Персональные данные в Кыргызской Республике: особенности правового регулирования
Всемирная глобализация привела к тому, что законодательства разных стран, как правило, пытаются быть похожими между собой. Несмотря на это, мы всё ещё находимся во времени, когда даже сравнительно новые правовые институты, которых не существовало несколько сотен лет назад, отличаются друг от друга, хотя и имеют одинаковые источники вдохновения. К такому институту можно отнести институт обработки персональных данных.
Этим материалом мы продолжаем цикл публикаций о персональных данных в странах, являющихся привлекательными для российского IT. Сегодня, Семен Третьяков, юрист i-Legal, более подробно рассказывает об особенностях работы с персональными данными в Республике Кыргызстан, выделив основные принципы и особенности в правовом регулировании обработки персональных данных, определенных в Законе Кыргызской Республики от 14 апреля 2008 года № 58 «Об информации персонального характера» (далее – Закон).
Что относится к персональным данным?
Информация персонального характера согласно законодательству Кыргызстана – это зафиксированная на материальном носителе информация о конкретном человеке, отождествлённая с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, посредством ссылки на один или несколько факторов, специфичных для его биологической, экономической, культурной, гражданской или социальной идентичности (ст. 3 Закона).
К таким данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном положении, финансовом положении, состоянии здоровья и прочее.
В целом определение похоже на российское. Однако мы можем заметить здесь интересную особенность – использование такого квалифицирующего признака персональных данных, как фиксация на материальном носителе, в том числе электронном, хранящем информацию
Какие стороны участвуют в обработке персональных данных?
В законодательстве Кыргызской Республики, как и в Республике Казахстан, отсутствует общее понятие оператора персональных данных. Роль оператора в Кыргызской Республике выполняет «держатель (обладатель) массива персональных данных». К нему относятся лица, на которых возложены полномочия определять цели, категории данных и контролировать их сбор, хранение, обработку и использование.
По сути, держателями массива данных являются те же лица, что и операторами персональных данных в Российской Федерации – юридические лица, органы государственной власти и т.д. (ст. 3 Закона).
Уполномоченным органом по защите прав субъектов персональных данных в Кыргызской Республике является государственное агентство по защите персональных данных при Кабинете Министров.
Правовые основания обработки персональных данных
Правовыми основаниями для работы с данными являются:
наличие согласия субъекта данных;
осуществление своих полномочий органами государственной власти;
достижение законных интересов держателей (обладателей) массива данных;
случаи, когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к обработке персональных данных;
необходимость защиты интересов субъекта данных;
осуществление деятельности исключительно в целях журналистики либо в целях художественного или литературного творчества при условии, что такие действия будут согласовываться с субъектом данных с соблюдением права на неприкосновенность частной жизни и свободу слова.
Кроме этого стоит обратить внимание на то, что в самом Законе упоминается крайне малое количество оснований для обработки специальных категорий данных, а именно всего два: с согласия субъекта и для защиты здоровья и безопасности субъекта или субъектов, когда получение согласия невозможно. Но интересно, что в Кыргызской Республике существует специальный Закон «О биометрической регистрации граждан Кыргызской Республики» от 14 июля 2014 года.
Он самостоятельно, отличными от рассматриваемого в нашей статье основного Закона способами, регулирует отношения, возникающие при осуществлении сбора, обработки, хранения и использования биометрических данных граждан Кыргызской Республики, актуализации и защите базы биометрических данных. Исходя из приведённых в указанном законе формулировок, биометрические данные выведены из-под регулирования Закона, в ст.8 которого они, по сути, обозначены как специальная категория персональных данных. Процедуры в отношении биометрических данных, указанные в Законе «О биометрической регистрации», не синхронизированы с процедурами, предусмотренными Законом.
Трансграничная передача персональных данных (ст. 25 ФЗ 58)
Под трансграничной передачей в Законе понимается передача данных держателем (обладателем) массива данных в Кыргызской Республике держателям, находящимся под юрисдикцией других государств.
Особенностью такой передачи является обязательное наличие международного договора между сторонами. В соответствии с ним получающая сторона обязана обеспечить адекватный уровень защиты прав и свобод субъектов данных и охраны персональных данных на таком же уровне, какой установлен в Кыргызской Республике. Однако списка стран, с которыми заключён международный договор, нет в открытом доступе.
Передача данных в страны, не обеспечивающие адекватный уровень защиты прав и свобод субъектов данных, возможна при выполнении одного из условий:
есть согласие субъекта данных на эту передачу;
передача необходима для защиты интересов субъекта данных;
данные содержатся в общедоступном массиве персональных данных.
Требование о «локализации» (необходимости осуществлять сбор и хранение в массив данных, находящийся на территории государства) в Законе отсутствует.
Основные обязанности держателя (обладателя) массива данных
В целом держатель (обладатель) массива данных не обязан делать ничего непривычного для нас. В Кыргызской Республике также присутствует аналог российского реестра операторов данных – реестр массивов данных и держателей (обладателей) массивов данных. В нём так же, как и в России, необходимо регистрироваться организациям, обрабатывающим персональные данные (ч. 1 ст. 30 Закона).
В Законе есть интересное требование к согласию на обработку, а именно: оно должно быть получено обязательно в письменной форме на бумажном носителе либо в форме электронного документа, подписанного физической или электронной подписью. Закон не признаёт выражение лицом своей воли с помощью электронных или иных технических средств (например, при заполнении формы согласия на сайте или в приложении и проставлении специальной отметки («галочки») в чек-боксе). Это серьёзно затрудняет реализацию права на управление своими данными (ч.1 ст. 9 Закона).
Особенностью законодательства Кыргызской Республики является то, что держатель (обладатель) массива данных обязан информировать субъект персональных данных об осуществлённой передаче его данных третьей стороне в любой форме в недельный срок. Порядок и форма уведомления устанавливаются правительством Кыргызской Республики (ч. 2 ст. 24 ФЗ №58).
Неожиданно, но в отличие от многих других стран в Кыргызской Республике отсутствует обязанность держателя массива персональных данных в уведомлении уполномоченного органа о произошедшей у держателя утечке информации. Несмотря на то, что за это установлена ответственность (ст. 228.1 Кодекса о правонарушениях), о несанкционированном доступе к персональным данным уполномоченный орган узнаёт сам.
Кроме того, у держателя отсутствует обязанность публикации политики обработки персональных данных в открытый доступ, а также рекомендаций по их составлению и содержанию. Поэтому у тех единичных организаций, которые всё же публикуют в открытый доступ свою политику обработки, информация зачастую никак не структурирована.
Отзыв согласия на обработку данных
Согласно общепринятой международной практике, субъект данных имеет право в любое время отозвать своё согласие на обработку его данных. Но в Кыргызской Республике отсутствует чёткое изложение такого права. Кроме того, у субъекта нет права на забвение, как например, в Российской Федерации.
Подводя итог
Несмотря на в целом прогрессивный характер законодательства Кыргызской Республики видно, что с момента принятия Закона он не обновлялся по существенным положениям и в настоящий момент устарел. Впрочем, это не означает, что так будет всегда. Уже сейчас в законодательном органе Кыргызской Республики рассматривается:
проект введения новой статьи в Закон «Об информации персонального характера», посвящённой использованию автоматизированной обработки данных, влекущей правовые последствия для субъекта персональных данных. Планируется установить порядок обработки персональных данных субъектов искусственным интеллектом;
проект введения возможности субъекта данных отозвать своё согласие на обработку;
специальный режим обработки персональных данных детей;
и многое другое.
В статье мы рассмотрели особенности законодательства в области обработки персональных данных в Кыргызской Республике. Теперь, планируя работу в этой стране, вам будет проще ориентироваться и соблюдать требования законов. А в случае, если вам нужна квалифицированная консультация, эксперты i-Legal готовы помочь соблюсти все требования местного законодательства закона и помочь выстроить новые бизнес-отношения.