Приложение
к приказу Государственного
агентства по защите
персональных данных при
Кабинете Министров
Кыргызской Республики
от «15» апреля 2025 года № 27
Порядок
получения согласия субъекта персональных данных на сбор и
обработку его персональных данных, в том числе в форме
электронного документа, включая цели предоставления
государственных и муниципальных услуг
1. Общие положения
1. Настоящий Порядок устанавливает требования к форме и процедуре получения согласия субъекта персональных данных на сбор и обработку его персональных данных, в том числе в форме электронного документа в соответствии с Законом Кыргызской Республики «Об информации персонального характера» (далее – Закон).
2. Настоящий Порядок подлежит применению держателями (обладателями) массивов персональных данных, осуществляющими сбор, хранение, обработку, использование, передачу персональных данных, включая трансграничную передачу персональных данных.
3. Используемые в настоящем Порядке понятия применяются в значениях, определенных в законах Кыргызской Республики «Об информации персонального характера», «Об электронной подписи», «Об электронном управлении».
2. Процедура получения согласия
4. Перед началом процедуры обработки персональных данных субъекта, в целях, определенных держателем (обладателем) массива персональных данных, должно быть получено согласие субъекта персональных данных на обработку его персональных данных. Для получения согласия на обработку персональных данных на официальном сайте, в приложении или другом цифровом решении размещаются формы согласия. Эти формы могут быть представлены как на бумажном носителе, так и в электронном виде, в зависимости от того, через какое цифровое решение осуществляется сбор данных.
5. Держатель (обладатель) массива персональных данных должен ознакомить субъекта персональных данных перед предоставлением им своих персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также проинформировать об ином возможном использовании персональных данных.6. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных и дает согласие на их сбор и обработку свободно, осознанно и в форме, позволяющей подтвердить факт его получения, за исключением случаев, предусмотренных статьей 15 Закона.
7. Персональные данные предоставляются субъектом лично либо через доверенное лицо.
8. Данные хранятся в условиях, обеспечивающих их защиту и конфиденциальность, согласно законодательству Кыргызской Республики в сфере информации персонального характера.
9. Держатель (обладатель) массива персональных данных обязан обеспечивать конфиденциальность и защиту обрабатываемых данных от несанкционированного доступа, изменения, раскрытия или уничтожения.
10. Держатель (обладатель) массива персональных данных обязан в течение всего срока обработки (и хранения) персональных данных хранить информацию, позволяющую предоставить доказательство согласия субъекта персональных данных на предоставление своих персональных данных и осуществление процедур, связанных с обработкой его персональных данных, в частности:
1) при информационном взаимодействии посредством обмена электронными документами, подписанными электронной подписью в соответствии с законодательством Кыргызской Республики – электронный документ, подписанный электронной подписью субъекта персональных данных или его доверенного лица (представителя) и содержащий предусмотренное настоящим Порядком согласие субъекта персональных данных в форме электронного документа на обработку его персональных данных;
2) при информационном взаимодействии в электронном формате путем получения доступа к информационной системе держателя (обладателя) массива персональных данных с использованием логина и пароля субъекта персональных данных или его доверенного лица (представителя) – сведения о факте доступа к информационной системе с использованием данного логина и пароля, протокол действий субъекта персональных данных или его доверенного лица в информационной системе с использованием данного логина и пароля;
3) при осуществлении процедур, связанных с обработкой персональных данных субъекта без использования электронных документов или информационных систем – документ на бумажном носителе, заверенный собственноручной подписью лица, предоставляющего персональные данные (субъекта персональных данных или его доверенного лица (представителя), однозначно подтверждающий факт дачи субъектом персональных данных согласия на сбор и обработку его персональных данных.
3. Форма согласия
11. Согласие субъекта персональных данных должно быть выражено в письменной форме на бумажном носителе либо в форме электронного документа, подписанного в соответствии с законодательством Кыргызской Республики об электронной подписи.
12. Согласие субъекта персональных данных, в том числе в форме электронного документа, на сбор и обработку его персональных данных, включая цели предоставления государственных и муниципальных услуг (далее – согласие субъекта), в соответствии с собираемыми перечнями данных должно включать следующее:
1) фамилию, имя, отчество (при наличии) субъекта персональных данных (по усмотрению держателя (обладателя) массива персональных данных данные документа, удостоверяющего его личность, контактные данные);
2) наименование или фамилию, имя, отчество и адрес держателя (обладателя) массива персональных данных или обработчика, получающего согласие субъекта персональных данных;
3) указание на основание и цель сбора, использования, обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) наименование или фамилия, имя, отчество и адрес обработчика (при наличии);
6) перечень действий с персональными данными, на совершение которых дается согласие, включая возможность передачи персональных данных третьей стороне, иное возможное использование персональных данных, общее описание используемых держателем (обладателем) массива персональных данных способов обработки персональных данных;
7) срок или период, в течение которого действует согласие субъекта персональных данных, если иное не установлено Законом. Если срок согласия различается для каждой цели, то его необходимо обозначить для каждой цели отдельно. Для каждой цели обработки необходимо брать отдельное согласие на каждую цель.
13. Согласие субъекта персональных данных в целях получения государственных и муниципальных услуг предоставляется по типовой форме согласно приложению к настоящему Порядку.
14. Согласие субъекта персональных данных, получаемое в иных целях, отличных от целей получения государственных и муниципальных услуг, составляется в произвольной форме, позволяющей подтвердить факт его получения в соответствии с требованиями настоящего Порядка и Закона.
15. Согласие субъекта персональных данных считается полученным в соответствии с требованиями Закона Кыргызской Республики «Об информации персонального характера», если держатель (обладатель) массива персональных данных может однозначно подтвердить факт его предоставления. Для этого должен быть установлен четкий алгоритм фиксации согласия, позволяющий достоверно зафиксировать его получение, в том числе при выражении в виде отметки в чекбоксе или нажатия кнопки с последующим формированием документа.
4. Процедура подтверждения получения согласия
16. Держатель (обладатель) массива персональных данных обязан обеспечить возможность подтверждения факта получения согласия субъекта на обработку его персональных данных. Для этого держатель (обладатель) массива персональных данных использует один или несколько из следующих механизмов:
1) ведение записей о получении согласия (держатель (обладатель) массива персональных данных обязан вести журналы учета, в которых фиксируются факты предоставления согласия, дата и время его получения, а также содержание согласия. Записи могут вестись в электронном виде или на бумажных носителях);
2) использование информационных систем для хранения согласий (держатель (обладатель) массива персональных данных может использовать автоматизированные системы, обеспечивающие регистрацию, хранение и последующий поиск информации о полученных согласиях, при этом гарантировать неизменность сохраненной информации, обеспечивать защиту от несанкционированного доступа, а также позволять идентифицировать пользователя);
3) применение технических средств фиксации действий субъекта, свидетельствующие о предоставлении согласия (в ходе работы с автоматизированной системой может применяться логирование действий пользователей);
4) проведение аудита (держатель (обладатель) массива персональных данных проводит регулярный мониторинг согласий, записей и отчетностей в целях предотвращения нарушений, выявления подделок и несоответствий, а также контроля соответствия требованиям законодательства). В зависимости от особенностей обработки данных и технологических решений держатель (обладатель) массива персональных данных может использовать иные способы фиксации согласия, при условии их соответствия требованиям законодательства Кыргызской Республики в сфере информации персонального характера.
17. Держатель (обладатель) массива персональных данных обеспечивает хранение информации о полученных согласиях в течение срока, установленного законодательством в сфере информации персонального характера. В случае необходимости держатель (обладатель) массива персональных данных обязан предоставить доказательства получения согласия по запросу субъекта персональных данных или уполномоченного органа в сфере информации персонального характера.