Статья 55. Доверенные цифровые сервисы
1. К доверенным цифровым сервисам относятся:
1) сервисы цифровой аутентификации;
2) сервисы цифровых подписей;
3) сервисы цифровых архивов;
4) сервисы гарантированной доставки сообщений;
5) сервисы аутентификации сайтов.
2. Требования к доверенным цифровым сервисам устанавливаются настоящим Кодексом.
Статья 56. Признание иностранных доверенных цифровых сервисов
1. Доверенные цифровые сервисы, соответствующие требованиям, установленным в других государствах (далее - иностранные доверенные сервисы), признаются доверенными сервисами в соответствии с настоящим Кодексом в случаях, если:
1) иностранный доверенный сервис включен в Реестр иностранных доверенных цифровых сервисов, который формируется и ведется отраслевым регулятором нацэкосистемы;
2) судом в решении по делу установлено, что иностранный доверенный сервис, использованный стороной, соответствует критериям, установленным частью 3 настоящей статьи.
2. Решение о включении иностранного доверенного сервиса в реестр принимается отраслевым регулятором нацэкосистемы. В решении отраслевого регулятора нацэкосистемы о включении или отказе во включении иностранного доверенного сервиса в реестр должны быть указаны основания такого решения. Отказ от признания иностранного доверенного сервиса доверенным может быть обжалован в суде.
3. Основанием для решения отраслевого регулятора нацэкосистемы о включении в Реестр иностранных доверенных цифровых сервисов, а также основанием для вынесения судом решения о соответствии иностранного доверенного сервиса установленным требованиям является его соответствие одновременно следующим критериям:
1) фактическое соответствие иностранного доверенного сервиса требованиям настоящего Кодекса, в том числе по результатам проведенной экспертизы;
2) соответствие цифрового сервиса общепризнанной международной практике, относящейся к доверенным сервисам и содержащей требования, эквивалентные или более высокие, чем требования настоящего Кодекса, прежде всего в части раскрытия информации, документирования, цифровой устойчивости, технического контроля и надзора;
3) наличие сертификатов или заключений о соответствии, выданных другими государствами или организациями;
4) наличие соглашения между субъектами правоотношений в цифровой среде, предусматривающего использование иностранного доверенного сервиса и последствия такого использования.
4. Решение суда о признании иностранного доверенного сервиса фактически соответствующим требованиям, установленным настоящим Кодексом, является основанием для включения в Реестр иностранных доверенных цифровых сервисов.
5. Признание иностранных доверенных сервисов цифровых подписей осуществляется только если в отношении них обеспечивается признание подлинности цифровой подписи в соответствии со статьей 140 настоящего Кодекса.
Статья 57. Особенности автоматического принятия решений на основе цифровых данных
1. Субъекты правоотношений в цифровой среде вправе автоматизировать принятие решений на основе цифровых данных таким образом, чтобы результаты обработки цифровых данных формировались и использовались для возникновения, изменения, прекращения правоотношений без участия человека (автоматические решения).
2. Принципалы данных, интересы которых затрагиваются автоматическими решениями, порождающими правовые последствия для принципала или схожим образом существенно влияющими на него, вправе потребовать от субъекта, использующего автоматические решения:
1) прекратить принятие автоматических решений в отношении данного принципала данных;
2) пересмотреть с участием человека автоматические решения, принятые ранее в отношении этого принципала данных.
3. Субъект правоотношений в цифровой среде, использующий автоматическое решение, обязан выполнять требования, установленные настоящим Кодексом в отношении принятия автоматических решений в соответствующих сферах деятельности.
1. Субъекты правоотношений в цифровой среде вправе на основании договора изложить все или часть условий этого договора на специальном языке программирования в виде кода, который впоследствии будет исполнен без участия сторон при наступлении определенных условий, согласованных сторонами, подтвержденных соответствующими цифровыми данными (смарт-контракт), что влечет возникновение, изменение или прекращение отношений между сторонами.
2. Договор, предусматривающий использование смарт-контракта, должен содержать правила разрешения споров между сторонами, предусматривающие принятие решения по спору человеком.
3. Требования в отношении использования смарт-контрактов в отдельных сферах деятельности устанавливаются настоящим Кодексом и законодательством о виртуальных активах.
Глава 9. Осуществление прав и исполнение обязанностей в цифровой среде
Статья 59. Общедоступные и открытые данные
1. Цифровые данные могут использоваться любыми лицами по их усмотрению при условии соблюдения исключительных прав на объекты интеллектуальной собственности, а также ограничений, установленных законом на распространение, предоставление, использование, иную обработку отдельных видов данных или доступ к ним.
2. Цифровые записи предполагаются общедоступными, если в их метаданных не содержится указаний на ограничение доступа к ним в соответствии с законом, договором или решением обладателя.
3. Владелец цифровых записей вправе, указав это в метаданных цифровой записи, обусловить дальнейшее распространение цифровой записи обязанностью указывать себя в качестве источника данных.
Статья 60. Распространение цифровых записей и доступ к ним
1. Распространение цифровых записей осуществляется по инициативе их владельца или владельца цифрового ресурса. Доступ к цифровым записям осуществляется по инициативе пользователя.
2. Распространение цифровых записей осуществляется свободно при соблюдении требований, установленных настоящим Кодексом. Доступ к цифровым записям осуществляется на условиях, определенных владельцем соответствующих цифровых записей или владельцем цифрового ресурса.
3. Метаданные цифровых записей, которые распространяются или к которым осуществляется доступ, должны включать в себя достоверные сведения об их владельце в форме и объеме, которые достаточны для цифровой идентификации такого лица или для возможности связаться с ним в цифровой среде.
4. Лицо, распространяющее цифровые записи, обязано обеспечить пользователю возможность отказа от получения цифровых записей, если иное не установлено законом.
5. Случаи и условия обязательного распространения цифровых записей или доступа к ним устанавливаются законом.
Статья 61. Ограничение распространения цифровых записей и доступа к цифровым записям
1. Доступ к цифровым записям или их распространение могут быть ограничены в соответствии с метаданными таких записей на основании закона исключительно в следующих случаях:
1) если ограничение доступа является осуществлением цифровых прав;
2) если метаданные цифровых записей указывают на их отнесение к охраняемой законом тайне;
3) если распространение цифровых записей или доступ к ним запрещены в соответствии с законом или решением суда.
2. Вводимые ограничения должны соответствовать принципам регулирования отношений в цифровой среде. Не допускается произвольное ограничение доступа к цифровым записям и их распространение.
3. Исследователи и научные организации имеют право осуществлять доступ к цифровым записям, содержащим персональные данные или отнесенным к охраняемой законом тайне, в научных, статистических или иных исследовательских целях при условии обеспечения их конфиденциальности.
4. Уполномоченные лица, в том числе научные организации, исследователи и отраслевые регуляторы, осуществляющие в соответствии с настоящим Кодексом доступ к цифровым записям, содержащим персональные данные или отнесенным к охраняемой законом тайне, обязаны соблюдать порядок такого доступа, установленный Кабинетом Министров.
5. Лица, нарушившие установленные в соответствии с законом или решением владельца записей ограничения доступа к записям, несут установленную законом ответственность.
Статья 62. Доступ к цифровым записям в государственных и муниципальных цифровых ресурсах
Цифровые записи из государственных и муниципальных цифровых ресурсов предоставляются пользователям бесплатно и без ограничений, если иное не установлено законом. Пользователь, направляющий запрос о предоставлении таких записей, не обязан обосновывать необходимость их получения.
Статья 63. Цифровая устойчивость
1. Государственное регулирование цифровой устойчивости осуществляется в целях обеспечения непрерывности деятельности объектов и субъектов и их восстановления после инцидентов в цифровой среде с учетом практической невозможности полной защиты от них.
2. Цифровая устойчивость достигается путем реализации субъектами правоотношений в цифровой среде следующих мер:
1) обеспечение целостности и доступности объектов правоотношений в цифровой среде, конфиденциальности обрабатываемых цифровых данных;
2) осуществление мониторинга и предупреждение инцидентов в цифровой среде и обмена данными о них;
3) управление рисками в цифровой среде на основе системы управления рисками;
4) управление ресурсами, необходимыми для обеспечения непрерывности деятельности субъектов правоотношений в цифровой среде.
3. Порядок и способы обеспечения целостности, доступности и конфиденциальности объектов критической информационной инфраструктуры, порядок мониторинга инцидентов в цифровой среде и обмена данными о них устанавливаются законодательством Кыргызской Республики в сфере обеспечения кибербезопасности.
4. Отраслевые регуляторы в пределах своих полномочий обеспечивают обмен данными об инцидентах в цифровой среде, а также другими данными, влияющими на цифровую устойчивость, между субъектами правоотношений в цифровой среде. Отраслевые регуляторы в пределах своих полномочий обобщают данные, полученные в соответствии с частью 5 настоящей статьи, и обеспечивают принятие мер по предупреждению инцидентов в цифровой среде. Участники правоотношений в цифровой среде обязаны реализовывать меры, указанные соответствующим отраслевым регулятором, в целях предупреждения инцидентов в цифровой среде и снижения их негативных последствий.
5. О каждом инциденте в цифровой среде, влияющем на цифровую устойчивость или права и законные интересы субъектов правоотношений в цифровой среде, владелец записей или поставщик цифрового сервиса обязан уведомить отраслевого регулятора не позднее чем через 72 часа после обнаружения инцидента. В случае если уведомление не было сделано в течение 72 часов, его необходимо сопроводить объяснением причин задержки.
6. Обработчик обязан уведомлять владельца записей об инцидентах в срок, установленный договором между ними или правовым актом, но не позднее чем через 48 часов после обнаружения инцидента.
7. Уведомление должно содержать:
1) описание инцидента и оценку числа пользователей, на права и законные интересы которых он влияет;
2) контактную информацию ответственного за обработку персональных данных или другого лица, уполномоченного предоставлять данные об инциденте;
3) описание последствий инцидента;
4) описание принятых мер по устранению инцидента, в том числе мер, направленных на минимизацию его возможных негативных последствий.
8. Владелец записей или поставщик цифрового сервиса обязан обновлять данные в уведомлении по мере обнаружения новых сведений об инциденте или его последствиях.
Статья 64. Система управления рисками в цифровой среде
1. Система управления рисками в цифровой среде должна определять для каждого объекта правоотношений в цифровой среде, на которого она распространяется:
1) перечень рисков, включающий оценку вероятности и масштаба негативных последствий;
2) меры по управлению рисками, то есть по снижению вероятности и масштаба негативных последствий в отношении каждого из выявленных рисков;
3) порядок оценки эффективности существующей системы управления рисками и внесения в нее изменений на основе собранных данных о ее реализации.
2. Если иное не установлено законом, система управления рисками разрабатывается и реализуется владельцем (поставщиком) объекта правоотношений в цифровой среде по методике, определенной им самостоятельно с учетом общепризнанной мировой практики.
3. В случаях, установленных настоящим Кодексом и законодательством Кыргызской Республики в сфере обеспечения кибербезопасности, владельцы (поставщики) объектов правоотношений в цифровой среде обязаны провести испытания для определения наиболее подходящих мер по управлению рисками. Испытания признаются успешными, если по их результатам объект может использоваться по назначению и соответствует предъявляемым к нему требованиям.
4. Все данные о системе управления рисками, методике их внедрения и результаты испытаний системы искусственного интеллекта повышенной опасности должны быть представлены в виде цифровых записей. В части, не отнесенной законом к государственным секретам, такие сведения относятся к общедоступным цифровым данным и должны быть опубликованы на сайте владельца (поставщика) объекта правоотношений в цифровой среде.
Статья 65. Управление ресурсами
1. Субъекты правоотношений в цифровой среде самостоятельно определяют ресурсы (человеческие, финансовые, технические и др.), необходимые для обеспечения цифровой устойчивости.
2. Запрещается устанавливать требования к субъектам правоотношений в цифровой среде, выполнение которых создает угрозу для их цифровой устойчивости.
3. При принятии решений о необходимых ресурсах для обеспечения цифровой устойчивости принимаются во внимание следующие факторы:
1) уровень развития науки и техники;
2) уровень знаний и навыков людей, участвующих в создании и использовании соответствующего объекта;
3) характер, объем и цели обработки цифровых данных, предоставления цифровых сервисов или эксплуатации цифровых технологических систем;
4) жизненный цикл объектов правоотношений в цифровой среде, начиная с этапа проектирования соответствующего объекта;
5) права и законные интересы субъектов правоотношений в цифровой среде, являющихся владельцами, пользователями или потребителями соответствующего объекта.
Статья 66. Способы защиты прав субъектов правоотношений в цифровой среде
1. Защита прав субъектов правоотношений в цифровой среде осуществляется путем:
1) использования технических, организационных и правовых мер защиты принадлежащих им объектов правоотношений в цифровой среде;
2) восстановления положения, существовавшего до нарушения права, и пресечения действий, нарушающих право или создающих угрозу его нарушения;
3) принуждения пользователя к исполнению его обязанности или законного требования обладателя;
4) возмещения убытков, в том числе причиненных нарушением законно установленных ограничений доступа к цифровым записям, а также требований о соблюдении конфиденциальности информации и об указании источника цифровых данных;
5) компенсации морального вреда;
6) неприменения судом акта государственного органа или органа местного самоуправления, противоречащего закону;
7) иными способами, предусмотренными настоящим Кодексом.
2. Меры, предусмотренные пунктами 4 и 5 части 1 настоящей статьи, не применяются в отношении поставщиков, цифровые сервисы которых заключаются:
1) в передаче цифровых данных, предоставленных другим лицом, при условии их передачи без изменений и исправлений;
2) в хранении цифровых данных и обеспечении доступа к ним при условии, что этот поставщик не знал о незаконности обрабатываемой информации.
Статья 67. Рассмотрение споров в цифровой среде
1. Решения и действия (бездействие) государственных органов и органов местного самоуправления, организаций, должностных лиц, нарушающие права субъектов правоотношений в цифровой среде, могут быть обжалованы в порядке, установленном законодательством об основах административной деятельности и административных процедурах.
2. Споры, связанные с нарушением правил цифровых сообществ, рассматриваются по правилам цифровых сообществ, которые должны предусматривать:
1) обязанность уведомления всех лиц, затрагиваемых спором, и обязанность предоставления им доступа ко всем относящихся к ним и к сути спора цифровым записям;
2) возможность для любого лица, которого затрагивает спор, высказать свои возражения относительно сути предъявляемых к нему претензий или иным образом представить свои аргументы и соответствующие доказательства относительно сути спора;
3) рассмотрение спора по существу лицом, не заинтересованным в том или ином исходе спора (независимым арбитром), либо принятие решения по спору всеми участниками цифровых сообществ путем голосования, если это предусмотрено правилами цифровых сообществ.
3. Решение по спору, вынесенное в рамках цифрового сообщества в соответствии с правилами этого цифрового сообщества, обязательно для всех участников цифрового сообщества. Сообщество участников цифровой экосистемы обеспечивает исполнение решений на базе цифровой экосистемы.
Статья 68. Ответственность за правонарушения в цифровой среде
1. Совершение правонарушений в цифровой среде влечет ответственность в соответствии с применимым законодательством. Отдельными главами настоящего Кодекса устанавливаются особенности ответственности за правонарушения, совершенные в соответствующих сферах деятельности в цифровой среде.
2. Если в результате неправомерного отказа в доступе к объектам правоотношений в цифровой среде, несвоевременного предоставления доступа, предоставления заведомо неполных, недостоверных или неактуальных цифровых записей, нарушения установленных настоящим Кодексом или договором требований по доступности и надежности цифровых сервисов и цифровых технологических систем, нарушения цифровых прав были причинены убытки, то они подлежат возмещению в соответствии с гражданским законодательством.
3. Возмещение физическому лицу морального вреда, причиненного нарушениями, указанными в части 2 настоящей статьи, осуществляется независимо от возмещения имущественного вреда и понесенных убытков.
ОСОБЕННАЯ ЧАСТЬ
РАЗДЕЛ III. ОБРАБОТКА ЦИФРОВЫХ ДАННЫХ. ЦИФРОВЫЕ РЕСУРСЫ
Глава 10. Общие положения об обработке цифровых данных
Статья 69. Основы правового регулирования обработки цифровых данных
1. Отраслевыми принципами регулирования отношений по обработке цифровых данных в Кыргызской Республике являются:
1) совокупность прав владельцев записей по своему усмотрению определять состав обрабатываемых цифровых данных, цели и способы их обработки, с одной стороны, и прав принципалов данных на доступ к своим данным, а в случаях, установленных настоящим Кодексом, также и прав на возражение против обработки и удаления данных, с другой (принцип добровольности участия);
2) обязанность субъектов правоотношений в цифровой среде при определении ими объемов обрабатываемых цифровых данных и выборе целей и способов обработки цифровых данных заботиться о соблюдении прав и законных интересов других субъектов (принцип добросовестности);
3) возможность обработки цифровых данных, созданных для определенных целей, в других целях при условии совместимости новых целей обработки с первоначальными (принцип повторного использования);
4) возможность использования цифровых данных из разных источников и переноса по усмотрению принципала данных цифровых записей между владельцами записей в силу использования совместимых форматов данных и форматов записей, обеспечивающих возможность взаимодействия без каких-либо дополнительных ограничений (принцип совместимости и переносимости).
2. Регулирование отношений по обработке цифровых данных в отдельных видах правоотношений в цифровой среде осуществляется по правилам настоящей главы с учетом требований и ограничений, установленных соответствующими главами настоящего Кодекса. Субъекты всех видов правоотношений в цифровой среде пользуются всеми правами, предусмотренными настоящей главой, и несут связанные с ними обязанности.
Статья 70. Обработка цифровых данных с использованием технологий больших данных и интернета вещей
1. Технологии, предполагающие обработку большого количества не связанных между собой и постоянно обновляющихся цифровых данных с целью анализа связей между ними (технологии больших данных), могут создаваться и использоваться в Кыргызской Республике без ограничений. Принципалы таких данных пользуются всеми правами, установленными настоящим Кодексом, в том числе в случае обезличивания данных.
2. Цифровые права на цифровые записи, создаваемые цифровыми устройствами в автоматическом режиме без участия человека (устройствами интернета вещей), принадлежат владельцам таких цифровых устройств, если иное не установлено соглашением владельца устройства с другими субъектами правоотношений в цифровой среде.
3. Лица, применяющие технологии больших данных и интернета вещей, обязаны учитывать общепризнанную международную практику при выборе форматов записей, создаваемых при использовании таких технологий.
Статья 71. Запрет недобросовестной обработки
1. Недобросовестная обработка цифровых данных не допускается.
2. Обработка цифровых данных является недобросовестной, если:
1) осуществляется обработка неполных, неточных и (или) неактуальных цифровых данных, принятие решений на основании которых будет незаконным или несправедливым для принципала данных;
2) осуществляется обработка цифровых данных, нарушающих право на идентичность и (или) ставящих принципалов данных в нарушение законодательства в неравное положение по критериям пола, расы, языка, инвалидности, этнической принадлежности, вероисповедания, возраста, политических или иных убеждений, образования, происхождения, имущественного или иного положения;
3) обработка цифровых данных нарушает принцип добровольности и приводит к избыточной обработке данных о принципале, в частности, при заключении с ним договора или предоставлении доступа к цифровому сервису;
4) возможность обработки для пользователя обусловливается действиями, которые не связаны с целями и задачами такого доступа, в том числе в случае навязывания услуг или параметров обработки данных;
5) принципалы данных и (или) пользователи не имеют полной, достоверной и актуальной информации об обработке и действиях, необходимых для ее осуществления, до начала такой обработки.
Статья 72. Обработка цифровых данных в цифровых сообществах
1. Обработка цифровых данных в цифровых сообществах осуществляется в соответствии с правилами цифрового сообщества.
2. В целях организации обработки цифровых данных в цифровом сообществе может быть определен обработчик цифровых записей. Деятельность обработчика регламентируется общедоступным правовым актом сообщества, соответствующим требованиям настоящего Кодекса. Порядок утверждения такого правового акта и порядок внесения изменений в него определяется правилами цифрового сообщества.
Статья 73. Информация об обработке и доступ к данным
1. Принципал данных имеет право на получение от владельца записей следующей информации (далее - информация об обработке):
1) подтверждение факта обработки цифровых данных, относящихся к этому принципалу;
2) правовые основания и цели обработки относящихся к нему цифровых данных;
3) наименование и место нахождения владельца записей;
4) место или места обработки относящихся к нему цифровых данных;
5) контактная информация ответственного за обработку персональных данных (если он назначен владельцем записей);
6) о лицах, которые имеют доступ к цифровым данным, относящимся к этому принципалу или которым передаются такие цифровые данные (кроме работников владельца записей);
7) о сроках обработки цифровых данных, относящихся к этому принципалу, или порядке их определения;
8) о правах принципала данных, в том числе являющегося субъектом персональных данных;
9) о последствиях отказа принципала от обработки относящихся к нему цифровых данных;
10) об автоматическом принятии решений на основе цифровых данных, включая информацию об алгоритме, а также о значимости и предполагаемых последствиях решений для принципала данных.
2. Владелец записей обязан предоставить принципалу данных информацию об обработке в следующих случаях и следующие сроки:
1) при сборе персональных данных от субъекта персональных данных - до момента получения персональных данных;
2) при получении цифровых данных из иных источников - в течение семи рабочих дней со дня получения данных владельцем записей;
3) при получении запроса принципала данных о предоставлении информации об обработке - в течение семи рабочих дней со дня получения запроса.
3. Информация об обработке должна быть предоставлена принципалу данных владельцем записей в понятной форме. Информация об обработке не может содержать персональные данные других лиц, за исключением случаев, когда имеются основания для доступа принципала данных к таким данным.
4. Принципал данных имеет право запросить доступ ко всем относящимся к нему цифровым данным, обрабатываемым владельцем записей, а владелец записей обязан предоставить такой доступ в течение семи рабочих дней со дня получения запроса от принципала данных. По выбору владельца записей в указанный срок вместо предоставления доступа к цифровым записям принципалу данных может быть предоставлена копия всех цифровых записей, относящихся к нему.
5. Владелец записей не обязан предоставлять принципалу данных информацию об обработке или доступ к относящимся к нему цифровым записям, если он может доказать, что они уже были предоставлены принципалу данных.
Статья 74. Ограничения прав принципала данных
1. Ограничение прав принципала данных на получение информации об обработке и доступе к данным о себе устанавливается законом в отношении:
1) цифровых данных, полученных в рамках оперативно-розыскной, внешней разведывательной и контрразведывательной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением законодательства Кыргызской Республики;
2) цифровых данных, обработка которых осуществляется в соответствии с уголовно-процессуальным законодательством;
3) цифровых данных, обработка которых осуществляется в соответствии с законодательством Кыргызской Республики в сфере защиты государственных секретов.
2. Ограничение прав принципала данных на получение информации об обработке и доступе к данным о себе, не предусмотренное частью 1 настоящей статьи, не допускается.
3. Если владелец записей обнаружил, что при получении цифровых данных в рамках оперативно-розыскной, разведывательной или контрразведывательной деятельности было допущено нарушение законодательства Кыргызской Республики, подтвержденное судебным актом или актом органа прокуратуры, он обязан в течение семи рабочих дней направить принципалу таких данных информацию об обработке в порядке, предусмотренном настоящим Кодексом.
Статья 75. Исправление и дополнение цифровых записей
1. Владелец записей обязан вносить исправления в цифровые записи и с учетом целей их обработки дополнять их в случаях:
1) получения запроса принципала данных на исправление или дополнение относящихся к нему цифровых записей;
2) получения требования соответствующего уполномоченного государственного органа о необходимости исправления или дополнения цифровых записей;
3) получения владельцем записей новых данных, указывающих на неполноту и недостоверность цифровых записей, утрату ими актуальности.
2. Владелец записей вправе не вносить исправления и дополнения в цифровые записи, если содержащиеся в них данные являются полными, достоверными и актуальными с точки зрения целей их обработки владельцем записей.
3. Владелец записей обязан предоставить принципалу данных информацию об исправлении или дополнении относящихся к нему цифровых записей в течение семи рабочих дней со дня получения запроса принципала данных или внесения изменений и дополнений в данные по другим основаниям.
Статья 76. Перенос цифровых записей
1. Владелец цифровых записей в случае получения требования принципала данных о переносе относящихся к нему записей к другому владельцу обязан предпринять одно из следующих действий:
1) передать такие цифровые записи новому владельцу, указанному в требовании;
2) передать принципалу данных относящиеся к нему цифровые записи в формате, допускающем их перенос к новому владельцу.
2. При выборе формата для передачи владелец записей должен учитывать рекомендуемые стандарты цифровых записей, сведения о форматах, используемых новым владельцем, а также иные доступные владельцу записей сведения о форматах записей, используемых для переноса данных, в том числе указанные в запросе от принципала данных.
3. Запрос о переносе записей к другому владельцу может касаться только записей, обрабатываемых на основании договора с принципалом данных или согласия принципала данных на обработку относящихся к нему данных.
4. Отраслевой регулятор нацэкосистемы разрабатывает и публикует на своем сайте рекомендации о форматах цифровых записей и их метаданных, технических и (или) организационных решениях, направленных на обеспечение переносимости цифровых записей.
Глава 11. Обработка персональных данных
Статья 77. Правовое регулирование обработки персональных данных
1. Настоящий Кодекс применяется к любым отношениям по обработке персональных данных, в том числе в составе цифровых записей и цифровых ресурсов. Настоящий Кодекс предусматривает особенности обработки информации персонального характера, не являющейся цифровыми персональными данными.
2. Настоящий Кодекс не применяется к отношениям по обработке персональных данных физическим лицом исключительно в связи с его личными или семейными делами.
3. Нормативные правовые акты, регулирующие обработку персональных данных, противоречащие настоящему Кодексу или не опубликованные в установленном порядке, не подлежат применению.
Статья 78. Отраслевые принципы обработки персональных данных
1. Персональные данные должны обрабатываться на законных основаниях, справедливым и открытым образом в отношении субъекта персональных данных (принцип законности, справедливости, прозрачности).
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Изменение или расширение цели обработки персональных данных владельцем записей без согласия субъекта не допускается, за исключением случаев, установленных законодательством (принцип ограничения цели).
3. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (принцип минимизации данных).
4. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Владелец записей должен принимать необходимые меры по удалению или уточнению неполных или неточных персональных данных (принцип точности).
5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством или обязательным для субъекта договором. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством (принцип ограничения хранения).
6. Обработка персональных данных должна осуществляться способом, обеспечивающим их безопасность, то есть с обязательным принятием организационных и технических мер, предотвращающих несанкционированную или незаконную обработку персональных данных, их случайное или преднамеренное уничтожение, потерю, повреждение или изменение (принцип целостности и конфиденциальности).
7. Владелец записей несет ответственность за соблюдение принципов, предусмотренных настоящей статьей, и должен быть способен подтвердить их соблюдение.
Статья 79. Основания обработки персональных данных
1. Обработка персональных данных допускается при наличии хотя бы одного из следующих оснований обработки:
1) обработка необходима для заключения или исполнения договора, в котором субъект персональных данных является стороной, представителем или иным лицом, действующим от имени стороны по договору, или выгодоприобретателем, либо для принятия мер по инициативе субъекта до заключения договора;
2) обработка необходима для выполнения владельцем записей обязанностей (полномочий), установленных законом или принятыми в соответствии с ним нормативными правовыми актами, в том числе актами в сфере официальной статистики и правилами нацэкосистемы;
3) обработка необходима для защиты жизненно важных интересов субъекта персональных данных либо иного физического лица;
4) обработка необходима для реализации владельцем записей публичных или иных общественно полезных задач, включая защиту человеческой жизни, интересы общества, гуманитарные, экологические и иные значимые цели;
5) обработка необходима для реализации законных интересов владельца записей или третьего лица и при этом не нарушаются законные интересы, права и свободы субъекта персональных данных.
2. Получение согласия субъекта на осуществление отдельных видов обработки его данных при наличии оснований обработки, предусмотренных частью 1 настоящей статьи, осуществляется в случаях, предусмотренных законом. При отсутствии оснований, предусмотренных частью 1 настоящей статьи, обработка осуществляется при условии получения согласия субъекта на обработку персональных данных и только для тех целей обработки, в отношении которых было получено согласие субъекта персональных данных.
3. Согласие ничтожно, если оно получено в ответ на запрос, который:
1) не выделен из других запросов к субъекту, в частности, в котором прямо не указано, что этот запрос является запросом на согласие;
2) не понятен и не доступен субъекту, изложен сложным языком;
3) направлен субъекту при наличии других оснований обработки, предусмотренных частью 1 настоящей статьи.
4. Согласие на обработку персональных данных должно быть добровольным, конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных в любой форме, позволяющей подтвердить факт его получения, если иное не установлено законодательством.
5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. Процедура отзыва согласия не должна быть более обременительной, чем процедура предоставления согласия.
6. Выдача и отзыв согласия на обработку персональных данных могут быть совершены представителем субъекта, действующим от его имени на основании доверенности, договора, указания закона либо акта уполномоченного государственного органа или органа местного самоуправления. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает и отзывает законный представитель субъекта персональных данных. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают и отзывают наследники субъекта персональных данных.
Статья 80. Обработка специальных категорий персональных данных
1. Запрещается обработка следующих специальных категорий персональных данных:
1) раскрывающих расовое или этническое происхождение, политические взгляды, религиозные или философские воззрения либо членство в профсоюзе;
2) содержащих генетическую информацию;