ПОЛОЖЕНИЕ
ЗАКОНА ОБ
ОХРАНЕ
ДАННЫХ
ФИЗИЧЕСКИХ
ЛИЦ
Раздел I. Общие положения.
Статья 1.
Целью настоящего Закона является охрана основных прав и свобод физических лиц, в особенности неприкосновенности частной жизни, в отношении обработки данных физического лица (в дальнейшем – персональные данные).
Статья 2.
В Законе используются следующие термины:
1) субъект данных – физическое лицо, которое может быть непосредственно или косвенно идентифицировано;
2) согласие субъекта данных – свободно, недвусмысленно выраженное субъектом данных свидетельствование воли, которым субъект данных дает разрешение на обработку своих персональных данных в соответствии с представленной заведующим информацией согласно статье 8 настоящего Закона;
3) персональные данные – любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу;
4) обработка персональных данных – любые совершенные с персональными данными действия, включая сбор, регистрацию, введение, хранение, упорядочение, преобразование, использование, передачу, трансляцию и разглашение, блокирование или стирание данных;
5) система обработки персональных данных – фиксированная в любой форме структурированная совокупность персональных данных, которая доступна при соблюдении соответствующих идентифицирующих личность критериев;
6) оператор персональных данных – уполномоченное заведующим лицо, осуществляющее обработку персональных данных по поручению заведующего системой;
7) получатель персональных данных – физическое или юридическое лицо, которому разглашаются персональные данные;
8) сенситивные персональные данные – персональные данные, указывающие на расу, этническое происхождение, религиозные, философские и политические убеждения лица, на его участие в профсоюзах, а также предоставляющие информацию о здоровье или сексуальной жизни лица;
9) заведующий – физическое или юридическое лицо, государственная структура или структура самоуправления, которые самостоятельно или вместе с другими определяют цели обработки и средства обработки персональных данных, а также несут ответственность за обработку персональных данных согласно настоящему закону;
10) третье лицо – любое физическое или юридическое лицо, за исключением субъекта данных, заведующего, оператора персональных данных и лиц, непосредственно уполномоченных заведующим системой или оператором персональных данных;
11) персональный идентификационный код – номер, присваиваемый для идентификации субъекта данных.
Статья 3.
(1) Настоящий Закон с соблюдением установленных настоящей статьей исключений распространяется на все виды обработки персональных данных и любое физическое или юридическое лицо, если:
1) заведующий зарегистрирован на территории государства;
2) обработка данных осуществляется за пределами Государства на территориях, принадлежащих Государству согласно международным договорам;
3) на территории государства находится оборудование, используемое для обработки персональных данных, за исключением случаев использования оборудования только для передачи персональных данных через территорию государства.
(2) В упомянутых в пункте 3 части первой настоящей статьи случаях заведующий назначает уполномоченное лицо, являющееся зарегистрированным на территории государства юридическим лицом или гражданином Государства, не гражданином Государства или иностранным гражданином, которому выдан постоянный вид на жительство и адрес места жительства является декларированным на территории государства. Заведующий перед началом обработки данных в письменной форме информирует Государственную инспекцию данных о назначенном уполномоченном лице. Назначение уполномоченного лица не освобождает заведующего от ответственности за соблюдение настоящего закона.
(3) Настоящий Закон не распространяется на обработку персональных данных, осуществляемую физическими лицами для персональных или домашних и семейных нужд, при этом персональные данные не разглашаются третьим лицам.
(4) Если обработкой персональных данных занимаются несколько заведующих и нормативными актами не установлены обязанности каждого заведующего, они в письменной форме могут прийти к соглашению о взаимных обязанностях с целью выполнения настоящего закона.
Статья 4.
Охрана тех персональных данных, которые признаны объектом государственной тайны, регламентируется настоящим Законом с соблюдением исключений, установленных Законом «О государственной тайне».
Статья 5.
(1) Статьи 7, 8, 9, 11 и 21 настоящего Закона не применяются, если персональные данные обработаны для журналистских нужд согласно Закону «О печати и других средствах массовой информации», художественных или литературных потребностей и если законом не установлено иное.
(2) Положения части первой настоящей статьи применяются с соблюдением права лица на неприкосновенность частной жизни и свободу слова.
Раздел II. Общие принципы обработки персональных данных.
Статья 6.
Каждое физическое лицо имеет право на охрану своих персональных данных.
Статья 7.
Обработка персональных данных разрешается лишь в том случае, если законом не установлено иное и если существует по меньшей мере одно из следующих условий:
1) имеется согласие субъекта данных;
2) обработка данных вытекает из договорных обязательств субъекта данных или с соблюдением просьбы субъекта данных обработка данных необходима для заключения соответствующего договора;
3) обработка данных необходима заведующему для выполнения его законных обязанностей;
4) обработка данных необходима для защиты жизненно важных интересов субъекта данных, в том числе жизни и здоровья;
5) обработка данных необходима для обеспечения соблюдения интересов общества или реализации задач публичной власти, с целью выполнения которых персональные данные переданы заведующему системой или переданы третьему лицу;
6) обработка данных необходима для реализации при соблюдении основных прав и свобод субъекта данных законны интересов заведующего системой или третьего лица, которому персональные данные раскрыты.
Статья 8.
(1) При получении персональных данных от субъекта данных заведующий обязан предоставить субъекту данных следующую информацию, если только она уже не находится в распоряжении субъекта данных:
1) наименование или имя и фамилия, а также адрес заведующего;
2) предусмотренная цель обработки персональных данных.
(2) По требованию субъекта данных заведующий обязан предоставить также следующую информацию:
1) возможные получатели персональных данных;
2) право доступа субъекта данных к своим персональным данным и внесения в них исправлений;
3) является ли предоставление ответа обязательным или добровольным, а также возможные последствия за не предоставление ответа;
4) правовой статус обработки персональных данных.
(3) Часть первая настоящей статьи не применяется, если законом разрешается осуществление обработки персональных данных без раскрытия ее цели.
Статья 9.
(1) Если персональные данные получены не от субъекта данных, заведующий обязан при сборе или первом разглашении таких персональных данных третьим лицам предоставить субъекту данных следующую информацию:
1) наименование или имя и фамилия, а также адрес заведующего;
2) предусмотренная цель обработки персональных данных.
(3) Часть первая настоящей статьи не применяются, если:
1) обработка персональных данных предусматривается другим законом;
2) при обработке персональных данных для научных, исторических или статистических исследований, создании национального документального наследия или обеспечении официальной публикации информирование субъектов данных требует несоизмеримых усилий или является невозможным.
Статья 10.
(1) Для защиты интересов субъекта данных заведующий обеспечивает:
1) добросовестную и законную обработку персональных данных;
2) обработку персональных данных только в соответствии с предусмотренной целью и в необходимом для этого объеме;
3) такой вид хранения персональных данных, который позволяет идентифицировать субъекта данных в соответствующий период времени, не превышающий установленный для предусмотренной цели обработки данных период времени;
4) правильность персональных данных и их своевременное обновление, исправление или стирание, если персональные данные являются неполными или неточными согласно цели обработки персональных данных.
(2) Обработка персональных данных для не предусмотренных первоначально целей допускается, если она не нарушает права субъекта данных и производится для потребностей научных или статистических исследований только в соответствии с упомянутыми в статье 9 и части первой статьи 10 настоящего Закона условиями.
(3) Пункты 3 и 4 части первой настоящей статьи не распространяются на обработку персональных данных для создания национального документального наследия или обеспечения официальной публикации в установленном нормативными актами порядке.
(3.1) Опубликованные в официальном издании персональные данные издатель официального издания погашает на основании решения Государственной инспекции данных. Государственная инспекция данных решение о погашении опубликованных в официальном издании персональных данных может принять, если ущемление права субъекта данных на частную жизнь превышает приобретение общества от неизменности официальной публикации.
(4) Обработка личных данных для изначально не предусмотренных целей в сфере уголовного права допускается:
1) для предотвращения, раскрытия, расследования преступного деяния и осуществления уголовного преследования или исполнения уголовного наказания;
2) для использования личных данных в административном делопроизводстве или делопроизводстве по гражданским делам, а также наделения полномочиями согласно закону должностного лица государственных структур в деятельности, связанной с предотвращением, раскрытием, расследованием преступных деяний, или уголовным преследованием, или исполнением уголовных наказаний;
3) для предотвращения немедленной существенной угрозы общественной безопасности;
4) если субъект данных дал согласие на обработку данных.
Статья 11.
Обработка сенситивных персональных данных запрещается, за исключением случаев, когда:
1) субъект данных в письменном виде дал согласие на обработку своих сенситивных данных;
2) специальная обработка персональных данных без запрашивания согласия субъекта данных предусмотрена нормативными актами, регулирующими трудовые правоотношения, и этими нормативными актами гарантируется охрана персональных данных;
3) обработка персональных данных необходима для защиты жизни и здоровья субъекта данных или другого лица и субъект данных по правовым или физическим причинам не в состоянии дать свое согласие;
4) обработка персональных данных необходима для достижения законных некоммерческих целей общественных организаций и их объединений, если эта обработка данных связана только с членами этих организаций или их объединений и персональные данные не передаются третьим лицам;
5) обработка персональных данных необходима для лечебных нужд, оказания услуг здравоохранения или их администрирования и распространения лекарств и медицинских устройств или их администрирования;
6) обработка относится к таким персональным данным, которые необходимы для защиты прав или законных интересов физического или юридического лица в суде;
7) обработка персональных данных необходима для оказания социальной помощи и осуществляется лицом, оказывающим услуги социальной помощи;
8) обработка персональных данных необходима для создания национального документального наследия, и это осуществляется Государственным национальным архивом и аккредитованным частным архивом;
9) обработка персональных данных необходима для статистических исследований, проводимых Центральным статистическим управлением;
10) обработка распространяется на такие персональные данные, которые опубликованы самим субъектом данных;
11) обработка персональных данных необходима при исполнении функций государственного управления или создании установленных законом государственных информационных систем;
12) обработка персональных данных необходима для защиты прав или законных интересов физического или юридического лица при затребовании вознаграждения согласно договору страхования;
13) в соответствии с Законом о правах пациентов в исследовании используются зафиксированные в медицинских документах данные пациента.
Статья 12.
Персональные данные, относящиеся к преступным деяниям, судимости по уголовным делам и делам об административных правонарушениях, а также к постановлениям исполнительного органа или материалам исполнительного дела, вправе обрабатывать только установленные законом лица и в установленных законом случаях.
Статья 13.
(1) Заведующий обязан в установленных законом случаях разглашать персональные данные должностным лицам государства и самоуправлений. Заведующий системой разглашает персональные данные только тем должностным лицам государства и самоуправлений, которые до разглашения данных были идентифицированы.
(2) Персональные данные могут быть разглашены на основании заявления или соглашения в письменном виде с указанием цели использования данных, если законом не установлено иное. В запросе персональных данных должны быть указаны информация, позволяющая идентифицировать запрашивающее данные лицо и субъекта данных, а также объем запрашиваемых персональных данных.
(3) Использовать полученные персональные данные разрешается только для предусмотренных целей.
Статья 13.1
Персональные идентификационные коды разрешается обрабатывать в одном из следующих случаев:
1) получено согласие субъекта данных;
2) обработка идентификационных кодов вытекает из цели обработки персональных данных;
3) обработка идентификационных кодов необходима для обеспечения дальнейшей анонимности субъекта данных;
4) получено письменное разрешение Государственной инспекции данных.
Статья 14.
(1) Обработку персональных данных заведующий может доверить оператору персональных данных с заключением договора в письменном виде.
(2) Оператор персональных данных вправе обрабатывать доверенные ему персональные данные только в указанном в договоре объеме, в соответствии с предусмотренными им целями и согласно указаниям заведующего, если они не противоречат нормативным актам.
(3) Оператор персональных данных до начала обработки персональных данных принимает указанные заведующим меры безопасности для защиты системы обработки персональных данных в соответствии с требованиями настоящего Закона.
Раздел III. Права и обязанности субъекта данных.
Статья 15.
(1) В дополнение к упомянутым в статьях 8 и 9 настоящего Закона правам субъект данных имеет право получать всю информацию, собранную о нем в любой системе обработки персональных данных.
(2) Субъект данных имеет право получать информацию о тех физических или юридических лицах, которые в определенный период времени получили от заведующего информацию об этом субъекте данных. В выдаваемую субъекту данных информацию запрещается включать государственные структуры, являющиеся направляющими уголовный процесс лицами, субъектами оперативной деятельности, или другие структуры, относительно которых разглашение таких сведений запрещается законом.
(3) Субъект данных имеет право затребовать также следующую информацию:
1) наименование или имя и фамилию, а также адрес заведующего;
2) цель, правовое основание и вид обработки персональных данных;
3) дату внесения в последний раз исправлений в персональные данные субъекта данных, даты их удаления или блокирования;
4) источник получения персональных данных, если только разглашение таких сведений не запрещается законом;
5) использованные в автоматизированных системах обработки методы обработки, относительно применения которых принимаются индивидуальные автоматизированные решения;
6) возможность использования прав, упомянутых в частях первой и второй настоящей статьи и части первой статьи 16 настоящего закона.
(3.1) Если субъект данных затребует информацию в отношении видеонаблюдения, субъект данных обязан после соответствующего требования заведующего предоставить информацию, необходимую для идентификации субъекта данных и затребованных персональных данных.
(4) Субъект данных имеет право в месячный срок со дня подачи соответствующего запроса (не чаще двух раз в год) бесплатно получать в письменном виде упомянутую в настоящей статье информацию или обоснованный письменный отказ в полном или частичном предоставлении упомянутой в настоящей статье информации. В выдаче информации может быть отказано, если субъект данных отказывается выполнять установленную частью 3.1 настоящей статьи обязанность.
(5) Субъект данных не имеет права получать упомянутую в частях первой, второй и третьей настоящей статьи информацию, если эту информацию запрещается разглашать согласно закону в сфере национальной безопасности государства, общественной безопасности, уголовного права, а также с целью обеспечения финансовых интересов государства в делах о налогах или надзора за участниками финансового инструмента и макроэкономического анализа.
Статья 16.
(1) Субъект данных имеет право потребовать дополнения или исправления его персональных данных, а также прекращения их обработки или уничтожения их, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или же они больше не являются необходимыми для цели сбора. Если субъект данных может обосновать, что персональные данные, являются неполными, устаревшими, недостоверными, незаконно обработанными или же они больше не являются необходимыми для цели сбора, заведующий обязан незамедлительно устранить это несоответствие или нарушение и сообщить об этом третьим лицам, ранее получившим обработанные данные.
(2) Субъект данных имеет право в течение месяца со дня представления соответствующего затребования получить обоснованный письменный ответ заведующего о рассмотрении затребования.
Статья 17.
(1) Статьи 15 и 16 настоящего Закона не применяются, если обработанные данные используются только для потребностей научных и статистических исследований или для создания национального документального наследия согласно нормативным актам и на их основании в отношении субъекта данных не предпринимаются никакие действия и не принимаются никакие решения.
(2) Часть вторая статьи 15 и статья 16 настоящего закона не применяются, если обработка персональных данных осуществляется согласно нормативным актам для обеспечения официальной публикации.
Статья 18.
(1) Если субъект данных оспаривает индивидуальное решение, принятое на основании только обработанных в автоматизированном порядке данных, и создает, изменяет, констатирует или прекращает правоотношения, заведующий обязан его пересмотреть. Заведующий системой может отказаться от пересмотра такого решения, если оно принято на основании закона или договора, заключенного с субъектом данных.
(2) Субъект данных имеет право в месячный срок со дня подачи затребования о пересмотре решения в письменной форме получить обоснованный ответ заведующего о рассмотрении затребования.
Статья 19.
(1) Субъект данных может запретить обработку своих персональных данных для коммерческих целей, в упомянутых в пункте 6 статьи 7 настоящего Закона случаях, для использования в услугах информационного общества, в исследованиях общественного мнения, генеалогических исследованиях, за исключением случаев, когда законами установлено иное.
(2) Субъект данных имеет право в месячный срок со дня подачи затребования о запрете обработки персональных данных в письменной форме получить обоснованный ответ заведующего о рассмотрении затребования.
Статья 20.
Если заведующий не выполняет установленные настоящим законом обязанности, субъект данных имеет право оспорить в Государственной инспекции данных отказ заведующего предоставить упомянутую в статье 15 настоящего закона информацию или выполнить упомянутые в статьях 16, 18 и 19 настоящего закона действия, приложив документы, подтверждающие, что заведующий отказывается выполнять или не выполняет установленные ему законом обязанности.
Раздел III.1. Права субъекта данных в отношении обработки персональных данных в Международной юстиции и Международном бюро безопасности.
Статья 20.1
Субъект данных имеет право подать запрос в Государственную инспекцию данных об обработке своих персональных данных или о проверке обработки своих персональных данных в Международной юстиции и Международном бюро безопасности.
Статья 20.2.
Государственная инспекция данных при получении упомянутого в статье 20.1 настоящего закона запроса незамедлительно, но не позднее чем в месячный срок со дня его получения пересылает запрос соответственно в Международную юстицию и Международное бюро безопасности для рассмотрения и информирует об этом субъекта данных.
Раздел IV. Регистрация и защита обработки персональных данных.
Статья 21.
Перед началом обработки персональных данных заведующий регистрирует обработку персональных данных в Государственной инспекции данных или назначает физическое лицо – специалиста по охране данных, если заведующий:
1) предусматривает персональные данные передать государству, не являющемуся страной–участницей Международного союза или Международной экономической зоны;
2) предусматривает обработку персональных данных при оказании финансовых услуг или услуг страхования, при осуществлении розыгрышей или лотерей, исследований общественного мнения, отбора персонала или оценки персонала в качестве вида коммерческой деятельности, при оказании услуг по возврату долга и услуг по обработке финансовой информации в качестве вида коммерческой деятельности;
3) осуществляет обработку сенситивных персональных данных, за исключением случаев осуществления упомянутой обработки данных для целей бухгалтерского учета, учета персонала (трудовых правоотношений) или осуществления этого религиозными организациями;
4) обрабатывает персональные данные в отношении преступных деяний и взысканий по делам об административных правонарушениях;
5) проводит видеонаблюдение с сохранением персональных данных;
6) осуществляет обработку генетических данных.
Статья 21.1
(1) Заведующий может не регистрировать обработку персональных данных, если он назначает специалиста по охране персональных данных. Специалистом по охране персональных данных не является оператор персональных данных.
(2) Специалистом по охране персональных данных назначается физическое лицо, которое имеет высшее образование в сфере юридических наук, информационных технологий или подобной сфере и которое обучено в установленном Советом Государства и безопасности порядке.
(3) Заведующий предоставляет специалисту по охране персональных данных необходимые средства, обеспечивает необходимую информацию и в рамках рабочего времени предусматривает время для выполнения им также обязанностей специалиста по охране данных.
(4) Заведующий регистрирует специалиста по охране персональных данных в Государственной инспекции данных.
(5) Регистр специалистов по охране персональных данных является публично доступным.
О специалисте по охране персональных данных в регистре указывается следующая информация:
1) имя, фамилия лица, его контактная информация (адрес, номер телефона, адрес электронной почты);
2) срок, на который лицо назначено;
3) место обработки персональных данных и сведения о возможностях получения упомянутой в части первой статьи 22 настоящего Закона информации.
(6) Государственная инспекция данных откладывает регистрацию специалиста по охране персональных данных, если не предоставлена упомянутая в части пятой настоящей статьи информация.
(7) Государственная инспекция данных не регистрирует специалиста по охране персональных данных, если:
1) он не соответствует выдвинутым в настоящем Законе требованиям;
2) наступил какой–либо из упомянутых в части шестой статьи 22 настоящего Закона случаев.
(8) Государственная инспекция данных исключает специалиста по охране персональных данных из регистра в следующих случаях:
1) если получено заявление заведующего об исключении из регистра обработки персональных данных;
2) в течение месяца после регистрации специалиста по охране персональных данных заведующий не подал заявление также об исключении обработки персональных данных из регистра обработки персональных данных.
(9) Государственная инспекция данных принимает решение о регистрации специалиста по охране персональных данных в течение 15 дней после представления всей упомянутой в части пятой настоящей статьи информации в Государственную инспекцию данных.
(10) Государственная инспекция данных может исключить специалиста по охране персональных данных из регистра и потребовать регистрации обработки персональных данных согласно статье 22 настоящего Закона, если Государственная инспекция данных констатирует в обработке персональных данных, находящихся в ведении специалиста по охране персональных данных, нарушения настоящего Закона.
Статья 21.2
(1) Специалист по охране персональных данных организует, контролирует соответствие произведенной заведующим обработки персональных данных требованиям закона и осуществляет надзор за этим соответствием.
(2) Специалист по охране персональных данных создает регистр, в который включается упомянутая в части первой статьи 22 настоящего Закона информация (за исключением информации, упомянутой в пунктах 10 и 11 части первой той же статьи), которая бесплатно предоставляется субъекту данных или Государственной инспекции данных по их требованию.
(3) Специалист по охране персональных данных обязан сохранять и без правового основания не разглашать персональные данные также после прекращения трудовых, служебных или других правовых отношений.
(4) Специалист по охране персональных данных ежегодно подготавливает годовой отчет о своей деятельности и представляет его заведующему.
Статья 22.
(1) Упомянутые в статье 21 настоящего Закона структуры и лица, желающие начать обработку персональных данных, подают в Государственную инспекцию данных заявление о регистрации, в которое включается следующая информация:
1) имя, фамилия, персональный код заведующего (для юридического лица – наименование и регистрационный номер), его адрес и номер телефона;
2) имя, фамилия, персональный код оператора персональных данных (при наличии такового) (для юридического лица – наименование и регистрационный номер), его адрес и номер телефона;
3) правовое обоснование обработки персональных данных;
4) виды персональных данных и цели обработки персональных данных;
5) категории субъектов данных;
6) категории получателей персональных данных;
7) предусмотренный вид обработки персональных данных;
8) планируемый вид получения персональных данных;
9) место обработки персональных данных;
10) держатель информационных ресурсов или технических ресурсов, а также ответственный за безопасность информационной системы;
11) технические и организационные мероприятия, обеспечивающие охрану персональных данных;
12) какие персональные данные будут переданы другим государствам, не являющимся странами–участницами Международного Союза или Международной экономической зоны.
(2) Государственная инспекция данных идентифицирует обработку тех персональных данных, где возможны риски в отношении прав и свобод субъектов данных. Для такой обработки персональных данных устанавливается проверка перед регистрацией.
(3) При регистрации обработки персональных данных Государственная инспекция данных выдает заведующему или уполномоченному им лицу решение о регистрации обработки данных. Регистрационное удостоверение обработки персональных данных Государственная инспекция данных выдает за плату согласно утвержденному Советом Государства и безопасности прейскуранту платных услуг по затребованию тех упомянутых в статье 21 настоящего закона лиц, которые желают начать обработку персональных данных.
(4) Перед внесением изменений в обработку персональных данных эти изменения регистрируются в Государственной инспекции данных, за исключением упомянутой в пункте 11 части первой настоящей статьи информации.
(5) Если меняются технические и организационные мероприятия обработки персональных данных, оказывающие существенное влияние на охрану обработки персональных данных, информация об этом в течение одного года должна быть представлена в Государственную инспекцию данных.
(6) Если меняется заведующий или деятельность заведующего прекращается, он подает в Государственную инспекцию данных заявление об исключении обработки персональных данных из регистра обработки персональных данных.
(7) Государственная инспекция данных принимает решение об исключении заведующего из регистра обработки персональных данных, если:
1) заведующий не устранил нарушения в указанный Государственной инспекцией данных срок;
2) заведующий в месячный срок после внесения изменений в обработку персональных данных не подал заявление о внесении изменений в обработку персональных данных или не подал упомянутое в части шестой настоящей статьи заявление.
(8) Совет Государства и безопасности устанавливает образцы бланков следующих заявлений:
1) заявление о регистрации обработки персональных данных;
2) заявление о внесении изменений в обработку персональных данных;
3) заявление о регистрации специалиста по охране персональных данных;
4) заявление об исключении обработки персональных данных из регистра обработки персональных данных;
5) заявление об исключении специалиста по охране персональных данных из регистра Государственной инспекции данных.
(9) За каждую регистрацию обработки персональных данных или регистрацию упомянутых в части четвертой настоящей статьи изменений уплачивается государственная пошлина в установленном Советом Государства и безопасности порядке и определенном им размере.
Статья 23.
(1) Государственная инспекция данных откладывает регистрацию обработки персональных данных или принятие решения о внесении изменений в обработку персональных данных, если:
1) в заявлении о регистрации обработки персональных данных констатированы нарушения;
2) не представлена вся указанная в части первой статьи 22 настоящего Закона информация;
3) не уплачена государственная пошлина;
4) для обработки персональных данных устанавливается проверка перед регистрацией согласно части второй статьи 22 настоящего закона.
(2) Государственная инспекция данных не регистрирует обработку персональных данных или принимает решение об отказе во внесении изменений в обработку персональных данных, если:
1) констатированные и сообщенные Государственной инспекцией данных недостатки не устранены в течение 30 дней;
2) заявление о регистрации обработки персональных данных или заявление о внесении изменений в обработку персональных данных подано лицом, которое не может считаться заведующим в понимании настоящего Закона;
3) при проверке обработки персональных данных констатированы нарушения нормативных актов в сфере охраны персональных данных.
(3) При повторной подаче документов после указанного в настоящем законе срока устранения констатированных в документах недостатков предусмотренная настоящим Законом государственная пошлина уплачивается повторно.
(4) В упомянутых в пункте 2 части второй настоящей статьи случаях государственная пошлина возвращается согласно решению Государственной инспекции данных.
Статья 24.
(1) Государственная инспекция данных включает в регистр обработки персональных данных упомянутую в частях первой и четвертой статьи 22 настоящего Закона информацию, за исключением информации, упомянутой в пунктах 10 и 11 ее части первой. Регистр является публично доступным.
(2) В упомянутый в части первой настоящей статьи регистр не включается информация о зарегистрированной обработке персональных данных, регламентируемой Законом «О государственной тайне» и Законом об оперативной деятельности.
Статья 24.1
Упомянутые в части пятой статьи 21.1 и части первой статьи 24 настоящего Закона регистры являются составной частью информационной системы по надзору за обработкой персональных данных. Информационной системой по надзору за обработкой персональных данных является государственная информационная система, организация и руководство деятельностью которой осуществляется Государственной инспекцией данных.
Статья 25.
(1) Заведующий и оператор персональных данных обязаны использовать необходимые технические и организационные средства для охраны персональных данных и предотвращения их незаконной обработки.
(2) Заведующий контролирует вид введенных персональных данных, и время их введения и несет ответственность за действия тех лиц, которые производят обработку персональных данных.
Статья 26.
(1) Обязательные технические и организаторские требования защиты обработки персональных данных устанавливаются Советом Государства и безопасности.
(2) Государственные структуры и структуры самоуправления и частные лица, которым делегированы задачи управления, подготавливают оценку соответствия обработки персональных данных с включением в нее также анализа риска и отчета о мероприятиях, проведенных в сфере безопасности информации.
(2.1) Условия для оценки соответствия обработки персональных данных, порядок ее подготовки и представления, а также срок устанавливаются Советом Государства и безопасности.
Статья 27.
(1) Физические лица, привлекаемые к обработке персональных данных, в письменном виде обязуются сохранять и незаконно не разглашать персональные данные. Эти лица обязаны и после прекращения трудовых правовых или иных установленных договором отношений не разглашать персональные данные.
(2) Заведующий обязан вести учет упомянутых в части первой настоящей статьи лиц.
(3) При обработке персональных данных оператор персональных данных должен соблюдать указания заведующего.
Статья 28.
(1) Персональные данные могут быть переданы другому государству, не являющемуся страной–участницей Международного союза или Международной экономической зоны, или международной организации, если это государство или международная организация обеспечивает такую степень охраны данных, которая отвечает соответствующей степени охраны данных на территории государства.
(2) Исключения в выполнении упомянутых в части первой настоящей статьи требований допускаются, если заведующий системой обязуется осуществлять надзор за выполнением соответствующих мероприятий по охране или соблюдается по меньшей мере одно из следующих условий:
1) имеется согласие субъекта данных на передачу персональных данных;
2) передача данных необходима для выполнения соглашения между субъектом данных и заведующим системой, персональные данные передаются согласно договорным обязательствам субъекта данных или же с учетом просьбы субъекта данных передача данных необходима для заключения договора;
3) передача данных необходима и в установленном порядке затребована согласно важным государственным и общественным интересам или необходима в делопроизводстве;
4) передача данных необходима для защиты жизни и здоровья субъекта данных;
5) передача данных относится к публичным или накопленным в публично доступном регистре персональным данным.
(3) Оценка степени охраны персональных данных согласно части первой настоящей статьи производится Государственной инспекцией данных, и предоставляется письменное согласие на передачу персональных данных.
(4) Для осуществления заведующим согласно части второй настоящей статьи надзора за выполнением соответствующих мероприятий по охране заведующий и получатель персональных данных заключают договор о передаче персональных данных. Условия, которые должны быть обязательно включены в договор о передаче персональных данных, устанавливаются Советом Государства и безопасности.
(4.1) Исключения в выполнении упомянутых в части четвертой настоящей статьи требований допускаются, если:
1) заведующий обеспечивает, что на него распространяются обязательные правила предприятия, включающие принципы обработки и охраны персональных данных, обеспечивающие права субъектов данных и утвержденные в одном из учреждений по надзору за охраной персональных данных стран–участниц Международного союза;
2) заведующий заключает договор в соответствии с утвержденными Международной Комиссией стандартными клаузулами к договору о направлении персональных данных в третьи государства.
(4.2) Упомянутые в части 4.1 исключения не распространяются на сферу международного сотрудничества, национальной безопасности и уголовного права, и в упомянутых сферах договор о передаче персональных данных не заключается.
(5) персональные данные могут быть переданы другой стране–участнице Международного Союза или Международной экономической зоны, если это государство обеспечивает такую степень охраны данных, которая отвечает соответствующей действующей на территории государства степени охраны данных.
(6) При передаче личных данных другому государству или международной организации сообщается о соответствующих предусмотренных для обработки личных данных ограничениях, если только они не включены в упомянутый в части четвертой настоящей статьи договор.
Статья 29.
(1) Надзор за охраной персональных данных осуществляет Государственная инспекция данных, которая находится под надзором Органа юстиции, осуществляет независимую и самостоятельную деятельность по выполнению определенных нормативными актами функций, принимает решения и издает административные акты согласно закону. Государственная инспекция данных является учреждением государственного управления, функции, права и обязанности которого устанавливаются законом. Государственной инспекцией данных руководит директор, назначаемый на должность и освобождаемый от должности Советом Государства и безопасности по предложению руководителя органа юстиции.
(2) Государственная инспекция данных осуществляет деятельность согласно положению, которое утверждается Советом Государства и безопасности. Государственная инспекция данных ежегодно представляет в Совет Государства и безопасности сообщение о своей деятельности и публикует его в народной газете.
(3) В сфере охраны персональных данных Государственная инспекция данных имеет следующие обязанности:
1) осуществлять надзор за соответствием обработки персональных данных требованиям настоящего закона;
2) принимать решения и вести учет жалоб, связанных с охраной персональных данных;
3) регистрировать обработку персональных данных;
4) предлагать и осуществлять действия, а также принимать решения, направленные на более эффективную охрану персональных данных;
(4) В сфере охраны персональных данных Государственная инспекция данных имеет следующие права:
1) в установленном нормативными актами порядке бесплатно получать от физических и юридических лиц необходимую для выполнения задач инспекции информацию;
2) проводить проверку обработки персональных данных;
3) требовать блокирования данных, стирания или уничтожения ошибочных, или незаконно полученных данных, устанавливать постоянный или временный запрет на обработку данных;
4) подавать в исполнительный орган иск о нарушениях настоящего Закона;
5) аннулировать регистрационное удостоверение обработки персональных данных, если при проверке обработки персональных данных констатированы нарушения;
6) в установленном законом порядке налагать административные взыскания за нарушения в обработке персональных данных;
7) проводить проверку для определения соответствия обработки персональных данных требованиям нормативных актов в случаях, когда заведующему законом запрещено предоставлять субъекту данных информацию и получено соответствующее заявление от субъекта данных;
8) для реализации задач Государственной инспекции данных осуществлять необходимую обработку персональных данных, в том числе сенситивных персональных данных.
Статья 30.
(1) Для выполнения упомянутых в части третьей статьи 29 настоящего Закона обязанностей, директор Государственной инспекции данных и уполномоченные им работники Государственной инспекции данных имеют право:
1) свободно посещать любые нежилые помещения, в которых находится обработка персональных данных, и в присутствии представителя заведующего осуществлять необходимую проверку или другие мероприятия для определения соответствия процесса обработки персональных данных закону;
2) требовать письменное или устное объяснение от любого физического или юридического лица, связанного с обработкой персональных данных;
3) требовать предъявления документов и представления другой информации, относящейся к проверяемой обработке персональных данных;
4) требовать проверки обработки персональных данных, любого ее устройства или носителя информации и назначать экспертизу для изучения проверяемых вопросов;
5) в случае необходимости для обеспечения исполнения своих обязанностей приглашать работников исполнительных учреждений или других специалистов;
6) в случае необходимости подготавливать и представлять в исполнительные учреждения материалы для привлечения виновных лиц к ответственности;
7) составлять протокол об административном правонарушении в обработке персональных данных.
(2) Вовлеченные в регистрацию и проверки работники Государственной инспекции данных обеспечивают неразглашение полученной в ходе регистрации и проверок информации, за исключением публично доступной информации. Данный запрет имеет силу и после прекращения работником исполнения должностных обязанностей.
Статья 30.1
(1) Государственная инспекция данных является национальным надзорным учреждением, осуществляющим надзор за национальной частью иностранной информационной системой и проверяющей, не нарушаются ли в обработке включенных в иностранную информационную систему персональных данных права субъекта данных.
(2) Государственная инспекция данных осуществляет надзор за соблюдением в обработке личных данных, производимой в сотрудничестве с Международным бюро безопасности, установленных нормативными актами условий обработки персональных данных.
Статья 31.
(1) Изданный должностным лицом Государственной инспекции данных административный акт или его фактическое действие могут быть оспорены директору Государственной инспекции данных. Изданный директором административный акт или его фактическое действие, а также решение об оспоренном административном акте или фактическом действии могут быть обжалованы в исполнительный орган в установленном законом порядке.
(2) Оспаривание и обжалование решения директора или другого должностного лица Государственной инспекции данных о блокировании данных, постоянном или временном запрете на обработку данных не приостанавливает действие этого решения, за исключением случаев, когда оно приостанавливается по решению рассматривающего заявление лица.
Статья 32.
Если при нарушении настоящего Закона лицу причинен ущерб или нанесены убытки, оно имеет право на получение соответствующего возмещения.
Статья 33.
Настоящий закон вступает в силу со дня его официального опубликования.
Утверждено Председателем всемирного верховного совета-совета безопасности
