Если компания обрабатывает ваши персональные данные на основании вашего согласия или по другому законному основанию (например, в целях уплаты Вами налогов, или начисления Вам пенсии, заработной платы, или оказания Вам медицинских услуг), вы можете попросить организацию передать ваши персональные данные вам. Вы также можете запросить передачу ваших персональных данных напрямую другой компании, услугами которой вы хотите воспользоваться, если это технически осуществимо.

Пример. Ваши персональные данные имеются в поликлинике в вашем районе.  Вы меняете ваше местожительство и переезжаете в другой район. Вы можете попросить администрацию поликлиники передать все ваши личные данные, относительно вашего здоровья, включая ваши рентген снимки, медицинские карты, и пр. в новую поликлинику.

Да, согласно законодательству, персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Например, если Ваши данные собирались для оказания Вам услуг связи или банковских или медицинских услуг, то после расторжения договора с оператором связи, банком или медицинским учреждением, Ваши данные должны быть уничтожены, если для их хранения законодательством не предусмотрен другой – более длительный срок хранения (например, для целей бухгалтерского учета, срока исковой давности для обращения в суд и т.п.).

Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.

Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа, либо иной статус, предусмотренный законодательством Кыргызской Республики.

Иногда, в зависимости от значимости персональных данных определенных лиц для исторических, социологических, медицинских и других научных целей, вместо уничтожения персональных данных допускается их обезличивание.

Вы также можете запросить удаление ваших личных данных, из поисковой выдачи в Интернете.  Это право также называется как «право быть забытым»/ «право на забвение».

В определенных обстоятельствах вы можете попросить компании, которые предоставили ваши личные данные в Интернете, удалить их. Эти компании также обязаны предпринять разумные шаги, чтобы проинформировать другие компании , которые обрабатывают персональные данные.

Следует иметь в виду, что это право не является абсолютным, а это означает, что другие права, такие как свобода выражения мнений и научных исследований, также защищены. Права владельца персональных данных ограничивается согласно статьи 15  Закона КР «Об информации персонального характера»  (когда это связано с расследованием преступлений – в отношении данных, полученных в результате оперативно-розыскной деятельности, в отношении данных лиц, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу).

Примеры.

Данные должны быть удалены. Вы присоединились к социальной сети. Через некоторое время вы решаете покинуть сеть и удалить свой аккаунт. Вы имеете право попросить компанию удалить принадлежащие вам личные данные.

Данные не могут быть немедленно удалены. Новый банк предлагает хорошие сделки по ипотечному кредитованию. Вы покупаете новый дом и решаете переключиться на новый банк. Вы просите «старый» банк закрыть все счета и удалить все ваши личные данные. Однако на старый банк распространяется закон, обязывающий банки хранить все данные клиентов в течение 10 лет. Старый банк не может просто удалить ваши личные данные. В этом случае вы можете попросить об ограничении обработки ваших личных данных. После этого банк может хранить данные только в течение периода времени, требуемого законодательством, и не может выполнять какие-либо другие операции с ними.

Данные должны быть удалены. Когда вы выполняете онлайн-поиск, используя свое имя и фамилию, результаты показывают ссылку на газетную статью. Информация в газете датируется несколькими годами раньше и связана с вопросом — аукционом недвижимости, или с процедурами взыскания задолженности — давно решенным, который сейчас не имеет значения. Если вы не являетесь публичной фигурой, и ваша заинтересованность в удалении статьи перевешивает заинтересованность широкой общественности в получении доступа к информации, тогда поисковая система обязана удалить из результатов ссылки на веб-странице, включая ваше имя и фамилию.

Такие данные называются особо чувствительными, или специальными  персональными данными. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.

Получать и обрабатывать такие  данные возможно только в случае:

а) если субъект персональных данных дал свое согласие на сообщение и обработку таких данных;

Например, компания проводит социологических опрос, о том какую партию Вы поддерживаете, какие политические или религиозные взгляды исповедуете, и просит Вас сообщить свои персональные данные – они могут сделать это только с Вашего согласия, оформленного надлежащим образом, в том числе должны предоставлять Вам подробную информацию о личности лица/организации, осуществляющей сбор данных, и о том, как планируется использовать их данные. Вы при этом не обязаны предоставлять Ваши данные, и вправе самостоятельно решать, предоставлять ли личную информацию и в каком объеме.

б) если обработка необходима для защиты здоровья и безопасности субъекта данных, иного лица или соответствующей группы лиц и получение согласия субъекта персональных данных невозможно.

Например, человек поступает в тяжелом состоянии в результате автоаварии или какого-то несчастного случая и для оказания ему необходимой медицинской помощи и спасения его жизни необходимо знать его группу крови, аллерго-фактор или другую медицинскую информацию. Понятно, что в данном случае такие данные будут обрабатываться врачами без согласия пациента – субъекта персональных данных,   поскольку получение такого согласия (и его оформления надлежащим образом) невозможно.

Держателями персональных данных должны быть обеспечены конфиденциальность информации, полученной при обработке персональных данных.

Персональные данные должны храниться и защищены держателями персональных данных от незаконных доступов, внесений дополнений, изменений и уничтожений.

Держатель персональных данных должен ознакомить Вас с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также проинформировать об ином возможном использовании персональных данных.

Форма согласия должна соответствовать требованиям закона КР «Об информации персонального характера» от 14 апреля 2008 года № 58.

Обработка персональных данных субъекта может осуществляться при наличии к этому законных оснований:

— если субъект персональных данных дал свое согласие на их сбор и обработку (например, различным коммерческим организациям для получения их услуг – банкам, операторам связи);

— если персональные данные нужны для выполнения органами государственной власти или местного самоуправления совей компетенции – их прав и обязанностей (т.е. когда для выполнения своих функций госоргану нужны персональные данные гражданина   — н-р, налоговой службе для регистрации в качестве налогоплательщика, или министерству юстиции для регистрации юридического лица, или регистрационной службе для регистрации прав на недвижимое имущество, или военному комиссариату для постановки на учет военнообязанных, и т.п.);

—  когда обработка персональных данных необходима для защиты интересов субъекта персональных данных (например, когда человек попал в аварию и нуждается в оказании ему медицинской помощи и нужно знать его группу крови или аллергофактор, или к какому медицинскому учреждению он приписан, и т.п.);

— если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества, но только с согласия субъекта персональных данных и с обязательным соблюдением его права на неприкосновенность частной жизни и свободу слова (т.е. нельзя без согласия человека делать, например, фото или видео съемку его частной жизни, или размещать без согласования с ним его интервью – необходимо согласовать текст перед публикацией, и т.п.).

При отсутствии других законных оснований, сбор и обработка персональных данных должна осуществляться с согласия субъекта. Согласие должно быть письменным в виде Бумажного документа, или оформлено в электронной форме и подписано электронной подписью.

Держатель (обладатель) массива персональных данных должен сообщить Вам следующую информацию:

а) подтверждение факта обработки персональных данных держателем (обладателем) массива персональных данных;

б) правовые основания и цели обработки персональных данных;

в) цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных;

г) наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;

д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

е) сроки обработки персональных данных, в том числе сроки их хранения;

ж) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;

з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

и) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.

То есть, при даче своего согласия на сбор и обработку своих персональных данных субъект имеет право знать, в каких целях и какие именно его данные собираются, как долго они будут храниться, как (автоматическим или офлайн способом) они будут обрабатываться, как они будут использоваться, кто будет иметь доступ к его данным, будут ли они кому-либо передаваться (например, в целях рекламы, или взыскания долга и т.п.), точное наименование держателя и обработчика персональных данных. Согласие субъекта персональных данных, в том числе в форме электронного документа, на сбор и обработку его персональных данных, включая цели предоставления государственных и муниципальных услуг (далее — согласие субъекта), должно содержать:

— фамилию, имя, отчество, адрес места жительства (места пребывания) субъекта персональных данных, данные документа, удостоверяющего его личность;

— фамилию, имя, отчество, адрес места жительства (места пребывания) доверенного лица (представителя) субъекта персональных данных, данные документа, удостоверяющего его личность, реквизиты нотариальной доверенности или иного документа, подтверждающего полномочия этого доверенного лица (представителя) (при получении согласия от доверенного лица (представителя) субъекта персональных данных);

— наименование или фамилию, имя, отчество и адрес держателя (обладатель) массива персональных данных или обработчика, получающего согласие субъекта персональных данных;

— указание на основание и цель сбора, использования, обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

— наименование или фамилию, имя, отчество и адрес обработчика (при наличии);

— перечень действий с персональными данными, на совершение которых дается согласие, включая возможность передачи персональных данных третьей стороне, иное возможное использование персональных данных, общее описание используемых держателем (обладателем) массива персональных данных способов обработки персональных данных;

— срок, в течение которого действует согласие субъекта персональных данных, если иное не установлено Законом Кыргызской Республики «Об информации персонального характера».

Когда человек устраивается на работу, он дает представителю работодателя свои личные документы: паспорт, трудовую книжку, свидетельство об образовании, фото, медкнижку, документ воинского учета и т.д. (документы, предъявляемые при заключении трудового договора согласно статье 64 Трудового Кодекса КР). Эти документы имеют статус конфиденциальной информации и должны храниться и обрабатываться в соответствии с Законом «Об информации персонального характера». Как правило, Ваш работодатель  должен получить письменное  согласие работника на сбор и обработку его персональных данных в целя заключения и исполнения трудового договора, начисления заработной платы, удержания налогов и т.п..

Согласие оформляется в том же порядке и форме, как это описано в разделе «Как должна осуществляться обработка персональных данных субъекта»

Передача персональных данных без Вашего согласия допускается в случаях:

— крайней необходимости для защиты интересов субъекта персональных данных;

— по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;

— на основании законодательства Кыргызской Республики.

Например, персональная информация может быть передана в социальный фонд Кыргызской Республики, по запросу органов государственной власти, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа . Или в случае передачи работодателем персональных данных работников, государственных служащих в налоговые органы, военные комиссариаты, , предусмотренные действующим законодательством Кыргызской Республики.

Физические лица могут требовать компенсацию, если компания или организация нарушили Общие положения о защите данных, и они понесли материальный ущерб, такой как финансовые потери или нематериальные убытки, такие как потеря репутации или психологические расстройства.

Закон гарантирует, что им будет предоставлена компенсация, независимо от количества организаций, вовлеченных в обработку их данных. Компенсация может быть запрошена непосредственно у организации или в компетентных национальных судах.