Январь 5, 2024

Типовые порядки в сфере обработки персональных данных

Недавно в Республике Узбекистан были утверждены типовые порядки обработки персональных данных и организации деятельности уполномоченных лиц (структурных подразделений), обеспечивающих защиту персональных данных. Наш новый меморандум раскрывает содержание этих новых актов законодательства в сфере защиты персональных данных.

Оглавление: 

  1. Введение 
  2. Законодательство 
  3. Условия обработки персональных данных 
  4. Обработка персональных данных 
  5. Распространение персональных данных 
  6. Трансграничная передача персональных данных 
  7. Обезличение и уничтожение персональных данных 
  8. Организация деятельности подразделения или уполномоченного лица собственника или оператора базы по защите персональных данных 
  1. Введение

С принятием в 2019 году Закона Республики Узбекистан «О персональных данных» (далее — Закон) со стороны государственных органов предпринимаются действия по всесторонней защите персональной информации.  Так, в ноябре 2023 года Министр юстиции Республики Узбекистан Приказом № 19-мх и Приказом №20-мх утвердил типовые порядки обработки персональных данных в организациях.

Понятие «типовой порядок» впервые было упомянуто в ст.8 и 31 Закона. Однако до ноября 2023 года статьи не имели подробной информации, раскрывающих содержание типовых порядков.

  1. Законодательство

1) Закон Республики Узбекистан «О персональных данных» от 02.07.2019 г. № ЗРУ-547;

2) Приказ Министра юстиции Республики Узбекистан «Об утверждении типового порядка обработки персональных данных», зарегистрировано 15.11.2023 г., рег. номер 3478 (далее — Типовой порядок № 1);

3) Приказ Министра юстиции Республики Узбекистан «Об утверждении типового порядка организации деятельности структурного подразделения или уполномоченного лица владельца и (или) оператора базы персональных данных, обеспечивающего обработку и защиту персональных данных», зарегистрировано 15.11.2023 г., рег. номер 3477 (далее — Типовой порядок № 2).

  1. Условия обработки персональных данных

Лицами, участвующими в обработке персональных данных, являются:

1) субъект персональных данных — физическое лицо, чьи личные данные обрабатывается;

2) собственник и (или) оператор базы персональных данных;

3) третьи лица, допущенные к обработке персональных данных с согласия субъектов.

В свою очередь, персональные данные подразделяются на общедоступные и не являющиеся общедоступными. В отличие от данных, не являющихся общедоступными, первая категория данных находится в свободном доступе, не требует получения согласия субъекта и не защищаются законодательными актами.

Закон и Типовой порядок №1 выделяют случаи, когда обработка персональных данных собственником или оператором базы персональных данных осуществляется законно. К ним относятся:

  • обработка персональных данных после получения согласия субъекта;
  • обработка персональных данных для исполнения договора с субъектом или их использование в законных интересах субъекта;
  • обработка оператором базы персональных данных в целях исполнения его обязательств, определенных в законодательстве;
  • обработка персональных данных в статистических и иных исследовательских целях после их обезличения;
  • обработка персональных данных, которые находятся в открытом доступе.

 

  1. Обработка персональных данных

Для начала процесса обработки личных данных, субъекту необходимо дать на то согласие в письменной или в электронной форме. Для квалификации согласия Типовой порядок № 1 устанавливает перечень необходимых сведений.

В случае если персональные данные были введены в базу с ошибкой или же нужно внести в них изменения, то по письменному заявлению субъекта оператор в течение трех дней проводит исправление или дополнение персональных данных.

Кроме того, операторам запрещается использование персональных данных для целей, заранее неуказанных в условиях обработки данных.

У субъекта имеется право отозвать свое согласие без указания причины и потребовать уничтожения своих данных.

  1. Распространение персональных данных

Персональные данные могут передаваться третьим лицам или распространяться оператором, если субъект предоставил свое согласие на их передачу.

Не исключено, что государственные органы и иные организации  могут запросить персональные данные у оператора. В таком случае, правомерно оператору уведомить субъекта до их передачи.

  1. Трансграничная передача персональных данных

Трансграничной передачей персональных данных называется передача персональных данных за переделы Республики Узбекистан, где предоставляется адекватная защита персональных данных.

Она возможна в случаях если:

  • есть согласие субъекта на передачу;
  • присутствует необходимость передачи данных ввиду охраны конституционного строя Республики Узбекистан, общественного порядка, прав и свобод граждан, здоровья и нравственности населения;
  • передача персональных данных предусмотрена международным договором.

 

  1. Обезличение и уничтожение персональных данных

При проведении исследовании и сборе статистических данных оператору или третьему надлежит обезличить персональные данные или, иными словами исключить возможность идентификации субъекта.

Процедура обезличивания безвозвратно уничтожает персональные данные и не требует получения согласия субъекта.

В дополнение, оператор в течение трех дней обязан уничтожить персональные данные субъекта, в случае:

  • отзыва субъектом согласия на обработку персональных данных;
  • достижения цели обработки персональных данных;
  • истечение срока обработки данных, если оно ранее заявлено оператором;
  • вступления в силу решения суда об уничтожении данных.

Первый упомянутый случай и его срок исполнения (п.23 Типового порядка № 1)  находится в противоречии с п. 10 Типового порядка  № 1, где установлен иной срок уничтожения персональных данных равный одному рабочему дню, следующего за днем поступления заявления.

  1. Организация деятельности подразделения или уполномоченного лица собственника или оператора базы по защите персональных данных

Деятельность специального подразделения или уполномоченного лица осуществляется в соответствии  с положениями Закона, требованиями типовых порядков и правилами внутреннего распорядка, утвержденных собственником  или оператором. На  их основании, подразделение или уполномоченное лицо вправе не выполнять противозаконные требования собственника или оператора. 

Основными задачами подразделения или уполномоченного лица собственника (оператора) базы персональных данных являются:

  • обеспечение защиты, сохранности и конфиденциальности персональных данных;
  • предотвращение несанкционированного доступа к обработке персональных данных;
  • проведение семинаров и тренингов для сотрудников, работающих с персональными данными;
  • выявление угроз, устранение их причин и разработка предложений по улучшению недостатков в базе персональных данных.  

Более того, при ликвидации подразделения, переводе сотрудников подразделения или расторжении с ними трудового договора, собственник или оператор обязуется закрыть доступ к персональным данным не позднее последнего рабочего дня.

П.7 Типового порядка № 2 закрепляет за подразделением или уполномоченным лицом право обращаться в Агентство персонализации при Министерстве юстиции Республики Узбекистан для получения рекомендаций касательно решения проблем, связанных с персональными данными.