ID Разработчик Дата размещения Дата завершения Кол-во предложений
9357 Государственный центр персонализации при Кабинете Министров Республики Узбекистан 23/10/2019 06/11/2019 2

Обсуждение завершено

Постановление Кабинета Министров Республика Узбекистан
"Об утверждении Положения о порядке регистрации баз персональных данных в Государственном реестре баз персональных данных и Типового порядка обработки персональных данных"
ID-9357

Во исполнение Закона Республики Узбекистан «О персональных данных», а также обеспечения регистрации, систематизации и учета баз персональных данных
и контроля над соответствием обработки персональных данных требованиям законодательства Республики Узбекистан Кабинет Министров постановляет:

1. Утвердить:

Положение о порядке регистрации баз персональных данных в Государственном реестре баз персональных данных согласно приложению №1;

Типовой порядок обработки персональных данных согласно приложению №2.

2. Государственному центру персонализации при Кабинете Министров Республики Узбекистан совместно с заинтересованными министерствами и ведомствами
в двухмесячный срок привести принятие ими нормативно-правовые акты в соответствие с настоящим постановлением.

Контроль за исполнением настоящего постановления возложить на директора Государственного центра персонализации при Кабинете Министров
Республики Узбекистан Н.С. Тураходжаева.

 

Премьер-министр

Республики Узбекистан                                                                                                                            А.Н. Арипов

 

Приложение №1

к постановлению Кабинета Министров

от «___»______2019 г. №

 

 

Положение

о порядке регистрации баз персональных данных в Государственном реестре баз персональных данных

Глава 1. Общие положения

1. Государственный реестр баз персональных данных создается в целях регистрации и систематизации учета баз персональных данных, а также обеспечения контроля над соответствием обработки персональных данных требованиям законодательства Республики Узбекистан.

2. Ведение Государственного реестра баз персональных данных возлагается на Государственный центр персонализации при Кабинете Министров Республики Узбекистан.

3. Настоящее Положение определяет порядок ведения и регистрации баз персональных данных в Государственном реестре баз персональных данных, ответственность, права и обязанности собственника и (или) оператора базы.

Глава 2. Сокращения и определения

 

4. В настоящем Положении используются следующие основные понятия и сокращения:

База персональных данных – база данных в виде информационной системы, содержащая в своем составе персональные данные.

Государственный реестр баз персональных данных (Госреестр) перечень баз персональных данных, в которых собственник и (или) оператор обрабатывает персональные данные.

ГЦП – Государственный центр персонализации при Кабинете Министров Республики Узбекистан.

ЕПИГУ - Единый портал интерактивных государственных услуг.

Обработка персональных данных – любое действие или совокупность действий, совершаемых оператором и (или) собственником с использованием средств автоматизации с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, дополнение, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

Оператор базы персональных данных (оператор) – государственный орган, физическое и (или) юридическое лицо, определяющие цели и состав персональных данных, подлежащих обработке, действие или совокупность действий, совершаемых с персональными данными.

Собственник базы персональных данных (собственник) - государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановление содержания персональных данных в информационной системе оператора и (или) собственника базы данных.

Глава 3. Порядок регистрации баз персональных данных

 

5. Базы персональных данных собственника и (или) оператора подлежат регистрации в Госреестре.

6.  Регистрация базы персональных данных осуществляется на основании заявления. Для направления заявления о регистрации базы персональных данных необходимо авторизоваться через портал Единой системы идентификации (id.gov.uz) и сформировать заявление в форме электронного документа, подписанного ЭЦП уполномоченного лица, с содержанием следующей информации о регистрируемой базе данных:

тип оператора (юридическое лицо, физическое лицо);

наименование оператора, Ф.И.О. руководителя организации или физического лица, ИНН организации или физического лица, номер свидетельства о государственной регистрации организации или номер удостоверения на осуществление коммерческой деятельности, телефон, факс, электронная почта, адрес, кадастровый номер;

наименование базы персональных данных;

дата начала обработки персональных данных;

срок или условие прекращения обработки персональных данных;

вид базы данных (электронная, электронно-бумажная и т.п.);

адрес местонахождения персональной базы данных;

цель обработки персональных данных;

возможность удаленного управления базой данных;

отметка о разрешении от субъекта на обработку его персональных данных;

сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

Ф.И.О. и должность ответственного лица за обработку персональных данных;

состав обрабатываемых персональных данных.

7. Сведения, указанные в п. 6, а также права и обязанности собственника и (или) оператора, должны соответствовать сведениям, указанным в разработанном собственником и (или) оператором «Порядке обработки персональных данных».

8. Решение о внесении собственника и (или) оператора в Госреестр ГЦП принимается в течение двадцати рабочих дней с даты регистрации заявления на веб-портале ГЦП.

9. На основании принятого решения ГЦП вносит в Госреестр базу персональных данных собственника и (или) оператора, с присвоением регистрационного номера.

10. Датой внесения собственника и (или) оператора в Госреестр считается дата выдачи свидетельства о регистрации базы персональных данных в Госреестре.

11. После регистрации базы персональных данных в Госреестре, ГЦП направляет собственнику и (или) оператору в электронной форме свидетельство о регистрации базы персональных данных в Госреестре, согласно приложению.

12. Информация о внесении собственника и (или) оператора в Госреестр должна быть опубликована на официальном сайте ГЦП.

13. В случае предоставления собственником и (или) оператором неполных сведений, указанных в пункте 6 ГЦП вправе перед регистрацией заявления запросить дополнительную информацию по представленным сведениям.

14. Не подлежат регистрации базы персональных данных, содержащие в своем составе персональные данные, указанные в статье 20, Закона Республики Узбекистан от 2 июля 2019 года № ЗРУ 547 «О персональных данных».

Глава 4. Порядок ведения Государственного реестра
баз персональных данных

 

15. Ведение Госреестра осуществляется ГЦП посредством единой электронной информационной системы.

При наличии условий, определенных настоящим Положением, ГЦП вносит собственников и (или) операторов баз персональных данных в Госреестр путем внесения в него соответствующей информации.

При наличии изменений и дополнений в сведениях, указанных в пункте 6 собственник и (или) оператор баз персональных данных направляет уведомление в электронной форме на веб-портал ГЦП.

При наличии условий, указанных в пункте 18 настоящего Положения, ГЦП исключает собственников и (или) операторов путем дополнения ранее внесенной информации сведениями об исключении их из Госреестра.

16. В случае изменения и дополнения сведений, указанных в п.6., а также в случае прекращения обработки персональных данных, собственник и (или) оператор базы обязан внести в течение десяти календарных дней с даты возникновения изменений и дополнений, или с даты прекращения обработки персональных данных.

17. Внесение изменений в Госреестр производится без изменения регистрационного номера соответствующей записи в Госреестре.

Глава 5. Порядок исключения собственника и (или) оператора базы
персональных данных из Государственного реестра

 

18. Исключение собственника и (или) оператора из Госреестра производится:

на основании поступления от собственника и (или) оператора письменного заявления об исключении в форме электронного документа, подписанного уполномоченным лицом, с приложением соответствующих обоснований;

в случае ликвидации или прекращение деятельности собственника и (или) оператора;

с наступлением срока или условий прекращения обработки персональных данных, указанных в заявлении;

на основании решения суда о прекращении собственником и (или) оператором деятельности по обработке персональных данных.

Основанием для исключения из Госреестра могут послужить и иные условия, установленные законодательством Республики Узбекистан в области персональных данных.

19. После исключения собственника и (или) оператора из Госреестра его регистрационный номер в дальнейшем не используется.

20. Информация об исключении собственника и (или) оператора из Госреестра должна быть опубликована на официальном сайте ГЦП.

Глава 6. Права и обязанности собственника и (или) оператора
базы персональных данных

 

21. Права собственника и (или) оператора базы персональных данных:

осуществлять выбор и реализацию методов и способов защиты информации в информационной системе;

привлекать организации, имеющие оформленную, в установленном порядке, лицензию на осуществление деятельности по технической защите конфиденциальной информации;

привлекать стороннюю организацию для проведения аудита информационной безопасности системы собственника и (или) оператора.

22. Обязанности собственника и (или) оператора базы персональных данных:

разработка и утверждение Порядка обработки персональных данных, обеспечивающего обработку персональных данных и их защиту в соответствии с требованиями Типового порядка обработки персональных данных;

          соблюдение законодательства о персональных данных Республики Узбекистан;

          принятие необходимых правовых, организационных, аппаратно-программных, физических мер для защиты персональных данных от неправомерного доступа к ним,

          уничтожения, изменения, блокирования, копирования, предоставления, распространения и др.;

уничтожение персональных данных при невозможности устранения допущенных нарушений при их обработке;

периодическое проведение внутренних проверок состояния защиты аппаратно-программного комплекса, посредством которого осуществляется обработка персональных данных.

Глава 7. Ответственность собственника и (или) оператора
базы персональных данных

 

23. Собственник и (или) оператор базы несет ответственность за:

          обработку и защиту персональных данных в соответствии с разработанным «Порядком обработки персональных данных»;

          достоверность представленных сведений о базе персональных данных, перечисленных в пункте 6 настоящего Положения.       

Глава 8. Заключительные положения

 

24. В настоящее Положение могут вноситься изменения и дополнения в соответствии с нормами действующего законодательства Республики Узбекистан.

Приложение

Форма свидетельства о регистрации базы персональных данных в Государственном реестре.

Приложение №2

к постановлению Кабинета Министров

от «___»______2019 г. №

 

 

Типовой порядок
обработки персональных данных

I. Общие положения

1. Настоящий Типовой порядок разработан во исполнение требований статьи 8 Закона Республики Узбекистан «О персональных данных» (далее – Закон).

2. Типовой порядок определяет цели, правовые основания, условия, способы обработки и состав персональных данных, устанавливает общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базах персональных данных собственником и (или) оператором баз персональных данных (далее – собственник и (или) оператор).

3. На основе настоящего Типового порядка собственником и (или) оператором разрабатывается внутренний порядок обработки персональных данных.

4. Обработка персональных данных осуществляется полностью или частично в автоматизированной информационной системе.

5. Собственником и (или) оператором определяется ответственное лицо за организацию работы с персональными данными, а также приказом руководителя собственника и (или) оператора назначается ответственное лицо или структурное подразделение за обеспечение безопасности персональных данных в информационных системах собственника и (или) оператора.

II. Информация о собственнике и (или) операторе

6. Данные о собственнике и (или) операторе:

Юридическое лицо, физическое лицо, негосударственные организации и т.п.;

Полное наименование собственника и (или) оператора;

Ф.И.О. руководителя собственника и (или) оператора;

ИНН собственника и (или) оператора;

номер свидетельства о государственной регистрации собственника и (или) оператора;

телефон, факс, электронная почта, юридический адрес и адрес местонахождения, кадастровый номер собственника и (или) оператора;

правовые основания обработки персональных данных.

III. Информация о базах персональных данных собственника
и (или) оператора

 

7. Данные о базах персональных данных:

наименование баз персональных данных;

виды баз персональных данных (электронная, электронно-бумажная и т.п.);

состав обрабатываемых персональных данных;

адрес местонахождения баз персональных данных;

способы управления базами персональных данных (локально, удаленно).

IV. Принципы и условия обработки персональных данных

 

8. Обработка персональных данных производится в соответствии
со следующими принципами:

Обработка персональных данных осуществляется на законной основе;

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

Содержание и объем обрабатываемы персональных данных соответствуют заявленным целям обработки, избыточные персональные данные собственником и (или) оператором не обрабатываются;

Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

9. Обработка персональных данных осуществляется при наличии следующих условий:

наличие письменного согласия субъекта на обработку персональных данных, согласно форме, разработанной собственником и (или) оператором;

наличие письменного согласия субъекта на трансграничную передачу персональных данных;

необходимость обработки этих данных для выполнения договора, одной из сторон которого является субъект;

необходимость обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством;

необходимость обработки этих данных для защиты законных интересов субъекта или другого лица;

необходимость обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;

обработки этих данных в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

если эти данные получены из общедоступных источников.

10. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:

Фамилию, имя, отчество, адрес субъекта  персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование (фамилию, имя, отчество) и адрес собственника и (или) оператора, получающего согласие субъекта персональных данных;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых собственником и (или) оператором способов обработки;

срок, в течение которого действует согласие, а также порядок его отзыва;

собственноручную подпись субъекта персональных данных;

письменное согласие субъекта оформляется в письменной форме в двух экземплярах, один из которых остается у субъекта, второй хранится у собственника и (или) оператора.

Равнозначным содержащему собственноручную подпись письменному согласию субъекта персональных данных на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

V. Субъекты персональных данных

 

11. Субъектами персональных данных, обрабатываемых собственником и (или) оператором являются:

кандидаты на вакантные должности;

работники собственника и (или) оператора, находящиеся в трудовых отношениях с ним;

физические лица, с которыми собственником и (или) оператором заключаются договоры гражданско-правового характера;

представители юридических лиц – контрагентов собственника и (или) оператора;

клиенты (потенциальные клиенты), физические лица, вступившие (имеющие намерение вступить) с собственником и (или) оператором в договорные отношения (их представители и выгодоприобретатели), физические лица-единоличные исполнительные органы и члены коллегиальных органов управления, либо коллегиальных исполнительных органов юридических лиц, вступивших (имеющих намерение вступить) с собственником и (или) оператором в договорные отношения;

посетители;

физические лица, являющиеся участниками, акционерами, членами органов управления и другие, входящие в группу лиц собственника и (или) оператора, включая самого собственника и (или) оператора;

и другие физические лица, персональные данные которых подлежат обработке собственником и (или) оператором для достижения своих целей.

VI. Цели обработки персональных данных

 

12. Собственник и (или) оператор обрабатывает персональные данные в целях:

достижения целей, предусмотренных международным договором Республики Узбекистан или законом;

исполнения обязанностей, возложенных на собственника и (или) оператора действующим законодательством Республики Узбекистан;

осуществления прав и законных интересов собственника и (или) оператора и третьих лиц, в том числе по исполнению требований действующего законодательства Республики Узбекистан, обеспечению безопасности деятельности;

осуществления хозяйственной деятельности собственника и (или) оператора, исполнения договорных обязательств;

в иных целях, предусмотренных действующим законодательством.

VII. Права и обязанности субъекта персональных данных

 

13. Субъект, персональные данные которого обрабатываются собственником и (или) оператором, имеет следующие права:

получать от собственника и (или) оператора информацию, касающуюся обработки его персональных данных (в том числе содержащую подтверждение  факта обработки персональных данных, правовые основания, цели обработки, сроки обработки, сроки хранения, наименование и адрес лица, осуществляющего обработку персональных данных по поручению собственника и (или) оператора, иные сведения, предусмотренные статьей 22 Закона Республики Узбекистан № ЗРУ-547 от 02.07.2019 года
«О персональных данных»);

требовать от собственника и (или) оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

отозвать свое согласие на обработку персональных данных в любой момент;

иные права и обязанности, предусмотренные статьей 30 Закона Республики Узбекистан «О персональных данных».

14. Сведения, необходимые субъекту персональных данных предоставляются на основании запроса, в котором необходимо указать серию и номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи данного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с собственником и (или) оператором, либо сведения иным образом подтверждающие факт обработки персональных данных собственником и (или) оператором, подпись субъекта или его представителя.

VIII. Обязанности собственника и (или) оператора

 

15. Собственник и (или) оператор в процессе обработки персональных данных обязан:

предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных;

утверждать состав персональных данных, необходимый и достаточный для выполнения ими задач;

принимать меры по уничтожению персональных данных в случае достижения целей их обработки, а также в иных случаях, установленных Законом «О персональных данных»;

предоставлять доказательства получения согласия субъекта на обработку его персональных данных в случаях, предусмотренных законодательством;

изменить и (или) дополнить персональные данные при условии документального подтверждения достоверности новых данных или уничтожить их при невозможности внесения таких изменений и (или) дополнений;

временно приостанавливать обработку или уничтожать персональные данные в случае наличия информации о нарушении условий их обработки;

обеспечить возможность подачи субъектом документов в электронном виде на временное приостановление обработки и (или) уничтожение персональных данных субъекта;

уведомить в письменной форме субъекта, а также других участников обработки персональных данных в случаях изменения, уничтожения персональных данных и ограничения доступа к ним;

уведомить в письменной форме субъекта, в случае передачи персональных данных третьему лицу;

зарегистрировать находящиеся в собственности и (или) обрабатываемые базы персональных данных;

принимать необходимые правовые, организационные и технические меры по защите персональных данных.

Иные права и обязанности, предусмотренные статьей 31 Закона Республики Узбекистан «О персональных данных».

IX. Обеспечение безопасности персональных данных при их обработке в информационных системах

 

16. Защита персональных данных возлагается на собственника и (или) оператора.

17. При обработке персональных данных собственник и (или) оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного и (или) случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Для разработки и осуществления мероприятий по обеспечению информационной безопасности персональных данных при их обработке в информационных системах собственник и (или) оператор приказом руководителя назначаются:

структурное подразделение или лицо, ответственное за обеспечение безопасности персональных данных;

администратор информационной безопасности;

администратор информационной системы персональных данных;

ответственный за организацию обработки персональных данных.

18. Структурное подразделение или лицо, ответственное за обеспечение безопасности персональных данных, осуществляет выбор и реализацию методов и способов защиты информации. Для выбора и реализации методов и способов защиты информации в информационной системе по решению руководителя может привлекаться организация, имеющая оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации.

19. В целях обеспечения информационной безопасности при обработке (хранении) персональных данных собственник и (или) оператор:

проводит классификацию информационных систем персональных данных, устанавливает критерии классификации и порядок проведения классификации информационных систем персональных данных собственника и (или) оператора;

определяет меры по обеспечению безопасности персональных данных при автоматизированной обработке и утверждает модели угроз для каждой информационной системы персональных данных.

определяет меры по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации.

устанавливает порядок доступа работников и иных лиц в помещения собственника и (или) оператора, в которых ведется обработка персональных данных, в целях предотвращения несанкционированного доступа к персональным данным.

20. Безопасность персональных данных при их обработке в информационных системах собственника и (или) оператора обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (средства предотвращения несанкционированного доступа, средства защиты от утечки информации по техническим каналам, от программно-технических воздействий на технические средства обработки персональных данных, в том числе могут использоваться шифровальные (криптографические) средства), а также используемые в информационной системе информационные технологии.

X. Обеспечение безопасности персональных данных при их обработке без использования средств автоматизации

 

21. При обработке персональных данных без использования средств автоматизации принимаются следующие меры по обеспечению безопасности:

обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющим к ним доступ.

персональные данные (материальные носители), обработка которых осуществляется в различных целях, подлежат раздельному хранению.

при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.

XI. Заключение

 

22. В настоящий Типовой порядок могут вноситься изменения и дополнения в соответствии с действующим законодательством Республики Узбекистан.

Общие предложения

319