+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Киргизия
    16 сентября 2022

    Киргизия

     

    ЗАКОНОДАТЕЛЬСТВО КИРГИЗИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    Законодательство Киргизской Республики о персональных данных и их защите основывается на Конституции Киргизской Республики, Гражданском кодексе, Законе Кыргызской Республики «Об информации персонального характера» от 14 апреля 2008 года и Законе Кыргызской Республики от 14 июля 2014 № 136 «О биометрической регистрации граждан Кыргызской республики», а также международных договорах.

    Право на неприкосновенность частной жизни было предусмотрено в Конституции Киргизской Республики от 5 мая 1993 года, впоследствии это понятие было раскрыто в Гражданском кодексе.

    Статья 29 Конституции Киргизской Республики гарантирует право каждого на неприкосновенность частной жизни, защиту чести и достоинства, право на тайну переписки, телефонных и иных переговоров, почтовых, телеграфных, электронных и иных сообщений.

    Ограничение этих прав допускается только в соответствии с законом и на основании судебного решения.

    Не допускается сбор, хранение, использование и распространение конфиденциальной информации, информации о частной жизни человека без его согласия, кроме случаев, установленных законом.

    Каждому гарантируется защита, в том числе судебная, от неправомерного сбора, хранения, распространения конфиденциальной информации и информации о частной жизни человека, а также гарантируется право на возмещение материального и морального вреда, причиненного неправомерными действиями.

    Статья 19 Гражданского кодекса Киргизской Республики устанавливает право гражданина на собственное изображение:

    • никто не вправе публиковать и распространять опубликованное изображение какого–либо лица (картина, фотография, кинофильм и т.п.) без согласия этого лица. Такого согласия не требуется в случаях, когда опубликование и распространение изображения связано с требованиями суда, органов дознания и следствия, когда фотографирование или получение изображения иным способом произведено в публичной обстановке, а также в других случаях, предусмотренных законом;
    • согласие лица на опубликование и распространение его изображения предполагается, если изображаемое лицо позировало за плату.

    Статья 20 Гражданского кодекса устанавливает право на охрану тайны личной жизни:

    • гражданин имеет право на охрану тайны личной жизни: тайны переписки, почтовых, телеграфных, электронных и иных сообщений, телефонных и иных переговоров, дневников, заметок, записок, интимной жизни, рождения, усыновления, врачебной или адвокатской тайны, тайны вкладов и т.п.;
    • раскрытие тайны личной жизни возможно лишь в случаях, установленных законом;
    • опубликование дневников, записок, заметок и т.п. допускается лишь с согласия их автора, а писем – с согласия их автора и адресата. В случае смерти кого–либо из них указанные документы могут публиковаться с согласия пережившего супруга, детей умершего и других наследников, в последующем – с согласия других нисходящих потомков.

    В 1999 году был принят Закон «Об информатизации и электронном управлении», в котором  предусматривалась защита данных. Указанный нормативный правовой акт утратил силу в соответствии с Законом КР от 19 июля 2017 года № 127 «Об электронном управлении».

    В 2008 году в Киргизской Республике был принят закон «Об информации персонального характера», который направлен на правовое регулирование обработки персональных данных. Затем принят Закон Киргизской Республики от 14 июля 2014 № 136 «О биометрической регистрации граждан Киргизской республики», регулирующий отношения, возникающие при обработке биометрических данных граждан Киргизской Республики, актуализации и защите баз таких данных.

    Действие Закона «Об информации персонального характера»

    Действие Закона распространяется на отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации, включая использование информационных технологий.

    Действие Закона не распространяется на хранение, обработку и использование персональных данных в связи с личными, семейными или хозяйственными делами физического лица, если при этом не нарушаются права субъектов персональных данных.

    Целями Закона являются:

    • формирование государственной политики в сфере обработки персональных данных;
    • защита прав и свобод личности при использовании информации персонального характера и защита этой информации;
    • определение условий работы с информацией персонального характера;
    • определение порядка формирования массивов информации персонального характера органами государственной власти, органами местного самоуправления, а также юридическими лицами;
    • определение прав и обязанностей субъектов информации персонального характера, держателей (обладателей) и получателей массивов такой информации;
    • установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.

    Основные понятия 

    Информация персонального характера (персональные данные) – зафиксированная информация на материальном носителе о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности.

    К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее.

    Массив персональных данных – любая структурированная совокупность персональных данных неопределенного числа субъектов, независимо от вида носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т.п.).

    Общедоступные массивы персональных данных – массивы персональных данных, доступ к которым не ограничен законодательством, и предназначенные для общего пользования (справочники, телефонные книги, адресные книги и т.п.).

    Режим конфиденциальности персональных данных – нормативно установленные правила, определяющие ограничение доступа, передачи, предоставления и условия хранения персональных данных.

    Субъект персональных данных (субъект) – физическое лицо, к которому относятся соответствующие персональные данные.

    Держатель (обладатель) массива персональных данных – органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных в соответствии с настоящим Законом.

    Обработчик – физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора.

    Получатель персональных данных – орган государственной власти или органы местного самоуправления, юридические и физические лица, а также субъект персональных данных (субъект), которым передаются и предоставляются персональные данные в соответствии с настоящим Законом.

    Обработка персональных данных – любая операция или набор операций, выполняемых независимо от способов держателем (обладателем) персональных данных либо по его поручению, автоматическими средствами или без таковых, в целях сбора, записи, хранения, актуализации, группировки, блокирования, стирания и разрушения персональных данных.

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    Специальные категории персональных данных – персональные данные, раскрывающие расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающиеся состояния здоровья и сексуальных наклонностей.

    Биометрические  данные  – данные, которые характеризуют физиологические и биологические особенности субъекта биометрических данных и на основе которых можно установить его личность.

    Биометрическая регистрация – процедура сбора, обработки и хранения  биометрических  данных  граждан Киргизской Республики, проживающих на территории Киргизской Республики и за ее пределами.

    Основные принципы и условия обработки персональных данных: 

    • персональные данные должны быть точными, при необходимости обновляться и собираться для точно и заранее определенных, объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким–либо образом, несовместимым с данными целями;
    • персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей;
    • сроки хранения персональных данных в исторических и иных целях могут сохраняться на более длительное время с обязательными гарантиями обеспечения их защиты;
    • не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях, для автоматизированной обработки информации;
    • персональные данные должны храниться и защищаться держателями (обладателями) массивов персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.

    Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных при условии:

    • субъект персональных данных дал свое согласие на ее проведение;
    • обработка необходима для выполнения органами государственной власти, органами местного самоуправления своей компетенции, установленной законодательством Киргизской Республики;
    • обработка нужна для достижения законных интересов держателей (обладателей), когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к обработке персональных данных;
    • обработка необходима для защиты интересов субъекта персональных данных;
    • обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут согласовываться с субъектом персональных данных с соблюдением права на неприкосновенность частной жизни и свободу слова.

    Права субъекта персональных данных. Требование к Согласию

    Субъект персональных данных самостоятельно решает вопрос о предоставлении кому–либо своих персональных данных, и дает согласие на их обработку свободно, осознанно и в форме, позволяющей держателю (обладателю) массива персональных данных подтвердить факт его получения в случае необходимости такого подтверждения.

    Для получения биометрических данных гражданина Киргизской Республики необходимо получить письменное согласие субъекта персональных данных.

    Держатель (обладатель) массива персональных данных вправе передавать персональные данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях:

    • крайней необходимости для защиты интересов субъекта персональных данных;
    • по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;
    • на основании законодательства Киргизской Республики.

    Держатель (обладатель) массива персональных данных обязан информировать субъект персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.

    При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.

    Субъект персональных данных имеет право: 

    • знать о наличии у держателя (обладателя) своих персональных данных и иметь к ним доступ;
    • знакомиться с документами, содержащими сведения персонального характера о нем;
    • обжаловать неправомерные действия обработчиков его персональных данных в судебном порядке;
    • на возмещение причиненного ущерба и на компенсацию морального вреда в судебном порядке;
    • требовать изменения, блокировки и снятия блокировки своих персональных данных;
    • бесплатно, в течение семи дней после подачи письменного заявления получать от держателя (обладателя) массива персональных данных четко и ясно выраженную информацию, касающуюся обработки его персональных данных, содержащей: подтверждение факта обработки персональных данных, правовые основания, цели, способы, сроки обработки, наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона, обрабатываемые персональные данные субъекта, источник их получения, а также порядок осуществления субъектом персональных данных своих прав.

    Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации в соответствии со статьей 30 настоящего Закона.

    Порядок получения согласия субъекта персональных данных на сбор и обработку его персональных данных, в том числе в форме электронного документа, включая цели предоставления государственных и муниципальных услуг, устанавливается Правительством Киргизской Республики.

    Права субъекта на предоставление и получение своих данных могут быть ограничены в случае: 

    • предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, – в соответствии с Законом Киргизской Республики »О защите государственных секретов Киргизской Республики»;
    • получения доступа, внесения изменений, блокирования для персональных данных субъектов, задержанных по подозрению в совершении преступления, обвиняемым по уголовному делу, либо субъектов, в отношении которого избрана мера пресечения до предъявления обвинения, а также к данным, полученным в результате оперативно–розыскной деятельности.

    Биометрические персональные данные

    Сбор, обработка, хранение и использование биометрических данных осуществляются на принципах:

    • обязательной биометрической регистрации;
    • открытости (обеспечения доверия граждан к использованию государством биометрических данных);
    • гарантии законного использования биометрических и персональных данных органами государственной власти, местного самоуправления, наделенными специальными полномочиями в соответствии с законодательством Киргизской Республики;
    • защиты базы биометрических данных;
    • обеспечения безопасности биометрических данных при их сборе, обработке, хранении и использовании в информационных системах и соблюдения требований к материальным носителям.

    В соответствии со статьей 5 Закона Киргизской Республики от 14 июля 2014 № 136 «О биометрической регистрации граждан Киргизской республики», каждый гражданин Киргизской Республики обязан пройти биометрическую регистрацию.

    Сбору, обработке, хранению и использованию в обязательном порядке подлежат следующие биометрические данные:

    • цифровое графическое изображение лица;
    • графическое строение папиллярных узоров пальцев обеих рук;
    • собственноручная подпись.

    Кроме  биометрических  данных  сбору, обработке, хранению и использованию также подлежат в обязательном порядке следующие персональные данные:

    • персональный идентификационный номер;
    • фамилия, имя, отчество;
    • национальность;
    • серия и номер паспорта;
    • свидетельство о рождении (для лиц, ранее не получавших паспорт гражданина Киргизской Республики);
    • пол;
    • число, месяц, год рождения;
    • место жительства.

    В соответствии со статьей 7 получение информации о биометрических данных осуществляется при наличии согласия в письменной форме субъекта биометрических данных в соответствии с законодательством Киргизской Республики, за исключением случаев, не требующих согласия, при осуществлении правосудия и исполнения судебного акта, а также в случаях, предусмотренных законодательством Киргизской Республики о национальной безопасности, о противодействии терроризму и коррупции, об оперативно–розыскной деятельности и иных случаях, определяемых законодательством Киргизской Республики.

    Обязанности держателя (обладателя) массива персональных данных и обработчика

    Держатель (обладатель) массива персональных данных обязан:

    • получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц;
    • обеспечивать режим конфиденциальности персональных данных, в том числе обеспечивать сохранность и достоверность персональных данных, и режим доступа к ним;
    • определить обработчика для обработки персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель (обладатель) самостоятельно возлагает на себя функции и обязанности обработчика;
    • предоставлять необходимую информацию и исполнять законные требования по запросу субъекта или выдать обоснованный отказ в предоставлении или исполнении требований в течение 7 дней после получения запроса;
    • разрабатывать соответствующие целям сбора перечни персональных данных (объем сведений), согласовывать, регистрировать данные перечни в уполномоченном государственном органе и публиковать их в Реестре держателей массивов персональных данных.

    Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности.

    Обработчик осуществляет обработку персональных данных на основании договора, заключенного с держателем (обладателем) персональных данных.

    Обработчик обязан выполнять сбор, запись, хранение, актуализацию, блокирование, уничтожение персональных данных, независимо от способа и средств обработки, по поручению держателя (обладателя) персональных данных.

    Держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    Держатель (обладатель) массива персональных данных и обработчик обязаны осуществлять контроль: 

    • за доступом к оборудованию, используемому для обработки персональных данных;
    • за пользованием носителями данных;
    • за записью персональных данных;
    • за вводом персональных данных;
    • за допуском пользователей системы обработки персональных данных;
    • транспортный при передаче и транспортировке персональных данных;
    • и ведение учета машинных носителей персональных данных.

    Держатель (обладатель) массива персональных данных и обработчик обязаны обеспечить:

    • конфиденциальность информации, полученной при обработке персональных данных;
    • выполнение установленных Правительством Киргизской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
    • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

    Надзорный орган в сфере персональных данных, его полномочия 

    Надзорным органом является Государственное агентство по защите персональных данных при Кабинете Министров Киргизской Республики (далее – Агентство).

    Агентство является государственным органом исполнительной власти, разрабатывающим и реализующим единую государственную политику в сфере информации персонального характера, осуществляющим функции по обеспечению защиты прав субъектов персональных данных, регистрации держателей (обладателей) массивов персональных данных, ведению Реестра держателей массивов персональных данных.

    С учетом того, что в Киргизской республике широкий перечень обязательной обработки персональных данных Агентство обладает широкими полномочиями, в том числе в сфере регулирования, координации, надзора и контроля:

    • осуществление контроля путем проведения проверок за соблюдением требований законодательства Киргизской Республики по защите персональных данных и прав субъектов персональных данных;
    • ведение учета и регистрации массивов персональных данных и их держателей (обладателей);
    • формирование и ведение Реестра держателей (обладателей) массивов персональных данных;
    • согласование перечней персональных данных держателей (обладателей) массивов персональных данных;
    • осуществление контроля за использованием персональных данных, полученных государственными органами, местными государственными администрациями и органами местного самоуправления от других государственных держателей (обладателей) персональных данных;
    • координация использования государственными органами, местными государственными администрациями и органами местного самоуправления в своей деятельности персональных данных, находящихся у других держателей (обладателей) персональных данных;
    • дача рекомендаций по спорным вопросам, возникающим между участниками информационного взаимодействия при обработке, хранении и передаче персональных данных, в том числе с использованием элементов электронного управления;
    • осуществление контроля за обеспечением исполнения требований законодательства Киргизской Республики по содержанию и обработке персональных данных в информационных системах персональных данных, а также защите персональных данных;
    • осуществление мониторинга практики обеспечения безопасности персональных данных при их обработке, обобщение и публикация лучших практик и стандартов обеспечения безопасности персональных данных при их обработке;
    • оказание содействия субъектам персональных данных в реализации и защите их прав;
    • рассмотрение обращений субъектов персональных данных о нарушениях законодательства в сфере персональных данных и вынесение заключений;
    • направление в правоохранительные органы материалов, связанных с нарушением прав субъектов персональных данных, предусмотренных законодательством Киргизской Республики в сфере персональных данных, для принятия соответствующих мер по исполнению законодательства Киргизской Республики;
    • осуществление методической помощи по организации защиты персональных данных.

    Функции в сфере регулирования, координации, надзора и контроля не распространяются на персональные данные, полученные в результате деятельности органов прокуратуры Киргизской Республики, правоохранительных органов и органов, осуществляющих оперативно–розыскную, разведывательную и контрразведывательную деятельность, производство официальной статистики, правовой режим которых устанавливается в соответствии с законами Киргизской Республики «Об оперативно–розыскной деятельности» и «О защите государственных секретов Киргизской Республики».

    Трансграничная передача персональных данных

    При трансграничной передаче персональных данных держатель (обладатель) массива персональных данных, находящийся под юрисдикцией Киргизской Республики, передающий данные, исходит из наличия международного договора между сторонами, согласно которому получающая сторона обеспечивает адекватный уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных, установленный в Киргизской Республике.

    Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов персональных данных, может осуществляться при условии:

    • согласия субъекта персональных данных на эту передачу;
    • передача необходима для защиты интересов субъекта персональных данных;
    • персональные данные содержатся в общедоступном массиве персональных данных.

    При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации.

    Ответственность за нарушения в сфере персональных данных

    За нарушения в сфере персональных данных в Киргизской Республики предусмотрена административная и уголовная ответственность.

    Статья 79 Кодекса Киргизской Республики о правонарушениях предусматривает административную ответственность за разглашение врачебной тайны: разглашение сведений о заболевании или результатах медицинского освидетельствования пациента (специальной категории персональных данных субъекта), совершенное медицинским, фармацевтическим или иным работником, которому эти сведения стали известны в связи с исполнением профессиональных или служебных обязанностей, – влечет наложение штрафа на физических лиц в размере 100 расчетных показателей.

    Глава 26 кодекса о правонарушениях устанавливает административную ответственность за нарушения в сфере информационной безопасности.

    Статья 228 устанавливает наказание в виде наложения штрафа в размере 200 расчетных показателей за неправомерный доступ к чужой охраняемой компьютерной информации и электронным документам, сопряженный с их уничтожением, блокированием, модификацией или копированием, распространением информации персонального и коммерческого характера.

    Статья 228.1 предусматривает административную ответственность за нарушение требований по организации защиты электронных документов, информации персонального и коммерческого характера, а равно неправомерное использование, обеспечение доступа и передача третьим лицам такой информации и предусматривает наказание в виде штрафа в размере 200 расчетных показателей.

    Статья 190 Уголовного кодекса Киргизской Республики устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни: незаконные сбор, хранение, использование и распространение конфиденциальной информации о частной жизни человека без его согласия. Квалифицированный состав предусматривает ответственность за незаконное использование либо распространение личной или семейной тайны в произведении, при выступлении в средствах массовой информации либо ином публичном выступлении, а равно совершенные лицом с использованием своего служебного положения.

    Минимальное наказание за совершение такого преступления предусмотрено в виде исправительных работ от 1 года до трех лет или штраф от 500 до 1000 расчетных показателей, максимальное наказание в виде лишения свободы сроком до пяти лет.

    Наказание за квалифицированный состав деяния может повлечь исправительные работы от одного года  до трех лет или штраф от 500 до 1000 расчетных показателей, или лишение свободы на срок до  пяти  лет с лишением права занимать определенные должности либо заниматься определенной деятельностью на срок до двух лет или без такового.

    Статья 193 Уголовного кодекса предусматривает уголовную ответственность за нарушение тайны переписки телефонных и иных переговоров, почтовых, телеграфных, электронных и иных сообщений, передаваемых средствами связи или с использованием компьютера, а также за те же деяния, совершенные с использованием своего служебного положения или специальных технических средств, предназначенных для негласного получения информации. Минимальное наказание за совершение преступления – общественные работы от 40 до 100 часов, максимальное наказание – лишение свободы на срок до пяти лет.

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению М.Г. Тепляковой на законодательство     Киргизской Республики

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.