ЗАКОН КЫРГЫЗСКОЙ РЕСПУБЛИКИ

от 20 июля 2017 года № 129

О внесении изменений в Закон Кыргызской Республики "Об информации персонального характера"

Статья 1.

Внести в Закон Кыргызской Республики "Об информации персонального характера" (Ведомости Жогорку Кенеша Кыргызской Республики, 2008 г., № 4, ст.340) следующие изменения:

1) в статье 2:

а) часть 1 изложить в следующей редакции:

"1. Действие настоящего Закона распространяется на отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации, включая использование информационных технологий.";

б) часть 2 после слов "физического лица" дополнить словами ", если при этом не нарушаются права субъектов персональных данных";

2) в статье 3:

а) абзац десятый изложить в следующей редакции:

"Уполномоченный государственный орган по персональным данным (далее - уполномоченный государственный орган) - государственный орган, уполномоченный Правительством Кыргызской Республики осуществлять функции и полномочия по обеспечению соответствия обработки персональных данных требованиям настоящего Закона, защите прав субъектов персональных данных (субъектов), регистрации держателей (обладателей) массива персональных данных, ведению Реестра держателей массивов персональных данных, другие задачи, функции и полномочия, предусмотренные настоящим Законом.";

б) в абзаце пятнадцатом слова "в любой форме" заменить словами "в форме, предусмотренной настоящим Законом,";

в) статью дополнить абзацем двадцать вторым следующего содержания:

"Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.";

3) подпункт "б" части 2 статьи 8 после слов "группы лиц" дополнить словами "и получение согласия субъекта персональных данных невозможно";

4) в статье 9:

а) наименование статьи изложить в следующей редакции: "Статья 9. Согласие субъекта персональных данных на предоставление и обработку его персональных данных";

б) в части 1:

предложение первое после слов "своих персональных данных" дополнить словами "и дает согласие на их обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения";

в) часть дополнить абзацем вторым следующего содержания:

"Согласие субъекта должно быть выражено в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики электронной подписью.";

г) статью дополнить частями 5 и 6 следующего содержания:

"5. Обязанность предоставить доказательство получения согласия субъекта персональных данных на сбор и обработку его персональных данных или доказательство наличия оснований, указанных в подпункте "б" части 2 статьи 8, пунктах 1 и 2 части 1 статьи 15 настоящего Закона, возлагается на держателя (обладателя) массива персональных данных.

6. Порядок получения согласия субъекта персональных данных на сбор и обработку его персональных данных, в том числе в форме электронного документа, включая цели предоставления государственных и муниципальных услуг, устанавливается Правительством Кыргызской Республики.";

5) статью 10 дополнить частью 1¹ следующего содержания:

"1¹. В том числе субъект персональных данных имеет право на получение от держателя (обладателя) массива персональных данных информации, касающейся обработки его персональных данных, содержащей:

а) подтверждение факта обработки персональных данных держателем (обладателем) массива персональных данных;

б) правовые основания и цели обработки персональных данных;

в) цели и применяемые держателем (обладателем) массива персональных данных способы обработки персональных данных;

г) наименование и место нахождения держателя (обладателя) массива персональных данных, сведения о лицах (за исключением работников держателя (обладателя), которые имеют доступ к персональным данным или которым могут быть переданы персональные данные на основании договора с держателем (обладателем) массива персональных данных или на основании закона;

д) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;

е) сроки обработки персональных данных, в том числе сроки их хранения;

ж) порядок осуществления субъектом персональных данных своих прав, предусмотренных настоящим Законом;

з) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

и) иные сведения, предусмотренные настоящим Законом и (или) иными нормативными правовыми актами.";

6) часть 3 статьи 16 признать утратившей силу;

7) в статье 18:

а) в предложении первом части 2 слова "уполномоченным органом государственной власти по персональным данным" заменить словами "уполномоченным государственным органом"; слова "органом государственной власти" заменить словами "уполномоченным государственным органом";

б) в части 4 слова "уполномоченным органом государственной власти" заменить словами "уполномоченным государственным органом";

8) в статье 21:

а) часть 1 изложить в следующей редакции:

"1. Держатель (обладатель) массива персональных данных и обработчик обязаны принимать необходимые правовые, организационные и технические меры и (или) обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.";

б) часть 2 дополнить абзацами десятым-двенадцатым следующего содержания:

"- обеспечить выполнение установленных Правительством Кыргызской Республики требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

- вести учет машинных носителей персональных данных;

- обеспечить восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.";

в) статью дополнить частью 3 следующего содержания:

"3. Правительство Кыргызской Республики устанавливает уровни защищенности персональных данных при их обработке в информационных системах, требования к обеспечению безопасности и защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных.";

9) в статье 22:

а) часть 1 после слова "данных" дополнить словами ", при наличии к этому правовых оснований осуществления работы с персональными данными и только в пределах своих полномочий и компетенции, установленных законодательством Кыргызской Республики, вправе создавать информационные системы персональных данных, соответствующие требованиям, установленным настоящим Законом.";

б) часть 2 после слова "сводных" дополнить словами "информационных систем и";

в) часть 3 после слова "осуществляется" дополнить словами "уполномоченным государственным органом,";

10) статью 23 признать утратившей силу;

11) часть 2 статьи 24 дополнить предложением вторым следующего содержания: "Порядок и форма уведомления субъекта персональных данных о факте передачи его персональных данных третьей стороне устанавливается Правительством Кыргызской Республики.";

12) в абзаце третьем части 3 статьи 25 слова "жизненно важных" исключить;

13) часть 1 статьи 27 дополнить абзацем вторым следующего содержания:

"В зависимости от значимости персональных данных определенных субъектов для исторических, социологических, медицинских и других научных целей, вместо уничтожения персональных данных допускается обезличивание таких данных держателем (обладателем) массива в порядке, устанавливаемом Правительством Кыргызской Республики.";

14) абзац третий части 1 статьи 28 признать утратившим силу;

15) Закон дополнить статьей 29¹ следующего содержания:

"Статья 29¹. Уполномоченный государственный орган

1. На уполномоченный государственный орган возлагается обеспечение контроля за соответствием обработки персональных данных требованиям настоящего Закона, защитой прав субъектов персональных данных.

2. Уполномоченный государственный орган осуществляет сотрудничество с органами, уполномоченными в сфере защиты персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных.

3. Решения уполномоченного государственного органа по защите прав субъектов персональных данных могут быть обжалованы в порядке, предусмотренном Законом Кыргызской Республики "Об основах административной деятельности и административных процедурах".

4. Положение об уполномоченном государственном органе утверждается Правительством Кыргызской Республики.";

16) в статье 30:

а) часть 1 дополнить абзацами двенадцатым и тринадцатым следующего содержания:

"- получатели или категории получателей, которым могут передаваться данные;

- предполагаемая трансграничная передача персональных данных.";

б) часть 4 после слов "всеобщего сведения" дополнить словами ", а также размещает актуальную редакцию Реестра держателей (обладателей) массивов персональных данных на официальном сайте в интернете";

в) статью дополнить частью 5 следующего содержания:

"5. Порядок регистрации массивов и держателей (обладателей) персональных данных, ведения и опубликования Реестра держателей (обладателей) массивов персональных данных устанавливается Правительством Кыргызской Республики.".

Статья 2.

Настоящий Закон вступает в силу по истечении пятнадцати дней со дня официального опубликования.

Опубликован в газете "Эркин Тоо" от 25 июля 2017 года № 84-85 (2809-2810)

Статья 3.

Правительству Кыргызской Республики в течение шести месяцев привести свои нормативные правовые акты в соответствие с настоящим Законом.