от 3 августа 2018 года №1537
О защите персональных данных
Принят Постановлением МН МОРТ от 8 июня 2018 года №1115 (show_doc.fwx?rgn=108965)
Одобрен Постановлением ММ МОРТ от 2 августа 2018 года №561 (show_doc.fwx?rgn=108966)
Настоящий Закон определяет правовые и организационные основы деятельности, связанной со сбором, обработкой и защитой персональных данных.
В настоящем Законе используются следующие основные понятия:
Законодательство Республики Таджикистан о защите персональных данных основывается на Конституции (show_doc.fwx?rgn=2213) Республики Таджикистан и состоит из настоящего Закона, других нормативных правовых актов Республики Таджикистан, а также международных правовых актов, признанных Таджикистаном.
1. Настоящим Законом регулируются отношения, связанные со сбором, обработкой и защитой персональных данных.
2. Действие настоящего Закона не распространяется на:
Сбор, обработка и защита персональных данных основывается на следующих принципах:
1. Защита персональных данных гарантируется государством.
2. Сбор и обработка персональных данных осуществляются при наличии сертификата соответствия уполномоченного государственного органа по защите персональных данных и информационной безопасности.
3. Для обеспечения охраны персональных данных должны приниматься меры по их защите от непреднамеренной или несанкционированной утечки, копирования, хищения, потери, изменения (подделки), разглашения или уничтожения.
В полномочия Президента Республики Таджикистан по защите персональных данных входит:
Государственный уполномоченный орган по защите персональных данных имеет следующие полномочия:
1. Сбор и обработка персональных данных осуществляются обладателем и (или) оператором с согласия субъекта или его законного представителя, кроме случаев, предусмотренных статьей 9 настоящего Закона.
2. Сбор и обработка персональных данных должны ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями их сбора.
3. Содержание и объем собираемых и обрабатываемых персональных данных должны соответствовать заявленным целям сбора и обработки.
4. При сборе и обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и значимость по отношению к целям сбора и обработки персональных данных. Оператор должен принимать необходимые меры по уточнению неполных или неточных данных.
5. Субъект данных должен быть уведомлен о собираемых в отношении него данных, ему обеспечивается доступ к касающимся его данным, а также он вправе требовать исправления неточных или вводящих в заблуждение данных, если законодательством Республики Таджикистан не предусмотрено иное.
6. Сбор и обработка персональных данных умершего, признанного судом, безвестно пропавшим или объявленного умершим субъекта, осуществляются в соответствии с законодательством Республики Таджикистан.
1. Персональные данные подразделяются на общедоступные и ограниченного доступа.
2. Доступность общедоступных персональных данных является свободным с согласия субъекта или, на них, в соответствии с законодательством Республики Таджикистан, не распространяются требования режима секретности.
3. В целях информационного обеспечения населения используются общедоступные источники персональных данных (в том числе биографические справочники, телефонные, адресные книги, общедоступные электронные информационные ресурсы, средства массовой информации).
4. Доступность персональных данных ограниченного доступа ограничена законодательством Республики Таджикистан.
1. Доступ к персональным данным определяется условиями согласия субъекта или его законного представителя, предоставленного обладателю, оператору и третьему лицу на их сбор и обработку, кроме случаев, предусмотренных статьёй 9 настоящего Закона.
2. Обращение (запрос) субъекта или его законного представителя относительно доступа к своим персональным данным подается обладателю, оператору и третьему лицу в установленной законодательством Республики Таджикистан форме.
3. Отношения между обладателем, оператором и третьим лицом относительно доступа к персональным данным регулируются Законом (show_doc.fwx?rgn=23417) Республики Таджикистан "О праве на доступ к информации".
1. Субъект или его законный представитель выдает (отзывает) согласие на сбор и обработку персональных данных, установленных законодательством Республики Таджикистан формах.
2. Субъект или его законный представитель не может отозвать согласие на сбор и обработку персональных данных в случаях, предусмотренных статьёй 9 настоящего Закона.
Сбор и обработка персональных данных без согласия субъекта или его законного представителя производятся в следующих случаях:
1. Обладатель, оператор и третье лицо, получающие доступ к персональным данным ограниченного доступа, обеспечивают их конфиденциальность путем соблюдения требований по недопущению их распространения без согласия субъекта или его законного пр едставителя.
2. Лица, которым стали известны персональные данные ограниченного доступа в связи с профессиональной, служебной необходимостью, а также трудовыми отношениями, обязаны обеспечивать их конфиденциальность.
3. Конфиденциальность биометрических данных устанавливается законодательством Республики Таджикистан.
1. Накопление персональных данных производится путем сбора персональных данных, необходимых и достаточных для осуществления деятельности обладателем, оператором и третьим лицом.
2. Хранение персональных данных, база которых расположена только в Республике Таджикистан, осуществляется обладателем, оператором и третьим лицом, за исключением случаев, согласованных с уполномоченным государственным органом по защите персональных данных.
3. Срок хранения персональных данных определяется датой достижения целей их обработки, если законодательством Республики Таджикистан не предусмотрено иное.
Изменение и дополнение персональных данных осуществляются обладателем, оператором и третьим лицом на основании обращения (запроса) субъекта или его законного представителя либо в иных случаях, предусмотренных законодательством Республики Таджикистан.
1. Распространение персональных данных допускается, если при этом не нарушаются права и свободы субъекта, а также не затрагиваются законные интересы иных физических и юридических лиц, за исключением случаев, предусмотренных законодательством Республики Таджикистан.
2. Распространение персональных данных в случаях, выходящих за рамки ранее заявленных целей их сбора и обработки, осуществляется с согласия субъекта или его законного представителя, за исключением случаев, предусмотренных законодательством Республики Таджикистан.
1. Сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность . (биометрические персональные данные), и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии письменного согласия субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением уголовного преследования и правосудия, исполнением судебных актов, а также в случаях, предусмотренных законодательством Республики Таджикистан об обороне, о безопасности, об оперативнорозыскной деятельности, противодействии терроризму, экстремизму, коррупции и легализации (отмыванию) доходов, полученных преступным путём, финансированию терроризма и финансированию распространения оружия массового поражения, исполнения уголовного наказания, приобретения и прекращения гражданства Республики Таджикистан и о государственной службе.
1. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Законом. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Республики Таджикистан, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
2. Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, может осуществляться в случаях:
При обработке персональных данных для проведения статистических, социологических, научных исследований обладатель, оператор и третье лицо обязаны их обезличить.
Персональные данные подлежат уничтожению обладателем, оператором и третьим лицом:
1. Обладатель или оператор, передавший персональные данные третьим лицам, а равно третье лицо, получившее персональные данные не от субъекта таких персональных данных, обязаны в срок, не превышающий трёх рабочих дней, направить субъекту уведомление, содержащее сведения, указанные в части 2 настоящей статьи.
2. В уведомлении указываются следующие сведения:
3. Обладатель, оператор и третье лицо освобождаются от обязанности, предусмотренной частью 1 настоящей статьи, в следующих случаях:
4. Обработка переданных персональных данных осуществляется для статистических или иных научно:
1. Субъект имеет право на получение сведений, указанных в части 4 настоящей статьи, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект вправе требовать от обладателя, оператора и третьего лица уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством Республики Таджикистан меры по защите своих прав.
2. Сведения, указанные в части 4 настоящей статьи, предоставляются субъекту или его законному представителю обладателем, оператором и третьим лицом при обращении либо при получении запроса субъекта или его законного представителя.
3. Сведения, указанные в части 4 настоящей статьи, должны быть предоставлены субъекту обладателем, оператором и третьим лицом в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4. Субъект имеет право на получение информации, касающейся сбора и обработки его персональных данных, в том числе содержащей:
5. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Таджикистан.
Субъект обязан предоставлять свои персональные данные в случаях, установленных законодательством Республики Таджикистан.
Обладатель, оператор и третье лицо имеют право:
1. Обладатель, оператор и третье лицо обязаны:
2. Обладатель, оператор и третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие решение следующих задач:
3. Обязанности обладателя, оператора и третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
За несоблюдение требований настоящего Закона физические и юридические лица привлекаются к ответственности в соответствии с законодательством Республики Таджикистан.
Настоящий Закон ввести в действие после его официального опубликования.