ЗАКОН РЕСПУБЛИКИ ТАДЖИКИСТАН
О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Принят Постановлением МН МОРТ
от 8 июня 2018 года, №1115
Одобрен Постановлением ММ МОРТ
от 2 августа 2018 года, №561
Настоящий Закон определяет правовые и организационные основы деятельности, связанной со сбором, обработкой и защитой персональных данных.
ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. Основные понятия
В настоящем Законе используются следующие основные понятия:
- биометрические персональные данные - персональные данные, определяющие физиологические и биологические особенности субъекта;
- персональные данные - сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность;
- сбор персональных данных - действия, направленные на получение персональных данных;
- уничтожение персональных данных - действия, в результате которых невозможно восстановить персональные данные;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- база персональных данных (далее - база данных) - совокупность упорядоченных персональных данных;
- обладатель базы данных (далее - обладатель) - государственный орган, физическое и юридическое лицо, имеющие в соответствии с законодательством Республики Таджикистан право владения, пользования, распоряжения базой данных;
- оператор базы данных (далее - оператор) - государственный орган, физическое и юридическое лицо, осуществляющие на основании законодательства Республики Таджикистан или договора с обладателем обработку и защиту персональных данных;
- защита персональных данных - комплекс мер, осуществляемых в целях предотвращения несанкционированного доступа к персональным данным;
- обработка персональных данных - действия, направленные на запись, систематизацию, хранение, изменение, дополнение, извлечение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
- использование персональных данных - действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;
- хранение персональных данных - действия по обеспечению целостности, конфиденциальности и доступности персональных данных;
- распространение персональных данных - действия, направленные на передачу персональных данных неопределенному кругу лиц;
- субъект персональных данных (далее - субъект) - физическое лицо, к которому относятся соответствующие персональные данные;
- третье лицо - лицо, не являющееся субъектом, обладателем и оператором, но связанное с ними обстоятельствами или правоотношениями по персональным данным;
- материальные носители - материальные объекты, (в том числе физические поля), на которых персональные данные отражаются в виде символов, видов и звука;
- действия (операции) обладателя с персональными данными - сбор, хранение, уточнение, передача, изъятие, обезличивание и уничтожение персональных данных;
- режим конфиденциальности персональных данных - установленные правила, определяющие доступность, передачу и условия хранения персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранных государств.
Статья 2. Законодательство Республики Таджикистан о защите персональных данных
Законодательство Республики Таджикистан о защите персональных данных основывается на Конституции Республики Таджикистан и состоит из настоящего Закона, других нормативных правовых актов Республики Таджикистан, а также международных правовых актов, признанных Таджикистаном.
Статья 3. Сфера действия настоящего Закона
- Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.
- Действие настоящего Закона не распространяется на:
- обработку и защиту персональных данных субъектами исключительно для личных и семейных нужд, если при этом не нарушаются права других физических и (или) юридических лиц;
- формирование, хранение, учёт и использование содержащих персональные данные документов Национального архивного фонда Республики Таджикистан и других архивных документов в соответствии с законодательством Республики Таджикистан;
- обработку и защиту персональных данных, отнесённых в соответствии с законодательством Республики Таджикистан к государственным секретам.
Статья 4. Принципы сбора, обработки и защиты персональных данных
Сбор, обработка и защита персональных данных основывается на следующих принципах:
- соблюдение прав и свобод гражданина и человека;
- законность;
- справедливость;
- гласность и прозрачность;
- конфиденциальность персональных данных ограниченного доступа;
- равенство прав субъектов, обладателей и операторов;
- обеспечение безопасности личности, общества и государства.
ГЛАВА 2. ГОСУДАРСТВЕННАЯ ГАРАНТИЯ И РЕГУЛИРОВАНИЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 5. Государственная гарантия защиты персональных данных
- Защита персональных данных гарантируется государством.
- Сбор и обработка персональных данных осуществляются при наличии сертификата соответствия уполномоченного государственного органа по защите персональных данных и информационной безопасности.
- Для обеспечения охраны персональных данных должны приниматься меры по их защите от непреднамеренной или несанкционированной утечки, копирования, хищения, потери, изменения (подделки), разглашения или уничтожения.
Статья 6. Полномочия Президента Республики Таджикистан по защите персональных данных
В полномочия Президента Республики Таджикистан по защите персональных данных входит:
- утверждение нормативных правовых актов по защите персональных данных;
- определение уполномоченного государственного органа по защите персональных данных и утверждение его положения;
- осуществление иных полномочий, предусмотренных законодательством Республики Таджикистан.
Статья 7. Полномочия государственного уполномоченного органа по защите персональных данных
Государственный уполномоченный орган по защите персональных данных имеет следующие полномочия:
- реализация государственной политики по защите персональных данных;
- разработка нормативных правовых актов по защите персональных данных и представление Президенту Республики Таджикистан на утверждение;
- утверждение перечня персональных данных, необходимых и достаточных для осуществления деятельности обладателем, оператором и третьим лицом;
- утверждение порядка осуществления обладателем, оператором и третьим лицом мер по защите персональных данных;
- рассмотрение обращений физических и юридических лиц по вопросам защиты персональных данных;
- определение списка ответственных лиц за соблюдение законодательства Республики Таджикистан о защите персональных данных и принятие мер по привлечению их к ответственности.
ГЛАВА 3. СБОР, ОБРАБОТКА И ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 8. Условия сбора и обработки персональных данных
- Сбор и обработка персональных данных осуществляются обладателем и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 настоящего Закона.
- Сбор и обработка персональных данных должны ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
- Содержание и объем собираемых и обрабатываемых персональных данных должны соответствовать заявленным целям сбора и обработки.
- При сборе и обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и значимость по отношению к целям сбора и обработки персональных данных. Оператор должен принимать необходимые меры по уточнению неполных или неточных данных.
- Субъект данных должен быть уведомлен о собираемых в отношении него данных, ему обеспечивается доступ к касающимся его данным, а также он вправе требовать исправления неточных или вводящих в заблуждение данных, если законодательством Республики Таджикистан не предусмотрено иное.
- Сбор и обработка персональных данных умершего, признанного судом, безвестно пропавшим или объявленного умершим субъекта, осуществляются в соответствии с законодательством Республики Таджикистан.
Статья 9. Доступность персональных данных
- Персональные данные подразделяются на общедоступные и ограниченного доступа.
- Доступность общедоступных персональных данных является свободным с согласия субъекта или, на них, в соответствии с законодательством Республики Таджикистан, не распространяются требования режима секретности.
- В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).
- Доступность персональных данных ограниченного доступа ограничена законодательством Республики Таджикистан.
Статья 10. Доступ к персональным данным
- Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного обладателю, оператору и третьему лицу на их сбор и обработку, кроме случаев, предусмотренных статьёй 9 настоящего Закона.
- Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается обладателю, оператору и третьему лицу в установленной законодательством Республики Таджикистан форме.
- Отношения между обладателем, оператором и третьим лицом относительно доступа к персональным данным регулируются Законом Республики Таджикистан "О праве на доступ к информации".
Статья 11. Порядок выдачи согласия (его отзыва) субъекта на сбор и обработку персональных данных
- Субъект или его законный представитель выдает (отзывает) согласие на сбор и обработку персональных данных, установленных законодательством Республики Таджикистан формах.
- Субъект или его законный представитель не может отозвать согласие на сбор и обработку персональных данных в случаях, предусмотренных статьёй 9 настоящего Закона.
Статья 12. Сбор и обработка персональных данных без согласия субъекта
Сбор и обработка персональных данных без согласия субъекта или его законного представителя производятся в следующих случаях:
- выполнение государственными органами функций, предусмотренных законодательством Республики Таджикистан;
- защита конституционных прав и свобод человека и гражданина.
Статья 13. Конфиденциальность персональных данных
- Обладатель, оператор и третье лицо, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований по недопущению их распространения без согласия субъекта или его законного представителя.
- Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.
- Конфиденциальность биометрических данных устанавливается законодательством Республики Таджикистан.
Статья 14. Накопление и хранение персональных данных
- Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для осуществления деятельности обладателем, оператором и третьим лицом.
- Хранение персональных данных, база которых расположена только в Республике Таджикистан, осуществляется обладателем, оператором и третьим лицом, за исключением случаев, согласованных с уполномоченным государственным органом по защите персональных данных.
- Срок хранения персональных данных определяется датой достижения целей их обработки, если законодательством Республики Таджикистан не предусмотрено иное.
Статья 15. Изменение и дополнение персональных данных
Изменение и дополнение персональных данных осуществляются обладателем, оператором и третьим лицом на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законодательством Республики Таджикистан.
Статья 16. Распространение персональных данных
- Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и юридических лиц, за исключением случаев, предусмотренных законодательством Республики Таджикистан.
- Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора и обработки, осуществляется с согласия субъекта или его законного представителя, за исключением случаев, предусмотренных законодательством Республики Таджикистан.
Статья 17. Биометрические персональные данные
- Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
- Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением уголовного преследования и правосудия, исполнением судебных актов, а также в случаях, предусмотренных законодательством Республики Таджикистан об обороне, о безопасности, об оперативно-розыскной деятельности, противодействии терроризму, экстремизму, коррупции и легализации (отмыванию) доходов, полученных преступным путём, финансированию терроризма и финансированию распространения оружия массового поражения, исполнения уголовного наказания, приобретения и прекращения гражданства Республики Таджикистан и о государственной службе.
Статья 18. Трансграничная передача персональных данных
- Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Законом. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Республики Таджикистан, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
- Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
- наличия согласия субъекта или его законного представителя на трансграничную передачу его персональных данных;
- предусмотренных международными договорами, признанными Таджикистаном;
- предусмотренных законодательством Республики Таджикистан, если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения, обеспечения обороны страны и безопасности государства;
- защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно.
Статья 19. Обезличивание персональных данных
При обработке персональных данных для проведения статистических, социологических, научных исследований обладатель, оператор и третье лицо обязаны их обезличить.
Статья 20. Уничтожение персональных данных
Персональные данные подлежат уничтожению обладателем, оператором и третьим лицом:
- по истечении срока хранения в соответствии с частью 3 статьи 14 настоящего Закона;
- при прекращении правоотношений между субъектом и обладателем, оператором или третьим лицом;
- при вступлении в законную силу решения суда.
Статья 21. Уведомление о передаче персональных данных
- Обладатель или оператор, передавший персональные данные третьим лицам, а равно третье лицо, получившее персональные данные не от субъекта таких персональных данных, обязаны в срок, не превышающий трёх рабочих дней, направить субъекту уведомление, содержащее сведения, указанные в части 2 настоящей статьи.
- В уведомлении указываются следующие сведения:
- фамилия и имя физического лица, наименование юридического лица, адрес третьего лица, получившего персональные данные;
- цель обработки персональных данных в соответствии со статьей 5 настоящего Закона;
- источник получения персональных данных.
- Обладатель, оператор и третье лицо освобождаются от обязанности, предусмотренной частью 1 настоящей статьи, в следующих случаях:
- если субъект дал свое согласие на передачу персональных данных;
- при выполнении государственными органами функций, предусмотренных законодательством Республики Таджикистан;
- персональные данные сделаны общедоступными субъектом персональных данных или по его просьбе;
- если предоставление субъекту сведений, предусмотренных частью 2 настоящей статьи, нарушает права и законные интересы иных лиц.
- Обработка переданных персональных данных осуществляется для статистических или иных научно - исследовательских целей, если при этом не нарушаются права и законные интересы субъекта персональных данных.
ГЛАВА 4. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА
Статья 22. Право субъекта на доступ к его персональным данным
- Субъект имеет право на получение сведений, указанных в части 4 настоящей статьи, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект вправе требовать от обладателя, оператора и третьего лица уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Республики Таджикистан меры по защите своих прав.
- Сведения, указанные в части 4 настоящей статьи, предоставляются субъекту или его законному представителю обладателем, оператором и третьим лицом при обращении либо при получении запроса субъекта или его законного представителя.
- Сведения, указанные в части 4 настоящей статьи, должны быть предоставлены субъекту обладателем, оператором и третьим лицом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
- Субъект имеет право на получение информации, касающейся сбора и обработки его персональных данных, в том числе содержащей:
- подтверждение факта сбора и обработки;
- правовые основания и цели сбора и обработки;
- цель и применяемые способы сбора и обработки;
- наименование и место нахождения обладателя, оператора и третьего лица, сведения о лицах (за исключением работников обладателя, оператора и третьего лица), имеющих доступ к персональным данным, или которым могут быть раскрыты персональные данные;
- сроки сбора и обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом прав, предусмотренных настоящим Законом;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных.
- Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Таджикистан.
Статья 23. Обязанность субъекта
Субъект обязан предоставлять свои персональные данные в случаях, установленных законодательством Республики Таджикистан.
ГЛАВА 5. ПРАВА И ОБЯЗАННОСТИ ОБЛАДАТЕЛЯ, ОПЕРАТОРА И ТРЕТЬЕГО ЛИЦА
Статья 24. Права обладателя, оператора и третьего лица
Обладатель, оператор и третье лицо имеют право:
- осуществлять сбор и обработку персональных данных в порядке, установленном настоящим Законом и иными нормативными правовыми актами Республики Таджикистан;
- принимать для защиты персональных данных необходимые меры, в том числе правовые, организационные и технические, в соответствии с законодательством Республики Таджикистан.
Статья 25. Обязанности обладателя, оператора и третьего лица
- Обладатель, оператор и третье лицо обязаны:
- утверждать перечень персональных данных, необходимых и достаточный для выполнения осуществляемых ими задач, если законодательством Республики Таджикистан не предусмотрено иное;
- принимать меры по уничтожению персональных данных в случае достижения цели их сбора и обработки, а также в иных случаях, установленных настоящим Законом и иными нормативными правовыми актами Республики Таджикистан;
- представлять доказательства о получении согласия субъекта на сбор и обработку его персональных данных в случаях, предусмотренных законодательством Республики Таджикистан;
- представить субъекту или его законному представителю информацию, относящуюся к нему, в течение трёх рабочих дней со дня получения обращения.
- Обладатель, оператор и третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие решение следующих задач:
- предотвращение несанкционированного доступа к персональным данным;
- своевременное обнаружение фактов несанкционированного доступа к персональным данным;
- минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным.
- Обязанности обладателя, оператора и третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
ГЛАВА 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Статья 26. Ответственность за несоблюдение требований настоящего Закона
За несоблюдение требований настоящего Закона физические и юридические лица привлекаются к ответственности в соответствии с законодательством Республики Таджикистан.
Статья 27. Порядок введения в действие настоящего Закона
Настоящий Закон ввести в действие после его официального опубликования.
Президент
Республики Таджикистан Эмомали Рахмон
г. Душанбе,
от 3 августа 2018 года,
№1537