+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Монголия
    10 октября 2022

    Монголия

     

    ЗАКОНОДАТЕЛЬСТВО МОНГОЛИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

    Система законодательства. Основные нормативно-правовые акты

    Конституция Монголии (МОНГОЛ УЛСЫН ҮНДСЭН ХУУЛЬ (1992) в ст.16 гарантирует защиту тайны личной и семейной жизни граждан, переписки и неприкосновенности жилища.

    Законодательство Монголии в сфере персональных данных 17 декабря 2021 года пополнилось новым Законом о защите персональных данных (ХҮНИЙ ХУВИЙН МЭДЭЭЛЭЛ ХАМГААЛАХ ТУХАЙ), который вступил в силу с 01.05.2022. До этого момента действовал Закон о личной тайне от 1995 года (ХУВЬ ХҮНИЙ НУУЦЫН ТУХАЙ).

    Кроме того, сферу персональных данных регулирует Закон о кибербезопасности, Закон о прозрачности публичной информации, Закон об электронной подписи, которые вступили в силу с 01.05.2022.

    Территориальное и материальное действие

    Закон о защите персональных данных распространяется на всех физических, юридических лиц и организации без юридического статуса (представительства и постоянные учреждения), собирающие, обрабатывающие, использующие и защищающие персональные данные на территории Монголии.

    Данный закон не распространяется на:

    • сбор, обработку, использование и обеспечение сохранности информации, относящейся к лицу или члену его семьи, если при этом не нарушаются права лица на неприкосновенность и свободу;
    • размещение звуко-, видео- и аудиовизуальных записывающих устройств в целях охраны движимого и недвижимого имущества, находящегося в собственности, владении и пользовании лица, а также жизни и здоровья членов его семьи;
    • использование собственной биометрической информации в целях защиты движимого и недвижимого имущества, находящегося в собственности, владении и пользовании лица, а также для хранения информации.

    Основные понятия

    Персональные данные – конфиденциальная информация о человеке, имя, дата рождения, место рождения, адрес проживания, местонахождение, номер записи акта гражданского состояния, активы, образование, членство, электронные идентификаторы, и другая информация, которая прямо или косвенно идентифицирует или может идентифицировать человека.

    При этом законом предусмотрено определение электронного идентификатора – это логин информационной системы для идентификации лица в онлайн-среде, адрес электронной почты, социальной сети, адрес телефона и беспроводной связи, другие типы устройств и информация в информационной системе.

    Обработка персональных данных не допускается за исключением случаев, перечисленных в Законе о защите персональных данных, перечень которых ограничен:

    • с согласия субъекта персональных данных;
    • по основаниям, предусмотренным законодательством;
    • в случае, предусмотренном трудовым законодательством;
    • при заключении и исполнении договоров;
    • при выполнении обязательств по международным договорам;
    • при осуществлении предусмотренных законодательством функций с учетом прав и законных интересов субъекта персональных данных.
    • при обработке общедоступных данных;
    • при создании исторических, научных, художественных и литературных произведений с использованием данных, не позволяющих идентифицировать субъекта персональных данных;
    • при обработке статистической информации;
    • в целях охраны здоровья этого лица и других лиц, а также оказания медицинских услуг медицинским работником;
    • в целях судебного производства по искам граждан и юридических лиц.

    Чувствительные данные

    К чувствительным данным Закон о защите персональных данных относит происхождение человека, этническую принадлежность, религию, убеждения, здоровье, переписку, генетические и биометрические данные, закрытый ключ цифровой подписи, судимость, сексуальную и гендерную ориентацию, информацию об идентичности, самовыражении и сексуальности.

    Биометрические данные – это данные, такие как отпечатки пальцев, радужная оболочка, лицо, голос и характеристики движений тела, которые могут быть использованы для идентификации человека с помощью оборудования, аппаратных средств и программного обеспечения.

    Обработка биометрических данных осуществляется только по основаниям, предусмотренным законодательством, в следующих целях:

    • ведения государственного реестра граждан и контроля регистрации избирателей — обрабатываются уникальные физические данные/ отпечатки пальцев;
    • идентификации и проверки иностранных граждан, пересекающих границу;
    • пресечения, предупреждения и расследования преступлений и правонарушений уполномоченными органами, установленными законодательством;
    • судебно-медицинской экспертизы при рассмотрении дел и споров;
    • регистрации и голосования на собрании депутатов Великого Государственного Хурала (Парламент).

    Работодатель может использовать биометрические данные, за исключением уникальных физических данных/отпечатков пальцев/, с согласия работника в целях упрощения процесса идентификации и проверки работника в соответствии с правилами внутреннего трудового распорядка. При этом работодателю запрещается обрабатывать и изменять, а также передавать биометрические данные другим лицам.

    Персональные данные несовершеннолетних

    Закон о защите персональных данных не содержит специальных норм, регулирующих обработку персональных данных несовершеннолетних. С учетом норм Гражданского кодекса Монголии дети от 14 до 18 лет обладают частичной дееспособностью и могут совершать мелкие бытовые сделки. Таким образом, согласие на обработку персональных данных за несовершеннолетнего предоставляет его законный представитель, если иное не предусмотрено законом.

    Трансграничная передача

    Трансграничная передача разрешается только в случаях, предусмотренных законом, в связи с исполнением международных договоров Монголии или с согласия субъекта персональных данных.

    Оператор и обработчик

    Закон о защите персональных данных дает определение только оператора (контролера данных) – это физическое, юридическое лицо или организация, не уполномоченная юридическим лицом, которые собирают, обрабатывают и используют информацию в соответствии с законом или с согласия владельца информации (субъекта персональных данных). При этом указанный закон проводит различие между оператором и обработчиком путем закрепления их прав и обязанностей, ответственности, способа и требований к правовому оформлению их правоотношений.

    Оператор осуществляет сбор, обработку и использование персональных данных на основаниях, предусмотренных законодательством, или с согласия субъекта персональных данных.

    Законом о защите персональных данных предусмотрены следующие обязанности оператора:

    • утвердить и внедрить процедуры сбора, обработки и использования персональных данных в соответствии с законодательством;
    • идентифицировать субъекта персональных данных в цифровой среде либо на основании установления и проверки владельца информации с помощью удостоверения личности или аналогичных документов с целью получения согласия на обработку персональных данных;
    • предоставлять информацию, предусмотренную Законом о защите персональных данных, при получении согласия на обработку персональных данных, разъяснять субъекту персональных данных цель и основание сбора персональных данных;
    • разъяснить субъекту персональных данных право на отказ в даче согласия и подать жалобу, связанную со сбором, обработкой и использованием персональных данных;
    • разъяснить последствия, которые могут возникнуть, если владелец информации не дает согласие на сбор персональных данных;
    • разъяснять обладателю информации о последствиях принятия решения в результате электронной обработки информации без вмешательства человека;
    • сверять информацию с удостоверением личности владельца информации, оригиналом эквивалентного документа или информацией, отправленной в электронном виде или в базе данных;
    • предоставлять информацию об обработке и использовании персональных данных по запросу субъекта;
    • исправлять, изменять или удалять персональные данные по требованию субъекта и уведомлять его об этом;
    • после получения запроса субъекта персональных данных отменить обработку и использование персональных данных, если это не затрагивает права и законные интересы других лиц;
    • по требованию субъекта предоставить копию персональных данных в электронном виде на безвозмездной основе;
    • вести учет деятельности по сбору, обработке и использованию персональных данных;
    • хранить персональные данные, полученные в процессе сбора, обработки и их использования;
    • рассматривать жалобы субъектов персональных данных;
    • нести ответственность за сбор, обработку и использование персональных данных перед субъектом персональных данных, уполномоченными организациями и третьими лицами в случаях, предусмотренных законодательством.

    Оператор может передать ответственность за сбор и обработку данных обработчику данных на основании договора. Законодательством предусмотрено, что такой договор должен предусматривать цель сбора и обработки данных, перечень персональных данных и условия защиты прав субъекта персональных данных.

    Если иное не указано в договоре, обработчику данных запрещается передавать свои обязательства, а ответственность должна быть четко определена в договоре.

    Обработчик данных, взявший на себя ответственность за сбор и обработку данных, несет следующие обязательства:

    • собирать и обрабатывать данные под контролем оператора в рамках согласия субъекта персональных данных;
    • исправлять, изменять или удалять информацию в соответствии с обязанностями, указаниями и поручениями оператора;
    • предоставить необходимую информацию, связанную со сбором и обработкой данных, оператору данных;
    • хранить информацию, полученную в процессе сбора и обработки данных;
    • в случае достижения цели сбора и обработки данных предоставить данные и результаты обработки данных оператору в срок, указанный в договоре, без сохранения копии, а полученные для обработки данные уничтожить без повторного использования;
    • принимать меры по обеспечению информационной безопасности в соответствии с Законом о защите персональных данных;
    • выполнять обязанности, указания и поручения оператора в рамках процедур сбора, обработки и использования персональных данных.

    Нарушение обязанностей, инструкций и задач обработчиком персональных данных перед оператором не является основанием для освобождения оператора от обязательств и ответственности перед субъектом персональных данных.

    Оператор и обработчик должны также принимать следующие меры для обеспечения безопасности персональных данных:

    • разработать внутренние процедуры по обеспечению информационной безопасности в соответствии с требованиями уполномоченного государственного органа и реализовать их;
    • утвердить меры, принимаемые в случае утечки информации, и план доведения информации до субъекта персональных данных и соответствующей государственной организации;
    • принять все меры для обеспечения целостности, конфиденциальности и доступности информационной системы, используемой для сбора, обработки и использования персональных данных;
    • утвердить и соблюдать процедуры и инструкции по ограничению использования персональных данных, их удалению и невозможности установления субъекта персональных данных;
    • проводить оценку для обеспечения безопасности операций по обработке информации.

    Требования к обеспечению безопасности информации при сборе, обработке и использовании данных, инструкции по оценке, требования к технологии хранения устанавливаются уполномоченным государственным органом, осуществляющим функции по развитию электронной техники и связи.

    В обязанности оператора входит также немедленное уведомление субъекта персональных данных об обработке чувствительных персональных данных, об обработке в иных целях и передаче персональных данных третьим лицам, об изменении информации, предоставленной субъекту персональных данных при получении согласия на обработку персональных данных.

    В случае утечки информации оператор должен немедленно уведомить субъекта персональных данных, а также сообщить ему возможные негативные для него последствия, а также о предпринятых мерах реагирования на такую утечку.

    Субъект персональных данных вправе обратиться в уполномоченный государственный орган с жалобой на такое нарушение, которая вносится в реестр и представляется в Национальную комиссию по правам человека в январе каждого года или в другое время по ее запросу.

    Права субъекта персональных данных

    Закон о защите персональных данных предусматривает следующие права субъекта персональных данных:

    • предоставлять или отказывать в предоставлении согласия на сбор и передачу информации в случаях, когда требуется согласие;
    • знать, была ли личная информация собрана, обработана или использована;
    • право на информирование, осуществляемое при сборе согласия на обработку персональных данных;
    • право на информацию о получателе персональных данных, которому переданы или будут переданы персональные данные;
    • уведомлять контроллера данных (оператора) об исправлении ошибочной информации, внесении изменений и предоставлении дополнительной информации;
    • сообщить контролеру данных об удалении его/ее информации в соответствии с законом;
    • требовать удаления персональных данных, если их сбор запрещен в соответствии с законом или они подлежат уничтожению;
    • получить копию соответствующей информации от контроллера данных в бумажной или электронной форме;
    • передать копию информации контролеру;
    • потребовать прекращения обработки персональных данных при письменном уведомлении контроллера данных;
    • подать жалобу или комментарий на решение, принятое в результате обработки информации, потребовать внесения дополнительной информации или повторной обработки информации;
    • отозвать согласие на обработку персональных данных.

    Если обладатель информации считает, что права и свободы, предусмотренные Законом о защите персональных данных и международными договорами Монголии, были нарушены, он имеет право на защиту своих прав и возмещение убытков и нематериального ущерба, неправомерно причиненных другими лицами.

    Правовые основания применения согласия. Требования к согласию

    Оператор (контролер) должен получить согласие субъекта персональных данных на обработку, сбор и использование данных, за исключением случаев, предусмотренных законом.

    Оператор обязан предоставить субъекту следующие данные перед тем, как получить согласие:

    • основание и цель сбора, обработки и использования информации должны быть четкими и понятными;
    • имя лица оператора, если это юридическое лицо — присвоенное имя и контактная информация;
    • перечень данных, которые собираются, обрабатываются и используются;
    • период, в течение которого планируется обработка и использование информации;
    • будет ли осуществляться распространение;
    • в случае планируемой передачи персональных данных – наименование обработчика и перечень передаваемых персональных данных;
    • порядок отзыва согласия.

    Субъект персональных данных дает согласие в письменной форме на бумажном или электронном носителе.

    Согласие в электронной форме предоставляется путем идентификации и проверки субъекта персональных данных в электронной среде способами, предусмотренными законом.

    Согласие не может быть предоставлено «по умолчанию». Также на оператора возлагается обязанность доказывать, что согласие было получено.

    Субъект персональных данных может отозвать данное согласие в любое время, а обработка информации, осуществленная до получения отзыва согласия, останется законной, если она не нарушает Закон о защите персональных данных.

    Не допускается обработка персональных данных для иных целей, не указанных в согласии.

    Законный интерес

    Законом о защите персональных данных не предусмотрено.

    Локализация

    Законом о защите персональных данных требования по локализации не предусмотрены.

    Отраслевое регулирование в области персональных данных

    В октябре 2020 года в Монголии была запущена платформа e-Mongolia для предоставления гражданам большего количества государственных услуг в цифровом виде. Первоначально было доступно около 180 государственных услуг. В настоящее время их число превысило 650.

    Кроме прочего, сервис предоставляет услуги в сфере медицины – граждане Монголии могут записываться на прием в больницы и получать результаты медицинских анализов онлайн.

    В целях контроля граждан над использованием собственных персональных данных, каждый раз, когда государственные учреждения используют персональные данные, соответствующим субъектам приходят уведомления об этом. Если соответствующее уведомление об использовании данных не поступило, субъект персональных данных может обратиться с жалобой.

    При оказании медицинских услуг также предусмотрено уведомление пациента о просмотре врачом его медицинской карты с указанием ФИО врача, наименования больницы, времени и даты.

    Уведомление граждан о том, что правительство использует их данные, — это один из способов, которым Монголия пытается сбалансировать свои цели по цифровизации с растущими онлайн-угрозами, такими как кибератаки и мошенничество.

    В Трудовом кодексе Монголии не предусмотрено специальное регулирование обработки персональных данных работников. Однако в ст.7 предусмотрен запрет работодателю на обработку данных о частной жизни, мировоззрении, семейном положении, принадлежности к политическим партиям и религии работника.

    Ответственность за нарушения в сфере персональных данных

    Если деяние должностного лица, нарушившего Закон о защите персональных данных, не является преступлением, это должностное лицо несет ответственность, предусмотренную Законом о государственной службе или Законом о труде.

    Любое физическое или юридическое лицо, нарушающее Закон о защите персональных данных, может быть привлечено к уголовной ответственности.

    Уголовным кодексом предусмотрена ответственность за незаконный доступ, изучение данных и систем ЭВМ в виде штрафа в размере от 2700 до 10000 тугриков, либо лишением свободы на срок от 6 месяцев до 2 лет.

    Если был причинен ущерб законным интересам других лиц путем удаления, повреждения, изменения, редактирования, дублирования информации, преднамеренная и незаконная передача данных в компьютерную систему наказываются штрафом в размере от 5400 до 27000 тысяч тугриков либо лишением свободы на срок от 1 до 5 лет.

    Если указанные действия были совершены в отношении государственных органов, предусматривается наказание в виде штрафа от 10000 до 40000 тугриков либо лишения свободы на срок от 2 до 8 лет.

    Значимые уникальные особенности регулирования

    Закон защите персональных данных предусматривает электронную технологию обработки (автоматизированную обработку без участия человека) персональных данных с возможностью оценки таких данных в следующих случаях:

    • для принятия решения, затрагивающего права, свободы и законные интересы субъекта персональных данных;
    • для постоянной обработки чувствительной информации.

    На основании указанной оценки, Национальная комиссия по правам человека осуществляет сбор, обработку и использование персональных данных с использованием электронных технологий обработки.

    По предложению Национальной комиссии по правам человека методы и процедуры оценки, указанные выше, утверждаются центральным органом государственного управления, отвечающим за развитие электронной техники и связи.

    Закон о защите персональных данных предусматривает статью, касающуюся регулирования звуко-, видео-, аудиовизуальной записи.

    Устройства аудио-, видео- и аудиовизуальной записи состоят из стационарных и мобильных устройств, способных собирать, передавать и хранить аудио-, видео- и аудиовизуальную информацию.

    Система звуко-, видео-, аудиовизуальной записи состоит из оборудования, сети передачи данных, запоминающего устройства и программного обеспечения. Видеозаписывающая аппаратура может быть установлена в следующих целях, если иное не установлено законодательством:

    • обеспечения безопасности жителей при входе и выходе из государственного жилого фонда и мест общего пользования, а также обеспечение сохранности общего имущества;
    • защиты безопасности людей и информации на рабочем месте и обеспечения сохранности имущества организации;
    • сбора, обработки, использования и анализа данных о трафике.

    Если иное не установлено законом, при использовании средств видеозаписи и записи запрещаются следующие действия:

    • размещение средств видеозаписи в местах, явно нарушающих право на свободу и неприкосновенность личности, таких как комнаты отдыха, раздевалки, помещения специального обслуживания населения, караоке-залы, гостиничные номера, стационарные лечебные кабинеты для оказания медицинской помощи;
    • размещение устройств видеофиксации, направленных на вход и выход из домохозяйств в муниципальном жилищном фонде;
    • распространение видеозаписи входов и выходов из муниципального жилья и мест общего пользования в виде изображений в социальных сетях;
    • если видеозапись содержит информацию о лице, отличном от субъекта персональных данных, демонстрирующем или копирующем видеозапись.

    Запрещается размещать устройства аудио- и видеозаписи в государственном или муниципальном жилищном фонде, в иных местах, в которых размещение средств видеозаписи явно нарушают права на свободу и неприкосновенность личности.

    Предупреждения об аудио-, видео- и аудиовизуальных записывающих устройствах размещаются в местах, где граждане могут их беспрепятственно видеть. Сведения, подлежащие включению в требования и предупреждения по размещению звуко-, видео- и аудиовизуальных записывающих устройств, определяются центральным органом государственного управления в сфере развития электронной техники и связи по представлению Национальной комиссии по правам человека.

    Национальная комиссия по правам человека может совместно с правоохранительными органами проводить проверки законности использования систем звуко-, видео- и аудиовизуальной записи в рамках других законов.

    В порядке, предусмотренном законодательством, уполномоченные организации и должностные лица, несущие ответственность за информацию, вправе знакомиться с информацией в системе звуко-, видео-, аудиовизуальной записи, показывать, прослушивать или копировать записанные записи.

    В системах аудио-, видео- и аудиовизуальной регистрации должны быть созданы технические и эксплуатационные условия, исключающие несанкционированный доступ к информации.

    Урегулирование споров. Досудебная процедура. Право на обращение в суд

    Жалобы субъекта персональных данных на нарушение его прав в связи с обработкой персональных данных государственной организацией должны подаваться в соответствии с положениями Общего закона об управлении и других соответствующих законов.

    Иные жалобы, связанные со сбором, обработкой и использованием данных субъекта данных, должны быть поданы в компетентный орган или Национальную комиссию по правам человека для разрешения.

    В случае несогласия обладателя информации с решением по его жалобе, он вправе обратиться в суд.

    Надзорный орган в сфере персональных данных, его полномочия

    Национальная комиссия по правам человека является надзорным органом и осуществляет следующие полномочия в отношении защиты данных:

    • контроль выполнения законов и нормативных актов о защите персональных данных, организация работы по информированию и распространению информации относительно обработки персональных данных, представление требований и рекомендаций в соответствующие организации, принятие соответствующих нормативных актов;
    • рассмотрение жалоб на нарушения прав и свобод человека, допущенные в процессе сбора, обработки, использования и защиты персональных данных, либо в случае угрозы такого нарушения, осуществление расследования нарушений по собственной инициативе, представление требований и рекомендаций в соответствующие органы;
    • предоставление требований и рекомендаций соответствующим организациям в области сбора, обработки, использования и защиты чувствительных персональных данных;
    • получение и рассмотрение представленных записей о выявленных нарушениях при сборе, обработке и использовании персональных данных и принятых мерах реагирования по устранению их негативных последствий;
    • предоставление рекомендаций в целях предотвращения нарушений прав и свобод человека при сборе, обработке и использовании данных с использованием технологий электронной обработки без участия человека.

    В отчет о состоянии прав и свобод человека в Монголии включаются мероприятия по защите информации, нарушениях и реализации прав субъектов персональных данных.

    Члены Национальной комиссии по правам человека несут ответственность за исполнение возложенных на них функций.

    Национальная комиссия по правам человека Монголии может давать рекомендации субъектам данных для предотвращения нарушений прав и свобод человека при сборе, обработке и использовании персональных данных.

    В сфере информационной защиты действует другой уполномоченный орган — Центральная государственная административная организация, отвечающая за электронную разработку и связь. В ее функции входит:

    • обеспечение выполнения законов и нормативных актов о защите личной информации, популяризации информационной защиты, сотрудничество с соответствующими организациями, оказание профессиональной и методической помощи;
    • утверждение требований технологической безопасности и процедур обработки чувствительной информации, генетической и биометрической информации;
    • получение и регистрация отправленных оператором уведомлений о нарушении безопасности информационной системы сбора, обработки и использования данных, и незамедлительное принятие необходимых мер.

     

    Обзор отражает авторский взгляд ведущего специалиста по юридическому
    сопровождению А.С. Мишкиной на законодательство Монголии

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.