АНАЛИТИЧЕСКАЯ ЗАПИСКА
Государственное агентство по защите персональных данных при
Кабинете Министров Кыргызской Республики
«УТВЕРЖДАЮ»
Директор
Государственного агентства по защите персональных данных при Кабинете Министров Кыргызской Республики
А.Б. Сыдыгалиев
_______________________
«_______» _________ 2024 г.
АНАЛИЗ РЕГУЛЯТИВНОГО ВОЗДЕЙСТВИЯ
к проекту Закона Кыргызской Республики «О внесении изменений в Кодекс Кыргызской Республики о правонарушениях»
Основание для разработки:
Приказ Государственного агентства по защите персональных данных Кабинете Министров Кыргызской Республики от 29 мая 2024 года № 17 «О создании рабочей группы по проведению Анализа регулятивного воздействия проекта Закона Кыргызской Республики «О внесении изменений в Кодекс Кыргызской Республики о правонарушениях»
Сроки проведения АРВ: 29 мая - 19 июня 2024 года.
Руководитель рабочей группы: | |
Т.К. Мамбетакунова – заведующий отделом законодательной экспертизы защиты персональных данных Государственного агентства по защите персональных данных при Кабинете Министров Кыргызской Республики | _______________ |
Члены рабочей группы: | |
И.С. Байкулова - заместитель директора ОФ «Гражданская инициатива интернет политики», заместитель председателя рабочей группы | _______________ |
К.С. Омельченко – заместитель министра цифрового развития Кыргызской Республики | _______________ |
Д.И. Степанова - менеджер по коммуникациям Ассоциации электронной коммерции Кыргызской Республики | _______________ |
Ж.Ч. Тегизбекова, кандидат юридических наук, эксперт, преподаватель по цифровому праву | _______________ |
Контактные данные ответственного лица:
Д.У. Турсунбаева, телефон 64-10-19, e-mail: info@dpa.gov.kg, адрес: 720071, г. Бишкек, пр. Чуй, 265а, здание Национальной Академии наук, 2 этаж, западное крыло Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики.
Проблемы и основания для изменения регулирования
Описание проблемы
Кыргызская Республика, понимая значение, роль и преимущества информационно-коммуникационных технологий в вопросах модернизации системы государственного управления, начала активно внедрять цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав.
В этой связи в 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера», который достаточно подробно регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных. Закон предусматривает наступление юридической ответственности за неисполнение требований по защите персональных данных, что подразумевает наличие по меньшей мере административных санкций за неисполнение требований или нарушение законодательства. Однако, до сегодняшнего дня санкции были применены лишь единожды в отношении виновных в нарушении законодательства об информации персонального характера. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
Еще в 2016 году Международный деловой совет выпустил статью относительно защиты персональных данных в Кыргызской Республики, в которой отметил, что для полноценного развития института защиты персональных данных (далее – ПД) должны быть разработаны нормативы по порядку организации и проведения государственного контроля над соответствием сбора, обработки, хранения и защиты ПД, по предупреждению и выявлению нарушений, а также система санкций за нарушение законодательства в сфере защиты ПД. В свою очередь, уполномоченный орган должен установить доступную для общества процедуру обжалования неправомерных действий субъектов ПД, а также систему санкций за нарушение установленных требований.
Предлагаемый проект Закона разработан в целях реализации Закона Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года № 58, который подразумевает наличие ответственности за нарушение требований законодательства о персональных данных.
Одним из методов обеспечения неукоснительного соблюдения правовых норм сторонами правоотношений, связанных с обработкой персональных данных, является прежде всего наличие юридической ответственности за нарушение норм права.
Особенно это актуализируется в условиях, когда государственные органы и частные структуры используют биометрические данные граждан для обеспечения эффективной цифровой трансформации. В перспективе предусматривается активное использование информационно-коммуникационных технологий для достижения целей модернизации государственного управления, экономики и социальной сферы посредством инновационных технологий, где основным идентификатором гражданина будут выступать только его персональные данные.
В настоящее время статьей 2281 Кодекса Кыргызской Республики о правонарушениях предусмотрена только ответственность за нарушение требований по защите информации персонального характера с наложением штрафа на физических лиц в размере 200 расчетных показателей. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, поскольку имеются нарушения не только в части защиты персональных данных, но и в части сбора, использования, хранения и обработки персональных данных граждан.
Кроме того согласно статье 456 Кодекса Кыргызской Республики о правонарушениях Органы внутренних дел рассматривают дела о правонарушениях и налагают взыскания, предусмотренное статьей 2281, в связи с чем имеется необходимость закрепления за Агентством полномочий рассматривать дела о правонарушениях в сфере защиты персональных данных и налагать взыскания за их нарушениях.Учитывая изложенные обстоятельства разработан проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях статьей, устанавливающей ответственность за:
сбор, обработку, использование, хранение, передачу, включая обмен, персональных данных без законного основания;
необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;
трансграничная передача персональных данных с нарушением установленного законом порядка;
внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а также отсутствие регистрации в Реестре;
нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.
Результаты анализа мнений заинтересованных лиц относительно существующего регулирования
Заинтересованные лица:
Уполномоченный орган – Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики считает, что отсутствие механизмов мер взыскания за нарушение положений предусмотренных Законом Кыргызской Республики “Об информации персонального характера” будет способствовать нарушению прав субъектов персональных данных, а также неисполнению требований законодательства и существенно затруднит вопросы внедрения и контроля за правильностью применения системы защиты персональных данных;
Субъекты предпринимательства считают, что должны быть внедрены справедливые меры защиты прав, вытекающие из отраслевого Закона, которые в полной мере бы обеспечивали неотвратимость наказания, в случаях нарушения прав граждан в области защиты их персональных данных.
Масштаб проблемы
Разработанным проектом затрагиваются все юридические и физические лица, которые осуществляют сбор, хранение и обработку персональных данных не для личных или семейных целей.
С 2008 года не проводилась работа по внедрению законодательства в области защиты персональных данных, а также отсутствовал контроль соблюдения Закона Кыргызской Республики «Об информации персонального характера», что вылилось в разобщенность системы защиты персональных данных и отсутствие подходов к сбору, хранению и обработке персональных данных с соблюдением прав граждан, в том числе с учетом уважения приватности и конфиденциальности таких данных.
Так, масштаб возникшей проблемы охватывает различные спектры деятельности любого субъекта, так или иначе взаимодействующих с институтом «персональных данных».
В экономическом измерении
Экономические потери в случае отказа внесения изменений будут значительными и могут затронуть различные стороны экономики государства, в частности:
1. Рост числа цифрового мошенничества в интернет-среде вследствие ухода киберпреступности в виртуальную реальность может стать серьезным ударом по бизнесу, независимо от направления деятельности компании, а также по деятельности банковских, финансовых структур.
К примеру мошеннические манипуляции с безналичными денежными средствами на банковских счетах, жертвами которых становится широкие слои населения Кыргызстана, происходят вследствие правовой неграмотности последних, а также наличия пробелов в законодательствах, непосредственно регулирующих данную отрасль права. Так как в банковских системах содержатся большое число персональных данных о клиентах, сотрудниках и партнерах, то их безопасность должна строго контролироваться государством и самими владельцами банковских и финансовых структур в целях пресечения цифрового мошенничества и последующих за ним экономических последствий.
Представленная проблема может привести к дополнительным финансовым потерям как отдельного субъекта, так и банковской, финансовой структуры в целом.
2. Возникновение недоверительного отношения к финансовым и банковским структурам со стороны населения, что повлечет печальные последствия для репутации на национальном рынке соответственно окажет негативное влияние на деловые отношения.
3. Поскольку потребитель формирует мнение о деловой репутации организации/фирмы путем оценки качества предоставляемых услуг, их спектром, отношения сотрудников к клиентам, то несовершенства законодательства послужат причиной ослабления моральной составляющей самих сотрудников, влекущего массовые увольнения и соответственно образования безработицы в стране.
4. Отсутствие ответственности за нарушений законодательства в сфере защиты персональных данных повлечет увеличение значительной доли правонарушений и преступлений экономической направленности.
5. Постепенные выявляющиеся противоправные случаи в сфере персональных данных личности, а также отсутствия полномочий уполномоченного государственного органа рассматривать дела о нарушениях в сфере персональных данных и налагать санкции приведет к увеличению числа судебных разбирательств, соответственно повышению излишних судебных расходов, то есть несовершенство законодательства может вызвать споры между субъектом персональных данных, держателем (обладателем) массива персональных данных и обработчиком относительно манипуляций в отношении персональных данных.
В социальном измерении.
Непринятие представленного проекта в дополнение затронут и социальные аспекты общества, в частности:
1. Со стремительным развитием информационных технологий так же стремительно учащаются случаи утечки персональных данных, в результате чего злоумышленники получают доступ к личным персональным данным субъекта. Полученную информацию злоумышленник может использовать в различных неправомерных целях, итог которого отразится на субъекте чрезвычайно негативно, что обусловит возникновение массовой волны обеспокоенного населения относительно защиты своих персональных данных (к примеру, взлом банковских счетов, кража, вымогательства, шантажи, угрозы, распространение данных жертвы в целях подрыва репутации и т.п.).
Полностью предотвратить утечки персональных данных довольно трудоемкая задача, однако консолидация усилий, комплексное регулирование, соблюдение правил цифровой гигиены и бережного отношения к своим персональным данным поможет свести риск неблагоприятных последствий к минимуму.
В территориальном измерении.
Данная проблема распространяется абсолютно на всю территорию Кыргызской Республики, поскольку персональные данные используются во всех сферах деятельности человека, выступая уязвимым институтом, а также риск возникновения неправомерных деяний повсеместно сохраняется на непрочной планке.
Для решения всех вышеперечисленных проблем необходимы предлагаемые изменения, которые способствуют в полном объеме реализовать Закон Кыргызской Республики «О защите персональных данных».
Основания для изменения регулирования, актуальность решения проблемы
Экономические основания для изменения регулирования.
Экономическим основанием для изменения регулирования является отсутствие факторов, стимулирующих к соблюдению законодательства в области защиты персональных данных и обеспечивающих полномочия по административному воздействию в целях обеспечения прав и законных интересов субъектов персональных данных.
Правовые основания для изменения регулирования
Правовым основанием для изменения регулирования является отсутствие норм, устанавливающих ответственность лиц, виновных в нарушении законодательства об информации персонального характера. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
Кроме того, имеются ограничения в получении доступа к персональным данным граждан при исполнении законодательно закрепленных компетенций уполномоченным органом по персональным данным.
Актуальность решения
Актуальность проблемы определяется необходимостью наличия полномочий на привлечение к ответственности лиц, нарушающих требования по защите информации персонального характера с целью создания соответствующих условий по государственной защите прав субъектов персональных данных, обязанность которых вытекает из положений статьи 63 Конституции Кыргызской Республики.
Также необходимостью указания конкретных норм, нарушение которых может повлечь применение санкции.
Международный опыт
В ходе подготовки аналитической записки был изучен опыт стран ближнего и дальнего зарубежья по имеющейся ответственности за нарушение законодательства в области защиты персональных данных. В частности, был изучен опыт следующих стран:
Российская Федерация;
Республика Казахстан;
Республика Молдова;
Республика Армения;
Республика Узбекистан;
Республика Беларусь.
Результаты исследования международного опыта в части наличия ответственности за нарушение законодательства в области защиты персональных данных приведено в приложении к настоящей аналитической записке.
Помимо опыта государств из числа бывшего Советского Союза, рабочей группой был изучен опыт Европейского союза. Так, Регламентом защиты персональных данных General Data Privacy Regulations (далее – GDPR) предусматривается ответственность за любое нарушение названного Регламента, при этом максимальный штраф за нарушение норм GDPR составляет 20 млн евро, или 4% оборота денежных средств нарушителя (выбирается наибольшая сумма). Такое наказание налагается за серьезные нарушения, например, обработку персональных данных без согласия клиентов, дискредитацию конфиденциальной информации или нарушение правил дизайна продукта, когда приватность не обеспечена на этапе сбора персональных данных, а также в ходе разработки информационных систем или бизнес-процессов, предусматривающих обработку персональных данных.
В GDPR предусмотрен гибкий многоуровневый подход к штрафам. В частности, компания может быть оштрафована на 2% за то, что не уведомила надзорный орган и субъект данных об утечке данных или не провела оценку возможного ущерба. Эти правила применяются к контроллерам и процессорам.
Исходя из опыта Китайской Народной Республики было установлено, что Законом о защите персональной информации (Personal Information Protection Law of the People’s Republic of China) также предусматривается ответственность за его нарушение, которая значительна по сравнению с ответственностью, предусмотренной в странах СНГ.
Так, согласно ст. 66 указанного закона КНР, если персональная информация обрабатывается в нарушение закона, уполномоченный государственный орган вправе выдавать предписания об устранении нарушений, конфискации незаконного дохода, приостановлении или прекращении работы сервиса или применении программы. Если данные предписания не выполняются, дополнительно к ним может быть наложен штраф в размере до 1 000 000 юаней (136 826 долларов США), а непосредственно ответственные физические лица могут быть оштрафованы на сумму от 10 000 до 100 000 юаней.(1368 до 13 680 долларов США)
При наличии серьезных обстоятельств органы власти, выполняющие обязанности по защите личной информации, должны отдать распоряжение об их исправлении, конфисковать незаконный доход и наложить штраф в размере не более 50 миллионов юаней или 5% годового дохода. Они также могут отдать распоряжение о приостановке соответствующей деятельности или прекращении бизнеса для исправления ситуации, а также сообщить в соответствующий компетентный департамент для аннулирования соответствующих административных лицензий или аннулирования лицензий на ведение бизнеса. Непосредственно ответственное лицо и другие непосредственно ответственные сотрудники подлежат штрафу в размере от 13 680 до 136 826 долларов США, а также может быть принято решение о запрете им занимать должности директора, руководителя, менеджера высокого уровня или сотрудника по защите персональной информации в течение определенного периода.
Из вышеприведенных примеров видно, что во многих странах активно внедряется правовое регулирование в области защиты персональных данных, которое обеспечивается мерами штрафного взыскания за его нарушение, что обеспечивает более эффективное внедрение и реализацию законодательства в области защиты персональных данных.
Описание предлагаемого регулирования
Цель государственного регулирования
Основной целью государственного регулирования является внедрение эффективных мер обеспечения соблюдения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий, достижение которой будет способствовать развитию системы защиты персональных данных в Кыргызской Республике.
Индикаторы для оценки прогресса достижения цели
Наименование показателя оценки прогресса | Целевое значение | Срок достижения |
Количественные индикаторы: не используются | ||
Качественные индикаторы | ||
Внедрение мер воздействия на нарушителей законодательства в области защиты персональных данных для эффективного и ответственного сбора, обработки и хранения персональных данных | Создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Наличие мер воздействия является основным механизмом не только в части наказания, но и в части профилактики нарушений законодательства. | III квартал 2024 года |
Внедрение ответственности за нарушение законодательства в области защиты персональных данных | Внедренная ответственность позволяет наиболее эффективно проводить государственную политику в области защиты персональных данных, а также повышения личной ответственности держателей и обработчиков персональных данных за нарушения прав субъектов. | II квартал 2025 года |
Предлагаемое регулирование
В ходе проведения анализа регулятивного воздействия перед рабочей группой были рассмотрены следующие варианты:
Вариант № 1. «Оставить все как есть»
Вариант № 2. Принять изменения в Кодекс Кыргызской Республики о правонарушениях.
Вариант № 1: «Оставить все как есть»
Данный вариант не меняет существующее регулирование. В случае его сохранения для уполномоченного органа сохранятся условия ненадлежащего выполнения своих функций.
Также не будут эффективно реализованы требования законодательства Кыргызской Республики в области защиты персонального характера.
Сохранится на прежнем уровне защита персональных данных, а нарушенные права могут быть защищены только в судебном порядке, что также существенно забюрократизирует возможность защиты своих прав в досудебном порядке и снизит возможности профилактики и недопущения защиты прав граждан.
Одновременно снизится качество внедрения единообразного подхода в вопросах защиты персональных данных держателями и обработчиками персональных данных.
Вариант № 2: Принять изменения в Кодекс Кыргызской Республики о правонарушениях.
Способ регулирования
Предлагается следующее регулирование.
Задача. Создать эффективную систему контроля за деятельностью, связанной со сбором, обработкой и хранением персональных данных и с нарушениями режимов конфиденциальности персональных данных при их сборе, хранении и обработке с действенными мерами воздействия на нарушителей требований законодательства в области защиты информации персонального характера.
Проблемы держателей массивов персональных данных | Предлагаемое регулирование |
В процессе сбора, обработки и хранения персональных данных не соблюдаются требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных. | Проектом предусматривается введение ответственности за нарушение установленного законодательством порядка сбора, хранения, обработки, использования, защиты, передачи и распространения информации персонального характера. |
Ограничение права граждан на доступ к своим персональным данным, а также к методам их обработки и иным документам, связанным с обработкой персональных данных | Проектом предусматривается ответственность за отказ держателем (обладателем) массива персональных данных в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных. |
Неурегулированность вопросов трансграничной передачи персональных данных. Зачастую такие персональные данные передаются с нарушением требований законодательства, в частности, без получения согласия на осуществление трансграничной передачи данных | Проектом предусматривается внесение ответственности за трансграничную передачу персональных данных субъектов персональных данных с нарушением установленного законодательством порядка |
Отсутствие держателей массивов персональных данных в Реестре держателей (обладателей) массивов персональных данных, что является обязательным условием для сбора, хранения и обработки персональных данных, а также внесение неполной или недостоверной информации в указанный Реестр в нарушение принципа открытости в вопросах обработки персональных данных | Проектом предусматривается ответственность за внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а равно сбор, хранение, обработка персональных данных без регистрации в указанном Реестре в установленном порядке |
Нарушение условий конфиденциальности данных при их обработке на бумажных носителях, которые происходят при сборе, хранении и обработке персональных данных в рекламных целях, при договорных отношениях в том числе в рамках трудового законодательства. | Проектом предусматривается ответственность за нарушение держателем (обладателем) массива персональных данных, а равно и обработчиком в процессе обработки персональных данных без использования средств автоматизации обязанности по соблюдению режима конфиденциальности персональных данных при хранении материальных носителей персональных данных |
Неисполнение требований уполномоченного государственного органа по персональным данным, которые вносятся в качестве акта реагирования на нарушения в пределах полномочий определенных Законом Кыргызской Республики “Об информации персональных данных” | Проектом предусматривается ответственность за неисполнение законных требований уполномоченного государственного органа по персональным данным, вытекающих из его полномочий, установленных нормативными правовыми актами Кыргызской Республики |
Отсутствие у уполномоченного органа полномочий рассматривать дела о правонарушениях в сфере защиты персональных данных Согласно статье 456 действующего Кодекса Кыргызской Республики о правонарушениях Органы внутренних дел рассматривают дела о правонарушениях и налагают взыскания, предусмотренное статьей 228-1. Данная норма создает юридическую неопределенность и правовой вакуум, поскольку согласно статье 291 Закона Кыргызской Республики «Об информации персонального характера» контроль за соблюдением законодательства Кыргызской Республики в области персональных данных закрепляется за уполномоченным государственным по персональным данным. | Проектом предусматривается включение нормы о закреплении за уполномоченным органом по персональным данным полномочий рассматривать дела о правонарушениях в сфере защиты персональных данных и налагать взыскания за их нарушения. Предлагаемые изменения позволят устранить существующую юридическую неопределенность и соответственно – пространство, в котором сегодня могут действовать правонарушители. |
Оценка вероятности социальных и экономических последствий регулирования
7.1. Ожидаемая результативность (уровень достижения цели регулирования) на дату.
Предлагаемые изменения должны обеспечить соблюдение законодательства в области защиты персональных данных, создав условия, при которых, с одной стороны, держателями массивов персональных данных будут предприниматься необходимые меры по недопущению нарушений прав субъектов предпринимательства, а с другой стороны, субъекты будут уверены в наличии правовых оснований для защиты их персональных данных.
Такой баланс взаимоотношений между держателями массивов персональных данных и субъектами персональных данных, выражающийся в приведении своих бизнес-процессов и организационно-правовых основ деятельности в части обработки персональных данных к уровню, установленному законодательством – с одной стороны, и доверие субъектов к держателям – с другой стороны, позволит обеспечить развитие института защиты персональных данных.
Сами по себе изменения должны в ближайшие несколько лет с момента принятия проекта нормативного правового акта обеспечить соответствующий уровень контроля за соблюдением требований в области защиты персональных данных, создание дополнительных внутренних бизнес-процессов, обеспечивающих прозрачность деятельности держателей массивов персональных данных.
В дальнейшем планируется, что качественно новый подход к работе с персональными данными и информацией в целом, с учетом наличия мер воздействия, будет способствовать повышению качества оказываемых услуг, как на территории Кыргызской Республики, так и способствовать выходу кыргызстанских технологических брендов на новые рынки, на которых система обеспечения безопасности сбора, обработки и хранения персональных данных уже эффективно работает.
По мнению комиссии, внедрение данного подхода, а также непосредственно института контроля за соблюдением законодательства в области информации персонального характера, также способствует формированию позитивного инвестиционного климата в Кыргызской Республике, в том числе привлечения инвесторов в области высокотехнологичных производств и информационных технологий.
7.2. Ожидаемое воздействие на экономику, социальный сектор и экологию:
1) воздействие на экономику: ожидается качественное изменение на уровне защищенности информационных систем и информации персонального характера, что будет позитивным сдвигом для повышения интеграционных процессов внутри экономики Кыргызской Республики, а также повышение качества электронных услуг;
2) воздействие на социальную сферу: повышается защищенность персональных данных граждан, детей и их правовая обеспеченность;
3) воздействие на экологию: какого-либо воздействия не ожидается. Более того, при росте защищенности персональных данных будет осуществляться и рост взаимодействия граждан и частного сектора. Посредством информационных технологий благодаря повышению доверия взаимодействие между гражданами и государством, а также государством и частным сектором также перейдет в цифровую плоскость, что будет благотворно влиять на экологию ввиду снижения использования бумаги и вырубки лесного покрова Земли.
7.3. Ожидаемое воздействие на основные группы заинтересованных сторон - адресатов регулирования:
1) государственные органы (с разделением по государственным органам):
Уполномоченный орган – Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики
Позитивное последствие:
Будут внедрены нормативно-правовые основы по обеспечению прав граждан в области персональных данных.
За счет средств получаемых в ходе правоприменительной практики будет пополняться республиканский бюджет, что будет способствовать частичному покрытию его дефицита.
Негативное последствие: отсутствует.
2) предприниматели (с разделением по выбранному критерию):
Держатели массивов персональных данных:
Позитивное последствие:
Совершенствуется система защиты персональных данных в соответствии с требованиями законодательства за счет установления санкции за:
сбор, обработку, использование, хранение, передачу, включая обмен, персональных данных без законного основания;
необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;
трансграничная передача персональных данных с нарушением установленного законом порядка;
внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а также отсутствие регистрации в Реестре;
нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.
Качественно новый подход к работе с персональными данными клиентов и информацией в целом будет способствовать повышению качества оказываемых услуг, как на территории Кыргызской Республики, так и за ее пределами.
Учитывая изложенные обстоятельства разработан проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях.
Негативное последствие: отсутствует.
3) население (с разделением по выбранному критерию):
Субъекты персональных данных (физические лица):
Позитивное последствие: снижение рисков, связанных с нарушениями режимов конфиденциальности персональных данных при их сборе, хранении и обработке, создание эффективной системы реагирования со стороны контролирующего органа на инциденты, связанные с их персональными данными.
Также предусматривается, что разработка и интеграция представленного законопроекта позволит субъектам персональных данных получать более качественные услуги, а также снизить необходимость избыточного сбора и обработки данных субъектов персональных данных со стороны субъектов предпринимательства.
Негативное последствие: отсутствует.
8. Оценка затрат и выгод
8.1. Оценка затрат и выгод субъектов предпринимательства:
Затраты. Реализация данного варианта регулирования должна обеспечить соблюдение Закона Кыргызской Республики «Об информации персонального характера» путем применения санкции за его нарушение.
Таким образом, возможные затраты субъектов регулирования могут быть связаны с тем, что им придется приводить свои внутренние правила, процедуры, а также техническое оснащение в соответствие с требованиями отраслевого закона, а также Требований к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, утвержденных постановлением Правительства Кыргызской Республики от 21 ноября 2017 года № 760.
Вместе с тем, дополнительные затраты могут возникнуть при реализации нормы, предусматривающую организацию обучения правилам и рекомендациям в сфере обработки персональных данных кадровых штатов субъектов регулирования и организацию их эффективного применения, проводимых за счет самих субъектов регулирования.
Выгоды. Внедрение механизма справедливого контроля субъектов предпринимательства с учетом соблюдения прав субъектов исключает излишнее вмешательство в предпринимательскую деятельность в виде необоснованных проверок. Из-за исключения необоснованных плановых проверок снижается регуляторная нагрузка на бизнес, что позволяет ему повышать прибыль и развиваться, в том числе посредством внедрения новых технологий.
8.2. Оценка затрат и выгод государственного бюджета:
Затраты. Отсутствуют.
Выгоды. Создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Предлагаемый проект направлен всем участникам рынка, что будет способствовать выравниванию уровней защиты персональных данных при их обработке в информационных системах держателей массивов персональных данных, что позволит повысить интенсивность предпринимательской активности, внедрению новых технологий, а также будет способствовать повышению интеграции и информационному взаимодействию всех участников рынка.
Общий вывод по оценкам: предложенное регулирование позволяет обеспечить прогресс в достижении цели и решить идентифицированные проблемы. При этом ожидается достижение важного социального-экономического эффекта в виде повышения защищенности персональных данных и улучшения предпринимательской среды. Воздействие на основных адресатов регулирования являются не обременительными и соответствуют требованиям действующих нормативных правовых актов в области защиты персональных данных.
Кроме того, внедрение данного регулирования будет способствовать пополнению республиканского бюджета за счет собираемых штрафов за нарушение законодательства в области защиты персональных данных.
9. Оценка реализационных рисков
1. Риски недостаточности необходимых материальных и человеческих ресурсов.
Оценка риска оценивается как средняя, так как держателям массивов персональных данных, в которых отсутствуют уполномоченные лица по персональным данным, должны будут такое лицо определить, также существует возможность, что потребуется дополнительное обучение такого лица.
Меры смягчения – Кабинетом Министров Кыргызской Республики учрежден Учебный центр при уполномоченном государственном органе по персональным данным, который будет осуществлять работу по повышению квалификации сотрудников держателей, занятых в вопросах обеспечения защиты персональных данных.
2. Риски необеспечения надлежащего контроля за соблюдением требований, вводимых предложенным регулированием.
Оценка риска: оценивается как отсутствующий, поскольку обеспечение контроля за соблюдением нового регулирования закреплено за Государственным агентством по защите персональных данных при Кабинете Министров Кыргызской Республики.
Меры смягчения - не требуются.
3. Риски недостаточности механизмов для реализации предложенного регулирования.
Оценка риска: оценивается как низкий, так как реализации предложенного регулирования не требует изменения существующего механизма.
Меры смягчения– не требуются.
4. Риски несоответствия предложенного регулирования и существующего административно-управленческого потенциала для его реализации.
Оценка риска: оценивается как отсутствующий, так как объем регулятивного вмешательства незначительный, а существующего потенциала для реализации достаточно.
Меры смягчения – не требуются.
10. Оценка воздействия на конкуренцию
Предложенный вариант регулирования не оказывает негативного воздействия на конкуренцию. Подробнее оценка воздействия на конкуренцию изложена в Таблице 1.
Таблица 1
№ фактора |
Фактор, ограничивающий конкуренцию | Оценка "да"или "нет" |
1 | 2 | 3 |
Оценка уровня концентрации товарного рынка | ||
1 | Имеется ли доминирующее положение, при котором доля какого- либо хозяйствующего субъекта на данном товарном рынке составляет 35 процентов или выше - при наличии данных? | Нет |
2 | Имеется ли доминирующее положение, при котором совокупное доминирование более чем трех хозяйствующих субъектов, доля каждого из которых больше доли других субъектов на этом рынке и в совокупности превышает 50 процентов, или совокупная доля не более чем пяти хозяйствующих субъектов, доля каждого из которых больше долей других хозяйствующих субъектов на соответствующем рынке - при наличии данных? |
Нет |
Оценка экономических ограничений входа-выхода на товарный рынок | ||
3 | Приведет ли новое регулирование к непропорционально высоким затратам: - для потенциальных участников рынка, чем это было для действующих; - для малых предприятий, чем это предполагается для крупных предприятий и т.д. | Нет |
4 | Приведет ли новое регулирование к существенному ограничению доступа потенциальных участников к ресурсам (материально- вещественным, нематериальным и другим), предложение которых на рынке ограничено? | Нет |
5 | Приведет ли новое регулирование к неприемлемо высоким (способным подорвать экономическую устойчивость) издержкам действующих хозяйствующих субъектов при их вынужденном прекращении деятельности на данном товарном рынке, связанным с новым регулированием? | Нет |
Оценка административных ограничений входа на товарный рынок | ||
6 | Приведет ли новое регулирование к существенному росту лицензионных требований и стоимости процедур получения лицензии для потенциальных участников рынка? | Нет |
7 | Приведет ли новое регулирование к нарушению условий равенства прав хозяйствующих субъектов при административном распределении ограниченных ресурсов? | Нет |
8 | Приведет ли новое регулирование к ограничению действующих хозяйствующих субъектов выбирать механизм ценообразования, определять качество продукции, местонахождение размещения производственных мощностей? | Нет |
Оценка стратегических ограничений входа на товарный рынок | ||
9 | Приведет ли новое регулирование к получению дополнительных преимуществ для участников различных устойчивых форм хозяйственной интеграции (холдинги, финансово-промышленные объединения, кластеры с низким уровнем взаимной конкуренции его участников и высоким уровнем кооперации и другие) по сравнению с другими потенциальными участниками рынка, не входящими в такие формы интеграции? | Нет |
11. Мнения заинтересованных сторон
В соответствии с Методикой проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденного постановлению Правительства Кыргызской Республики от 10 августа 2022 года № 444 (далее – Методика), уведомления о разработке проекта нормативного правового акта для сбора предложений заинтересованных лиц был размещен на официальном сайте Агентства (https://dpa.gov.kg/ru/npa/46 ) 29 мая 2024 года для публичных консультаций, в срок не менее 15 дней. Однако, каких-либо замечаний и предложений относительно предлагаемого регулирования в адрес Агентства, не поступало. В этой связи, отразить мнение представителей бизнес сообщества и населения на предполагаемое регулирования, не представилось возможным.
государство Уполномоченный орган, Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики
Позитивное последствие:
Создание благоприятных правовых условий для обеспечения защиты прав и свобод человека и гражданина, связанных со сбором, обработкой и использованием персональных данных, независимо от применяемых средств обработки этой информации, включая использование информационных технологий. Предлагаемый проект внедряет единые требования ко всем участникам рынка, что будет способствовать выравниванию уровней защиты персональных данных при их обработке в информационных системах держателей массивов персональных данных, что позволит повысить интенсивность предпринимательской активности, внедрению новых технологий, а также будет способствовать повышению интеграции и информационному взаимодействию всех участников рынка.
Кроме того, внедрение данного регулирования будет способствовать пополнению республиканского бюджета за счет собираемых штрафов за нарушение законодательства в области защиты персональных данных.
Общий вывод по оценкам: предложенное регулирование позволяет обеспечить прогресс в достижении цели и решить идентифицированные проблемы. При этом ожидается достижение важного социального-экономического эффекта в виде повышения защищенности персональных данных и улучшения предпринимательской среды. Воздействие на основных адресатов регулирования являются не обременительными и соответствуют требованиям действующих нормативных правовых актов в области защиты персональных данных.
Негативное последствие: отсутствует.
предприниматели (с разделением по выбранному критерию): замечания и предложения не поступали;
население (с разделением по выбранному критерию): замечания и предложения не поступали.
12. Обоснование выбора предлагаемого регулирования
Сравнение вариантов регулирования:
Вариант № 1 «Оставить все как есть»;
Вариант № 2 Принять изменения в Кодекс Кыргызской Республики о правонарушениях;
показало:
В варианте №1 "оставить все как есть" сохраняются все проблемы, указанные в разделе 1. Проблемы и основания для изменения регулирования.
В варианте № 2 все идентифицированные проблемы устраняются.
Руководствуясь критериями достижения цели, решения проблем и отсутствия негативных эффектов в экономике, социальной сфере и экологии, а также отсутствия чрезмерных административных издержек для держателей массивов персональных данных (предпринимателей) и затрат государства, вариант регулирования № 2 признан более предпочтительным.
Все указанные в разделе 1 проблемы уполномоченного органа по персональным данным, а также трудности держателей массивов персональных данных в процессе своей деятельности и в результате внедрения предлагаемого регулирования будут решены.
Так, предлагаемые изменения должны обеспечить соблюдение законодательства в области защиты персональных данных, создав систему мер воздействия на нарушителей законодательства Кыргызской Республики в области защиты персональных данных.
Одновременно будет решен вопрос обеспечения государственной защиты прав граждан, установленный статьями 29 и 63 Конституции Кыргызской Республики.
В ближайшие несколько лет с момента принятия проекта нормативного правового акта должно быть обеспечено планомерное внедрение системы контроля за соблюдением требований в области защиты персональных данных, создание дополнительных внутренних бизнес-процессов, обеспечивающих прозрачность деятельности субъектов предпринимательства на всех уровнях.
Также, по мнению комиссии, внедрение данного подхода и непосредственно института обеспечительных мер воздействия для усиления контроля за соблюдением законодательства в области информации персонального характера, также способствует формированию позитивного инвестиционного климата в Кыргызской Республике, в том числе привлечения инвесторов в области высокотехнологичных производств и информационных технологий.
Вывод: целесообразно принять проект Закона Кыргызской Республики «О внесении изменений в Кодекс Кыргызской Республики о правонарушениях», соответствующий варианту № 2.
13. Приложения
К аналитической записке прилагаются:
развернутая оценка ожидаемых экономических последствий для предлагаемого регулирования (оценка отражена в аналитической записке);
информационно-справочные материалы, другая информация необходимая для иллюстрации выводов и рекомендаций проведенного анализа регулятивного воздействия (Приложение 1);
особые мнения отдельных членов рабочей группы (отсутствуют);
уведомление о разработке проекта нормативного правового акта по форме согласно приложению 1 к Методике (Приложение 2);
Реестр предложений и ответов по форме установленной форме (за время публичных консультаций замечания и предложения относительно предлагаемого регулирования в адрес Агентства не поступали) (Приложение 3);
отчет о проведении публичных консультаций (за время публичных консультаций замечаний и предложений относительно предлагаемого регулирования в адрес Агентства не поступало);
приказ о рабочей группе по АРВ (Приложение 4).
Приложение 1
Виды ответственности за нарушение законодательства в области защиты персональных данных в странах ближнего зарубежья
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | Неправомерный отказ в предоставлении гражданину и (или) организации информации, предоставление которой предусмотрено законом, несвоевременное ее предоставление либо предоставление заведомо недостоверной информации | __________ | _____________ | Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе осуществления контрольных функций, представление недостоверной или неполной информации, а равно непредставление запрашиваемых сведений и документов в установленный законом срок 2) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных | Непредставление обрабатывающим лицом установленной законодательством информации по требованию субъекта персональных данных в ходе сбора персональных данных или нарушение порядка предоставления, или разъяснение причин и следствий непредставления | _____________ |
Санкция | Административный штраф на должностных лиц в размере от 5 тыс. до 10 тыс. руб. (83$ - 165$) | 1) физических лиц – 77$ - 155$ юридических лиц – 155$ - 388$ 2) физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ | 246$ - 492$$; | |||
Норма | Статья 742 Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА, п3 | ||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | 1)Обработка персональных данных в случаях, не предусмотренных законом, либо обработка, несовместимая с целями сбора персональных данных 2)Обработка персональных данных без письменного согласия субъекта, когда это необходимо, либо обработка данных с нарушением требований к составу сведений, включаемых в такое согласие | Незаконные сбор и (или) обработка персональных данных, если эти деяния не содержат признаков уголовно наказуемого деяния | 1) Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, – влекут наложение штрафа в размере до пятидесяти базовых величин. 2) Умышленное незаконное распространение персональных данных физических лиц – влечет наложение штрафа в размере до двухсот базовых величин. 3) Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо – от двадцати до пятидесяти базовых величин. | 1) Несоблюдение основных условий обработки, хранения и использования персональных данных, за исключением случаев, предусмотренных частью (5), 2) Нарушение прав субъекта персональных данных на информирование, на доступ к персональным данным, на вмешательство в отношении персональных данных, на возражение и права не оказаться под воздействием частного решения | 1) Нарушение установленного законом порядка сбора или звукозаписи, или ввода, или координирования, или организации, или корректировки, или хранения, или использования, или преобразования, или восстановления, или передачи личных данных, если данное деяние не содержит признаков преступления 2) Нарушение установленного законом порядка уничтожения или блокирования личных данных, если данное деяние не содержит признаков преступления 3) Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: 4) Неиспользование криптографических средств в ходе обработки личных данных, если данное деяние не содержит признаков преступления влечет назначение штрафа — в стократном размере установленной минимальной заработной платы. 5) Нарушение требований к обеспечению безопасности обработки персональных данных в информационных системах, требований к материальным носителям биометрических персональных данных и технологиям хранения этих персональных данных вне информационных систем, если данное деяние не содержит признаков преступления: 6) Несоблюдение конфиденциальности лицами, обрабатывающими персональные данные, или иными лицами, предусмотренными Законом Республики Армения "О защите персональных данных", во время или после исполнения служебных или трудовых обязанностей, связанных с обработкой персональных данных | Незаконный сбор, систематизация, хранение, изменение, дополнение, использование, предоставление, распространение, передача, обезличивание и уничтожение персональных данных, а равно несоблюдение при обработке персональных данных граждан Республики Узбекистан с использованием информационных технологий, в том числе во всемирной информационной сети Интернет, требований по сбору, систематизации и хранению персональных данных на технических средствах, физически размещенных на территории Республики Узбекистан, и в базах персональных данных, зарегистрированных в установленном порядке в Государственном реестре баз персональных данных, - влечет наложение штрафа на граждан в сумме семи, а на должностных лиц - пятидесяти базовых расчетных величин |
Санкция | 1) административный штраф:
| 1) физических лиц – (60$), должностных лиц, частных нотариусов, частных судебных исполнителей, адвокатов, субъектов малого предпринимательства или некоммерческие организации - (120$), субъектов среднего предпринимательства - (180 $), субъектов крупного предпринимательства - (430$) | 1) 616 $ ; 3) 2466 $$ 4) 24.6$ - 123 $ ИП – 123$ - 308$ ЮЛ – 640$ - 616$ |
должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года. 2) физических лиц – 155$ - 233$ должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ | 1. 492$ - 1231$; 2. 738$ - 1231$; 4. 23$ - 246$; 5. 246$; 6. 246$ - 492$$; 7. 492$ - 738$ Лицо, совершившее установленные настоящей статьей деяния, освобождается от административной ответственности, если в установленный по решению уполномоченного органа срок или до вынесения решения о привлечении к административной ответственности устранило совершенное им нарушение и представило в уполномоченный орган доказательства об этом | Ф.Л. – 192$ Ю.Л. – 1374$ |
Норма | Статья 79. КоАП РК, п 1. | Статья 23.7. КоАП РБ, п.1, 3, 4. | Статья 741. Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА | Статья 462 КоАП РУз | |
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | 1) Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике обработки персональных данных 2) Невыполнение оператором обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных 3)Невыполнение оператором в установленные сроки требования субъекта персональных данных или его представителя либо Роскомнадзора об уточнении персональных данных, их блокировании или уничтожении (если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки) 4) Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих их сохранность и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении них 5) Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов | 1) Те же деяния, совершенные собственником, оператором или третьим лицом с использованием своего служебного положения, если эти действия не влекут установленную законом уголовную ответственность - 2) Несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных, если это деяние не содержит признаков уголовно наказуемого деяния | 1) Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин | 1) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных | 1) .Непредставление обрабатывающим лицом установленной законодательством информации по требованию субъекта персональных данных в ходе сбора персональных данных или нарушение порядка предоставления, или неразъяснение причин и следствий непредоставления: 2) Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: 3) Несоблюдение конфиденциальности лицами, обрабатывающими персональные данные, или иными лицами, предусмотренными Законом Республики Армения "О защите персональных данных", во время или после исполнения служебных или трудовых обязанностей, связанных с обработкой персональных данных | ____________ |
Санкция | 1) административный штраф: на граждан – от 1,5 тыс. руб до 3 тыс. руб.; (24.5$ - 49$) на должностных лиц – от 6 тыс. до 12 тыс. руб.; (98$ -196$) на индивидуальных предпринимателей – от 10 тыс. до 20 тыс. руб.; (163,4$ - 326,8$) на юридических лиц – от 30 тыс. до 60 тыс. руб. (490,2$ - 980,4$) 2) административный штраф: на граждан – от 2 тыс. до 4 тыс. руб.; (32,6$ - 65,3$) на должностных лиц – от 8 тыс. до 12 тыс. руб.; (130,7 $ - 196$) на индивидуальных предпринимателей – от 20 тыс. до 30 тыс. руб.; (326,8$ - 490,2$) на юридических лиц – от 40 тыс. до 80 тыс. руб. (653,6$ - 1307,2$) 3) административный штраф: на граждан – от 2 тыс. до 4 тыс. руб.; (32,6$ - 65,3$) на должностных лиц – от 8 тыс. до 12 тыс. руб.; (130,7 $ - 196$) на индивидуальных предпринимателей – от 20 тыс. до 40 тыс. руб.; (326,8$ - 653,6$) на юридических лиц – от 50 тыс. до 90 тыс. руб. (817$ - 1470$) 4) Административный штраф: на граждан – от 1,5 тыс. руб. до 4 тыс. руб.; (24.5$ - 65,3$) на должностных лиц – от 8 тыс. до 20 тыс. руб.; (130,7$ - 326,8$) на индивидуальных предпринимателей – от 20 тыс. до 40 тыс. руб.; (326,8$ - 653,6$) на юридических лиц – от 50 тыс. до 100 тыс. руб. (817$ - 1634$) 5) административный штраф на должностных лиц в размере от 6 тыс. до 12 тыс. руб. (98$ -196$) | 2) физических лиц – 306$; должностных лиц, субъектов малого предпринимательства или некоммерческие организации – 460$ субъектов среднего предпринимательства – 612$ субъектов крупного предпринимательства – 1225$ 3) физических лиц – 306$; должностных лиц, субъектов малого предпринимательства или некоммерческие организации – 612$ субъектов среднего предпринимательства – 918$ субъектов крупного предпринимательства – 1225$ | 50 $ - 1233$$ | физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ | 3)246$ - 492$$; 7)492$ - 738$ | |
Норма | Статья 79. КоАП РК, п. 2, 3. | Статья 23.7. КоАП РБ, п 2. | Статья 742 Кодекс о правонарушениях РМ, п. 2 | Статья 189.17. КоАП РА, пп. 3, 7. | ||
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | Непредставление или несвоевременное представление в государственный или иной уполномоченный орган сведений, представление которых предусмотрено законом либо предоставление таких сведений в неполном объеме или в искаженном виде | _____________ | _____________ | 1) Отказ в предоставлении сведений или документов, запрошенных Национальным центром по защите персональных данных в процессе осуществления контрольных функций, представление недостоверной или неполной информации, а равно непредставление запрашиваемых сведений и документов в установленный законом срок 2) Воспрепятствование доступу сотрудников Национального центра по защите персональных данных, наделенных контрольными функциями, в помещения и на территорию размещения систем учета персональных данных, к персональным данным, обрабатывающимся контролерами и/или обработчиками, к технологическому оборудованию, программному обеспечению и приложениям, к любому документу или записи, связанным с обработкой персональных данных 3) Невыполнение в установленный срок решения Национального центра по защите персональных данных о восстановлении прав субъекта персональных данных, в том числе о приостановлении или прекращении обработки персональных данных, о блокировании, полном или частичном уничтожении персональных данных, обрабатываемых с нарушением законодательства в области защиты персональных данных | Неуведомление обрабатывающим персональные данные лицом в уполномоченный орган по защите персональных данных или нарушение порядка уведомления: | ____________ |
Санкция | Административный штраф:
| (1) физических лиц – 77$ - 155$ юридических лиц – 155$ - 388$ (2) физических лиц – 77$ - 155$ юридических лиц – 310$ - 621$ 3) физических лиц – 77$ - 155$ должностных лиц – 155$ - 466$ юридических лиц – 388$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года | 123$ - 246$; | |||
Норма | 1, 2) Статья 742 Кодекс о правонарушениях РМ 3) Статья 743 Кодекс о правонарушениях РМ | Статья 189.17. КоАП РА, п. 4. | ||||
Страны | ||||||
Российская Федерация | Республика Казахстан | Республика Беларусь | Республика Молдова | Республика Армения | Республика Узбекистан | |
Нарушение | _________________ | ______________ | 1) Трансграничная передача персональных данных с нарушением законодательства о защите персональных данных | _______________ | ___________ | _____________ |
Санкция | с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года физических лиц – 155$ - 233$ должностных лиц – 233$ - 466$ юридических лиц – 310$ - 776$ с лишением или без, права осуществлять определенную деятельность на срок от 3 месяцев до 1 года | |||||
Норма | Статья 741. Кодекс о правонарушениях п. 5 | |||||
Приложение 2
УВЕДОМЛЕНИЕ
о разработке проекта Закона Кыргызской Республики «О внесении изменений в Кодекс Кыргызской Республики о правонарушениях»
Настоящим Государственное агентство по защите персональных данных при Кабинете Министров Кыргызской Республики (далее – Агентство) извещает о начале обсуждения правового регулирования и сборе предложений заинтересованных лиц.
1. Описание проблем, на решение которых направлено предлагаемое регулирование (описать с использованием соответствующих количественных и качественных показателей):
Кыргызская Республика, понимая значение, роль и преимущества информационно-телекоммуникационных технологий в вопросах модернизации системы государственного управления, активно внедряет цифровые технологии практически во все сферы системы государственного управления и общественной жизни. Цифровая среда, обладая значительным потенциалом для реализации прав и свобод граждан, является при этом сложной системой, которая подвержена быстрой эволюции, и во многих отношениях, оказывая влияние на жизнь простых граждан, может привести к возникновению рисков нарушения их прав.
В этой связи в 2008 году был принят Закон Кыргызской Республики «Об информации персонального характера», который регулирует вопросы, связанные с работой с персональными данными в целях обеспечения защиты прав и свобод человека и гражданина при сборе, обработке и использовании его персональных данных. Закон предусматривает наступление юридической ответственности за неисполнение требований по защите персональных данных, что подразумевает наличие по меньшей мере административных санкций за неисполнение требований или нарушение законодательства.
В настоящее время статьей 228-1 Кодекса Кыргызской Республики о правонарушениях предусмотрена только ответственность за нарушение требований по защите информации персонального и коммерческого характера с наложением штрафа на физических лиц в размере 200 расчетных показателей. Тем самым государственные институты лишены достаточных правовых инструментов обеспечения законности в области защиты прав и свобод человека в сфере персональных данных, несмотря на то, что практически все государственные и частные инициативы по цифровизации подразумевают сбор, использование, хранение и обработку больших массивов персональных данных граждан.
2. Описание цели предлагаемого регулирования (при возможности, привести соответствующие количественные и качественные показатели) и способа решения проблем:
Предлагаемый проект Закона разработан в целях реализации Закона Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года № 58, подразумевающего наличие ответственности за нарушение требований законодательства о персональных данных.
Одним из методов обеспечения неукоснительного соблюдения правовых норм сторонами правоотношений, связанных с обработкой персональных данных, прежде всего является наличие юридической ответственности за нарушение норм права. В условиях отсутствия юридических оснований для привлечения к ответственности лиц, виновных в нарушении законов, органы государственной власти не могут обеспечить режим законности, как важной составляющей правового государства, который предполагает гарантии выполнения содержащихся в нормах права предписаний. Именно законодательное установление процедуры обеспечения законности будет восприниматься гражданами как гарантированное закрепление их реальных возможностей, обеспечиваемых государством.
Особенно это актуализируется в условиях, когда государственные органы и частные структуры используют биометрические данные граждан для обеспечения эффективной цифровой трансформации. В перспективе предусматривается активное использование информационно- коммуникационных технологий для достижения целей модернизации государственного управления, экономики и социальной сферы посредством инновационных технологий, где основным идентификатором гражданина будут выступать только его персональные данные.
Учитывая изложенные обстоятельства был разработан настоящий проект Закона, предусматривающий внесение изменений в Кодекс Кыргызской Республики о правонарушениях. Так, Кодекс предлагается дополнить статьей, устанавливающей ответственность за:
сбор, обработку, использование, хранение, передачу, включая обмен, персональных данных без законного основания;
необоснованный отказ в предоставлении субъекту персональных данных информации, касающейся обработки его персональных данных;
трансграничная передача персональных данных с нарушением установленного законом порядка;
внесение неполной или недостоверной информации в Реестр держателей (обладателей) массивов персональных данных, а также отсутствие регистрации в Реестре;
нарушение сбора, обработки и хранения персональных данных без использования средств автоматизации.
Указанные составы правонарушения вытекают из требований Закона Кыргызской Республики «Об информации персонального характера», которые определяют исчерпывающий перечень правовых оснований для работы с персональными данными граждан, обязанность держателей (обладателей) персональных данных предоставлять соответствующую информацию субъектам персональных данных, уполномоченному органу по персональным данным.
Предусматривается ответственность за трансграничную передачу персональных данных, так как в настоящее время информация персонального характера может собираться на территории Кыргызской Республики и продаваться различным группам, которые могут преследовать корыстные или преступные цели.
Одновременно предусматривается ответственность за внесение недостоверной или неполной информации в Реестр, а также отсутствие регистрации в реестре в процессе сбора, обработки и хранения персональных данных, что напрямую нарушает права субъектов персональных данных, которые должны иметь возможность получать информации относительно законности собираемых у них персональных данных, при том что сбор, обработка и регистрация персональных данных вообще не допускается без регистрации в Реестре.
Как одна из переходных норм закрепляется ответственность за нарушения Закона Кыргызской Республики “Об информации персонального характера” при сборе, хранении и обработке персональных данных без использования средств автоматизации. Данная норма предусматривает ответственность таких организаций, которые в настоящее время составляют большинство во всех отраслях, несмотря на процессы цифровизации, происходящие в обществе. Другими словами, основным незащищенным направлением может оказаться именно неавтоматизированная обработка персональных данных.
Однако следует понимать, что в ближайшие десятилетия практика сбора, хранения и обработки персональных данных может быть полностью заменена на автоматизированную обработку.
Также отмечаем, что в качестве субъектов указанных правонарушений могут выступать физические и юридические лица. В связи с этим предлагается привлекать к ответственности лиц, выступающих держателями (обладателями) массива персональных данных для повышения ответственности.
Учитывая, что проектом Закона предлагается дополнить Кодекс новой статьей, закономерно вытекает необходимость определения органа, который будет выявлять нарушения законодательства и применять меры ответственности к правонарушителям. В связи с этим проект предусматривает внесение изменений в главу 51 Кодекса Кыргызской Республики о правонарушениях.
Одновременно предлагается внесение изменений в статью 456 в части передачи полномочий органов внутренних дел возбуждать дела о правонарушениях и рассматривать их в ведение Уполномоченного государственного органа по персональным данным, предусмотренных статьями 228 и 2281.
Данная мера предлагается для внесения на основании статьи 291 Закона Кыргызской Республики “Об информации персонального характера”, так как за уполномоченным государственным органом закрепляется функция по контролю за соблюдением законодательства Кыргызской Республики в области персональных данных.
Одновременно следует отметить, что статьи 228 и 2281 напрямую не направлены на общественный порядок, при этом их воздействие нацелено непосредственно на личность, и в первую очередь преследует экономические цели, в этой связи данная норма если и используется органами внутренних дел, то в крайне незначительной степени. Так, за 2020-2021 годы органами внутренних дел в части нарушений персональных данных возбуждено 390 уголовных дел, из которых подавляющая часть (254 дела), относились к делам о подделке документов, незаконной выдаче паспорта и служебном подлоге, все эти дела квалифицировались как уголовные и подпадали под юрисдикцию органов внутренних дел.
В связи с этим принято решение разграничить полномочия и передать административную часть работы по возбуждению дел о правонарушениях и рассмотрению их в ведение уполномоченного государственного органа по персональным данным.
Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу.
Отдельно предлагаемые изменения также позволят усилить независимый статус уполномоченного государственного органа по персональным данным.
3. Оценка ожидаемых выгод и преимуществ предлагаемого регулирования (описать с использованием соответствующих количественных и качественных показателей):
Предлагаемые изменения позволят устранить существующую юридическую неопределенность и соответственно пространство, в котором сегодня могут действовать правонарушители.
Кроме того, предлагаемые изменения закрепят за уполномоченным государственным органом по персональным данным правомочия по возможности использования формы административного воздействия для возвращения правонарушителей в правовую сферу.
4. Оценка возможных неблагоприятных последствий (описать с использованием соответствующих количественных и качественных показателей):
Неблагоприятных последствий от регулирования не предвидятся.
5. Характеристика и оценка численности субъектов предпринимательства - адресатов предлагаемого регулирования (описать с использованием соответствующих количественных показателей):
Все государственные и муниципальные органы, а также субъекты предпринимательства, имеющие совокупность массивов персональных данных (данные работников, клиентов, абонентов, пациентов и т.д.).
6. Приблизительная оценка дополнительных расходов и выгод потенциальных адресатов предлагаемого регулирования, связанных с его введением:
Принятие настоящего проекта Закона Кыргызской Республики не повлечет дополнительных финансовых затрат.
Выгоды видятся очевидными и заключаются в том, что в Кыргызской Республике будет эффективно функционировать система защиты персональных данных граждан страны, что будет также проецировать уверенность населению в защищенности и возможности использования новых технологий в своих правоотношениях, что будет увеличивать долю рынка высоких технологий и онлайн-услуг.
7. Приблизительная оценка расходов и выгод республиканского/местного бюджета, связанных с введением предлагаемого регулирования:
Затрат из государственного бюджета не предвидится.
Перечень вопросов для участников публичных консультаций:
являются ли указанные проблемы верными, требующими решения путем изменения регулирования;
является ли указанная цель обоснованной, важной для достижения;
является ли предлагаемое регулирование наиболее предпочтительным способом решения проблем;
какие выгоды и преимущества могут возникнуть в случае принятия предлагаемого регулирования;
какие риски и негативные последствия могут возникнуть в случае принятия предлагаемого регулирования;
существуют ли альтернативные более эффективные способы решения проблем;
ваше общее мнение относительно предлагаемого регулирования.
Контакты и сроки для обсуждения информации уведомления
1. Предложения принимаются |
|
по электронной почте: | |
на почтовый адрес: | пр. Чуй, 265а, 720071 |
2. Срок приема предложений не позднее: | 13 июня 2024 года |
3. Срок размещения Реестра предложений и ответов на официальном сайте органа разработчика не позднее | 14 июня 2024 года |
Приложение 3
Реестр
Предложений и ответов
Регистрационный № | Замечания и (или) предложения | Автор (участник публичных консультаций) | Дата получения | Позиция органа-разработчика |
В соответствии с Методикой проведения анализа регулятивного воздействия нормативных правовых актов на деятельность субъектов предпринимательства, утвержденного постановлению Правительства Кыргызской Республики от 10 августа 2022 года № 444 (далее – Методика), уведомления о разработке проекта нормативного правового акта для сбора предложений заинтересованных лиц был размещен на официальном сайте Агентства https://dpa.gov.kg/ru/npa/20 29 мая 2024 года для публичных консультаций, в срок не менее 15 дней. Однако, каких-либо замечаний и предложений относительно предлагаемого регулирования в адрес Агентства, не поступало. В этой связи, отразить мнение представителей бизнес сообщества и населения на предполагаемое регулирования, не представилось возможным.