Какие виды персональных данных существуют? Что представляет собой обработка персональных данных? Что такое согласие на обработку персональных данных? Кто их обрабатывает?
Персональные данные – это любая информация о конкретном человеке. Это те данные, которые позволяют нам узнать человека (например, в толпе), идентифицировать и определить как конкретную личность (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).
Таких идентифицирующих данных огромное множество, их условно можно поделить на три основных вида: общедоступные, специальные и биометрические.
К общедоступным персональным данным относятся сведения о субъекте, которые можно получить в открытых источниках информации, например, в телефонном справочнике, адресной книге, или например, в социальных сетях из открытых профилей, или на сайте компании/организации. В такие общедоступные базы данные вносятся с письменного согласия субъекта. Общедоступные персональные данные могут быть размещены в открытых источниках информации.
Например, если в справочнике контактов организации указаны контактные данные должностных лиц, например, занимающихся обучением и наймом персонала, то такие данные считаются общедоступными. Когда в печатном издании указаны имена и фамилии членов редакции, то эта информация тоже относится к общедоступной.
Есть специальные категории персональных данных, которые защищены от их неправомерного сбора и распространения законодательством нашей страны. К ним можно отнести: национальность, религиозные убеждения, политические взгляды , данные, касающиеся состояния здоровья, т.е. любые медицинские данные, биометрические персональные данные (отпечаток пальца, сетчатка глаза, ДНК и т.п.) и т.д. Сбор, хранение и использование таких специальных категорий персональных данных исключительно с целью их выявления (просто, чтобы узнать твои политические взгляды, или твою национальность, или твою группу крови) законом не допускается.
Биометрические персональные данные относятся к специальным категориям персональных данных. Биометрические персональные данные представляют собой сведения о биологических особенностях конкретного человека. Эти данные уникальны, принадлежат только одному человеку и никогда не повторяются. К таким данным относятся: отпечаток пальца, рисунок радужной оболочки глаза, код ДНК, слепок голоса и пр.
Обработка персональных данных — любая операция с персональными данными, выполняемая держателем (обладателем) персональных данных как автоматическими средствами (н-р, онлайн, или обработка в информационной системе), так и без таковых (т.е. офлайн, на бумажных носителях): сбор, запись, хранение, актуализация, группировки, блокирование, стирание и разрушение персональных данных (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).
Обработка персональных данных субъекта может осуществляться только при наличии к этому правовых оснований, осуществляться с его согласия (см. Ст. 5 Закона Кыргызской Республики об информации персонального характера).
Работа с персональными данными возможна в случаях:
Согласие на обработку персональных данных – это документ на бумажном носителе (офлайн), подписанный собственноручно, или электронный документ (онлайн), подписанный электронной подписью – простой (например, на сайте сочетание логина и пароля) или усиленной (например, на токене, или биометрическом паспорте). Это письменное разрешение субъекта персональных данных, которое он дает заинтересованной стороне (держателям и обработчикам персональных данных) на определенные действия с его персональными данными — получение, сбор, хранение и использование персональных сведений о себе (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).
Согласие является одним из оснований обработки персональных данных, и применяется, когда других законных оснований (например, наличие компетенции у государственных органов) не имеется. При даче своего согласия на сбор и обработку своих персональных данных субъект имеет право знать, в каких целях и какие именно его данные собираются, как долго они будут храниться, как (автоматическим или офлайн способом) они будут обрабатываться, как они будут использоваться, кто будет иметь доступ к его данным, будут ли они кому-либо передаваться (например, в целях рекламы, или взыскания долга и т.п.), точное наименование держателя и обработчика персональных данных.
Важно знать, что субъект персональных данных вправе отказать в даче согласия на сбор и обработку его данных, и при отказе в предоставлении своих данных он имеет право не указывать причины своего отказа. Но в таком случае субъект должен понимать, что он не сможет воспользоваться какими-то услугами (например, заключить договор с банком об открытии счета или получении кредита, или заключить договор с оператором мобильной сотовой связи или интернет-провайдером).
Держатели персональных данных – это органы государственной власти, органы местного самоуправления и юридические лица, на которые возложены полномочия определять цели, категории персональных данных и контролировать сбор, хранение, обработку и использование персональных данных граждан (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).
Это могут быть государственные и муниципальные органы, в которые вы обращаетесь за получением услуг, или любые коммерческие компании, банки, организации, в которых вы работаете или учитесь и т.п.
Держатели персональных данных обязаны: получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц; обеспечивать режим конфиденциальности персональных данных; определить обработчика для персональных данных; принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных ; обеспечивать сохранность и достоверность персональных данных, а также установленный режим доступа к ним; предоставлять субъекту персональных данных по его требованию информацию или мотивированный ответ в недельный срок; в случае передачи персональных данных субъекта любым третьим лицам — информировать субъект персональных данных об осуществленной передаче в любой форме (письмом, смс, электронным сообщением в личном кабинете) в недельный срок. Держатели персональных данных несут и другие обязанности, которые указаны в Законе «Об информации персонального характера».
Держатели персональных данных назначают обработчика персональных данных — физическое или юридическое лицо, которое осуществляет обработку персональных данных на основании заключенного с ним договора.Персональные данные, находящиеся в ведении держателя (обладателя), относятся к конфиденциальной информации. . Конфиденциальность персональных данных снимается в случаях: обезличивания персональных данных; по желанию субъекта персональных данных.
С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный законодательством Кыргызской Республики.
