Нет. Цель обработки персональных данных должна быть известна, а лица, чьи данные вы обрабатываете, должны быть проинформированы. Невозможно просто указать, что личные данные будут собираться и обрабатываться. Это известно, как принцип «ограничения цели».

Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено законодательством Кыргызской Республики. По истечении срока хранения и достижении целей сбора персональных данных они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.

В зависимости от значимости персональных данных определенных субъектов для исторических, социологических, медицинских и других научных целей, вместо уничтожения персональных данных допускается обезличивание таких данных держателем (обладателем) массива в порядке, устанавливаемом Правительством Кыргызской Республики.

В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.

Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа, либо иной статус, предусмотренный законодательством Кыргызской Республики.

Также Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:

— в случаях, предусмотренных законодательством Кыргызской Республики;

— по инициативе субъекта персональных данных, персональные данные которого подлежат изменению в соответствии со статьей 11 настоящего Закона.

Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее недельного срока с момента подачи им заявления.

Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.

Тип и объем персональных данных, которые может обрабатывать компания / организация, зависит от причины их обработки (используемая юридическая причина) и предполагаемого использования.

Компания / организация должна соблюдать несколько ключевых правил, в том числе:

• личные данные должны обрабатываться законным и прозрачным образом, обеспечивая справедливость по отношению к лицам, чьи личные данные обрабатываются («законность, справедливость и прозрачность»);
• должны быть конкретные цели для обработки данных, и компания / организация должна указывать эти цели отдельным лицам при сборе их личных данных.
• компания / организация не может просто собирать личные данные для неопределенных целей («ограничение цели»);
• компания / организация должна собирать и обрабатывать только те персональные данные, которые необходимы для достижения этой цели («минимизация данных»);
• компания / организация должна обеспечить точность и актуальность персональных данных с учетом целей, для которых они обрабатываются, и исправлять их, если нет («точность»);
• компания / организация не могут в дальнейшем использовать персональные данные для других целей, которые не совместимы с первоначальной целью;
• компания / организация должна обеспечить, чтобы личные данные хранились дольше, чем это необходимо для целей, для которых они были собраны («ограничение хранения»);
• компания / организация должна установить соответствующие технические и организационные меры безопасности, обеспечивающие безопасность персональных данных, включая защиту от несанкционированной или незаконной обработки и от случайной потери, уничтожения или повреждения, с использованием соответствующей технологии («целостность и конфиденциальность»).

Пример. Ваша компания / организация управляет туристическим агентством. Когда вы получаете персональные данные своих клиентов, вы должны четко и недвусмысленно объяснить, зачем вам нужны эти данные, как вы будете их использовать и как долго вы собираетесь их хранить. Обработка должна быть адаптирована таким образом, чтобы соблюдались основные принципы защиты данных.

При наличии к этому законных оснований, указанных в Законе:

— если субъект персональных данных дал свое согласие на их сбор и обработку (например, различным коммерческим организациям для получения их услуг – банкам, операторам связи);

— если персональные данные нужны для выполнения органами государственной власти или местного самоуправления своей компетенции – их прав и обязанностей (т.е. когда для выполнения своих функций госоргану нужны персональные данные гражданина   — например, налоговой службе для регистрации в качестве налогоплательщика, или министерству юстиции для регистрации юридического лица, или регистрационной службе для регистрации прав на недвижимое имущество, или военному комиссариату для постановки на учет военнообязанных, и т.п.);

—  когда обработка персональных данных необходима для защиты интересов субъекта персональных данных (например, когда человек попал в аварию и нуждается в оказании ему медицинской помощи и нужно знать его группу крови или аллергофактор, или к какому медицинскому учреждению он приписан, и т.п.);

— если обработка персональных данных осуществляется исключительно в целях журналистики либо в целях художественного или литературного творчества, но только с согласия субъекта персональных данных и с обязательным соблюдением его права на неприкосновенность частной жизни и свободу слова (т.е. нельзя без согласия человека делать, например, фото или видео съемку его частной жизни, или размещать без согласования с ним его интервью – необходимо согласовать текст перед публикацией, и т.п.).

Личные данные детей могут быть собраны и обработаны только на основании согласия родителя или опекуна в соответствии с законодательством КР.

В некоторых случаях сведения об утечке должны быть переданы клиентам, конфиденциальность данных которых была нарушена.

Например, когда утечка может привести к высоким для них рискам (раскрытие медицинских сведений, данных для входа в систему интернет-банкинга и т.д.). Клиентам нужно предоставить детальную информацию о действиях, которые они могут предпринять, чтобы защитить себя. Сообщение должно быть написано на простом и понятном языке.

Принимать меры для защиты персональных данных. Для этого организации следует назначить лицо, ответственное за организацию обработки персональных данных. Такое лицо обязано осуществлять внутренний контроль за соблюдением держателем и его работниками требований к защите персональных данных, доводить до сведения работников положения закона о персональных данных, локальных актов по вопросам обработки персональных данных, а также организовывать прием и обработку обращений и запросов субъектов персональных данных. Кроме того, в этих же целях следует применять технические меры по обеспечению безопасности обработки, а также издать документы, определяющие политику компании в отношении обработки персональных данных, и др.

В некоторых случаях законодательство требует проведения регулярного (не менее 1 раза в год) аудита информационных систем держателя (обладателя) массива персональных данных автоматического электронного журнала (лога), фиксирующего все операции с персональными данными, уполномоченным государственным органом по персональным данным и/или аккредитованным органом оценки соответствия в области обеспечения требований безопасности персональных данных.