ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ КЫРГЫЗСКОЙ РЕСПУБЛИКИ

г.Бишкек, от 18 ноября 2022 года № 638

Об утверждении Порядка регистрации держателей (обладателей) массивов персональных данных, массивов персональных данных и перечней персональных данных в Реестре держателей (обладателей) массивов персональных данных, а также его ведения и опубликования

В соответствии со статьями 18, 30 Закона Кыргызской Республики "Об информации персонального характера", статьями 13, 17 конституционного Закона Кыргызской Республики "О Кабинете Министров Кыргызской Республики" Кабинет Министров Кыргызской Республики постановляет:

1. Утвердить Порядок регистрации держателей (обладателей) массивов персональных данных, массивов персональных данных и перечней персональных данных в Реестре держателей (обладателей) массивов персональных данных, а также его ведения и опубликования согласно приложению.

2. Организациям, приступившим к сбору, обработке и хранению персональных данных, до принятия настоящего постановления необходимо пройти учетную регистрацию в Реестре держателей (обладателей) массивов персональных данных в течение шести месяцев со дня вступления настоящего постановления в силу.

3. Контроль за исполнением настоящего постановления возложить на управление контроля исполнения решений Президента и Кабинета Министров Администрации Президента Кыргызской Республики.

4. Настоящее постановление вступает в силу по истечении семи дней со дня официального опубликования.

Опубликован в газете "Эркин Тоо" от 29 ноября 2022 года N 105

ПОРЯДОК
 регистрации держателей (обладателей) массивов персональных данных, массивов персональных данных и перечней персональных данных в Реестре держателей (обладателей) массивов персональных данных, а также его ведения и опубликования

1. Общие положения

1. Настоящий Порядок определяет процедуру регистрации держателей (обладателей) массивов персональных данных, массивов персональных данных и перечней персональных данных в Реестре держателей (обладателей) массивов персональных данных, а также ведения и опубликования.

2. Целями и задачами настоящего Порядка являются:

- защита прав и свобод личности при использовании информации персонального характера и защита этой информации;

- учет держателей (обладателей) массивов персональных данных;

- учет массивов персональных данных;

- создание условий прозрачности в процессах сбора, обработки и хранения персональных данных;

- установление контроля за массивами персональных данных;

- установление порядка работы с информацией персонального характера;

- обеспечение сбора персональных данных для точно и заранее определенных, объявленных и законных целей и неиспользования в противоречии с этими целями.

3. Держатель (обладатель) массива персональных данных (далее - держатель) до начала сбора и обработки персональных данных проводит анализ осуществляемых им задач на предмет использования персональных данных и проходит регистрацию в уполномоченном органе по персональным данным.

4. Цели должны быть однозначными, законными и соответствовать осуществляемым держателем задачам.

5. Реестр держателей (обладателей) массивов персональных данных (далее - Реестр) представляет собой единую систему государственного учета держателей и массивов персональных данных, а также перечней персональных данных, включаемых в те или иные массивы персональных данных.

6. Реестр носит общедоступный характер.

7. Доступ к Реестру осуществляется посредством сети Интернет, ввиду чего дополнительное опубликование не требуется.

8. В Реестр подлежат включению:

- наименование массива персональных данных;

- наименование и реквизиты держателя, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс);

- цели и способы сбора и использования персональных данных;

- режимы и сроки их хранения;

- перечень собираемых персональных данных;

- категории или группы субъектов персональных данных;

- источники сбора персональных данных;

- порядок информирования субъектов о сборе и возможной передаче их персональных данных;

- меры по обеспечению сохранности и конфиденциальности персональных данных;

- лицо, непосредственно ответственное за работу с персональными данными;

- получатели или категории получателей, которым могут передаваться данные;

- предполагаемая трансграничная передача персональных данных.

В Реестр не подлежат включению массивы персональных данных содержащие сведения, отнесенные к государственной тайне на основании Закона Кыргызской Республики "О защите государственных секретов Кыргызской Республики".

9. Ведение Реестра осуществляется уполномоченным государственным органом по персональным данным в электронной форме на государственном и официальном языках.

10. Регистрация в Реестре осуществляется держателями самостоятельно в соответствии с настоящим Порядком.

11. Регистрация держателей в Реестре осуществляется с момента подачи заполненной в электронной форме заявки на рассмотрение уполномоченного государственного органа по персональным данным.

12. При внесении неполной или недостоверной информации держатель должен устранить неточности, выявленные уполномоченным государственным органом по персональным данным.

13. Переписка по вопросам ведения Реестра между уполномоченным государственным органом по персональным данным и держателями ведется с использованием электронного документооборота, электронной почты и на бумажном носителе.

14. Регистрация в Реестре осуществляется на бесплатной основе посредством сети Интернет через официальный сайт уполномоченного государственного органа по персональным данным (в разделе "Реестр").

2. Порядок регистрации в Реестре держателей (обладателей) массивов персональных данных

15. Регистрация в Реестре состоит из трех этапов. В ходе первых двух этапов держатель заполняет электронные формы для получения регистрационного номера в Реестре. В ходе третьего этапа держатель проходит процедуру согласования и регистрации перечней персональных данных для осуществления их сбора, обработки и хранения в рамках реализации своих функций и целей.

16. Регистрация держателей в Реестре осуществляется после авторизации в Реестре посредством Единой системы идентификации через облачную электронную подпись юридического лица.

17. Регистрация держателей и массивов персональных данных в Реестре осуществляется в следующей форме:

1) регистрация держателя и массива персональных данных, а также внесение изменений в Реестр, осуществляются на официальном сайте уполномоченного государственного органа по персональным данным;

2) для прохождения регистрации на официальном сайте уполномоченного государственного органа по персональным данным в навигационной панели необходимо перейти в раздел "Реестр";

3) процесс идентификации и авторизации для регистрации и внесения изменений в Реестр осуществляется посредством Единой системы идентификации по правилам, определенным Положением о Единой системе идентификации Кыргызской Республики, утвержденным постановлением Правительства Кыргызской Республики "Об отдельных вопросах осуществления электронного управления в Кыргызской Республике" от 31 декабря 2019 года № 748;

4) после прохождения процедуры идентификации держатель приступает к заполнению регистрационных форм и внесению изменений в Реестр;

5) в регистрационные формы вносится информация о держателе в соответствии со статьей 30  Закона Кыргызской Республики "Об информации персонального характера";

6) поля, отмеченные звездочками, являются обязательными для заполнения;

7) наименование держателя заполняется на кириллице без сокращений;

8) при перечислении информации в полях заявки, когда наименований больше чем одно, данные вносятся в поле через запятую или точку с запятой.

18. Прохождение всех этапов регистрации в Реестре является обязательным условием для регистрации в качестве держателя.

19. Поля, относящиеся к первой части регистрационной формы, то есть к регистрационным данным юридического лица, заполняются в автоматизированном порядке посредством системы межведомственного электронного взаимодействия из информационной системы уполномоченного государственного органа по регистрации юридических лиц.

При этом держателю следует указать актуальные контактные данные лица, непосредственно ответственного за работу с персональными данными, а также адрес своего фактического местонахождения.

20. Поля второго этапа регистрационной формы заполняются актуальной информацией держателем, проставляются отметки в предлагаемых вариантах или выбираются предложенные варианты из всплывающих окон, в том числе:

- наименование массива персональных данных;

- режимы и сроки их хранения;

- порядок информирования субъектов о сборе и возможной передаче их персональных данных;

- меры по обеспечению сохранности и конфиденциальности персональных данных;

- контактные данные лица, непосредственно ответственного за работу с персональными данными;

- получатели или категории получателей, которым могут передаваться данные;

- наличие или отсутствие трансграничной передачи персональных данных;

- срок или условие прекращения обработки персональных данных.

21. Регистрация перечней персональных данных является третьим и заключительным этапом регистрации в Реестре, в ходе которого заполняется информация о перечнях собираемых персональных данных, включающих в себя:

- перечень собираемых персональных данных;

- категории или группы субъектов персональных данных;

- источники сбора персональных данных;

- цели и способы сбора и использования персональных данных.

22. Зарегистрированный держатель на третьем этапе вносит данные о собираемых перечнях персональных данных (с указанием целей и задач) в Реестр.

23. Внесенные данные о перечнях персональных данных направляются уполномоченному государственному органу по персональным данным на согласование и регистрацию через Реестр, после чего держатель получает автоматическое уведомление о принятии заявки на рассмотрение.

24. После подачи заявки держатель получает уникальный регистрационный номер в Реестре. Процедура согласования заявки уполномоченным государственным органом по персональным данным не должна превышать 10 (десять) рабочих дней с момента получения электронной заявки от держателей.

По итогам прохождения регистрации в Реестре держатель получает право на сбор, обработку и хранение персональных данных в соответствии с законодательством Кыргызской Республики в области информации персонального характера.

3. Контроль за исполнением настоящего Порядка и заключительные положения

25. Уполномоченным государственным органом по персональным данным вносятся обоснованные замечания по заполненной заявке как полностью, так и по частям, в случаях, когда из обоснования имеются несоответствия Закону Кыргызской Республики "Об информации персонального характера", в том числе, когда имеются неточности в вопросах, касающихся регистрации массивов персональных данных, полноты вносимой информации, а также в случае, когда собираемые персональные данные не соответствуют точно и заранее определенным и заявленным целям.

26. При получении обоснованных замечаний уполномоченного государственного органа по персональным данным по заполнению регистрационной формы держателем вносятся соответствующие изменения в течение 10 (десять) рабочих дней после получения замечаний.

27. Замечания уполномоченного государственного органа по персональным данным по поданным заявкам на регистрацию даются в форме комментариев в Реестре. Дополнительно могут быть направлены письма с использованием электронного документооборота, электронной почты и на бумажном носителе.

28. Последующие обновления перечней, необходимые и достаточные для осуществления своей деятельности, согласовываются держателем с уполномоченным государственным органом по персональным данным посредством редактирования электронной заявки на регистрацию в Реестре.

29. Держатель должен обеспечить достоверность и актуальность вносимых в Реестр данных, а также обеспечить хранение и обработку персональных данных в строгом соответствии с точно и заранее определенным, объявленным и законным целям их сбора.

30. Регистрация перечней персональных данных осуществляется после окончательного подтверждения уполномоченным государственным органом по персональным данным соответствия заранее определенным, объявленным и законным целям их сбора.

31. Сбор, хранение и обработка персональных данных без регистрации в Реестре запрещается и влечет за собой ответственность в соответствии с законодательством Кыргызской Республики о правонарушениях.

32. При многократном (более 5 раз) неустранении держателем возражений уполномоченного государственного органа по персональным данным в процессе согласования перечней персональных данных при регистрации регистрация приостанавливается, а повторные заявки без устранения выявленных ошибок, неточностей и несоответствий не принимаются к регистрации.

Возражения на решения уполномоченного государственного органа по персональным данным о приостановлении регистрации в Реестре направляются в уполномоченный государственный орган по персональным данным и рассматриваются им в порядке, предусмотренном Законом Кыргызской Республики "Об основах административной деятельности и административных процедурах".

33. При неактивной записи держателя в Реестре вследствие отсутствия согласования перечней персональных данных и заявки на регистрацию у держателя отсутствует возможность собирать и обрабатывать персональные данные, поскольку такая регистрация считается незавершенной.

34. Прекращение/приостановление регистрации в качестве держателя производится уполномоченным государственным органом по персональным данным по заявлению держателя при наличии подтверждающих документов, в том числе вступивших в силу решений суда, запросов и требований государственных органов в случае прекращения/приостановления обработки персональных данных с указанием причин, а также вследствие смены рода деятельности держателя и регистрации прекращения деятельности держателя.

35. Прекращение/приостановление регистрации в качестве держателя переводит запись в Реестре в форму архивного хранения, оставляя ее при этом доступной для просмотра с одновременным указанием причин прекращения регистрации.

36. Держатели, осуществлявшие сбор, обработку и хранение персональных данных до введения настоящего положения, проходят учетную регистрацию в порядке, предусмотренном для первоначальной регистрации держателя. При этом до прохождения учетной регистрации держатель не прекращает сбор, обработку и хранение персональных данных.