Сенат Олий Мажлиса Узбекистана на 20-м пленарном заседании в пятницу одобрил закон «О персональных данных», сообщает корреспондент «Газеты.uz». Проект документа был разработан Государственным центром персонализации при Кабинете Министров.

Под персональными данными в законе понимается «зафиксированная на электронном, бумажном и (или) ином материальном носителе информация, относящаяся к определенному физическому лицу или дающая возможность его идентификации».

Действие закона распространяется на отношения, возникающие при обработке и защите персональных данных, независимо от применяемых средств обработки, включая информационные технологии.

Закон не распространяется на отношения, возникающие при:

  • обработке персональных данных физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью;
  • формировании, хранении и использовании документов Национального архивного фонда и других архивных документов, содержащих персональные данные;
  • обработке персональных данных, отнесенных к сведениям, составляющим государственные секреты; а также обработке персональных данных, полученных в ходе оперативно-розыскной, разведывательной и контрразведывательной деятельности, борьбы с преступностью, охраны правопорядка и в рамках противодействия легализации доходов, полученных от преступной деятельности.

В качестве основных принципов закона закреплены соблюдение конституционных прав и свобод человека и гражданина, законность целей и способов обработки персональных данных, их точность и достоверность, конфиденциальность и защищенность, равенство прав субъектов, собственников и операторов, безопасность личности, общества и государства.

Уполномоченным государственным органом в области персональных данных определен Государственный центр персонализации при Кабинете Министров. Он ведет Государственный реестр баз персональных данных, выдает свидетельство о регистрации базы персональных данных в реестре, осуществляет государственный контроль за соблюдением требований законодательства, определяет необходимый уровень защищенности персональных данных, а также осуществляет анализ объема и содержания обрабатываемых персональных данных, вид деятельности и реальности угроз безопасности.

Использование персональных данных собственником, оператором и третьим лицом разрешается только для ранее заявленных целей их сбора, при условии обеспечения необходимого уровня защищенности персональных данных.

Закон содержит нормы, касающиеся сбора, систематизации и хранения персональных данных, их использования, предоставления, распространения и трансграничной передачи, обезличивания и уничтожения.

Отдельная глава посвящена порядку обработки персональных данных. Она разрешена только с согласия субъекта, за исключением случаев, когда она нужна в целях защиты прав и законных интересов субъекта (до момента, когда получение согласия станет возможным). Согласие на обработку персональных данных может даваться в любой форме, позволяющей подтвердить факт его получения.

Для обработки специальных персональных данных требуется согласие в письменной форме, в том числе в виде электронного документа. За несовершеннолетних субъектов согласие на обработку их персональных данных в письменной форме дают родители (опекуны, попечители, органы опеки и попечительства).

При включении персональных данных в базу субъект должен быть уведомлен в письменной форме о целях обработки данных и своих правах. В случае передачи данных третьему лицу собственник и (или) оператор в течение трех дней письменно уведомляет об этом субъекта.

Законом запрещена обработка специальных персональных данных (данные о расовом или социальном происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данные, касающиеся физического или душевного (психического) здоровья, сведения о частной жизни и судимости), за исключением ряда случаев (если данные являются общедоступными, при необходимости обеспечения государственной безопасности, в целях защиты прав и интересов субъекта, при обнародовании персональных данных кандидатов на выборные государственные должности, для установления медицинского диагноза и лечения и т. д.).

Биометрические и генетические данные, которые используются для установления личности субъекта, могут обрабатываться только при наличии согласия субъекта, за исключением случаев, связанных с реализацией международных договоров Узбекистана, осуществлением правосудия, исполнительным производством, а также в других случаях, предусмотренных законодательством.

Законом гарантируется конфиденциальность персональных данных — «обязательное для соблюдения собственником и (или) оператором или иным получившим доступ к персональным данным лицом требование о недопустимости их раскрытия и распространения без согласия субъекта или наличия иного законного основания».

Законом определено, что общедоступными персональными данными являются персональные данные, доступ к которым является свободным с согласия субъекта или на которые не распространяются требования соблюдения конфиденциальности.

Для информационного обеспечения населения могут создаваться общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы).

В общедоступные источники персональных данных с письменного согласия субъекта могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом.