ПРОЕКТ ЗАКОНА КЫРГЫЗСКОЙ РЕСПУБЛИКИ О защите персональных данных

ПРОЕКТ ЗАКОНА КЫРГЫЗСКОЙ РЕСПУБЛИКИ

О защите персональных данных

Глава 1

Общие положения

Статья 1. Сфера действия настоящего Закона

1. Настоящий Закон направлен на правовое регулирование работы с персональными данными на основе общепринятых международных принципов и норм в соответствии с Конституцией и законами Кыргызской Республики в целях обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных.

2. Действие настоящего Закона распространяется на отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации, включая использование цифровых и информационно-коммуникационных технологий.

3. Действие настоящего Закона не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица, если при этом не нарушаются права субъектов персональных данных.

Статья 2. Цели настоящего Закона

Целями настоящего Закона является установление правил защиты физических лиц в связи с обработкой персональных данных и правила свободного перемещения персональных данных.

Настоящий Закон обеспечивает реализацию прав, закрепленных Конституцией Кыргызской Республики на защиту прав и свобод физических лиц, в частности, их право на защиту персональных данных.

Свободное движение персональных данных не должно быть ни ограничено, ни запрещено по причинам, связанным с защитой физических лиц в отношении обработки персональных данных, если такой запрет прямо не указан в законе Кыргызской Республики.

Статья 3. Термины и определения

Для целей настоящего Закона применяются следующие основные термины и определения:

Персональные данные (информация персонального характера) - любая информация отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его физической, биологической, генетической, умственной, экономической, культурной, гражданской или социальной идентичности.

К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья, а также информация о человека на основе анализа его генетических образцов и прочее.

Биометрические персональные данные - персональные данные, полученные в результате специальной технической обработки, которые характеризуют физические, физиологические или поведенческие черты физического лица, а также делают возможной однозначную идентификацию этого физического лица или подтверждает ее (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение, рисунок вен, походка и другое).

Генетические персональные данные - персональные данные, относящиеся к наследственным или приобретенным генетическим характеристикам физического лица, которые раскрывают уникальную информацию о физиологии или здоровье человека, и которые являются результатом, в частности, анализа биологического образца данного физического лица

Перечень персональных данных - список категорий данных об одном субъекте.

Массив персональных данных - любая структурированная совокупность персональных данных определенного или неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, цифровые базы данных и т.п.).

Общедоступные массивы персональных данных - массивы персональных данных, доступ к которым не ограничен законодательством, и предназначенные для общего пользования (справочники, телефонные книги, адресные книги и т.п.).

Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных.

Субъект персональных данных (субъект) - физическое лицо, к которому относятся соответствующие персональные данные.

Владелец записей - физическое или юридическое лицо, государственный орган, орган местного самоуправления, который самостоятельно или совместно с другими лицами определяет цели, категории или средства обработки персональных данных и контролирует сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом.

Уполномоченный государственный орган по персональным данным - государственный орган, осуществляющий функции и полномочия по обеспечению соответствия обработки персональных данных требованиям настоящего Закона, защите прав субъектов персональных данных (субъектов), регистрации владельцев записей массива персональных данных, ведению Реестра владельцев массивов персональных данных, другие задачи, функции и полномочия, предусмотренные настоящим Законом.

Обработчик - физическое или юридическое лицо, государственный орган определяемое владельцем записей, которое осуществляет обработку персональных данных на основании заключенного с ним договора.

Получатель персональных данных - орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект персональных данных (субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом.

Профилирование - любая форма автоматической обработки персональных данных, заключающаяся в использовании персональных данных для оценки определенных личных показателей физического лица, в частности, для анализа или предугадывания аспектов его результативности в работе, его экономического положения, здоровья, личных предпочтений, интересов, надежности, поведения и перемещений.

Псевдонимизация - обработка персональных данных таким образом, что их больше невозможно отнести к конкретному субъекту персональных данных без использования дополнительной информации, при условии, что такая дополнительная информация хранится отдельно, и в отношении нее приняты технические и организационные меры, предотвращающие ее отнесение идентифицированному или идентифицируемому физическому лицу.

Сбор персональных данных - процедура получения персональных данных владельцем записей от субъектов этих данных либо из других источников в соответствии с законодательством Кыргызской Республики;

Обработка персональных данных - любая операция или набор операций, выполняемых независимо от способов владельцем записей либо по его поручению, с использованием средств автоматизации или без использования таких средств, включая сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.

Согласие субъекта персональных данных - выраженное в форме, предусмотренной настоящим Законом, свободное, конкретное, безоговорочное и осознанное (информированное) волеизъявление лица, в соответствии с которым субъект оповещает о своем согласии на осуществление процедур, связанных с сбором и обработкой его персональных данных.

Передача персональных данных - предоставление владельцем записей получателям или третьим лицам в соответствии с настоящим Законом и международными договорами.

Трансграничная передача персональных данных - передача владельцем записей владельцам записей, обработчикам или третьим лицам, находящимся под юрисдикцией других государств.

Третье лицо - любое физическое или юридическое лицо, государственный орган, орган местного самоуправления не являющееся субъектом персональных данных, владельцем записей, обработчиком или лицом, которое уполномочено обрабатывать данные с прямой санкции владельца записей или обработчика.

Актуализация персональных данных - внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством Кыргызской Республики.

Блокирование персональных данных - временное прекращение передачи, уточнения, использования и уничтожения персональных данных.

Уничтожение (стирание или разрушение) персональных данных - действия владельца записей по приведению этих данных в состояние, не позволяющее восстановить их содержание.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Статья 4. Основные принципы работы с персональными данными

1. Персональные данные должны быть получены и обработаны в порядке, предусмотренном настоящим Законом. Владелец записей несет ответственность и должен быть в состоянии продемонстрировать соблюдение основных принципов работы с персональными данными.

2. Персональные данные должны собираться для точно и заранее определенных, объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями. Дальнейшая обработка данных для исторических (архивных), статистических или научных целей не считается несовместимой с данным принципом при условии обеспечения адекватного уровня их защиты.

3. Первоначальные данные должны быть точными и в случае необходимости обновляться.

4. Собираемые персональные данные должны быть адекватны, относиться к делу и не быть избыточными в отношении целей, для которых они собираются и/или в дальнейшем обрабатываются.

5. В отношении обрабатываемых персональных данных должны быть обеспечены условия справедливости и прозрачности обработки для субъекта этих персональных данных.

6. Персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них.

7. Для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты.

8. Не допускается объединение массивов персональных данных, собранных владельцами записей в разных целях, для автоматизированной обработки информации с использованием профилирования или искусственного интеллекта.

9. Персональные данные должны храниться и защищаться владельцами записей и обработчиками от незаконных доступов, внесений дополнений, изменений и уничтожений.

10. Основные принципы работы с персональными данными не носят исчерпывающий характер и могут дополняться в соответствии с законодательством Кыргызской Республики.

Глава 2
Условия законности работы с персональными данными

Статья 5. Правовые основания осуществления работы с персональными данными

Работа с персональными данными может осуществляться владельцем записей только в случаях:

если субъект персональных данных дал свое согласие на ее проведение;
если обработка персональных данных вытекает из договорных отношений, по которому субъект персональных данных является стороной, а также для реализации действий и шагов для его заключения;
если обработка персональных данных необходима для выполнения органами государственной власти, органами местного самоуправления своих полномочий, установленной законодательством Кыргызской Республики или для выполнения задач, представляющей общественный интерес;
если она нужна для выполнения правовых обязательств владельцев записей, закрепленных законодательством;
когда она необходима для защиты жизненно важных интересов субъекта персональных данных или другого физического лица;
если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут совершаться на основании согласия субъекта персональных данных с соблюдением права на неприкосновенность частной жизни и свободу слова;
для целей формирования официальной статистики при условии, что они обрабатываются в псевдонимизированном виде и уничтожаются по завершению их обработки в процессе формирования официальной статистики.

Статья 6. Правовой режим персональных данных

1. Персональные данные, находящиеся в ведении владельца записей, относятся к конфиденциальной информации, кроме случаев, определенных настоящим Законом.

2. владелец записей и обработчик обязаны обеспечивать охрану персональных данных во избежание несанкционированного доступа, блокирования, передачи, а равно их случайного или несанкционированного уничтожения, изменения, раскрытия или утраты.

3. Режим конфиденциальности персональных данных снимается в случаях:

- обезличивания и псевдонимизации персональных данных;

- при наличии согласия субъекта персональных данных.

4. Правовой режим персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается Кабинетом Министров Кыргызской Республики.

5. Порядок работы с персональными данными в рамках применения законодательства в сфере защиты прав участников уголовного судопроизводства определяется Кабинетом Министров Кыргызской Республики.

6. При согласии субъекта для его персональных данных может быть установлен режим общедоступности информации (библиографические справочники, телефонные и адресные книги, частные объявления и т.п.). Исключения составляют случаи, когда информация должна носить публичный характер в случаях осуществления правосудия и исполнения судебного акта, а также в случаях, предусмотренных законами Кыргызской Республики в сфере цифрового управления, национальной безопасности, противодействия терроризму и коррупции, оперативно-розыскной деятельности и иных случаях, определяемых законами Кыргызской Республики.

7. С момента государственной регистрации смерти субъекта персональных данных лицу присваивается статус "умерший". Персональные данные умершего субъекта подлежат архивированию и хранению.

8. Защита персональных данных умершего лица может осуществляться наследниками, в порядке, предусмотренном гражданским законодательством Кыргызской Республики.

9. Правовой режим обработки специальных категорий персональных данных, в том числе генетических и биометрических персональных данных, регулируется настоящим Законом.

10. Нормы права, содержащие положения о регулировании сбора, хранения и обработки информации, включающие персональные данные, а равно доступу к ним, вступающие в противоречащие с настоящим Законом, не применяются.

11. Нормативные правовые акты, касающиеся обработки персональных данных, не подлежат принятию с ограниченным режимом доступа.

12. Компрометация или утечка персональных данных является основанием для замены подтверждающих или удостоверяющих документов за счет средств владельца записей, если их содержание скомпрометировано по вине владельца записей или обработчика,.

Статья 7. Общедоступные массивы персональных данных

1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги, различные реестры в свободном доступе и т.п.).

2. В общедоступные массивы персональных данных включаются только те категории персональных данных, которые необходимы и достаточны для обеспечения целей формирования таких общедоступных массивов. При этом персональные данные должны быть предоставлены субъектом и/или получены из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных.

3. Общедоступные массивы персональных данных формируются на основании согласия субъекта персональных данных за исключением случаев, когда формирование общедоступных массивов осуществляется в целях правосудия и исполнения судебного акта, а также в случаях, прямо предусмотренных законами Кыргызской Республики.

4. В случае если персональные данные получены владельцем общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, владелец общедоступного массива по запросу субъекта информирует в недельный срок о наличии его персональных данных, источниках получения и цели использования.

5. Персональные данные конкретного субъекта безотлагательно исключаются владельцем записей из общедоступного массива персональных данных, а в случае печатного издания при издании следующего тиража - на основании распоряжения этого субъекта или решения Уполномоченного государственного органа по персональным данным, а также на основании решения суда, за исключением случаев, когда обязательность публичности таких данных установлена законами Кыргызской Республики.

6. Режим конфиденциальности для общедоступных массивов персональных данных не устанавливается.

Статья 8. Специальные категории персональных данных

1. Запрещается сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, медицинские данные и информация о сексуальной ориентации, участие в представительных органах работников и данные, касающиеся правонарушений, уголовных дел и приговоров, а также соответствующие меры безопасности,, религиозные или философские убеждения, в том числе обработка генетических данных, биометрических данных в целях однозначной идентификации физического лица, равно как и данных, касающихся здоровья, половой жизни или сексуальной ориентации физического лица.

2. Часть 1 настоящей статьи не применяется в случаях:

1) если субъект персональных данных дал свое согласие на сбор и обработку таких данных;

2) если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц и получение согласия субъекта персональных данных невозможно;

3) если субъект персональных данных явным образом сделал их публичными;

4) если обработка осуществляется в процессе деятельности общественными объединениями, партиями и другими общественно-политическими организациями, профессиональными союзами, объединениями работодателей, философскими или религиозными организациями, некоммерческими организациями, при условии, что обработка относится исключительно к членам таких организаций или лицам, имеющим регулярные контакты с ними, в связи с их целями, и что данные не раскрываются третьим сторонам без согласия субъекта персональных данных;

5) если обработка необходима для обеспечения безопасности государства, в случае возникновения неотложной ситуации в области общественного здравоохранения, при условии, что она осуществляется с соблюдением прав субъекта персональных данных и других гарантий, предусмотренных настоящим законом.

6) если обработка необходима для защиты национальной безопасности, обороны, общественной безопасности или предотвращения, расследования и уголовного преследования уголовных преступлений и исполнения уголовных наказаний при условии, что она осуществляется с соблюдением прав субъекта персональных данных и других гарантий, предусмотренных настоящим законом.

7) если обработка необходима для установления, осуществления или защиты правовых исков или когда суды осуществляют свои судебные полномочия в соответствии с процессуальным законодательством.

3. Уполномоченный государственный орган по персональным данным может принять решение о блокировке специальных категорий персональных данных и их последующем уничтожении по заявлению субъекта персональных данных, если эти персональные данные были получены с нарушением настоящего Закона за исключением случаев получения биометрических персональных данных в рамках пункта 5 части 2 настоящей статьи.

4. Биометрическая регистрация граждан Кыргызской Республики осуществляется в порядке, определенном настоящим Законом и на основании согласия гражданина для реализации избирательных прав, получения услуг и сервисов, а также в целях идентификации, при этом идентификация по биометрическим данным не может использоваться в качестве единственной формы идентификации и аутентификации. Порядок биометрической регистрации граждан Кыргызской Республики для реализации избирательных прав устанавливается Кабинетом Министров Кыргызской Республики

5. Владельцы записей осуществляющие сбор и обработку специальных категорий персональных данных должны на постоянной основе проводить работу по снижению необходимости использования специальных категорий персональных данных, если такая возможность имеется, а также проходить аудит своих информационных ресурсов и деятельности со стороны Уполномоченного государственного органа по персональным данным не реже одного раза в 3 года.

6. Лица, уполномоченные владельцем записей на сбор, обработку и хранение специальных категорий персональных данных, лица, впервые допущенные к процедуре сбора, хранения и обработки специальных категорий персональных данных, а также лица, занимающиеся техническим обслуживанием информационных систем, содержащих специальные категории персональных данных, проходят курсы повышения квалификации по защите персональных данных с выдачей подтверждающего документа на базе Учебного центра Уполномоченного государственного органа по персональным данным.

Глава 3
Права субъекта персональных данных

Статья 9. Согласие субъекта персональных данных на предоставление и обработку его персональных данных

1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо любых своих персональных данных и дает согласие на их обработку, которое заключается в добровольном, конкретном, информированном и однозначном волеизъявлении, в котором субъект данных с помощью заявления или четкого утвердительного действия дает согласие на обработку своих персональных данных, в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 17 настоящего Закона. Персональные данные предоставляются субъектом лично либо через доверенное лицо.

Согласие субъекта персональных данных должно быть получено в письменной форме, в виде цифрового документа или в иной форме, позволяющей однозначно установить получение согласия субъекта.

Законодательными актами может быть предусмотрена необходимость получения согласия субъекта персональных данных только в письменной форме или в виде цифрового документа.

2. Получение согласия на обработку персональных данных в письменном виде должно быть представлено субъекту персональных данных таким образом, чтобы запрос четко отличался от других вопросов, был в понятной и доступной форме, использовал ясный и простой язык. Любая часть письменного согласия, которая вводит в заблуждение или нарушает основные принципы настоящего Закона, признается недействительной.

3. До получения согласия субъекта персональных данных владелец записей в письменной либо цифровой форме, соответствующей форме выражения такого согласия, обязан предоставить субъекту персональных данных информацию, содержащую:

наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения контактную информацию оператора, получающего согласие субъекта персональных данных;
цели обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
срок, на который дается согласие субъекта персональных данных;
информацию об обработчиках и третьих лицах, если обработка персональных данных будет осуществляться такими лицами;
перечень действий с персональными данными, на совершение которых дается согласие субъекта персональных данных, общее описание используемых оператором способов обработки персональных данных;
сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки.

4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных за исключением случаев, когда обработка персональных данных допускается без получения согласия в соответствии с настоящим Законом, либо при наличии неисполненных обязательств.

Согласие может быть отозвано субъектом персональных данных после исполнения им своих гражданско-правовых обязательств перед владельцем записей.

Отзыв согласия субъектом персональных данных является основанием для уничтожения его персональных данных, собранных, обрабатываемых и хранящихся у владельца записей, в том числе тех данных, которые переданы обработчикам и третьим лицам, за исключением случаев, когда уничтожение таких данных прямо запрещено законами Кыргызской Республики, а также имеются обязательные сроки хранения персональных данных.

Отзыв согласия субъекта персональных данных не имеет обратной силы, то есть обработка персональных данных до ее прекращения не является незаконной.

Процедура отзыва согласия не должна быть более обременительной, чем процедура предоставления согласия.

5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на сбор и обработку его персональных данных или доказательство наличия оснований, указанных в пункте 1 части 2 статьи 8, пунктах 1 и 2 части 1 статьи 17 настоящего Закона, возлагается на владельца записей.

6. Согласие на сбор и обработку персональных данных включает:

1) наименование (фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность), налоговый номер и реквизиты свидетельства о государственной регистрации (персональный идентификационный номер) владельца записей;

2) фамилию, имя, отчество (если оно указано в документе, удостоверяющем личность) субъекта;

3) срок или период, в течение которого действует согласие на сбор, обработку персональных данных;

4) сведения о возможности владельца записей или ее отсутствии передавать персональные данные третьим лицам;

5) сведения о наличии либо отсутствии трансграничной передачи персональных данных в процессе их обработки;

6) сведения о распространении персональных данных в общедоступных источниках;

7) перечень собираемых данных, связанных с субъектом и цели их обработки;

8) иные сведения, определяемые владельцем записей.

Статья 10. Доступ субъекта к своим персональным данным

1. Субъект персональных данных имеет право знать о наличии у владельца записей относящихся к нему персональных данных и иметь к ним доступ в том числе, когда персональные данные получены владельцем записей не от субъекта персональных данных. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 17 настоящего Закона.

2. Субъект персональных данных имеет право на получение от владельца записей информации, касающейся обработки его персональных данных, содержащей:

1) подтверждение факта обработки персональных данных владельцем записей;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые владельцем записей способы обработки персональных данных;

4) наименование и место нахождения владельца записей, сведения о лицах (за исключением работников владельца записей), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с владельцем записей или на основании закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) данные лица, ответственного за обеспечение безопасности персональных данных;

10) сроки обработки персональных данных;

11) получатели или категории получателей данных, в том числе обработчики и третьи лица;

12) источник сбора персональных данных;

13) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.

3. Информирование граждан о наличии персональных данных у владельцев записей массивов данных осуществляется на основе общедоступного Реестра владельцев записей, а также по запросу субъекта персональных данных к владельцу записей.

4. Предоставление информации персонального характера и копии документов, содержащих персональных данных их субъекту по инициативе субъекта производится на основании письменного запроса субъекта и документа, удостоверяющего его личность. Информация должна быть представлена на бесплатной основе в письменной на бумажном носителе или цифровой форме, или с помощью других средств, в том числе, в случае необходимости, электронными средствами или в виде машиночитаемого текста. Плата взимается лишь в том случае, если такая информация предоставляется на материальных носителях в размере, не превышающем их стоимости или когда предоставляемый формат информации по запросу субъекта персональных данных требует дополнительных действий от владельца записей сверх установленных настоящим законом требований. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий 14 дней с момента подачи заявления.

5. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему владельцем записей в краткой, прозрачной, понятной и легкодоступной форме, с использованием ясного и простого языка, особенно, когда информация адресована ребенку как субъекту персональных данных, и не должна содержать персональных данных, относящихся к другим субъектам.

6. Субъект персональных данных имеет право обратиться повторно к владельцу записей без установления срока, если ему была предоставлена неполная или недостоверная информация.Владелец записей вправе отказать субъекту персональных данных в удовлетворении повторного запроса, если с периода предыдущего запроса не вносились какие либо изменения в персональные данные субъекта, а также если нет обоснований повторного запроса

В случае наличия разногласий по вопросам предоставления информации и доступа к ней субъект персональных данных вправе обратиться в Уполномоченный государственный орган по персональным данным.

7. Субъект персональных данных имеет право знакомиться с информацией, документами, записями реестров в том числе в цифровом виде, содержащими сведения персонального характера о нем.

8. Требование Уполномоченного государственного органа по персональным данным относительно обеспечения доступа субъекта персональных данных к информации о нем, является обязательным к исполнению для владельца записей и обработчика.

Статья 11. Использование автоматизированной обработки персональных данных, влекущее правовые последствия для субъекта персональных данных

1. В отношении субъекта персональных данных не могут выноситься любые решения, которое может включать в себя процедуры, оценивающие характеристики личности, основанные исключительно на автоматизированной обработке, в том числе профилировании, и влекущие правовые или иные существенные последствия для оцениваемого субъекта.

2. Обработка в форме профилирования, которая состоит из любых форм автоматической обработки персональных данных, оценивающих характеристики личности, принадлежащие физическому лицу, которые анализируют либо предсказывают характеристики субъекта персональных данных, касающиеся работы, экономической ситуации, здоровья, личных предпочтений и интересов, достоверность или поведение, местоположение или перемещение, которые в том числе влекут за собой правовые последствия, запрещена.

3. Исключением из требований установленных частью 2 настоящей статьи является принятие решений, основанных на автоматизированной обработке, включая профилирование только при осуществлении правосудия и исполнения судебного акта, а также в случаях, предусмотренных законами Кыргызской Республики в сфере национальной безопасности, противодействия терроризму и коррупции, оперативно-розыскной деятельности и случаях, определенных законами Кыргызской Республики, или если это необходимо для заключения или исполнения договора между субъектом персональных данных и владельцем записей, либо когда субъектом персональных данных дано прямое согласие в письменной форме или в форме цифрового документа, подписанного цифровой подписью.

4. Обработка персональных данных на основе профилирования должна подлежать мерам защиты, которые должны исключать возможность вмешиваться в работу при автоматизированной обработке персональных данных третьих лиц или влияния на вычислительный процесс такой обработки.

Обработка персональных данных на основе профилирования должна осуществляться с учетом права субъекта персональных данных возражать против результатов автоматизированной обработки сведений о субъекте, требования объяснения решения, принятого в результате такой оценки, а также возможности изменения решения, принятого на основе профилирования.

5. Персональные данные детей не подлежат обработке в форме профилирования до момента возможности дачи своего согласия на такую обработку.

6. Автоматизированный процесс принятия решения и профилирование, базирующиеся на специальных категориях персональных данных допускается только на основаниях, прямо предусмотренных в законах.

Статья 12. Возражения субъекта по вопросам обработки его персональных данных

Субъект персональных данных имеет право выступать против обработки своих персональных данных, а также требовать внесения изменений в обрабатываемые владельцем записей кроме случаев, прямо установленных настоящим законом и законами Кыргызской Республики.

Субъект персональных данных вправе требовать на безвозмездной основе прекращения обработки персональных данных, которые обрабатываются для целей прямого маркетинга, например, путем направления уведомлений, а также собираемых только для целей сбора, накопления и передачи персональных данных третьим лицам, если такая передача прямо не предусмотрена Законом Кыргызской Республики.

Уполномоченный государственный орган по персональным данным вправе по заявлению субъекта персональных данных вынести решение о прекращении обработки излишних персональных данных, а также персональных данных, которые используются в целях прямого маркетинга или рассылки уведомлений, а также в случае передачи третьим лицам в нарушение настоящего закона.

Статья 13. Внесение субъектом изменений в свои персональные данные

При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от владельца записей этих данных внесения изменений в свои персональные данные. Изменения в персональные данные вносятся в порядке, установленном статьей 35 настоящего Закона.

Статья 14. Ограничение обработки (блокировка персональных данных)

В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от владельца записей заблокировать эти данные. Блокировка и снятие блокировки персональных данных осуществляется в соответствии со статьей 23 настоящего Закона.

Статья 15. Обжалование неправомерных действий в отношении персональных данных

Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в Уполномоченном государственном органе по персональным данным или в судебном порядке.

Статья 16. Возмещение убытков и (или) компенсация морального вреда

1. Субъект персональных данных имеет право на компенсацию причиненного ущерба и морального вреда из средств, поступающих от взысканий, применяемых к владельцам записей в соответствии с Кодексом Кыргызской Республики о правонарушениях, но не более 1/5 от суммы взыскания.

2. В случае наличия двух и более субъектов персональных данных, которым причинен ущерб или нанесен моральный вред, то причитающаяся компенсационная сумма, поступающая от взысканий, подлежит разделению в равных долях между всеми субъектами персональных данных, пострадавшими в результате действий этого владельца записей.

3. Часть 2 настоящей статьи не распространяется на случаи, когда более 5 субъектов персональных данных претендуют на компенсацию по одному и тому же обстоятельству. В такой ситуации субъекты персональных данных имеют право добиваться получения компенсации в порядке, предусмотренном частями 4, 5 и 8 настоящей статьи.

4. В целях получения дополнительной компенсации причиненного ущерба и морального вреда, полученного субъектом персональных данных вследствие действий владельца записей субъект персональных данных вправе обратиться к услугам медиатора в соответствии с Законом Кыргызской Республики «О медиации».

5. Для создания условий по всесторонней защите своих прав при Уполномоченном государственном органе создается независимый арбитраж по рассмотрению споров, касающихся компенсации причиненного ущерба и морального вреда, действующий на принципах независимости при формировании арбитров и самофинансирования. Порядок формирования арбитража и регламент его работы определяются Кабинетом Министров Кыргызской Республики.

Обращение в арбитраж допускается после неудачи урегулирования вопросов связанных с компенсацией причиненного ущерба и морального вреда посредством непосредственного взаимодействия субъекта персональных данных и владельца записей в том числе с привлечением услуг медиатора.

6. Финансирование секретариата Арбитража, а также вознаграждений арбитров осуществляется за счет средств поступающих от рассмотрения споров по компенсации причиненного ущерба и морального вреда в размере 20 процентов от заявленной суммы требований.

7. В случае отсутствия зафиксированного размера суммы возмещения , то споры к рассмотрению Арбитражем не принимаются.

8. Решения арбитража носят обязательный характер для владельцев записей.

9. Решения арбитража могут быть пересмотрены в судебном порядке по заявлению владельца записей.

10. Субъект персональных данных также имеет право на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке.

Статья 17. Ограничение прав субъекта

1. Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении:

1) права предоставления субъектом своих персональных данных владельцам записей - для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, в соответствии с Законом Кыргызской Республики «О защите государственных секретов Кыргызской Республики»;

2) права доступа субъекта к своим персональным данным, внесения изменений в свои персональные данные, блокирования своих персональных данных:

а) для персональных данных, полученных в результате оперативно-розыскной, внешней разведывательной и контрразведывательной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением законодательства Кыргызской Республики;

б) для персональных данных субъектов, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения в органах, проводящих указанные действия.

2. Ограничение прав доступа субъекта к своим персональным данным, не предусмотренное частью 1 настоящей статьи, не допускается.

Статья 18. Особенности обработки персональных данных детей

1. Обработка персональных данных детей допускается только в перечисленных ниже случаях и только если при этом учитываются интересы ребенка, а также закреплены в законе и применяются гарантии защиты основных прав и свобод детей:

1) обработка осуществляется на основании закона Кыргызской Республики, прямо предусматривающего необходимость обработки персональных данных детей, и определяющего цели их обработки;

2) обработка является необходимой для защиты жизненно важных интересов ребенка (субъекта персональных данных) или иного физического лица или группы лиц;

3) обработка осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством сохранять врачебную тайну;

4) обработка осуществляется для защиты существенных интересов в области общественного здравоохранения, например, для мониторинга и защиты от опасной для жизни эпидемии и ее распространения или в целях гуманитарной помощи;

5) обработка необходима в связи с осуществлением правосудия, в том числе в рамках третейского производства;

6) обработка осуществляется для защиты национальной безопасности, обороны, общественной безопасности или предотвращения, расследования и судебного преследования уголовных преступлений и исполнения уголовных наказаний;

7) обработка осуществляется для медицинских, образовательных или консультационных услуг, предлагаемых непосредственно ребенку.

2. При отсутствии оснований, предусмотренных частью 1 настоящей статьи, обработка персональных данных ребенка допускается только при условии получения согласия законного представителя ребенка на обработку персональных данных ребенка и только для тех целей обработки, в отношении которых было получено согласие. Дети, достигшие четырнадцатилетнего возраста, вправе самостоятельно давать согласие на обработку своих персональных данных в целях, соответствующих их возрастным интересам.

3. Запрос согласия на обработку персональных данных детей и любая связанная с обработкой персональных данных детей информация должны быть изложены ясным и простым языком, который ребенок сможет понять.

4. Владельцы данных обязаны принимать меры, необходимые для предотвращения незаконной обработки персональных данных детей.

Глава 4
Права и обязанности владельца записей и обработчика по работе с массивами персональных данных

Статья 19. Владельцы записей

1. Юридические и физические лица, государственный орган, орган местного самоуправления осуществляющие работу с массивами персональных данных в соответствии с настоящим Законом и другими нормативными правовыми актами Кыргызской Республики, имеют право выступать в качестве владельцев записей персональных данных.

2. Юридические и физические лица, имеющие массивы персональных данных с данными более 10000 субъектов персональных данных, а также специальные категории персональных данных вне зависимости от их количества собираемые для реализации целей, незакрепленных нормативными правовыми актами в качестве обязательных, образовательные и социальные организации, а также все государственные и муниципальные органы имеют право на работу с персональными данными после регистрации в уполномоченном государственном органе в качестве владельца записей в соответствии со статьей 20 настоящего Закона.

3. Юридические и физические лица, не подпадающие под действие части 2 настоящей статьи, ведут локальный реестр в бумажном или цифровом виде с включением сведений, предусмотренных статьей 20 настоящего закона.

4. Юридические и физические лица, не подпадающие под действие части 2 настоящей статьи, до начала обработки персональных данных обязаны уведомить Уполномоченный государственный орган по персональным данным о своем намерении осуществлять обработку персональных данных, за исключением случаев, когда обработка персональных данных осуществляется без использования средств автоматизации.

5. Уведомление направляется в адрес Уполномоченного государственного органа по персональным данным в цифровом виде посредством официального сайта и должно содержать сведения, указанные в части 1 статьи 20 настоящего закона.

6. Юридические и физические лица, не подлежащие регистрации в уполномоченном государственном органе в качестве владельца записей в соответствии с частью 2 настоящей статьи, признаются владельцами и на них распространяются те же требования по обработке персональных данных.

Статья 20. Регистрация массивов и владельцев записей персональных данных

1. Массивы персональных данных и владельцы этих массивов подпадающие под действие части второй статьи 19 настоящего закона обязательны пройти регистрацию в уполномоченном государственном органе. При регистрации фиксируются:

- наименование массива персональных данных;

- наименование и реквизиты владельца записей, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс);

- цели и способы сбора и использования персональных данных;

- режимы и сроки их хранения;

- перечень собираемых персональных данных;

- категории или группы субъектов персональных данных;

- меры по обеспечению сохранности и конфиденциальности персональных данных;

- лицо, непосредственно ответственное за работу с персональными данными;

- получатели или категории получателей, которым могут передаваться данные;

- предполагаемая трансграничная передача персональных данных.

2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Кыргызской Республики "О защите государственных секретов Кыргызской Республики", не регистрируются.

3. Уполномоченный государственный орган осуществляет учет и регистрацию массивов персональных данных и владельцев записей, осуществляющих работу с персональными данными.

5. Порядок регистрации массивов и владельцев записей персональных данных, ведения и опубликования Реестра владельцев записей устанавливается Уполномоченным государственным органом по персональным данным.

Статья 21. Обязанности владельца записей

1. владелец записей обязан:

1) сообщить о любом исправлении или удалении персональных данных субъекта, совершенных не по его заявлению;

2) обеспечивать режим конфиденциальности персональных данных в случаях, предусмотренных законодательством Кыргызской Республики и настоящим Законом;

3) определить обработчика для обработки персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда владелец записей самостоятельно возлагает на себя функции и обязанности обработчика;

4) обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;

5) предоставлять персональные данные в течение 14 дней после поступления запроса от субъекта;

6) в случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 15 настоящего Закона, в срок, не превышающий 14 дней с момента обращения субъекта;

7) опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к перечням собираемых персональных данных, а также к разъяснениям целей обработки каждой категории собираемых персональных данных на доступном для понимания языке. Когда сбор персональных данных осуществляется посредством сети Интернет с использованием интернет-ресурсов или мобильных приложений, то документ должен быть опубликован на соответствующем интернет-ресурсе или в мобильном приложении.

8) обеспечить доступ сотрудников уполномоченного государственного органа по персональным данным без предварительных и дополнительных разрешений и согласований ко всем документам и оборудованию, а также помещениям, имеющим отношение к сбору, обработке и хранению персональных данных.

9) представлять по запросам Уполномоченного государственного органа по персональным данным или Омбудсмена (Акыйкатчы) Кыргызской Республики в недельный срок информацию, необходимую для исполнения их полномочий вне зависимости от того подпадают ли эти сведения под ограничения установленные иными нормативными правовыми актами Кыргызской Республики.

2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности согласно статье 6 настоящего Закона.

3. Отказ владельцем записей в предоставлении Уполномоченному государственному органу по персональным данным сведений, необходимых для защиты прав субъектов персональных данных на основании ограничений, установленных иными нормативными правовыми актами, в том числе отраслевыми, не допускается и влечет ответственность, установленную законодательством Кыргызской Республики в сфере правонарушений.

Статья 22. Обязанности владельцев записей персональных данных по составлению перечней персональных данных

1. Владельцы записей осуществляющие работу с персональными данными, в пределах компетенции разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.

2. Указанные перечни согласовываются с уполномоченным государственным органом, регистрируются в этом органе и публикуются в Реестре владельцев записей.

3. Порядок регистрации перечней персональных данных определяется Уполномоченным государственным органом по персональным данным.

4. Владельцы записей, осуществляющие работу с персональными данными подпадающие под исключения, предусмотренные частью 2 статьи 19 настоящего закона, самостоятельно разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.

5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение и избыточный сбор установленных перечней для реализации незаявленных целей иного характера не допускается.

Статья 23. Обязанности владельца записей по ограничению обработки (блокированию, снятию блокирования и уничтожению) персональных данных

1. владелец записей ограничивает обработку персональных данных в отношении субъекта персональных данных:

1) при получении возражения субъекта персональных данных против обработки – на время рассмотрения возражения;

2) при получении требования уполномоченного органа по персональным данным об ограничении обработки – на срок, указанный в требовании;

3) при возникновении оснований для исправления или удаления персональных данных – до их исправления или удаления.

2. владелец записей обязан с использованием имеющейся у него контактной информации проинформировать субъекта персональных данных об установлении или снятии ограничений на обработку персональных записей не позднее трех рабочих дней, со дня, когда были установлены или сняты ограничения без ведома субъекта персональных данных.

3. В случае подтверждения недостоверности персональных данных владелец записей обязан на основании документов, представленных субъектом, исправить их и снять блокирование.

4. В случае установления неправомерности сбора персональных данных владелец записей обязан уничтожить соответствующие данные в течение 7 дней с момента такого установления и документально уведомить об этом субъекта персональных данных.

5. В случае взаимного признания правомерности действий с персональными данными или их достоверности владелец записей обязан безотлагательно снять их блокирование.

6. Владелец записей по требованию субъекта персональных данных обязан удалить персональные данные, если:

персональные данные больше не нужны для целей, для которых они были собраны или иным образом обработаны;
субъект данных отзывает свое согласие, на котором основана обработка, и отсутствуют другие законные основания для обработки персональных данных;
субъект данных возражает против обработки в соответствии с статьей 12, и владелец записей не может доказать наличие иного законного основание для обработки;
персональные данные обрабатываются незаконно;
персональные данные должны быть удалены для выполнения юридического обязательства, которому подчиняется владелец записей.

6. В случае несогласия владельца записей с заявлением субъекта персональных данных и наоборот, рассмотрение конфликтных ситуаций осуществляется в Арбитраже при Уполномоченном государственном органе по персональным данным либо в судебном порядке.

Статья 24. Обязанности обработчика персональных данных

1. Обработчик осуществляет обработку персональных записей в соответствии с правовым актом или договором с их владельцем на тех же основаниях обработки персональных данных, предусмотренных настоящим законом, что и владелец записей.

2. Владелец записей обязан обеспечить соблюдение обработчиком требований настоящего закона и должен привлекать только тех обработчиков, которые обеспечивают достаточные гарантии для реализации соответствующих технических и организационных мер для выполнения требований настоящего Закона.

3. Обработчик не вправе привлекать другого обработчика без предварительного письменного разрешения владельца записей. Обработчик обязан заблаговременно информировать владельца записей о любых предполагаемых изменениях, касающихся привлечения или замены обработчика.

4. Договор обработчика с владельцем записей или правовой акт, в соответствии с которым привлекается обработчик, должен содержать следующие положения:

1) период, в течение которого осуществляется обработка;

2) характер и цель обработки;

3) тип персональных данных и категории субъектов персональных данных;

4) обязанность обрабатывать персональные записи только на основании письменных распоряжений владельца записей;

5) обязанность обеспечить ограничение доступа к персональным данным, в том числе, путем возложения обязательств по ограничению доступа на работников обработчика и третьих лиц, имеющих доступ к массивам персональных данных владельца записей и обработчика;

6) процедуры взаимодействия владельца записей и обработчика в рамках исправления, дополнения, удаления персональных данных и ограничения их обработки;

7) порядок учета операций с персональными записями, позволяющий подтвердить исполнение обязанностей, установленных Кодексом.

5. Уполномоченный государственный орган по персональным данным разрабатывает и публикует на своем веб-сайте типовые (рекомендуемые) формы договора обработчика с владельцем записей в соответствии с которым привлекается обработчик.

6. Обработчик должен выполнять сбор, запись, хранение, актуализацию, блокирование, уничтожение персональных данных, независимо от способа и средств обработки, только по поручению владельца записей.

7. Обработчик должен удалить или вернуть все персональные данные владельцу записей после окончания предоставления услуг, связанных с обработкой, и должен удалить все существующие копии.

Статья 25. Оценка воздействия на защиту персональных данных

1. владелец записей перед обработкой персональных данных должен провести оценку воздействия планируемой обработки на защиту персональных данных. Применительно к набору схожих операций по обработке персональных данных, которые представляют схожий высокий риск, может быть проведена единая оценка.

3. Оценка воздействия на защиту персональных данных, проводится в обязательном порядке в следующих случаях:

1) систематической и комплексной оценки определенных личных аспектов физических лиц, которая основана на автоматизированной обработке, в том числе профилировании, и является основанием для решений, порождающих правовые последствия для физического лица или схожим образом существенно влияющих на физическое лицо;

2) крупномасштабной обработки особых категорий персональных данных;

3) систематического мониторинга публичных мест техническими средствами в том числе с использованием новых технологий.

4. Уполномоченный государственный орган по персональным данным определяет перечень операций по обработке, для которых требуется оценка воздействия на защиту персональных данных, а также перечень операций по обработке, для которых оценка воздействия на защиту данных не требуется.

5. Оценка воздействия на защиту персональных данных должна включать в себя:

1) системное описание планируемых операций по обработке, а также целей обработки;

2) оценку необходимости и пропорциональности операций по обработке, а также достаточности или избыточности персональных данных в отношении целей;

3) оценку рисков для прав и свобод субъектов персональных данных;

4) меры, запланированные для устранения рисков, включая гарантии, меры безопасности и механизмы для обеспечения защиты персональных данных с учетом прав и интересов субъектов данных и других заинтересованных лиц.

6. В процессе оценки рисков владелец записей должен учесть мнения субъектов персональных данных из соответствующей целевой аудитории по поводу запланированной обработки их персональных данных, если это не повлечет ущерб для защиты коммерческих или общественных интересов или безопасности операций по обработке персональных данных.

7. В случае необходимости, в том числе при изменении набора операций или перечней персональных данных, владелец записей должен осуществить пересмотр оценки воздействия, чтобы определить, выполняется ли обработка в соответствии с оценкой воздействия на защиту персональных данных.

Статья 26. Совместные владельцы записей

1. Владельцы записей, которым совместно принадлежат права на одни и те же персональные данные и которые совместно определяют цели и средства обработки, считаются совместными владельцами записей.

2. Совместные владельцы записей должны открытым образом, в том числе путем заключения договора или издания правового акта, определить и опубликовать порядок совместного осуществления своих прав и исполнения обязанностей с указанием зон ответственности каждого из владельцев записей. Одновременно с публикацией порядка совместного осуществления прав и исполнения обязанностей должна быть опубликована контактная информация, достаточная для того, чтобы связаться с владельцами записей.

3. Субъект персональных данных может осуществлять свои права в отношении любого из владельца записей по своему выбору, независимо от договоренностей между совместными владельцами записей.

Статья 27. Организационные и технические меры защиты персональных данных

1. Владелец записей и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных с учетом проведенной оценки воздействия на защиту персональных данных.

2. При обработке персональных данных владелец записей и обработчик обязаны:

- исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);

- препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);

- препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом, когда, кем и какие персональные данные были изменены;

- обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);

- обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);

- обеспечить возможность установления задним числом, когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);

- не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);

- обеспечить конфиденциальность информации, полученной при обработке персональных данных;

- обеспечить выполнение установленных Кабинетом Министров Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- вести учет машинных носителей персональных данных;

- обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

3. Владелец записей и обработчик должны принять правила внутреннего распорядка и внедрить меры, которые, в частности, отвечают принципам проектируемой защиты данных и защиты данных по умолчанию.

4. Проектируемая защита данных и защита данных по умолчанию должны включать, среди прочего, минимизацию обработки персональных данных, псевдонимизацию персональных данных при первой же возможности, прозрачность применительно к функциям и обработке персональных данных, чтобы субъект данных мог отслеживать обработку данных, а владелец записей и обработчик могли создавать и совершенствовать средства защиты.

5. При разработке, проектировании, выборе и использовании приложений, услуг и товаров, которые основаны на обработке персональных данных либо осуществляют обработку персональных данных для выполнения своих задач, производители таких товаров, услуг и приложений должны мотивированно учитывать право на защиту данных при разработке и проектировании таких товаров, услуг и приложений, и, с учетом текущего уровня научно-технического прогресса, делать все необходимое для того, чтобы владельцы записей и обработчики были в состоянии исполнять свои обязанности по защите данных.

6. Принципы проектируемой защиты данных и защиты данных по умолчанию также должны учитываться применительно к разрабатываемым и планируемым к разработке информационным системам персональных данных, закупаемым государственными органами, в том числе в рамках проведения процедур государственных закупок.

7. Кабинетом Министров Кыргызской Республики устанавливаются уровни защищенности персональных данных в том числе биометрическим и генетическим при их обработке в информационных системах, требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.

Статья 28. Обеспечение устойчивости автоматизированной обработки персональных данных

1. Владелец записей обязан обеспечить долговременную устойчивость обработки персональных данных, в том числе в цифровой среде. Устойчивость обработки обеспечивается за счет принятия следующих мер:

1) мер по защите персональных данных;

2) мер по обеспечению непрерывности и устойчивости деятельности владельцев записей и их обработчиков

3) мер по обеспечению непрерывности и устойчивости управления обработкой персональных данных.

2. Меры по защите персональных данных включают в себя:

1) реализацию требований к обеспечению безопасности и защите персональных данных при их автоматизированной обработке, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

2) мониторинг возможных утечек персональных данных и взаимодействие с уполномоченным государственным органом по персональным данным в случае утечки.

3. Меры по обеспечению непрерывности и устойчивости деятельности владельцев записей и их обработчиков включают в себя:

1) реализацию конструктивной защиты данных, представляющей собой проективный подход к проектированию информационных систем персональных данных, ориентированный на интересы субъектов персональных данных и учитывающий жизненный цикл персональных данных;

2) учет операций с персональными записями в соответствии с рекомендациями уполномоченного государственного органа по персональным данным.

4. Меры по обеспечению непрерывности и устойчивости управления обработкой персональных данных включают в себя:

1) назначение лица, ответственного за обработку персональных данных в организации;

2) организацию обучения правилам и рекомендациям в сфере обработки персональных данных и организацию их эффективного применения.

Статья 29. Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными и их подведомственных организаций

1. Органы государственной власти и органы местного самоуправления и их подведомственные организации в своей деятельности могут использовать персональные данные, находящиеся у других владельцев записей персональных данных, при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленным настоящим Законом.

2. Формирование сводных информационных систем и массивов персональных данных, полученных органами государственной власти или органами местного самоуправления от различных государственных владельцев записей персональных данных, не допускается.

3. Контроль за использованием персональных данных, полученных органами государственной власти, местными государственными администрациями и органами местного самоуправления от других государственных владельцев записей персональных данных, осуществляется уполномоченным государственным органом, вышестоящими инстанциями, правоохранительными органами, а также Омбудсменом (Акыйкатчы) Кыргызской Республики в соответствии с настоящим Законом.

Порядок осуществления контроля за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных владельцев записей персональных данных, определяется Кабинетом Министров Кыргызской Республики.

Статья 30. Реестр нарушителей и недобросовестных владельцев записей

Уполномоченным государственным органом по персональным данным ведется общедоступный Реестр нарушителей и недобросовестных владельцев записей на своем официальном интернет-ресурсе, порядок включения и исключения из Реестра нарушителей и недобросовестных владельцев записей определяется Уполномоченным государственным органом по персональным данным.

Статья 31. Передача персональных данных

1. Владелец записей вправе передавать эти данные другому владельцу записей без согласия субъекта персональных данных в случаях:

- крайней необходимости для защиты интересов субъекта персональных данных;

- по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;

- в случаях прямо установленных законодательством Кыргызской Республики.

2. Владелец записей обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне по запросу субъекта персональных данных в любой согласованной с субъектом персональных данных форме в недельный срок, за исключением тех случаев, когда информирование субъекта данных может создать угрозу национальной безопасности, обороне, общественной безопасности, важным экономическим и финансовым интересам государства или предотвращению, расследованию и уголовному преследованию уголовных преступлений.

3. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.

4. При передаче персональных данных посредством информационно-коммуникационных сетей владельцем записей и лицом, которому передаются данные обязаны обеспечить передачу персональных данных посредством защищенных каналов связи или с использованием шифрования персональных данных.

Передача персональных данных между государственными информационными системами осуществляется только посредством системы межведомственного взаимодействия.

5. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы, а также персональные данные самому субъекту - бесплатно.

6. Лицо, получившее в свое владение персональные данные обязано обеспечить режим их конфиденциальности в соответствии с требованиями настоящего закона с учетом всех предусмотренных исключений.

Статья 32. Трансграничная передача персональных данных

1. Уполномоченный орган по персональным данным утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Иностранное государство включается в указанный перечень только при условии соответствия действующих в таком государстве норм права и применяемых мер по обеспечению защиты и устойчивости обработки положениям настоящего закона.

2. Трансграничная передача персональных данных на территории иностранных государств, включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных не может быть запрещена или ограничена.

Порядок оценки адекватности применяемых мер защиты персональных данных и законодательства иностранных государств для включения перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных определяется Уполномоченным государственным органом по персональным данным

3. Владелец записей обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

4. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1) наличия согласия субъекта персональных данных на трансграничную передачу его персональных данных в письменном виде или в форме цифрового документа, подписанного цифровой подписью;

2) предусмотренных международными договорами Кыргызской Республики;

3) предусмотренных законодательством Кыргызской Республики, если это необходимо в целях защиты основ конституционного строя Кыргызской Республики, обеспечения обороны страны и безопасности государства;

4) заключения и (или) исполнения договора, стороной, представителем или иным лицом, действующим от имени стороны по договору, или выгодоприобретателем по которому является субъект персональных данных;

5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия субъекта персональных данных;

6) обеспечения условиями договора, заключенного между владельцами записей или владельцем записей и обработчиком, адекватной защиты прав субъектов персональных данных. Необходимые условия договора, обеспечивающие адекватную защиту прав субъектов персональных данных, определяются уполномоченным государственным органом по персональным данным.

5. В случае передачи владельцу записей, находящемуся за пределами территории Кыргызской Республики, персональных данных, первоначально обработанных на территории Кыргызской Республики, владелец записей, находящийся за пределами территории Кыргызской Республики, обрабатывает такие персональные данные в соответствии с законодательством в области персональных данных страны своего местонахождения.

6. При передаче персональных данных по информационно-коммуникационным сетям владелец записей, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, с использованием защищенных каналов передачи персональных данных или шифрование данных соблюдая при этом конфиденциальность информации.

Статья 33. Обезличивание и анонимизация персональных данных

1. Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований владелец записей осуществляет анонимизацию используемых данных.

2. Для проведения исследований, а также составления статистической и аналитической отчетности с использованием автоматизированных средств без использования человека должна использоваться обезличенная информация. При этом режим конфиденциальности, установленный для персональных данных в случае их обезличивания, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных.

3. В зависимости от значимости персональных данных субъектов для исторических, социологических, медицинских и других научных и аналитических целей вместо уничтожения персональных данных допускается их анонимизация или обезличивание владельцем записей в порядке, устанавливаемом Уполномоченным государственным органом по персональным данным.

Статья 34. Хранение персональных данных

1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.

2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора владелец записей обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.

3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа, либо иной статус, предусмотренный законодательством Кыргызской Республики обеспечение безопасности таких данных также должно создавать условия по соблюдению прав субъектов персональных данных и исключению недопущения доступа посторонних лиц к таким данным без наличия на то законных оснований.

Статья 35. Актуализация персональных данных

1. владелец записей вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:

- в случаях, предусмотренных законодательством Кыргызской Республики;

- по инициативе субъекта персональных данных, персональные данные которого подлежат изменению в соответствии со статьей 11 настоящего Закона.

2. Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее недельного срока с момента подачи им заявления. Внесение изменений по инициативе владельца записей осуществляется в соответствии с внутренними правилами.

Глава 5

Обеспечение соблюдения законодательства в области информации персонального характера

Статья 37. Уведомление о нарушении безопасности персональных данных

1. В случае нарушения безопасности персональных данных, владелец записей не позднее, чем через 72 часа после обнаружения данного нарушения должен уведомить о ней Уполномоченный государственный орган по персональным данным, за исключением случаев, когда оно не приведет к какому-либо риску для прав и свобод физических лиц. В случае, если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.

2. Обработчик после обнаружения нарушения безопасности персональных данных обязан уведомить о ней владельца записей в срок не более 48 часов с момента обнаружения нарушения безопасности персональных данных.

3. Уведомление, должно содержать в себе:

1) описание нарушения безопасности персональных данных, в том числе, указывать категории и приблизительное количество пострадавших субъектов персональных данных, а также категории и приблизительное количество затронутых записей персональных данных;

2) имя и контактные данные уполномоченного лица по защите персональных данных или другого контактного лица, от которого можно получить более подробную информацию;

3) описание реальных и возможных последствий нарушения безопасности персональных данных;

4) описание мер, предпринятых или предпринимаемые владельцем записей и обработчиком, для устранения нарушения безопасности персональных данных, в том числе, меры, направленные на минимизацию ее возможных негативных последствий.

4. В случае если по истечении 72 часов определение масштаба нарушения безопасности не завершено, и информация не может быть предоставлена в полном объеме, она может быть предоставлена поэтапно, но не позднее 72 часов после истечения первого срока.

5. владелец записей обязан документировать любые нарушения безопасности персональных данных, в том числе их обстоятельства, последствия и меры, принятые для исправления ситуации. Эта документация должна обеспечивать возможность проверки Уполномоченным государственным органом по персональных данным.

Статья 38. Назначение ответственного лица по защите персональных данных

1. Владелец записей и обработчик, назначают ответственное лицо по защите персональных данных если имеется хотя бы один из следующих фактов:

1) обработка осуществляется государственным органом, органом местного самоуправления или их подведомственными организациями;

2) деятельность владельца записей или обработчика непосредственно заключается в осуществлении операций по обработке данных на постоянной основе, которые в силу своего характера, объема и/или целей, требуют регулярного и систематического мониторинга субъектов персональных данных в количестве, превышающем пять тысяч субъектов персональных данных;

3) основная деятельность владельца записей или обработчика заключается в обработке специальных категорий персональных данных.

2. Лицо, ответственное за защиту персональных данных может быть отдельно определенным сотрудником владельца записей, обработчика, данные функции могут быть закреплены за подразделением, в таком случае непосредственная ответственность за принятые решения в качестве ответственного лица по защите персональных данных возлагается на руководителя данного подразделения.

3. Ответственным лицом по защите персональных данных может выступать отдельное юридическое или физическое лицо, которое по договору с владельцем записей и/или обработчиком определено в качестве ответственного лица по защите персональных данных.

4. Лицо, выступающее в качестве ответственного за защиту персональных данных для осуществления своей деятельности, проходит аккредитацию в Уполномоченном государственном органе по персональным данным.

Порядок, сроки и периодичность прохождения аккредитации для выступления в качестве ответственного за защиту персональных данных лица, а также основания для отзыва аккредитации определяются Кабинетом Министров Кыргызской Республики.

5. Уполномоченный государственный орган по персональным данным ведет реестр ответственных лиц по защите персональных данных в котором указывается:

1) действительность или недействительность, а также срок действия аккредитационного удостоверения;

2) наименование (Ф.И.О.) ответственного лица за защиту персональных данных.

3) владелец записей или обработчик, у которого ответственным лицом осуществляется деятельность по защите персональных данных;

4) контактная информация ответственного лица на его усмотрение, но позволяющая связаться с ним незамедлительно.

6. Группа владельцев записей и обработчиков могут определить одно лицо по защите персональных данных при условии, что это лицо не аффилировано ни с одним из них и не имеет конфликта интересов в отношении хотя бы одного владельца записей и/или обработчика в отношении которых будут осуществляться полномочия.

7. В случае если владелец записей и обработчик является государственным органом или учреждением, единое ответственное лицо по защите персональных данных может быть назначено для нескольких таких органов или ведомств с учетом их организационной структуры и размера по согласованию с Уполномоченным государственным органом по персональным данным.

8. Ответственное лицо по защите персональных данных должно назначаться на основе профессиональных качеств и, в частности, на основе экспертного знания законодательства и практики в сфере защиты персональных данных, а внешнее ответственное лицо на основании аккредитационного удостоверения.

Статья 39. Правовые основания деятельности ответственного лица по защите персональных данных

1. Ответственное лицо по защите персональных данных принимает непосредственное участие во всех вопросах, которые прямо или косвенно касаются защиты или способны повлиять на персональные данные, обрабатываемые владельцем записей или обработчиком.

2. Владельцем записей и обработчиком оказывается вся организационная и управленческая поддержка лицу, ответственному за защиту персональных данных по вопросам реализации следующих задач:

1) консультирование владельца записей и обработчика об имеющихся обязательствах в рамках законодательства Кыргызской Республики в области защиты персональных данных;

2) осуществление мониторинга соблюдения требований настоящего закона, решений Уполномоченного государственного органа по персональным данным, а также внутренних документов владельца записей и обработчика в области защиты персональных данных;

3) участие в распределении обязанностей и определении алгоритмов по вопросам обработки персональных данных и взаимодействию с субъектами персональных данных со стороны сотрудников владельца записей и обработчика;

4) подготовка и предоставление рекомендаций касательно оценки воздействия на защиту персональных данных и контроль ее осуществления;

5) сотрудничество с Уполномоченным государственным органом по персональным данным;

6) представлять владельца записей и обработчика в Уполномоченном государственном органе по персональным данным по вопросам обработки персональных данных, а также технического регулирования процедур организационно-правовой и физической защиты персональных данных.

3. Ответственное лицо по защите персональных данных несет ответственность, предусмотренную законодательством Кыргызской Республики за нарушение настоящего закона.

4. Владелец записей и обработчик не могут влиять на работу лица, выступающее в качестве ответственного за защиту персональных данных посредством инструкций или иных административных ограничений.

Ответственное лицо по защите персональных данных отчитывается непосредственно перед высшим руководством владельца записей и обработчика.

5. Субъект персональных данных имеет право обращаться к ответственному лицу по защите персональных данных относительно всех вопросов, связанных с обработкой его персональных данных и осуществлением его прав согласно настоящего Закона.

6. Ответственное лицо по защите персональных данных при выполнении своих задач обязано соблюдать тайну или конфиденциальность любой полученной информации.

7. Ответственное лицо может реализовывать и другие задачи в отношении владельца записей и обработчика при условии, что они не приводят к конфликту интересов.

Статья 40. Привлечение для осуществления контроля сторонних организаций

1. Уполномоченный государственный орган по персональным данным помимо самостоятельного контроля за соблюдением настоящего закона привлекает сторонние организации осуществляющие контрольные функции в отношении владельцев записей.

Привлечение сторонних организаций осуществляющих контрольные функции осуществляется на добровольной основе и не может осуществляться принудительно.

2. Сторонние организации вправе осуществлять контрольные мероприятия в отношении владельцев записей после прохождения аккредитации в Уполномоченном государственном органе по персональным данным.

3. Требования к сторонним организациям, осуществляющим контрольные мероприятия в отношении владельцев записей и порядок получения и отзыва аккредитации определяются Кабинетом Министров Кыргызской Республики.

4. Контроль в отношении владельцев записей, не подпадающих под действие части 2 статьи 16 настоящего закона сторонними организациями, не осуществляется.

5. владельцы записей вправе привлекать на договорной основе сторонние организации для осуществления контроля за исполнением настоящего закона в форме аудита.

6. В отношении владельцев записей, заключивших договор на проведение аудита со сторонними организациями, имеющими аккредитацию в установленном порядке и уведомивших об этом Уполномоченный государственный орган по персональным данным с приложением копии договора плановые проверки в соответствии с Законом Кыргызской Республики “О проверках субъектов предпринимательства” не проводятся.

7. Сторонние организации, осуществляющие контроль за исполнением настоящего закона на основании разрешения Уполномоченного государственного органа по персональным данным обязаны исполнять все технические и организационно-распорядительные документы Уполномоченного государственного органа, связанные с их деятельностью.

8. Сторонние организации, осуществляющие контроль за исполнением настоящего закона, предоставляют все свои заключения по итогам проведенного контроля Уполномоченному государственному органу по персональным данным.

9. В случае если после проведения контрольных мероприятий сторонней организацией, Уполномоченным государственным органом по персональным данным в ходе внеплановой проверки в соответствии с Закона Кыргызской Республики “О проверках субъектов предпринимательства” выявлены нарушения, не учтенные в заключении сторонней организации, то это является основанием для отзыва аккредитации.

10. Владельцы записей вправе обратиться к Уполномоченному государственному органу по персональным данным по вопросу неправомерности заключения, вынесенного сторонней организацией.

11. Если по итогам рассмотрения обращения владельца записей относительно неправомерности подготовленного заключения сторонней организацией, Уполномоченным государственным органом будет установлено, что такое заключение вынесено незаконно, то оно отменяется решением Уполномоченного государственного органа по персональным данным, а в отношении сторонней организации рассматривается вопрос об отзыве аккредитации.

12. По итогам проведенного контроля сторонней организации при выявлении нарушений требований настоящего закона со стороны владельца записей или обработчика, сторонняя организация передает заключение в Уполномоченный государственный орган по персональных данным с ходатайством о принятии мер в соответствии с Кодексом Кыргызской Республики о правонарушениях.

Глава 6
Государственное регулирование работы с персональными данными. Правовое просвещение по вопросам защиты персональных данных

Статья 41. Государственное регулирование работы с персональными данными.

Государственные функции по осуществлению регулирования работы с персональными данными возлагаются на Уполномоченный государственный орган по персональным данным, в той части, которая не входит в функции вышестоящих органов в соответствии с Конституцией Кыргызской Республики и конституционными законами Кыргызской Республики.

Статья 42. Уполномоченный государственный орган

1. На уполномоченный государственный орган возлагается обеспечение контроля за соответствием обработки персональных данных требованиям настоящего Закона, защитой прав субъектов персональных данных.

2. Руководитель уполномоченного государственного органа должен обладать квалификацией, опытом и знаниями, в том числе в сфере защиты персональных данных, требуемых для выполнения обязанностей и осуществления полномочий.

3. Уполномоченный орган в сфере персональных данных осуществляет следующие полномочия:

1) обеспечение применения настоящего Кодекса и контроль за его применением;

2) повышение осведомленности субъектов персональных данных относительно рисков, норм, гарантий и прав, касающихся обработки персональных данных, в том числе персональных данных детей;

3) повышение осведомленности владельцев записей и обработчиков персональных данных об их обязательствах в соответствии с настоящим Кодексом;

4) консультирование государственных органов и организаций в отношении законодательных и административных мер, относящихся к защите персональных данных;

5) информирование субъектов персональных данных по вопросам осуществления их прав, предусмотренных настоящим законом, в том числе, если это требует сотрудничества с уполномоченными государственными органами других государств в этих целях;

6) рассмотрение жалоб и проведение проверок в ходе применения настоящего закона, в том числе по своей инициативе и на основе информации, полученной от другого государственного органа, органа местного самоуправления, юридических и физических лиц, а также из средств массовой информации и сети Интернет;

7) использование профилактических, корректирующих и принудительных мер против нарушения принципов и правил обработки персональных данных, прав и обязанностей в соответствии с настоящим законом;

8) издание руководств и рекомендаций по соответствующим мерам безопасности и соблюдения настоящего закона, имеющие обязывающую юридическую силу для владельцев записей и обработчиков;

4. Для достижения максимальной прозрачности своих регулирующих функций уполномоченный государственный орган публикует годовой отчет о деятельности и результаты своих расследований на своем веб-сайте.

5. Уполномоченный государственный орган по персональным данным имеет право:

1) запрашивать у физических лиц и организаций информацию, в том числе относящуюся к государственным секретам или к иной охраняемой законом тайне, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) без предварительных разрешений и согласований осуществлять доступ во все помещения, к документам, оборудованию, сотрудникам и контрагентам владельца записей, имеющим отношение к их обработке;

3) требовать от владельца записей уточнения, блокирования или удаления недостоверных либо полученных незаконным путем персональных данных;

4) требовать приостановления обработки персональных данных, осуществляемой с нарушением требований настоящего закона;

5) обращаться в суд с заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

6) направлять в правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

7) вносить в Кабинет Министров Кыргызской Республики предложения о совершенствовании нормативного правового регулирования в сфере персональных данных;

8) привлекать к ответственности лиц, виновных в нарушении настоящего закона.

6. Уполномоченный орган в сфере персональных данных обязан исключить незаконный доступ к персональным записям, обрабатываемым в ходе осуществления им своей деятельности.

7. Уполномоченный государственный орган по персональным данным обязан:

1) организовывать защиту прав субъектов персональных данных в соответствии с положениями настоящего закона;

2) регулярно осуществлять проверки соблюдения владельцами записей и обработчиками положений настоящего закона и выносить обязательные для исполнения решения по результатам проверок;

3) рассматривать жалобы и обращения граждан и организаций по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий обязательные для исполнения решения по результатам рассмотрения указанных жалоб и обращений;

4) давать разъяснения по вопросам применения законодательства в сфере персональных данных по запросу физических лиц и организаций с опубликованием таких разъяснений на своем веб-сайте

5) вести учет и регистрацию массивов персональных данных и владельцев записей;

6) вести расследования совместно с уполномоченными и надзорными государственными органами по вопросам незаконной обработки персональных данных в случаях осуществления правосудия и исполнения судебного акта, а также в случаях, предусмотренных законами Кыргызской Республики в сфере цифрового управления, национальной безопасности, противодействия терроризму и коррупции, оперативно-розыскной деятельности, разведывательной и контрразведывательной деятельности.

5) разрабатывать и публиковать рекомендации по вопросам учета операций по обработке персональных данных, проведения обучающих и просветительских мероприятий в сфере персональных данных, разрабатывать и публиковать примерные формы договоров, правовых актов и иных документов в сфере персональных данных.

8. Уполномоченный государственный орган по персональным данным осуществляет сотрудничество с аналогичными органами в иностранных государствах, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

Статья 43. Образовательная деятельность в сфере персональных данных

1. С целью повышения квалификации и уровня знаний граждан, государственных и муниципальных служащих, работников владельцев записей, а также ответственных лиц по защите персональных данных и работников сторонних организаций осуществляющие контрольные функции в отношении владельцев записей при Уполномоченном государственном органе по персональным данным действует учебный центр.

2. Учебный центр проводит просветительские мероприятия и обучение, организовывает научные изыскания занимается разработкой методологических, технических и нормативно-правовых механизмов обеспечения защиты персональных данных.

3. Учебный центр осуществляет международное сотрудничество по вопросам защиты персональных данных и совершенствования обучения и повышения квалификации.

4.Учебный центр участвует в конкурсах и привлечении грантовых средств в области защиты персональных данных и реализации цифровых прав.

5. Положение учебного центра утверждается Кабинетом Министров Кыргызской Республики.

Статья 44. Обучение в Учебном центре

Обучение в Учебном центре осуществляется на добровольной основе за исключением следующих категорий лиц:

1) государственных и муниципальных служащих не реже одного раза в три года;

2) работников владельцев записей и обработчиков, которые обрабатывают специальные категории персональных данных не реже одного раза в год;

3) ответственных лиц по защите персональных данных не реже одного раза в год и при назначении на должность;

4) работников сторонних организаций, привлекаемых Уполномоченным государственным органом по персональным данным для осуществления контрольных функций в отношении владельцев записей, непосредственно осуществляющих контрольные мероприятия не реже одного раза в год

Статья 45. Ответственность за нарушение настоящего Закона

Нарушение настоящего Закона влечет ответственность в соответствии с законодательством Кыргызской Республики.

Глава 6
Заключительные положения

Статья 46. О вступлении настоящего Закона в силу

Настоящий Закон вступает в силу по истечении одного года со дня официального опубликования.

Президент

Кыргызской Республики

С.Н. Жапаров