Организации и учреждения, собирающие, хранящие и обрабатывающие персональные данные, обязаны пройти регистрацию в Реестре держателей (обладателей) массивов персональных данных. Поскольку с 23 ноября 2025 года за работу с персданными без регистрации будет введена административная ответственность, предусматривающая штрафы до 120 тысяч сомов.

Обязательная регистрация установлена законом КР «Об информации персонального характера» и призвана обеспечить прозрачность процессов обработки данных и защиту прав граждан.

«Ключевыми целями реестра являются: защита прав субъектов персональных данных, учет держателей и массивов информации, обеспечение прозрачности обработки данных и предотвращение их незаконного использования», — отмечает Госагентство по защите персональных данных.

Что такое персональные данные в Кыргызстане, кто обязан зарегистрироваться в Реестре держателей и какие штрафы предусмотрены для физических, должностных и юридических лиц в случае нарушения закона — на эти и другие вопросы отвечает Economist.kg.

Что такое персональные данные?

Согласно законодательству, НПА и официальной информации госагентства, под персональными данными понимается любая информация, по которой можно прямо или косвенно идентифицировать конкретного человека. 

Так, к персональным данным относятся биографические и идентификационные сведения о гражданине, личные характеристики, данные о семейном, социальном и финансовом положении, состоянии здоровья и другое. Проще говоря, персональными данными является любая информация о физическом лице, соотнесенная с этим лицом либо позволяющая его идентифицировать.

Например, к персональным данным относятся:

• фамилия, имя, отчество;
• персональный идентификационный номер (ПИН) или ИНН;
• паспортные и биометрические данные;
• семейное положение;
• сведения о здоровье или медицинские записи;
• образовательные и трудовые сведения;
• онлайн-идентификаторы (логин пользователя, IP-адрес);
• фото- или видеоматериалы, позволяющие узнать человека;
• иная информация, по которой можно установить личность.

Особую специальную категорию персональных данных составляют так называемые «чувствительные» данные: например, биометрические характеристики, состояние здоровья, сведения о личной жизни, банковские реквизиты. Обработка и передача таких данных требует усиленных мер безопасности и конфиденциальности.

В то же время не всякая информация является персональной. Не считаются персональными данными сведения, которые сами по себе не позволяют идентифицировать конкретное лицо. Например, не относятся к персональным данным:

• регистрационный номер организации;
• ИНН юридического лица;
• общий адрес электронной почты компании;
• название города (без увязки с конкретным адресом или человеком);
• распространенное имя без указания фамилии и других идентификаторов.

Кто должен регистрироваться в Реестре?

Практически любая организация, действующая в Кыргызстане, так или иначе собирает или хранит сведения о физических лицах — будь то граждане, сотрудники, клиенты или другие субъекты. Таким образом, в той или иной степени все они являются держателями массивов персональных данных и подпадают под требования законодательства.

Держателями персональных данных закон называет как государственные органы и органы местного самоуправления, так и коммерческие и некоммерческие организации, предприятия, учреждения, осуществляющие работу с массивами персональных данных.

Если организация обладает какой-либо информацией о физических лицах (например, базой данных клиентов, архивом анкет или личных дел сотрудников, договорами с гражданами), то эта совокупность сведений считается массивом персональных данных. Неважно, в каком виде хранятся данные — на бумаге или электронно, в виде архива, картотеки, базы данных или информационной системы.

Например, стандартный отдел кадров предприятия содержит личные дела работников (анкеты, копии документов, контактные данные и т. д.), то есть фактически ведет массив персональных данных. То же касается и клиентских баз, списков абонентов, данных о пациентах и т. д. Таким образом, любая организация, имеющая информацию о физических лицах, выступает держателем массива персональных данных.

Согласно статье 30 Закона КР «Об информации персонального характера», все массивы персональных данных и их держатели подлежат обязательной регистрации в уполномоченном государственном органе. По сути, любая компания, работающая с личными данными граждан, должна встать на учет в специальном госреестре.

Регистрация в Реестре держателей

Реестр держателей (обладателей) массивов персональных данных представляет собой единую систему государственного учета всех держателей и их массивов персональных данных, а также перечней персональных данных, включаемых в эти массивы. Эта государственная база создана в развитие требований статьи 30 закона и ведется профильным Госагентством. Реестр общедоступен и функционирует в электронном формате — данные в него подаются и публикуются онлайн.

В Реестре фиксируются подробные сведения о каждом держателе и его массивах персональных данных, в том числе:

• наименование массива персональных данных;
• наименование держателя и его реквизиты (адрес, организационно-правовая форма, ведомственная принадлежность, телефон, фамилия и имя руководителя, электронная почта, факс);
• цели и способы сбора и использования персональных данных;
• условия (режимы) и сроки хранения данных;
• перечень собираемых персональных данных;
• категории (группы) субъектов персональных данных, чьи сведения содержатся в массиве;
• источники получения персональных данных;
• порядок информирования субъектов о факте сбора и о возможной передаче их данных;
• меры по обеспечению сохранности и конфиденциальности персональных данных;
• должностное лицо, ответственное за работу с персональными данными;
• получатели или категории получателей, которым передаются данные;
• сведения о предполагаемой трансграничной передаче персональных данных (если планируется).

При этом в Реестр не включаются персональные данные и их массивы, если они содержат сведения, составляющие государственную тайну.

Регистрация осуществляется полностью онлайн на официальном сайте госагентства — в разделе «Реестр» портала dpa.gov.kg.

Для регистрации ответственный сотрудник организации должен авторизоваться через Единую систему идентификации (ЭСИ) с использованием облачной электронной подписи (ЭЦП) юридического лица. Процедура постановки на учет детально регламентирована постановлением кабмина.

Госагентство разработало подробную инструкцию для заполнения реестра. Также размещена видео-инструкция по работе с системой. При возникновении затруднений консультацию можно получить по телефонам горячей линии агентства: +996 997 950 850, +996 998 950 350 или +996 709 950 750.

Штрафы и контроль за соблюдением закона

19 мая 2025 года президент Садыр Жапаров подписал закон №95, которым в Кодекс КР о правонарушениях внесены новые статьи, устанавливающие ответственность за несоблюдение требований в сфере персональных данных. Документ вступит в силу спустя шесть месяцев после официального опубликования.

Основные виды нарушений и санкции для юридических лиц:

• Нарушение порядка работы с персональными данными. Несоблюдение установленных правил сбора, хранения, защиты или передачи персональных данных влечет штраф 65 тысяч сомов для организации за первое нарушение. Повторное нарушение в течение года обойдется уже в 120 тысяч сомов.
• Отсутствие регистрации в реестре. Если компания собирает и обрабатывает персональные данные, но не зарегистрирована в государственном реестре держателей, предусмотрен штраф 45 тысяч сомов.
• Незаконная трансграничная передача данных. Передача персональных данных за границу с нарушением установленных правил грозит штрафом 65 тысяч сомов (при повторном таком нарушении в течение года — 100 тысяч сомов).
• Отказ предоставить данные субъекту. Если держатель необоснованно отказывает человеку в доступе к его собственным персональным данным или информации об их обработке (в случаях, когда по закону обязан предоставить), организация будет оштрафована на 25 тысяч сомов (при повторном нарушении — 45 тысяч сомов).
• Невыполнение требований уполномоченного органа. За игнорирование законного запроса или предписания Государственного агентства по персональным данным предусмотрен штраф в размере 30 тысяч сомов для юридического лица.

Статья 413-2. Нарушение порядка работы с персональными данными

• физические лица — штраф 7.5 тысячи сомов, повторное нарушение — 25 тысяч сомов;
• должностные лица — 10 тысяч сомов, повторное — 30 тысяч сомов.

Статья 413-3. Незаконная трансграничная передача персональных данных

• физические лица — штраф 15 тысяч сомов, повторное — 30 тысяч сомов;
• должностные лица — 17.5 тысячи сомов, повторное — 35 тысяч сомов.

Статья 413-5. Неисполнение законных требований госоргана

• физические лица — штраф 10 тысяч сомов;
• должностные лица — 20 тысяч сомов.

Таким образом, ответственность в сфере персональных данных в КР распространяется не только на организации, но и на конкретных сотрудников, отвечающих за работу с массивами данных.

Контролировать исполнение закона уполномочено само Госагентство по защите персональных данных. В рамках своих надзорных полномочий оно может проводить проверки организаций на предмет соблюдения требований законодательства о персональных данных. В первую очередь проверяются те держатели, у которых уже были зафиксированы инциденты или жалобы, связанные с нарушениями в этой сфере.

Сколько организаций уже зарегистрировано

По данным госагентства, на момент публикации материала Economist.kg в Реестре держателей персональных данных зарегистрированы уже 3 692 организации, из них 2 748 — государственные структуры и 941 — коммерческие организации.

«Госагентство настоятельно рекомендует всем субъектам, обрабатывающим персональные данные, своевременно зарегистрироваться в реестре во избежание правовых последствий», — подчеркивают в ведомстве.