Каждый человек уникален, и для того, чтобы отличать одного человека от другого существуют данные, призванные для идентификации одного гражданина от другого. Такие данные называются – персональными данными. Развитие сетей связи и автоматизированного анализа данных дало возможность системно и массово собирать данные о человеке. Персональные данные могут использоваться в разных целях, в том числе и в преступных.
Закон Республики Узбекистан «О персональных данных» от 2 июля 2019 года № ЗРУ-547 (вступил в силу 1 октября 2019 года) определенно, что под «персональными данными» следует понимать – зафиксированную на электронном, бумажном и (или) ином материальном носителе информацию, относящуюся к определенному физическому лицу или дающая возможность его идентификации. Целью вышеуказанного нормативно-правового акта является регулирование вопросов защиты персональных данных. Данный закон предусматривает целый ряд юридических обязательств для лиц, деятельность которых связана с персональными данным.
Одним из основополагающих принципов законного сбора данных является уважение конституционных прав и свобод человека. В связи с этим, более жесткие требования применяются в отношении биометрических, генетических данных, а также для специальных персональных данных (т.е. данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости).
Статьей 3 ЗРУ «О персональных данных» определены сферы применения данного акта. Так действие настоящего Закона распространяется на отношения, возникающие при обработке и защите персональных данных, независимо от применяемых средств обработки, включая информационные технологии. Этой же нормой акта выделен ряд отношений, на которые действие данного акта не распространяется, а именно:
- обработка персональных данных физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
- формирование, хранение и использование документов Национального архивного фонда и других архивных документов, содержащих персональные данные;
- обработка персональных данных, отнесенных к сведениям, составляющим государственные секреты;
- обработка персональных данных, полученных в ходе оперативно-розыскной, разведывательной и контрразведывательной деятельности, борьбы с преступностью, охраны правопорядка, а также в рамках противодействия легализации доходов, полученных от преступной деятельности.
Следует отменить, что данная ремарка Закона не означает, что в вышеперечисленных случаях персональные данные не охраняются. В данных случаях иные нормативно-правовые акты регулируют эти отношения.
В ЗРУ «О персональных данных» Уполномоченным государственным органом в области персональных данных обусловлен Государственный центр персонализации при Кабинете Министров Республики Узбекистан, который имеет следующие полномочия:
- реализует государственную политику в области персональных данных;
- участвует в разработке и реализации государственных и иных программ в области персональных данных;
- утверждает Типовой порядок обработки персональных данных;
- утверждает Типовой порядок организации деятельности структурного подразделения или уполномоченного лица собственника и (или) оператора, обеспечивающего обработку персональных данных и их защиту;
- ведет Государственный реестр баз персональных данных;
- выдает свидетельство о регистрации базы персональных данных в Государственном реестре баз персональных данных;
- осуществляет в пределах своих полномочий государственный контроль за соблюдением требований законодательства о персональных данных;
- вносит в Кабинет Министров Республики Узбекистан предложения по совершенствованию нормативно-правовой базы в области персональных данных;
- направляет в государственные органы, уполномоченные в области обеспечения государственной безопасности, применительно к сфере их деятельности, установленные сведения;
- определяет необходимый уровень защищенности персональных данных;
- осуществляет анализ объема и содержания обрабатываемых персональных данных, вид деятельности, реальности угроз безопасности персональных данных;
- вносит обязательные для исполнения юридическими и физическими лицами предписания об устранении нарушений законодательства о персональных данных;
- осуществляет сотрудничество с компетентными органами иностранных государств и международными организациями в области персональных данных.
Принятый закон определяет порядок обработки персональных данных и взаимоотношений участников этого процесса – субъекта (лицо, к которому данные относятся), собственника базы данных (государственный орган, физическое и (или) юридическое лицо, обладающее правом владения, пользования и распоряжения базой персональных данных) и оператора (лицо, осуществляющее обработку).
Основными принципами принятого Закона в вопросе обработки и использовании персональных данных являются:
Соблюдение конституционных прав и свобод человека и гражданина. Конституция Республики Узбекистан провозглашает уважение к правам человека. Конституция выделяет ряд групп прав и свобод гражданина – личные права и свободы, политические права, экономические и социальные права. Собирая и анализируя персональные данные граждан, оператор и собственник должны уважать все конституционные права и свободы субъекта.
Законность целей и способов обработки персональных данных. Обработка персональных данных осуществляется в следующих случаях:
- согласия субъекта на обработку этих данных;
- необходимости обработки этих данных для выполнения договора, стороной которого является субъект, или принятия мер по запросу субъекта до заключения такого договора;
- необходимости обработки этих данных для исполнения обязательств собственника и (или) оператора, определенных законодательством;
- необходимости обработки этих данных для защиты законных интересов субъекта или другого лица;
- необходимости обработки этих данных для осуществления прав и законных интересов собственника и (или) оператора или третьего лица либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и законные интересы субъектов персональных данных;
- обработки этих данных в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- если эти данные получены из общедоступных источников.
Немаловажным являются и способы получения персональных данных. Получение персональных данных незаконным путем несет за собой ответственность.
Точность и достоверность персональных данных. Изменение и дополнение персональных данных осуществляются собственником и (или) оператором (а) на основании обращения субъекта в срок не позднее трех дней с момента такого обращения и (б) безотлагательно, если данные не соответствуют действительности.
Конфиденциальность и защищенность персональных данных. Лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять персональные данные без согласия субъекта.
Равенство прав субъектов, собственников и операторов. Данный принцип дает право субъекту не предоставлять персональные данные, если они не относятся к цели его передачи данных.
Безопасность личности, общества и государства. Оператор и собственник персональных данных должны принять все меры по охране полученных данных.
Получение согласия от субъекта на обработку его персональных данных является важным условием получения и обработки персональных данных. Субъект дает согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт его получения.
Общедоступными персональными данными являются персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности.
В целях информационного обеспечения населения могут создаваться общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы).
В общедоступные источники персональных данных, с письменного согласия субъекта, могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом.
Сведения о субъекте могут быть исключены из общедоступных источников персональных данных по его обращению, поданному в той форме, в какой было дано согласие, либо в письменной форме, в том числе в виде электронного документа, а также по решению уполномоченного государственного органа или суда.
Субъект персональных данных имеет право:
- знать о наличии у собственника и (или) оператора, а также третьего лица своих персональных данных и их состав;
- получать по запросу информацию об обработке персональных данных от собственника и (или) оператора;
- получать информацию об условиях предоставления доступа к своим персональным данным от собственника и (или) оператора;
- обращаться по вопросам защиты прав и законных интересов в отношении своих персональных данных в уполномоченный государственный орган или суд;
- дать согласие на обработку своих персональных данных и отозвать такое согласие, кроме случаев, предусмотренных настоящим Законом;
- дать согласие собственнику и (или) оператору, а также третьему лицу на распространение своих персональных данных в общедоступных источниках персональных данных;
- требовать от собственника и (или) оператора временного приостановления обработки своих персональных данных, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для целей обработки.
Распоряжение персональными данными субъекта, признанного недееспособным или ограниченным в дееспособности, осуществляет его законный представитель, признанный таковым в установленном законодательством порядке.