ПОСТАНОВЛЕНИЕ КАБИНЕТА МИНИСТРОВ КЫРГЫЗСКОЙ РЕСПУБЛИКИ
г.Бишкек, от 22 марта 2023 года № 158
Об осуществлении контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных
В целях осуществления контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления, в соответствии с частью 3 статьи 22 Закона Кыргызской Республики "Об информации персонального характера" и статьями 13, 17 конституционного Закона Кыргызской Республики "О Кабинете Министров Кыргызской Республики" Кабинет Министров Кыргызской Республики постановляет:
1. Утвердить Положение об осуществлении контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных, согласно приложению.
2. Установить, что местные государственные администрации и органы местного самоуправления включаются в план проверок начиная с 2024 года.
3. Контроль за исполнением настоящего постановления возложить на управление контроля исполнения решений Президента и Кабинета Министров Администрации Президента Кыргызской Республики.
4. Настоящее постановление вступает в силу по истечении семи дней со дня официального опубликования.
Опубликован в газете "Эркин Тоо" от 7 апреля 2023 года N 28
Председатель Кабинета Министров Кыргызской Республики | А.Жапаров |
Приложение | ||
(к постановлению Кабинета Министров Кыргызской Республики |
ПОЛОЖЕНИЕ
об осуществлении контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных
1. Общие положения
1. Настоящее Положение разработано в соответствии с Конституцией Кыргызской Республики, Законом Кыргызской Республики "Об информации персонального характера", иными нормативными правовыми актами и устанавливает порядок организации и осуществления контроля за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления, за исключением персональных данных, полученных в результате деятельности органов прокуратуры Кыргызской Республики, правоохранительных органов и органов, осуществляющих оперативно-розыскную, разведывательную и контрразведывательную деятельность, производство официальной статистики, правовой режим которых устанавливается в соответствии с законами Кыргызской Республики "Об оперативно-розыскной деятельности" и "О защите государственных секретов Кыргызской Республики".
2. Контроль за использованием персональных данных осуществляется уполномоченным государственным органом по персональным данным.
3. Должностные лица уполномоченного государственного органа по персональным данным, осуществляющие контроль за использованием персональных данных, при проведении контрольного мероприятия в пределах своих полномочий и в объеме проводимых контрольных действий, пользуются правами, установленными Законом Кыргызской Республики "Об информации персонального характера" и Положением о Государственном агентстве по защите персональных данных при Кабинете Министров Кыргызской Республики, утвержденным постановлением Кабинета Министров Кыргызской Республики от 22 декабря 2021 года № 325.
2. Контролируемые объекты
4. В рамках настоящего нормативного правового акта контролируемыми объектами являются:
- деятельность и результаты деятельности держателей (обладателей) массивов персональных данных и обработчиков, действующих по поручению держателей (далее - контролируемые объекты) и являющихся органами государственной власти, местными государственными администрациями и органами местного самоуправления и их подведомственными организациями, по обработке персональных данных, осуществляемые с использованием средств автоматизации и информационно-коммуникационных технологий;
- результаты деятельности по разработке документов и локальных актов держателей (обладателей) массивов персональных данных по обработке персональных данных, указанных в законодательстве Кыргызской Республики в области защиты персональных данных.
5. Учет держателей (обладателей) массивов персональных данных обеспечивается посредством ведения автоматизированной информационной системы "Реестр держателей (обладателей) массивов персональных данных" (далее - Реестр).
3. Профилактика нарушений законодательства в области защиты информации персонального характера
6. Результатами осуществления контроля за обработкой персональных данных контролируемыми лицами могут быть следующие виды мероприятий:
1) консультирование;
2) дача рекомендаций по спорным вопросам;
3) направление предписания;
4) объявление предостережения;
5) направление материалов проверки в правоохранительные органы для дачи юридической оценки.
7. Консультирование осуществляется уполномоченным государственным органом по персональным данным по обращениям контролируемых объектов и их представителей в письменном виде, по телефону, посредством видео-конференц-связи, на личном приеме.
8. Уполномоченный государственный орган по персональным данным предоставляет консультации по следующим вопросам:
- наличие и содержание обязательных требований в сфере обработки персональных данных;
- периодичность и порядок проведения контрольных мероприятий;
- порядок выполнения обязательных требований в сфере обработки персональных данных;
- выполнение предписания, выданного контролируемому объекту по итогам контрольного мероприятия;
- по вопросам, возникающим в правоприменительной практике законодательства Кыргызской Республики в области информации персонального характера.
9. Уполномоченным государственным органом по персональным данным предоставляются рекомендации по спорным вопросам, возникающим между участниками информационного взаимодействия при обработке, хранении и передаче персональных данных, в том числе с использованием элементов электронного управления в форме совещаний с рассмотрением всех позиций и обстоятельств, по итогам которых готовится протокол совещания с содержанием рекомендаций по разрешению спорных вопросов на основании законодательства Кыргызской Республики в области защиты персональных данных.
10. В случае наличия у уполномоченного государственного органа по персональным данным сведений об имеющихся или готовящихся нарушениях обязательных требований или признаках нарушений обязательных требований потенциальному нарушителю объявляется предостережение о недопустимости нарушения обязательных требований, в котором объекту контроля предлагается принять меры по обеспечению соблюдения требований Закона Кыргызской Республики "Об информации персонального характера".
11. В предостережении о недопустимости нарушения обязательных требований Закона Кыргызской Республики "Об информации персонального характера" указываются обязательные требования со ссылками на статьи Закона, нарушаемые контролируемым объектом, а также информация о том, какие действия могут привести или приводят к нарушению обязательных требований, а также вносится предложение о принятии мер по обеспечению соблюдения данных требований.
12. Направление предписания осуществляется в ходе контроля за соблюдением законодательства Кыргызской Республики в области защиты персональных данных контролируемыми объектами в ходе плановых мероприятий, а также без взаимодействия с ними.
4. Осуществление проверок контролируемых объектов
13. Проверка контролируемых объектов осуществляется посредством проведения плановых и внеплановых проверок.
14. Плановые проверки проводятся на основании плана проведения плановых проверок на очередной календарный год.
План проверок на очередной календарный год публикуется на официальном сайте уполномоченного государственного органа по персональным данным не позднее 1 декабря года, за которым будет реализовываться план проверок контролируемых объектов.
15. В ходе проведения плановой проверки уполномоченным государственным органом осуществляется контроль за соблюдением держателем (обладателем) массива персональных данных Закона Кыргызской Республики "Об информации персонального характера", а также его соответствие Требованиям к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденным постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
16. Для фиксации уполномоченным государственным органом по персональным данным доказательств нарушений законодательства используется в том числе фотосъемка, аудио- и видеозапись, могут применяться персональные компьютеры, ноутбуки, съемные электронные носители информации, копировальные аппараты, сканеры, сотовые телефоны, механические, программные и электронные средства измерения и фиксации.
Зафиксированные с помощью фотосъемки, аудио- и видеозаписи, технических средств доказательства выявленных нарушений обязательных требований оформляются приложением к заключению уполномоченного государственного органа по персональным данным.
17. В ходе проведения проверки держателей массивов персональных данных уполномоченным государственным органом по персональным данным проводятся беседы с сотрудниками, руководителями, обработчиками и третьими лицами контролируемого объекта, изучаются документы, тестируются информационные системы контролируемых объектов по методикам, разрабатываемым уполномоченным государственным органом по персональным данным.
18. Уполномоченный государственный орган по персональным данным имеет право доступа без предварительных и дополнительных разрешений и согласований ко всем документам и оборудованию, а также помещениям, имеющим отношение к сбору, обработке и хранению персональных данных.
Сотрудники и руководство контролируемого объекта не вправе препятствовать работе уполномоченного государственного органа по персональным данным.
19. По итогам проведенных проверок готовится заключение, которое содержит предписания, вносится контролируемому лицу для устранения нарушений, выявленных в ходе проверки, а также предложения по совершенствованию системы обеспечения защиты персональных данных.
20. В случае выявления в ходе проведения проверки фактов склонения должностных лиц контролируемого лица или сотрудников уполномоченного государственного органа по персональным данным к коррупционным преступлениям все материалы передаются в правоохранительные органы.
5. Организация и проведение мониторинга без взаимодействия с контролируемым объектом
21. Агентством проводятся мероприятия по осуществлению мониторинга без взаимодействия с контролируемым объектом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований законодательства в области защиты персональных данных.
22. Такой мониторинг проводится посредством изучения обращений граждан, информации, размещаемой в сети интернет и в средствах массовой информации, обсуждаемых инцидентов, связанных с информацией персонального характера в социальных сетях и т.д.
23. К мероприятиям по мониторингу без взаимодействия с контролируемым объектом относятся:
- наблюдение за соблюдением требований при размещении информации персонального характера в сети интернет;
- наблюдение за соблюдением требований посредством анализа информации о деятельности контролируемого объекта, а также анализа информации, которая представляется в уполномоченный государственный орган по персональным данным контролируемым объектом, в том числе в Реестре;
- наблюдение за активностью контролируемого объекта в средствах массовой информации и социальных сетях, связанной с информацией персонального характера;
- изучение обращений, поступивших от субъекта персональных данных в отношении контролируемого лица.
24. Итоги проведения мониторинга оформляются в виде предписания, которое содержит требования об исключении фактов нарушения законодательства в сфере персональных данных в течение 5 рабочих дней с информированием уполномоченного государственного органа по персональным данным либо с представлением мотивированных возражений по существу выявленных признаков нарушения требований законодательства.
25. Итоги проведения мониторинга без взаимодействия с объектом контроля являются основанием для проведения внеплановой проверки в отношении контролируемого объекта с целью уточнения всех обстоятельств, послуживших причиной нарушения требований законодательства Кыргызской Республики в области информации персонального характера.
26. По итогам проведения мониторинга уполномоченным государственным органом по персональным данным готовится предписание с описанием запроса, требования об устранении нарушения с указанием сроков.
27. Содержание предписания зависит от обстоятельств выявленных нарушений и степени их общественной опасности и вреда для владельцев персональных данных.
28. В случаях, если в действиях держателя (обладателя), обработчика массивов персональных данных будут выявлены признаки состава преступления или правонарушения в области информации персонального характера, уполномоченный государственный орган по персональным данным передает все материалы дела на рассмотрение в правоохранительные органы.
29. Контролируемый объект в ходе проведения контрольных мероприятий обязан оказывать всемерное содействие уполномоченному государственному органу по персональным данным по вопросам, относящимся к его компетенции, и исполнять поступающие предписания и заключения.