которым также утверждаются методики определения рисков для определения периодичности проведения контрольных мероприятий. При этом для каждого государственного контролирующего органа разработан индивидуальный комплекс определения рисков, который принимается Правительством Молдовы для каждой отрасли самостоятельно, при этом их подход наиболее схож с определением рисков предпринимательской деятельности в Кыргызской Республике.


  1. ОПИСАНИЕ И ОЦЕНКА РАССМОТРЕННЫХ ВАРИАНТОВ РЕГУЛИРОВАНИЯ

Основной целью государственного регулирования является создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий, достижение которой будет способствовать развитию системы защиты персональных данных в Кыргызской Республике, это:


Индикаторы для оценки прогресса достижения цели


Наименование индикатора

Ожидаемое значение

Количественные индикаторы: не используются

Качественные индикаторы 

совершенствование нормативно-правовой базы путем создания правовых, сопоставимых с общемировыми условиями для эффективного и ответственного ведения предпринимательской деятельности при сборе, обработке и хранении персональных данных

создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий

Внедрение механизмов определения рисков предпринимательской деятельности для определения периодичности проведения контрольных мероприятий 

Должен быть внедрен механизм справедливого контроля субъектов предпринимательства с учетом соблюдения прав субъектов и исключения излишнего вмешательства в предпринимательскую деятельность 


В ходе проведения анализа регулятивного воздействия перед рабочей группой были рассмотрены следующие варианты:

Вариант № 1. «Оставить все как есть»

Вариант № 2. «Принять изменения к Критериям оценки степени риска при осуществлении предпринимательской деятельности, утвержденным постановлением Правительства Кыргызской Республики от 18 февраля 2012 года № 108».

В данном АРВ рассмотрены только два варианта регулирования. Предложенные в проекте НПА нормы регулирования содержат только положения, изменяющие ранее предусмотренные нормативными правовыми актами Кыргызской Республики, поэтому он подпадает под п. 49 Методики анализа регулятивного воздействия о проведении частичного АРВ.


  1. ВАРИАНТ № 1: «Оставить все как есть»

Данный вариант не меняет существующее регулирование. В случае его сохранения для уполномоченного органа сохранятся условия ненадлежащего выполнения своих функций. 

Также не будут реализованы требования законодательства Кыргызской Республики в области проверок субъектов предпринимательства и информации персонального характера.

Останется неясным масштаб собираемых персональных данных, характер нарушения прав субъектов персональных данных, а также трудности в вопросах организации физической защиты информации.

Одновременно не будет в полной мере реализован закон Кыргызской Республики «Об информации персонального характера» в части единой правоприменительной практики в процессе сбора, обработки и хранения персональных данных.

Вместе с тем, непринятие проекта постановления повлечет за собой нарушения, предусмотренные Законом Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства».


  1. ВАРИАНТ № 2: «Принять изменения к Критериям оценки степени риска при осуществлении предпринимательской деятельности, утвержденным постановлением Правительства Кыргызской Республики от 18 февраля 2012 года № 108».


  1. Способ регулирования

Предлагается следующее регулирование.


Задача. Внедрить процедуры оценки степени риска при осуществлении предпринимательской деятельности в целях установления периодичности плановых проверок субъектов предпринимательства, в том числе исключению возможности необоснованных или чрезмерных проверок субъектов, а также существенное снижение рисков связанных с нарушениями режимов конфиденциальности персональных данных при их сборе, хранении и обработке.

Проблемы держателей массивов персональных данных

Предлагаемое регулирование 

В процессе сбора, обработки и хранения персональных данных не соблюдаются требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760 

Проектом предусматривается утверждение индикаторов оценки степени риска на основе Требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.

Полномочия Агентства по защите персональных данных при Кабинете Министров Кыргызской Республики по проведению проверок субъектов предпринимательства Постановлением Жогорку Кенеша Кыргызской Республики “Об утверждении Перечня уполномоченных органов, имеющих право на проведение проверок субъектов предпринимательства” от 26 мая 2022 года №276-VII, однако отсутствует методика определения периодичности таких проверок 

Проектом предусматривается исчерпывающий перечень индикаторов для определения оценки степени риска предпринимательской деятельности в соответствии с Законом Кыргызской Республики «Об информации персонального характера».

Отсутствие выстроенной системы защиты персональных данных в информационных системах держателей массивов персональных данных

Положение разработано в соответствии с к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760, которое обязательно для всех держателей и является основным документом в области организационно-технической защиты персональных данных, что должно мотивировать держателей массивов персональных данных соблюдать вышеназванные требования при проведении проверок и установлении Агентством степеней риска предпринимательской деятельности

Неоднородность всей системы защиты персональных данных в организациях держателе массивов персональных данных, что влечет за собой снижение возможности информационного взаимодействия между субъектами предпринимательства в части обмена информацией персонального характера.

Такая ситуация является одним из факторов снижения предпринимательской активности и внедрения современных технологий в области оказания услуг и работ.

Предлагаемый проект внедряет единые требования ко всем участникам рынка, что будет способствовать выравниванию уровней защиты персональных данных при их обработке в информационных системах держателей массивов персональных данных, что позволит повысить интенсивность предпринимательской активности, внедрению новых технологий, а также будет способствовать повышению интеграции и информационному взаимодействию всех участников рынка.


  1. Оценка регулятивного воздействия


  1. Оценка воздействия на цели регулирования и на решение проблем


Наименование индикатора

Ожидаемое изменение

Количественные индикаторы: не используются

Качественные индикаторы 

Обеспечить необходимый уровень контроля за исполнением законодательства о защите персональных данных

Повысится качество обеспечения безопасности персональных данных на организационном и техническом уровнях. 

Исключить необоснованные плановые проверки держателей массивов персональных данных

Из-за исключения необоснованных плановых проверок снижается регуляторная нагрузка на бизнес, что позволяет ему повышать прибыль и развиваться, в том числе посредством внедрения новых технологий.


Все указанные в разделе 1 проблемы уполномоченного органа по персональным данным, а также трудности держателей массивов персональных данных в процессе своей деятельности и в результате внедрения предлагаемого регулирования будут решены.


  1. Оценка воздействия на различные сферы:

  • на экономику: ожидается качественное изменение в уровнях защищенности информационных систем и информации персонального характера, что будет позитивным сдвигом для повышения интеграционных процессов внутри экономики Кыргызской Республики, а также повышение качества электронных услуг;

  • на социальную: повышается защищенность персональных данных граждан и их правовая обеспеченность;

  • на экологию: какого-либо воздействия не ожидается.


  1. Оценка воздействия на основные адресаты регулирования

  • Уполномоченный орган, Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики

Позитивное последствие:

Будут внедрены условия справедливого подхода к проведению проверок субъектов предпринимательства, а также определены исчерпывающие индикаторы для определения степени риска предпринимательской деятельности.

Негативное последствие: отсутствует.


  • Держатели массивов персональных данных:

Позитивное последствие: усовершенствуют систему защиты персональных данных в соответствии с требованиями законодательства.

Негативное последствие: отсутствует.


Общий вывод по оценкам: предложенное регулирование позволяет обеспечить прогресс в достижении цели и решить идентифицированные проблемы. При этом ожидается достижение важного социального-экономического эффекта в виде повышения защищенности персональных данных и улучшения предпринимательской среды. Воздействие на основных адресатов регулирования являются не обременительными и соответствуют требованиям действующих нормативных правовых актов в области защиты персональных данных.


  1. Оценка экономических последствий для адресатов регулирования

Реализация данного варианта регулирования должна обеспечить соблюдение Закона Кыргызской Республики «Об информации персонального характера» путем внедрения комплекса организационно-технических мер для обеспечения режима конфиденциальности персональных данных. Таким образом, возможные затраты субъектов регулирования могут быть связаны с тем, что им придется приводить свои внутренние правила, процедуры, а также техническое оснащение в соответствие с требованиями отраслевого закона, а также Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.

Заложенная проектом методика оценки рисков предпринимательской деятельности базируется исключительно на вышеприведенном законодательстве Кыргызской Республики в области защиты персональных данных. При этом имеется несколько дополнительных критериев, которые должны обеспечить качество организации системы защиты персональных данных в организации в форме подготовки специалистов, обеспечивающих защиту персональных данных в подконтрольных субъектах предпринимательства, при этом система представляется гибкой, когда субъект предпринимательства самостоятельно определяет для себя приоритетность повышения квалификации кадров в области защиты персональных данных.

Также закладываются механизмы управлениях рисками в виде возможности снятия некоторого количества баллов при проведении оценки, в тех случаях, когда субъект контроля по инцидентам работает с уполномоченным органом с самого момента наступления такого инцидента.

Еще одним критерием оценки является сбор, обработка и хранение персональных данных без использования информационных технологий, что в настоящее время имеет место в большом количестве субъектов предпринимательства, однако Требованиями к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760, регулирование вопросов обеспечения безопасности такого рода массивов персональных данных не предусмотрено.



  1. Оценка реализационных рисков 

  1. Риски недостаточности необходимых материальных и человеческих ресурсов.

Величина данного риска оценивается как низкая, так как существенных дополнительных затрат этих ресурсов не требуется в большинстве субъектов предпринимательства имеются уполномоченные лица или подразделения ответственные за обеспечение информационной безопасности.

Мер противодействия – не требуется.


  1. Риски недостаточности механизмов для реализации предложенного регулирования.

Величина данного риска оценивается как низкая, так как реализации предложенного регулирования не требует изменения существующего механизма.

Меры противодействия – не требуется.


  1. Риски необеспечения надлежащего контроля за соблюдением требований, вводимых предложенным регулированием

Данный риск оценивается как отсутствующий, так как дополнительных мер по контролю не требуется.

Меры противодействия – не требуется.


  1. Риски несоответствия предложенного регулирования и существующего административно-управленческого потенциала для его реализации.

Данный риск оценивается как отсутствующий, так как объем регулятивного вмешательства незначительный, существующего потенциала для реализации достаточно.

Меры противодействия – не требуется.



  1. Оценка воздействия на конкуренцию


Оценка варианта № 2 «Принять изменения в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108».


Основной (краткий) вывод:

  • Вариант регулирования № 2 не оказывает негативного воздействия на конкуренцию


Развернутая информация об оценке воздействия на конкуренцию


Наименование фактора

Оценка

"да" или "нет"

Обоснование оценки "да"


2

3

4


Оценка уровня концентрации товарного рынка



1

Имеется ли доминирующее положение, при котором доля какого-либо хозяйствующего субъекта на данном товарном рынке составляет 35 процентов или выше) - при наличии данных?

нет


2

Имеется ли доминирующее положение, при котором совокупное доминирование более чем трех хозяйствующих субъектов, доля каждого из которых больше доли других субъектов на этом рынке и в совокупности превышает 50 процентов, или совокупная доля не более чем пяти хозяйствующих субъектов, доля каждого из которых больше долей других хозяйствующих субъектов на соответствующем рынке - при наличии данных?

нет



Оценка экономических ограничений входа-выхода на товарный рынок



3

Приведет ли новое регулирование к непропорционально высоким затратам: 

  • для потенциальных участников рынка, чем это было для действующих; 

  • для малых предприятий, чем это предполагается для крупных предприятий и т.д.

нет


4

Приведет ли новое регулирование к существенному ограничению доступа потенциальных участников к ресурсам (материально-вещественным, нематериальным и другим), предложение которых на рынке ограничено?

нет


5

Приведет ли новое регулирование к неприемлемо высоким (способным подорвать экономическую устойчивость) издержкам действующих хозяйствующих субъектов при их вынужденном прекращении деятельности на данном товарном рыке, связанным с новым регулированием?

нет



Оценка административных ограничений входа на товарный рынок



6

Приведет ли новое регулирование к существенному росту лицензионных требований и стоимости процедур получения лицензии для потенциальных участников рынка?

нет


7

Приведет ли новое регулирование к нарушению условий равенства прав хозяйствующих субъектов при административном распределении ограниченных ресурсов?

нет


8

Приведет ли новое регулирование к ограничению действующих хозяйствующих субъектов выбирать механизм ценообразования, определять качество продукции, местонахождение размещения производственных мощностей?

нет



Оценка стратегических ограничений входа на товарный рынок



9

Приведет ли новое регулирование к получению дополнительных преимуществ для участников различных устойчивых форм хозяйственной интеграции (холдинги, финансово-промышленные объединения, кластеры с низким уровнем взаимной конкуренции его участников и высоким уровнем кооперации и другие) по сравнению с другими потенциальными участниками рынка, не входящими в такие формы интеграции?

нет



  1. Результаты публичных консультаций

Проект Порядка отражающий данный вариант регулирования, был размещен на сайте www.koomtalkuu.kg и www.gov.kg с 4 июля 2022 года для ознакомления общественности и внесения замечаний и предложений. 

Данный вариант регулирования обсуждался в июне 2022 года на тренингах для государственных и муниципальных органов, неправительственных организаций, а также для бизнес-сектора. В тренингах приняли участие более 90 человек из 25 государственных органов, 10 некоммерческих и правозащитных, а также 18 коммерческих организаций. На указанных тренингах.

В ходе проведения процедуры общественного обсуждения были получены замечания и предложения от ОЮЛ «Ассоциация операторов связи» Кыргызской Республики, которые приведены ниже, с учетом комментариев уполномоченного государственного органа по персональным данным.


Предложения и замечания 

Позиция Государственного агентства по защите персональных данных при Кабинете Министров Кыргызской Республики

1. В справке-обосновании к проекту указано, что в группу интересов, которых затрагивает данный вопрос, входят работники организаций, государственные гражданские и муниципальные служащие и граждане Кыргызской Республики, которые получат более качественную защиту прав и интересов и смогут усовершенствовать свои прикладные навыки и знания. Также в справке-обосновании к проекту указано, что представленный проект не требует проведения анализа регулятивного воздействия, поскольку проект не направлен на регулирование предпринимательской деятельности. 

Учитывая, что проект предусматривает утверждение критериев оценки степени риска при осуществлении предпринимательской деятельности, которые необходимы для реализации полномочий по проведению проверок субъектов предпринимательства, по результатам которых уполномоченным органом могут быть применены меры, то данные действия уполномоченного органа Фактически направлены на регулирование предпринимательской деятельности, что в соответствии со статьей 19 Закона Кыргызской Республики «О нормативных правовых актах Кыргызской Республики» требует проведения анализа регулятивного воздействия. Анализ регулятивного воздействия должен осуществляться и обеспечиваться разработчиком нормативного правового акта. Последствия непредставления разработчиком обоснования, подготовленного на основе анализа регулятивного воздействия в соответствии с частью 3 статьи 3 указанного закона КР проект нормативного правового акта подлежит отклонению. 

2. Проектом предлагается дополнить критерии оценки степени риска при осуществлении предпринимательской деятельности главой 25 «Критерии оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных».

В п. 88 предлагаемой Главы 25 указано, что критерии оценки степени риска  предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных непосредственно связаны с рейтингами угроз безопасности персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

В справке-обосновании приводится пояснение, что проект учитывает уже имеющиеся нормативы по определению угроз безопасности при сборе, обработке и хранении персональных данных, в частности Требований к обеспечению безопасности и защите персональных данных, в частности  утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760. 
Далее в пункте 91 предлагаемой Главы 25 приведены критерии угроз безопасности и рейтинг угроз в виде таблицы, пункты 1-5 которой дублируют критерии угроз безопасности и рейтинг угроз Требований к обеспечению безопасности и защите персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760. 

Указанное дублирование критериев угроз безопасности и установление их в качестве критериев оценки степени риска предпринимательской деятельности, связанной со сбором, хранением, обработкой и передачей персональных данных необоснованно в связи с тем, что Законом «Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства» предусмотрены периодичность проведения проверок в зависимости от величины риска, определяемой по установленным критериям оценки. В соответствии с определением, приведенном в указанном выше законе, критерии оценки степени риска - это совокупность количественных и (или) качественных показателей. связанных с непосредственной деятельностью субъекта проверки, позволяющих отнести субъекты предпринимательства к различным степеням риска. 

Приведенные же в таблице пункта 91 Главы 25 проекта критерии являются критериями угроз безопасности для определения уровня защищенности персональных данных. 

В справке-обосновании и проекте не приведены основания, по которым критерии угроз безопасности, установленные для другой цели, могут считаться одновременно и критериями оценки степени риска предпринимательской деятельности.

Дополнительно отмечаем, что диапазон баллов, указанный в таблице п. 91 Главы 25 варьируется от 0 до 30 баллов по каждому критерию, при этом произведение баллов по каждому из критериев определяется как критерии оценки степени предпринимательской деятельности, при этом «Общие положения» Критериев оценки риска степени риска при осуществлении предпринимательской деятельности, утвержденных постановлением Правительства от 18.02.2012 г. № 108, куда проектом предлагается внести изменения, предусматривают суммирование баллов для отнесения субъектов предпринимательства к одной из степени риска, а не произведение.

3. В п.92 Главы 25 предлагается установить право уполномоченного органа снижать итоговую оценку при суммировании баллов в процессе определения рисков предпринимательской деятельности в диапазоне 30-50 баллов. Условием для такого снижения установлено своевременное обращение в уполномоченный орган в области защиты персональных данных по инцидентам, связанным со сбором, хранением, передачей и обработкой персональных данных, если такие инциденты не повлекли никаких последствий, как для государства, так и для владельцев персональных данных. 

Во-первых, в справке-обосновании не приведено основание установления снижения итоговой оценки именно в диапазоне 30-50 баллов, а также в проекте не раскрыто, в какие сроки обращение в уполномоченный орган в области защиты персональных данных об инцидентах считается своевременным. Отсутствие обоснований и конкретных сроков могут привести к оспариванию результатов итоговой оценки рисков.

4. В п. 93 Главы 25 приведена таблица с указанием баллов, отражающих историю деятельности субъекта предпринимательства, зависящих неисполнения субъектом от количества случаев Кыргызской Республики в сфере информации персонального характера.

В п. 93 Главы 25 не указано, на что влияют баллы в таблице и история деятельности субъекта, к каким расчетам применяются данные баллы, а также не приведено обоснование установления баллов именно в тех размерах, которые приведены в таблице п 93.

5. В п. 94 Главы 25 в таблице приводится количество баллов, оценивающих исполнение требований законодательства Кыргызской Республики в сфере информации персонального характера, определяемое в ходе плановой проверки с применением проверочного листа.

В п. 94 Главы 25 не указано, на что влияют баллы в таблице, к каким расчетам применяются данные баллы, а также не приведено обоснование установления баллов именно в тех размерах, которые приведены в таблице п. 94.


  1. Государственным агентством по защите персональных данных при Кабинете Министров Кыргызской Республики на основании приказа от 28 июля 2022 № 28-а было инициировано проведение Анализа регулятивного воздействия по итогам согласования с уполномоченным государственным органов в области экономики и коммерции Кыргызской Республики.



































2. Агентство считает, что установленные критерии угроз безопасности в первую очередь представляют из себя риски для персональных данных, что в свою очередь является основанием для определения степени риска предпринимательской деятельности при сборе, обработке и хранении персональных данных, поскольку установлены критерии опираются на требования уже имеющейся документации, то определение рисков предпринимательской деятельности считаем допустимым.

Для этого и введен пункт 88 Главы 25, как форма соотношения угроз безопасности персональных данных и критериев степени риска предпринимательской деятельности, более того, соотношение данных показателей позволяет определять уровни безопасности систем (являются ли они критичными) и с учетом рисков, выявляемых по тем же показателям, но с учетом требований постановления Кабинета Министров Кыргызской Республики “О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108”, помогает заложить ключевые параметры для определения рисков предпринимательской деятельности и исходя из степени защищенности систем, а также угроз безопасности будет формироваться периодичность проведения проверок субъектов предпринимательства 

В соответствии с определением, Установленном Законом Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства», критерии оценки степени риска - это совокупность количественных и (или) качественных показателей. связанных с непосредственной деятельностью субъекта проверки, позволяющих отнести субъекты предпринимательства к различным степеням риска. 

Критерии угроз безопасности приведенные в Требованиях к обеспечению безопасности и защите персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760 являются количественными и качественными показателями в отношении персональных данных граждан, что делает их незаменимыми показателями при определении угроз безопасности предпринимательской деятельности в процессе сбора, хранения и обработки персональных данных.















Учтено


















3. Учтено. Во избежание трудностей в правоприменительной практике, а также возможных коррупционных рисков, пункт исключен из проекта.

























4. Учтено. Пункт исключен.














5. Учтено. Внесено примечание. При этом баллы установлены с разницей в один шаг, который, как следует из всего текста проекта составляет 5 баллов. Одновременно сроки определены с диапазоном в 2 года, что является оптимальным сроком для установления возможных инцидентов в промежутке между проверками субъектов предпринимательства, которые для большинства держателей массивов персональных данных будут превышать трехлетний период.


Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики полностью поддерживает проект, поскольку без его принятия будет невозможно осуществлять контрольные функции в соответствии с Законом Кыргызской Республики «О порядке проведения проверок субъектов предпринимательства».


  1. ОБОСНОВАНИЕ ВЫБОРА ПРЕДПОЧТИТЕЛЬНОГО ВАРИАНТА РЕГУЛИРОВАНИЯ

Сравнение вариантов регулирования:

Вариант № 1    «Оставить все как есть»;

Вариант № 2    «Принять изменения к Критериям оценки степени риска при осуществлении предпринимательской деятельности, утвержденного постановлением Правительства Кыргызской Республики от 18 февраля 2012 года №108»;

показало:

В варианте "оставить все как есть" сохраняются все проблемы, указанные в разделе 1. Проблемы и основания для изменения регулирования.

В варианте № 2 все идентифицированные проблемы устраняются

Руководствуясь критериями достижения цели, решения проблем и отсутствия негативных эффектов в экономике, социальной сфере и экологии, а также отсутствия чрезмерных административных издержек для держателей массивов персональных данных (предпринимателей) и затрат государства, вариант регулирования № 2 признан более предпочтительным. 

Вывод: целесообразно принять проект постановления Кабинета Министров Кыргызской Республики «О внесении изменений в постановление Правительства Кыргызской Республики «Об утверждении критериев оценки степени риска при осуществлении предпринимательской деятельности» от 18 февраля 2012 года № 108», соответствующий варианту №2.

Вариант №2 регулирования прошел все предусмотренные законодательством обсуждения.