imgonline-com-ua-Black-White-L8f1W5q0SjaPjj

Обзор: персональные данные

imgonline-com-ua-Black-White-L8f1W5q0SjaPjj

В Узбекистане принят Закон «О персональных данных» от 2 июля 2019 года № ЗРУ-547 (вступил в силу 1 октября 2019 года), регулирующий вопросы защиты персональных данных. Данный закон предусматривает целый ряд юридических обязательств для лиц, деятельность которых связана с персональными данными – в частности, практически для всех юридических лиц.

Персональные данные – это?

Персональными данными признается информация, относящаяся к определенному человеку или позволяющая его идентифицировать, зафиксированная на электронном, бумажном и (или) ином материальном носителе.

Кроме того, более жесткие требования применяются в отношении биометрических, генетических данных, а также для специальных персональных данных (т.е. данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости).

Сфера применения

В Законе четко определена сфера его действия и под нее подпадают отношения, возникающие при обработке и защите персональных данных, независимо от применяемых средств обработки, включая информационные технологии.

При этом действие настоящего Закона не распространяется на отношения, возникающие при:

  • обработке персональных данных в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
  • использовании архивных документов, содержащих персональные данные;
  • обработке персональных данных, отнесенных к сведениям, составляющим государственные секреты;
  • обработке персональных данных, полученных в ходе оперативно-розыскной, разведывательной и контрразведывательной деятельности, борьбы с преступностью, охраны правопорядка, а также в рамках противодействия легализации доходов, полученных от преступной деятельности.

Полномочия уполномоченного органа

Уполномоченным государственным органом в области персональных данных выбран Государственный центр персонализации при Кабинете Министров Республики Узбекистан, который имеет следующие полномочия:

  • выдает свидетельство о регистрации базы персональных данных в Государственном реестре;
  • осуществляет государственный контроль за соблюдением требований законодательства о персональных данных;
  • вносит обязательные для исполнения предписания об устранении нарушений законодательства о персональных данных;
  • определяет необходимый уровень защищенности персональных данных;
  • осуществляет анализ объема и содержания обрабатываемых персональных данных, вид деятельности, реальности угроз безопасности персональных данных.

Требования к обработке персональных данных

Принятый закон определяет порядок обработки персональных данных и взаимоотношений участников этого процесса – субъекта (лицо, к которому данные относятся), собственника базы данных (государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных) и оператора (лицо, осуществляющее обработку).

Закон предусматривает следующие требования к обработке персональных данных:

Законность целей и способов. Обработка персональных данных осуществляется с согласия субъекта. Использование персональных данных работниками собственника и (или) оператора, а также третьего лица, связанными с обработкой персональных данных, должно осуществляться только в соответствии с их профессиональными, служебными или трудовыми обязанностями. Персональные данные подлежат уничтожению при наличии отзыва согласия субъекта на обработку персональных данных либо по истечении срока обработки персональных данных, определенного согласием субъекта.

Минимизация данных. База персональных данных формируется путем сбора персональных данных, необходимых и достаточных для выполнения задач. Объем и характер обрабатываемых персональных данных должны соответствовать целям и способам их обработки. Срок обработки персональных данных не должен превышать срок, в течение которого действует согласие субъекта на обработку его персональных данных.

Ограничение целей обработки. Цели обработки персональных данных должны соответствовать целям, ранее заявленным при их сборе, а также правам и обязанностям собственника и (или) оператора. В случае изменения цели обработки необходимо получить согласие субъекта на обработку данных в соответствии с измененной целью.

Ограничение хранения. Хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта в той мере, в какой требуют цели, ранее заявленные при сборе персональных данных, и на срок, который необходим для достижения целей их сбора и обработки. При достижении цели обработки персональные данные подлежат уничтожению собственником и (или) оператором, а также третьим лицом.

Точность и достоверность. Персональные данные должны быть точными и достоверными, а в случае необходимости – изменяться и дополняться. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором (а) на основании обращения субъекта в срок не позднее трех дней с момента такого обращения и (б) безотлагательно, если данные не соответствуют действительности.

Конфиденциальность и защищенность. Лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные без согласия субъекта. Использование персональных данных осуществляется при условии обеспечения необходимого уровня защищенности персональных данных. Обязанности по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.

Принятие решений на основании автоматизированной обработки

Решение на основании исключительно автоматизированной обработки персональных данных субъекта может быть принято при наличии согласия субъекта на такую обработку.

Собственник и (или) оператор обязаны разъяснить субъекту порядок принятия решения на основании исключительно автоматизированной обработки и возможные юридические последствия такого решения.

Форма согласия субъекта

Субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения.

Права физических лиц – субъектов персональных данных

Закон предоставляет субъекту право на получение информации, касающейся обработки его персональных данных, включая:

  • подтверждение факта обработки персональных данных;
  • основания и цели обработки персональных данных;
  • способы обработки персональных данных;
  • сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора, заключенного с собственником и (или) оператором, или на основании закона;
  • состав обрабатываемых персональных данных, относящихся к соответствующему субъекту, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • информацию об осуществленной или предполагаемой трансграничной передаче персональных данных.

Субъект также имеет право требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.

Регистрация баз персональных данных

Вводится требование о регистрации баз персональных данных в соответствующем реестре уполномоченного органа. Могут быть исключения из данного правила, в частности, регистрация не обязательна, если база содержит данные, обрабатываемые в соответствии с законодательством о труде либо без использования средств автоматизации.

Собственник и (или) оператор обязан уведомлять уполномоченный государственный орган о каждом изменении данных, необходимых для регистрации соответствующей базы персональных данных, не позднее десяти календарных дней со дня наступления такого изменения.

Также, собственник и (или) оператор должен определить структурное подразделение или должностное лицо, ответственное за работу, связанную с обработкой и защитой персональных данных, и обеспечить его работу в соответствии с Типовым порядком обработки персональных данных.

Трансграничная передача

Трансграничная передача персональных данных осуществляется на территорию иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

Предусмотренные отдельные случаи, когда трансграничная передача персональных данных возможна и на территорию иностранных государств, не обеспечивающих адекватную защиту персональных данных, например, в случае наличия согласия субъекта на трансграничную передачу его персональных данных.

Ответственность

Наряду с принятием закона «О персональных данных» были внесены изменения в Кодекс об административной ответственности и Уголовный кодекс. Меры ответственности также вступают в силу 1 октября 2019 года.

Вводятся санкции за незаконный сбор, систематизацию, хранение, изменение, дополнение, использование, предоставление, распространение, передачу, обезличивание и уничтожение персональных данных следующим образом:

Административная ответственность в виде штрафа от 3 до 5 минимальных размеров заработной платы (МРЗП) для граждан и от 5 до 10 МРЗП для должностных лиц согласно статье 46-2 Кодекса об административной ответственности. Дела данной категории подведомственны административным судам.

Уголовная ответственность наступает, если те же действия совершены после административного взыскания, в виде штрафа до 50 МРЗП или лишения определенного права до 3 лет либо исправительных работ до 2 лет согласно статье 141-2 Уголовного кодекса.

Уголовная ответственность более строгого характера применяется, если преступление совершено по предварительному сговору группой лиц, повторно или опасным рецидивистом, из корыстных или иных низменных побуждений, с использованием служебного положения, либо повлекло тяжкие последствия, с санкциями в виде штрафа от 50 до 100 МРЗП или исправительных работ от 2 до 3 лет, или ограничения свободы от 1 года до 3 лет либо лишения свободы до 3 лет.

Субъекты персональных данных также вправе требовать компенсации имущественного и морального вреда, причиненного им в результате нарушения их прав и законных интересов.

Освобождение от ответственности

Обвиняемый в уголовном преступлении может быть освобожден от ответственности, признав свою вину, примирившись с потерпевшим и загладив причиненный вред согласно статье 66-1 Уголовного кодекса. Однако, данное правило неприменимо к лицам, имеющим непогашенную или неснятую судимость за совершение тяжких или особо тяжких преступлений.