Права и обязанности держателя персональных данных

Обязанности держателя персональных данных приведены в Ст. 17 Закона Кыргызской Республики об информации персонального характера.

  1. Получать персональные данные непосредственно от субъекта персональных данных, или его доверенных лиц

    • Держатель обязан получать персональные данные непосредственно от самого субъекта персональных данных, или его доверенных лиц (например, если персональные данные несовершеннолетних – школьников – из могут предоставить родители/законные представители.
    • Держатель должен ознакомить субъекта персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также проинформировать об ином возможном использовании персональных данных.

  2. Обеспечивать режим конфиденциальности персональных данных

    • Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи, предоставления и условия хранения персональных данных (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).
    • Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных, или по желанию субъекта персональных данных.
    • При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, соблюдая при этом конфиденциальность информации.

  3. Определить обработчика

    • Держатель должен определить обработчика персональных данных, предоставляющего гарантии в отношении мер технической безопасности и организационных мер, регулирующих обработку персональных данных, за исключением случаев, когда держатель (обладатель) самостоятельно возлагает на себя функции и обязанности обработчика.
    • Обработчик — физическое или юридическое лицо, определяемое держателем (обладателем) персональных данных, которое осуществляет обработку персональных данных на основании заключенного с ним договора (см. Ст. 3 Закона Кыргызской Республики об информации персонального характера).

  4. Обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним

    • Держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. В числе таких мер:- исключить доступ посторонних лиц к оборудованию, используемому для обработки персональных данных (контроль за доступом);

      — препятствовать самовольному чтению, копированию, изменению или выносу носителей данных (контроль за пользованием носителями данных);

      — препятствовать самовольной записи персональных данных и изменению или уничтожению записанных персональных данных (контроль за записью) и обеспечивать возможность установления задним числом когда, кем и какие персональные данные были изменены;

      — обеспечить безопасность систем обработки данных, предназначенных для переноса персональных данных независимо от средств передачи данных (контроль за средствами передачи данных);

      — обеспечить, чтобы каждый пользователь системы обработки данных имел доступ только к тем персональным данным, к обработке которых он имеет допуск (контроль за допуском);

      — обеспечить возможность установления задним числом когда, кем и какие персональные данные вводились в систему обработки данных (контроль за вводом);

      — не допускать несанкционированного чтения, копирования, изменения и уничтожения персональных данных при передаче и транспортировке персональных данных (транспортный контроль);

      — обеспечить конфиденциальность информации, полученной при обработке персональных данных;

      —  обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

      — вести учет машинных носителей персональных данных;

      — обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

  5. Предоставлять персональные данные субъекту

    • Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к нему персональных данных и иметь к ним доступ.
      Предоставление информации персонального характера их субъекту по инициативе субъекта производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, бесплатно.
    • Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной форме, четко и ясно выраженная, и не должна содержать персональных данных, относящихся к другим субъектам.
      Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее недельного срока с момента подачи им заявления.
    • Предоставлять персональные данные в недельный срок после поступления запроса от субъекта.

  6. Выдавать письменный мотивированный ответ

    • В случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 15 настоящего Закона, в срок, не превышающий одной недели с момента обращения субъекта.
    • Ограничение прав субъекта на предоставление и получение своих персональных данных возможно в отношении: данных составляющих государственную тайну, в соответствии с Законом Кыргызской Республики «О защите государственных секретов Кыргызской Республики»; специальных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением законодательства Кыргызской Республики; специальных данных субъектов, задержанных по подозрению в совершении преступления либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения в органах, проводящих указанные действия.

  7. Предоставлять информацию по запросам госорганов

    • Представлять по запросам уполномоченного государственного органа или Омбудсмена (Акыйкатчы) Кыргызской Республики в недельный срок информацию, необходимую для исполнения их полномочий.
    • Органы государственной власти и органы местного самоуправления в своей деятельности могут использовать персональные данные, находящиеся у других держателей (обладателей) персональных данных, при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленным настоящим Законом.

  8. Передавать персональные данные другим органам

    • Органы государственной власти и органы местного самоуправления в своей деятельности могут использовать персональные данные, находящиеся у других держателей (обладателей) персональных данных, при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленным настоящим Законом.
    • Порядок и форма уведомления субъекта персональных данных о факте передачи его персональных данных третьей стороне устанавливается Правительством Кыргызской Республики.