| 13. | Главы 4 и 5 проекта | Глава 4. Права субъекта персональных данных Статья 17. Права субъекта на доступ к своим персональным данным, отзыв согласия на доступ к персональным данным, требование их обновления, блокирования 1. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и на их получение. 2. Субъект персональных данных имеет право на получение информации в доступной документированной форме, содержащей: 1) подтверждение факта обработки персональных данных; 2) указание цели и способов обработки персональных данных; 3) сведения о лицах, которые имеют доступ к персональным данным; 4) перечень обрабатываемых персональных данных и источник их получения; 5) сроки обработки персональных данных, в том числе сроки их хранения. 3. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя обновления этих данных. 4. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его данных, он вправе потребовать от держателя исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. 5. Субъект персональных данных имеет право на отзыв согласия на обработку своих персональных данных в порядке, предусмотренном статьей 10 настоящего Закона. 6. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если: 1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Республики Казахстан случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) предоставление персональных данных нарушает конституционные права и свободы других лиц. Статья 18. Права субъектов при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также политической агитации и пропаганды 1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации и пропаганды допускается только при условии предварительного согласия субъекта персональных данных. 2. Держатель персональных данных обязан немедленно прекратить по требованию субъекта обработку его персональных данных, указанную в пункте 1 настоящей статьи. Статья 19. Право на обжалование действий или бездействия держателя персональных данных 1. Если субъект персональных данных считает, что держатель осуществляет обработку его персональных данных с нарушением требований настоящего Закона, он вправе обжаловать действия или бездействие держателя в вышестоящий государственный орган (организацию) или в судебном порядке. 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке. Глава 5. Обязанности держателя персональных данных Статья 20. Обязанности держателя при сборе персональных данных 1. При сборе персональных данных держатель обязан предоставить субъекту по его просьбе информацию, предусмотренную пунктом 2 статьи 17 настоящего Закона. 2. Если обязанность предоставления персональных данных установлена законами Республики Казахстан, держатель обязан разъяснить субъекту правовые последствия его отказа предоставить свои персональные данные. Статья 21. Обязанности держателя по обеспечению защиты персональных данных при их обработке 1. Держатель при обработке персональных данных обязан принимать и соблюдать необходимые организационные и технические меры для их защиты в соответствии с законодательством Республики Казахстан от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий. 2. При использовании информационных систем, предназначенных для обработки персональных данных, держатель обязан обеспечить соблюдение требований информационной безопасности и принятых на территории Республики Казахстан стандартов. Статья 22. Обязанности держателя при обращении либо при получении запроса субъекта персональных данных или его законного представителя 1. При обращении субъекта или его законного представителя держатель обязан безвозмездно в порядке, предусмотренном статьей 17 настоящего Закона, сообщить информацию о наличии персональных данных, относящихся к соответствующему субъекту, а также предоставить возможность ознакомления с персональными данными. Запрос субъекта или его законного представителя рассматривается держателем в течение трех рабочих дней со дня получения. 2. В случае отказа в предоставлении информации о персональных данных субъекту или его законному представителю держатель обязан дать мотивированный ответ, содержащий ссылку на положение пункта 6 статьи 17 настоящего Закона, являющееся основанием для такого отказа, в срок, не превышающий трех рабочих дней со дня получения запроса. Статья 23. Обязанность держателя при принятии решений на основании исключительно автоматизированной обработки их персональных данных 1. Принятие решений, затрагивающих права и законные интересы субъектов персональных данных, на основании исключительно автоматизированной обработки персональных данных запрещается, кроме случаев, предусмотренных законами Республики Казахстан или наличия согласия субъекта. 2. Держатель обязан предоставить субъекту либо его законному представителю разъяснения о принятом решении согласно пункту 1 настоящей статьи, рассмотреть возражение субъекта и уведомить его о результатах рассмотрения в сроки, установленные законами Республики Казахстан. Статья 24. Обязанности держателя по устранению нарушений законодательства, допущенных при обработке персональных данных 1. В случае выявления держателем либо при обращении (запроса) субъекта или его законного представителя факта недостоверности персональных данных на основании документов, представленных субъектом или его законным представителем, держатель обязан незамедлительно осуществить исключение или исправление неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Закона. В случае наличия информации о нарушении правового режима обработки персональных данных в соответствии с настоящим Законом держатель обязан незамедлительно осуществить блокирование персональных данных, относящихся к соответствующему субъекту. 2. В случае подтверждения факта нарушения правового режима обработки персональных данных держатель обязан в течение одного рабочего дня устранить их и снять блокирование. В случае невозможности устранения допущенных нарушений держатель обязан уничтожить персональные данные в течение одного рабочего дня с даты их выявления. Об устранении допущенных нарушений или уничтожения персональных данных держатель обязан уведомить субъекта или его законного представителя. 3. В случае достижения цели обработки персональных данных держатель обязан принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан. 4. В случае отзыва субъектом своего согласия держатель обязан прекратить обработку его персональных данных и принять меры по хранению, уничтожению в соответствии с законами Республики Казахстан в течение одного рабочего дня со дня получения отзыва и уведомить субъекта или его законного представителя. | Главы 4 и 5 объединить и изложить в следующей редакции: «Глава 4. Права и обязанности субъекта. Полномочия собственника и (или) оператора Статья 20. Права и обязанности субъекта 1. Субъект имеет право: 1) знать о наличии у собственника и (или) оператора своих персональных данных, а также получать информацию, содержащую: подтверждение факта, с указанием цели и способов обработки персональных данных; перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения; 2) требовать от собственника и (или) оператора изменения и дополнения своих персональных данных при наличии оснований, подтвержденных соответствующими документами; 3) требовать от собственника и (или) оператора блокирования своих персональных данных в случае наличия информации о нарушении условий сбора, обработки персональных данных; 4) требовать от собственника и (или) оператора уничтожения своих персональных данных, сбор и обработка которых произведена с нарушением законодательства Республики Казахстан; 5) отзывать согласие на сбор, обработку персональных данных, кроме случая, предусмотренного пунктом 2 статьи 23 настоящего Закона; 6) отказать в выдаче персональных данных в общедоступные источники персональных данных; 7) на защиту своих прав и законных интересов, в том числе возмещение вреда. 2. Права субъекта могут ограничиватся только в случаях, предусмотренных законами Республики Казахстан. 3. Субъект обязан предоставлять свои персональные данные в случаях, установленных законами Республики Казахстан. Статья 21. Полномочия собственника и (или) оператора Собственник и (или) оператор: 1) в порядке, определяемом уполномоченным органом, утверждает перечень персональных данных, необходимых и достаточных для выполнения осуществляемых ими задач; 2) осуществляет сбор, обработку и защиту персональных данных в порядке, установленным настоящим Законом и иными нормативными правовыми актами Республики Казахстан; 3) вносит предложения по совершенствованию системы сбора, обработки и защиты персональных данных; 4) координирует деятельность подведомственных организаций в сфере сбора, обработки и защиты персональных данных; 5) принимает и соблюдает необходимые меры, в том числе правовые, организационные и технические, для защиты персональных данных в соответствии с законодательством Республики Казахстан; 6) обеспечивает соблюдение законодательства Республики Казахстан в сфере персональных данных в пределах своей компетенции; 7) принимает меры по уничтожению персональных данных в соответствии с законами Республики Казахстан в случае достижения цели сбора, обработки; 8) предоставляет доказательства о получении согласия субъекта на сбор и обработку его персональных данных, в случаях предусмотренных законодательством Республики Казахстан; 9) сообщает информацию, относящуюся к субъекту, в течение трех рабочих дней со дня получения обращения субъекта или его законного представителя, если иные сроки не предусмотрены законами Республики Казахстан; 10) предоставляет мотивированный ответ в срок, не превышающий трех рабочих дней со дня получения обращения, в случае отказа в выдаче информации субъекту или его законному представителю, если иные сроки не предусмотрены законодательством Республики Казахстан 11) принимает незамедлительно меры по: изменению и (или) дополнению персональных данных, на основании соответствующих документов, подтверждающих их достоверность или уничтожению при невозможности их изменения и (или) дополнения; блокированию персональных данных, относящихся к субъекту в случае наличия информации о нарушении условий сбора, обработки персональных данных; уничтожению персональных данных в случае подтверждения факта их сбора, обработки с нарушением законодательства Республики Казахстан; снятию блокирования в случаях не подтверждения факта нарушения условий сбора, обработки персональных данных. Статья 22. Сбор, обработка персональных данных без согласия субъекта Сбор, обработка персональных данных производится без согласия субъекта в случаях: 1) осуществления правосудия, исполнительного производства, деятельности правоохранительных и специальных государственных органов, а также оперативно-розыскной деятельности; 2) осуществления государственной статистической деятельности; 3) использования государственными органами персональных данных для статистических целей с обязательным условием их обезличивания; 4) реализации международных договоров Республики Казахстан о реадмиссии; 5) защиты конституционных прав или иных законных интересов субъекта, если получение его согласия или согласия его законных представителей невозможно; 6) оказания государственных услуг; 7) осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии соблюдения прав и свобод субъекта; 8) опубликования персональных данных в соответствии с законами Республики Казахстан, в том числе персональных данных кандидатов на выборные государственные должности; 9) неисполнения субъектом своих обязанностей по предоставлению персональных данных в случаях, предусмотренных законами Республики Казахстан; 10) обработки персональных данных, которая необходима в целях исполнения договора, одной из сторон которого является субъект; 11) обработки государственным органом, осуществляющим регулирование, контроль и надзор финансового рынка и финансовых организаций, информации, полученной от физических и юридических лиц в соответствии с законодательными актами Республики Казахстан; 12) в иных случаях установленных законами Республики Казахстан. Статья 23. Порядок дачи (отзыва) согласия субъекта на сбор, обработку персональных данных 1. Субъект либо его законный представитель дает (отзывает) согласие на сбор, обработку персональных данных на бумажном носителе, подписанном собственноручно или в форме электронного документа, заверенного электронной цифровой подписью, в порядке, установленном собственником и оператором с соблюдением требований настоящей главы. 2. Субъект либо его законный представитель не может отозвать согласие на сбор, обработку персональных данных, в случаях если это противоречит законодательству, а также условиям исполнения договора, одной из сторон которого является субъект либо его законный представитель. 3. Дача (отзыв) согласия на сбор, обработку персональных данных недееспособного, признанного недееспособным или ограниченным в дееспособности субъекта производится его законным представителем, опекуном, попечителем. 4. В случае смерти субъекта дача (отзыв) согласия на сбор, обработку его персональных данных осуществляется в соответствии с гражданским законодательством Республики Казахстан. Последующую нумерацию глав изменить | Депутаты Н.Абдиров А. Нуркина А. Тойбаев Н. Логутов Б. Ертаев К. Идирисов А. Пепенин М.Айсина Р. Сарпеков Н.Сабильянов Расширены права субъектов персональных данных. Определены права и обязанности уполномоченного органа, чего не было в предлагаемой Правительством редакции. | Принято |
