От персональных данных до «права быть забытым»: эксперт проанализировал третий раздел Цифрового кодекса КР

Опытный юрист ранее отметил, что принятие такого важного документа прошло в республике довольно тихо. Бурного обсуждения Кодекса среди экспертов не было, хотя этот документ заслуживает особого внимания.

В этот раз Акылбек Джусупов остановился на некоторых моментах третьего раздела Цифрового кодекса КР.

Глава 10 (Общие положения об обработке цифровых данных) устанавливает общие принципы и правила обработки[1] цифровых данных в КР. 

Есть 4 общих принципа: 

• принцип добровольности участия - осознанные права и обязанности;
• принцип добросовестности - забота о правах других субъектов;
• принцип повторного использования - при связанности новых целей;
• принцип совместимости и переносимости - комфорт обмена данными.

Использование технологий больших данных и интернета вещей разрешено без ограничений, при этом права принципалов сохраняются, а цифровые записи, создаваемые устройствами, принадлежат их владельцам (если нет соглашения).

Запрещается недобросовестная обработка, включая использование неточных данных, нарушение идентичности, дискриминация, избыточные сборы, навязывание условий, несоразмерность и неизвестность целей обработки.

В статье об обработке данных в цифровых сообществах, кажется, допущена ошибка. В частности, указывается о деятельности обработчика на основании «правового» акта, однако учитывая, что цифровое сообщество - объединение субъектов, независимо от наличия у него статуса юридического лица, то такое объединение может состоять только из частных субъектов. В этом случае, о каком правовом акте идет речь? Может правильнее было бы указать «локальный» или «внутренний» акт, ведь такой акт будет распространяться только для определенного круга лиц. 

Принципалы данных имеют широкие права на получение информации об обработке и доступ к своим данным, за исключением случаев, прямо ограниченных законом (оперативно-розыскная, уголовно-процессуальная, государственно-секретная деятельность); 

Владельцы записей обязаны исправлять и дополнять данные, обеспечивать их переносимость в стандартных форматах и информировать принципалов о произведенных изменениях, соблюдая установленные сроки.

Глава 11. Обработка персональных данных (ПД), содержит новые особенности для чувствительной информации.

Кодекс регулирует любую обработку персональных данных (цифровых и бумажных), кроме личных и семейных дел. 

Шесть принципов обработки ПД, на ответственности владельцев записей:

• принцип законности, справедливости, прозрачности;
• принцип ограничения цели - заранее определенной, конкретной цели;
• принцип минимизации данных - соразмерность целям обработки;
• принцип точности - неточные и неполные данные удаляются;
• принцип ограничения хранения - не больше, чем необходимо;
• принцип целостности и конфиденциальности - безопасность. 

Персональные данные обрабатываются на основании:

• договора;
• закона;
• защиты жизненных интересов субъекта ПД или иного лица;
• публичных полезных задач владельца записей (к примеру: человеческая жизнь, интересы общества, гуманитарные, экологические задачи);
• законных интересов владельца записей или третьего лица (при условии не нарушения прав субъекта ПД).

Если первые основания из указанных выше, смотрятся обоснованными, то расплывчатое и широкое описание третьего и четвертого оснований вызывает серьезные вопросы. Так как, слова «общие интересы» и «законные интересы владельца записей» могут содержать угрозу чрезмерного использования ПД, которые будут нарушать принципы «ограничения цели» и «минимизации данных». 

С другой стороны, часть 2 статьи 79, на мой взгляд, содержит запутанную формулировку: 

«Получение согласия субъекта на осуществление отдельных видов обработки его данных при наличии оснований обработки, предусмотренных частью 1 настоящей статьи, осуществляется в случаях, предусмотренных законом. При отсутствии оснований, предусмотренных частью 1 настоящей статьи, обработка осуществляется при условии получения согласия субъекта на обработку персональных данных и только для тех целей обработки, в отношении которых было получено согласие субъекта персональных данных». 

Что это означает? Согласие надо все равно получать, даже если есть основания их обработки или согласие требуется только при отсутствии оснований? Это очень принципиальный момент для бизнеса, так как необходимо четко решить при наличии договора (одно из оснований), надо ли брать отдельное согласие или договор и есть согласие субъекта?

Согласие должно быть конкретным и может быть отозвано в любой момент (процедура отзыва не должна быть сложнее выдачи). Если запрос на согласие написан непонятным языком или спрятан внутри другого документа, такое согласие считается недействительным.

Особые категории: Специальные данные и данные о детях (ст. 80–81)

Запрещена обработка чувствительных данных о расе, этносе, политике, религии, генетике, биометрии и здоровье, за исключением случаев, прямо прописанных в законе (например: исполнение договора, закон, медицинский диагноз, общественное здравоохранение, правосудие, статистика, нацэкосистема или национальная безопасность). Данные детей обрабатываются строго в их интересах. Для детей до 14 лет требуется согласие родителей, а с 14 лет подростки могут давать согласие самостоятельно в рамках своей дееспособности. Все обращения к детям должны быть изложены предельно ясным языком именно для ребенка.

Удаление данных, возражения и ограничения обработки (ст. 83–85)

Наконец-то в Кыргызстане внедряется «право быть забытым», в частности, владелец записей обязан удалять данные по требованию субъекта или при утрате оснований обработки. Однако такое право не влечет безусловного эффекта, так как владельцу все равно предоставлено право не удалять, ради свободы слова, исследований, защиты правовых обязательств. Субъект также может возразить против обработки после чего владелец записей обязан прекратить ее при наличии оснований (автоматические решения, дискриминация, отказ от записей, выход из сообщества и другое) и дать ответ в течение 7 рабочих дней. На время рассмотрения возражения или при возникновении оснований для исправления/удаления данных обработка должна быть ограничена с обязательным уведомлением об этом не позднее одного рабочего дня.

ПД могут обрабатываться не только владельцами записей, но и третьими лицами (обработчиками), на основании правового акта или договора. Договор должен детально регулировать тип ПД, обязанности, сроки, безопасность и учет операций. При совместном владении данные обрабатываются по опубликованному порядку распределения обязанностей; субъект может обращаться к любому из совместных владельцев. В экосистемах и сообществах ответственность за соблюдение правил несет владелец экосистемы или уполномоченное лицо.

По части защиты ПД внедрены новые требования по сравнению с теряющим силу законом об информации персонального характера. В частности, если у владельца записей более 10 сотрудников:

• должно быть определено лицо, ответственное за обработку из числа сотрудников или лиц извне;
• конструктивная защита при создании цифровых продуктов;
• ведение учета операций;
• обучение по обработке ПД. 

Весьма интересные положения прописаны по части «трансграничной передачи» (ст. 89). Теперь Агентство по ПД (уполномоченный госорган) ведет реестр государств, ведущих адекватную защиту ПД и передача в эти страны не может быть запрещена. Вроде бы идея хорошая! Но в государства, которые не признаны обеспечивающими адекватную защиту, тоже можно отправлять, при наличии специальных оснований (согласие, договор, интересы безопасности, защита жизни и другое) или договорных гарантий защиты. Другими словами, бизнес-компании КР могут прописать условия в заключаемых договорах с клиентами и тогда можно не руководствоваться этим перечнем? 

Касательно независимого отраслевого регулятора по ПД все на месте, как прежде. Он осуществляет надзор, консультирование, проверки, аккредитации, публикацию рекомендаций, взаимодействие с иностранными органами, ведение реестра «безопасных стран», инцидентов и нарушений, а также имеет широкие полномочия по требованию исправлений, блокированию обработки и судебной защите прав субъектов. Он обязан обеспечивать безопасность данных, которыми оперирует.

Глава 12. Пространственные данные. Данные о природных, искусственных и иных объектов (включая здания, сооружения) с местоположением. 

Эта глава устанавливает, что геодезические, картографические и данные о местоположении являются ключевым цифровым ресурсом, связывающим цифровые правоотношения с инфраструктурой страны. Пространственные данные должны быть полными, актуальными и достоверными, поскольку они служат основой для развития инфраструктуры, рационального использования природных ресурсов и охраны окружающей среды. При этом обеспечивается принцип совместного участия - доступ к пространственным данным должен быть открыт всем заинтересованным лицам, за исключением государственной тайны. При этом обработка таких данных не должна нарушать неприкосновенность частной жизни, жилища или свободу передвижения.

Глава о пространственных данных устанавливает систему регулирования метаданных, георесурса и обработки пространственных записей, обеспечивая их открытость, качество и совместимость: пространственные метаданные служат основой доступа и обмена пространственной информацией и подлежат обязательной публикации владельцами картографо‑геодезических фондов, если иное не ограничено законом. Национальный георесурс формирует единую государственную базу пространственных данных и метаданных, управляемую уполномоченным органом, который отвечает за их полноту, стандарты и актуальность; доступ к нему бесплатный и осуществляется по лицензионным условиям. Геосайт обеспечивает открытый и бесплатный доступ к пространственным данным, метаданным, стандартам и форматам в цифровой форме. Совместимость и переносимость данных обеспечиваются через применение международных и государственных стандартов.

Глава 13. О цифровых реестрах (ресурсах, состоящих из записей, прав на использование объектов учета). 

В частности, Цифровой кодекс КР регулирует цифровые реестры (принадлежащие КР), подтверждающие принадлежность прав на использование следующих объектов учета: 

• элементы нацэкосистемы (совокупность общедоступных цифровых систем, ресурсов и сервисов для работы по единым правилам);
• радиочастотный спектр (госресурс для работы внутри КР);
• нумерация (единая госсистема распределения).

Цифровой реестр нацэкосистемы устанавливает единый механизм учета элементов национальной цифровой экосистемы, обеспечивающий их взаимодействие, совместимость и прозрачность: в реестр включаются цифровые записи об элементах нацэкосистемы с указанием их владельцев, пользователей, связанных госсервисов, взаимодействующих элементов, способов и результатов использования, параметров доступности, используемых форматов данных и лиц, ответственных за их защиту. Включение объектов в реестр осуществляется добровольно и бесплатно, при условии подтверждённой совместимости, успешного тестирования и предоставления необходимых данных. Обновление сведений и исключение объекта происходит по обращению владельца, а все цифровые записи являются общедоступными и предоставляются через госсервисы и систему цифрового взаимодействия, что обеспечивает открытость и интеграцию элементов цифровой инфраструктуры страны.

Цифровой реестр о радиочастотном спектре устанавливает полную государственную систему управления частотным ресурсом: распределения, выделения и присвоения радиочастот. Распределение частот осуществляется на основе международных правил. Радиочастоты предоставляются на ограниченный срок, могут быть сервисными и распределяются, как правило, на торгах. 

Цифровой реестр нумерации устанавливает монополию на распределение нумерации и формирует систему их прозрачного учёта: права на использование номеров возникают, изменяются и прекращаются исключительно через записи в реестре (вне реестра запрещено), который является общедоступным. Принципалы обязаны ежегодно оплачивать использование нумерации. Изменения в Национальный план нумерации, должны публиковаться минимум за 2 года, с последующим уведомлением операторов и пользователей, что позволяет менять номера без согласия пользователей при условии предварительного уведомления не менее чем за 6 месяцев.

Напомним, эксперт Акылбек Джусупов поделился своими мыслями о первых двух разделах Цифрового кодекса КР в конце декабря 2025 года. Он обозначил это как первые мысли третьего человека к этому документу.

Справка:

¹Обработка - любое действие (операция) или совокупность действий (операций), совершаемых с цифровыми данными (цифровыми записями), включая сбор, запись, организацию, структурирование, накопление, хранение, адаптацию или изменение, загрузку, просмотр, использование, раскрытие посредством передачи, распространение, обмен или иной вид предоставления доступа, сопоставление или комбинирование, сокращение, удаление или уничтожение.