Внутренний номер: 343273
Varianta în limba de stat
Республика Молдова
от 15.05.2012
об утверждении Положения о регистре учета
контролеров персональных данных
контролеров персональных данных
На основании пункта f) части 1) статьи 20 Закона № 133 от 8 июля 2011 года о защите персональных данных (Официальный монитор Республики Молдова, 2011 г., № 170-175, ст.492) Правительство ПОСТАНОВЛЯЕТ:
Утвердить Положение о регистре учета контролеров персональных данных (прилагается).
ПРЕМЬЕР-МИНИСТР Владимир ФИЛАТ
Контрасигнует:
министр информационных
технологий и связи Павел ФИЛИП
№ 296. Кишинэу, 15 мая 2012 г.
2. Положение устанавливает процедуры и механизмы регистрации и учета всех контролеров, баз данных, информационных и информатических систем, в которых хранятся и обрабатываются персональные данные, а также обеспечения права на информацию каждого лица.
3. В настоящем Положении используются следующие понятия:
1) система учета персональных данных – любой структурированный набор персональных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный по функциональным или географическим критериям. В качестве системы учета персональных данных, являются, но не ограничиваются этим, базы данных, информационные и информатические системы, в которых хранятся и обрабатываются вручную или автоматизировано персональные данные;
2) уведомление (информационное заявление) – типовой бланк, заполненный и представленный под личную ответственность контролером для регистрации, изменения или удаления информационных объектов в Регистре;
3) Единое окно Национального центра по защите персональных данных (в дальнейшем – Единое окно) – единый пункт приема уведомлений и механизм, обеспечивающий адресацию контролеров в Центр в целях регистрации систем учета персональных данных, координирования с органами публичной власти, которые являются держателями информации и данных, необходимых для регистрации;
4) служащий Единого окна – работник Центра, который осуществляет функции, предусмотренные настоящим Положением.
4. Настоящее Положение устанавливает единый порядок получения уведомлений заявителей регистрации путем адресации их в Единое окно Центра или представления он-лайн уведомления и прилагаемых к нему документов в электронном формате, заверенных цифровой подписью, поданного посредством публичного интерфейса официальной веб-страницы Центра в сети Интернет.
5. Регистрация контролеров и систем учета персональных данных, изменение и удаление записей в Регистре производятся бесплатно.
6. Типовой бланк уведомления (информационного заявления) разрабатывается и утверждается Центром.
8. Субъектами правовых отношений, возникающих в результате создания Регистра, являются:
1) государство в качестве владельца Регистра;
2) Центр в качестве обладателя, держателя и регистратора Регистра;
3) контролеры или уполномоченные ими лица в качестве поставщиков данных, которые хранятся в Регистре;
4) держатели систем учета, в которых хранятся информации и данные, необходимые для проверки подлинности актов/документов/информаций, представленных заявителями регистрации в качестве поставщиков информации;
5) физическое лицо или юридическое лицо, наделенное правом получения данных из Регистра в соответствии с законом.
9. Регистраторы и лицо, уполномоченное осуществлять внутренний контроль ведения Регистра, назначаются руководством Центра.
10. Информационными объектами Регистра являются:
1) имя, фамилия/наименование и место жительства/местонахождение в Республике Молдова контролера и/или уполномоченного им лица, код IDNO /IDNP;
2) заявленная цель обработки персональных данных;
3) описание категории/й субъектов персональных данных, описание категории/й данных, которые будут обработаны, а также источников происхождения этих данных;
4) информация о существовании согласия субъектов персональных данных на обработку этих данных;
5) порядок уведомления субъектов персональных данных об их правах; по необходимости, дата, намеченная для завершения операций по обработке, а также дальнейшее использование персональных данных;
6) исчерпывающий список получателей, которым могут быть раскрыты путем передачи, распространения или иным образом, персональные данные;
7) гарантии при передаче персональных данных третьей стороне;
8) предполагаемые предложения о трансграничной передаче персональных данных;
9) категории данных, которые могут быть объектом трансграничной передачи;
10) государство назначения для каждой категории данных, которые являются объектом трансграничной передачи;
11) лица, ответственные за обработку персональных данных;
12) указание систем учета персональных данных, а также возможных связей с другими обработками данных или с другими системами учета персональных данных независимо от того, осуществляются ли или не осуществляются, соответственно, находятся или не находятся на территории Республики Молдова;
13) обстоятельства, обосновывающие применение положений статьи 10 и части (3) статьи 12 Закона № 133 от 8 июля 2011 о защите персональных данных в ситуации, когда обработка данных осуществляется исключительно в целях журналистики, художественного или литературного творчества либо в статистических целях или в целях исторических или научных исследований;
14) общее описание мер, принятых для обеспечения безопасности обработки персональных данных.
11. В Регистре отражаются следующие действия:
1) регистрация контролеров и систем учета персональных данных;
2) изменение регистрации контролеров и систем учета персональных данных;
3) удаление регистрации контролеров и систем учета персональных данных.
12. Информации, хранящиеся в Регистре, за исключением информации, отнесенной законом к категории информации с ограниченным доступом, регулируемых действующим законодательством, должны предаваться гласности посредством официальной web-страницы Центра в сети Интернет в срок, не превышающий 3-х дней с даты принятия решения о регистрации, изменении или удалении.
13. Документы, на основании которых выполняются записи в Регистре, представляются в электронном формате с соблюдением требований к электронному документу, предусмотренных Законом № 264-XV от 15 июля 2004 года об электронном документе и цифровой подписи.
14. В случае, когда документы не подписаны цифровой подписью, они представляются в электронном формате с приложением на бумажном носителе, подписанные собственноручно и по необходимости заверенные печатью заявителя регистрации – юридического лица. Если информация, представленная на бумажном носителе, содержит несколько листов, они прошиваются с подписью на каждом листе и проставлением при необходимости печати соответствующего заявителя регистрации.
15. Регистратор вправе:
1) запрашивать дополнительные сведения об информационных объектах, которые регистрируются, если возникают сомнения в отношении достоверности и полноты представленных данных;
2) вносить или удалять записи в Регистре на основании информации, полученной путем подключения к государственным информационным ресурсам.
16. Держатели систем учета, в которых хранятся данные, необходимые для проверки подлинности актов/документов/информации, представленных заявителями регистрации, обязаны представить в течение 10 рабочих дней и в полном объеме информацию, запрошенную регистратором.
17. Регистратор обязан:
1) вносить только достоверную информацию на основании данных, представленных поставщиком информации;
2) не допускать изменения, уничтожения и/или несанкционированного использования данных Регистра;
3) отвечать в течение 15 дней на запросы учреждений, которые имеют законное право запрашивать информацию, отнесенную к категории информации с ограниченным доступом. В случае обнаружения недостоверной информации, представленной и хранимой в Регистре, данные актуализируются и в течение 15 дней эти учреждения информируются о внесенных изменениях.
18. Центр отказывает в регистрации контролеров и систем учета персональных данных с вынесением соответствующего решения на этот счет, в случаях когда:
1) документы, прилагаемые к уведомлению, содержат недостоверную информацию;
2) уведомление, заполненное заявителем регистрации, не соответствует модели, утвержденной и предоставленной Центром, и/или не были прикреплены все подтверждающие документы в отношении информации, необходимой для внесения в Регистр в соответствии с настоящим Положением, при условии, что контролером не были соблюдены требования по устранению этих недостатков в сроки, установленные регистратором;
3) технические и организационные меры, необходимые для защиты персональных данных, не соответствуют требованиям по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
20. Уведомления заявителей регистрации, совместно с прикрепленными подтверждающими документами, необходимыми для регистрации и актуализации информационных объектов Регистра, подаются в Единое окно.
21. Каждая система учета персональных данных уведомляется (регистрируется) отдельно.
22. Сотрудник Единого окна проверяет правильность заполнения уведомления и достоверность представленных документов.
23. Уведомление не передается для дальнейшего рассмотрения и возвращается в случае, когда оно не закреплено подписью, либо подписано неуполномоченным в этом смысле лицом.
24. В случае принятия уведомления, заявителю регистрации сообщается о сроках рассмотрения, а также о порядке уведомления его о результатах рассмотрения и о принятом решении.
26. После заполнения уведомления в электронном формате оно может быть подписано путем применения цифровой подписи или распечатано на бумаге, подписано собственноручно заявителем регистрации и отправлено/ представлено в Единое окно в порядке, установленном настоящим Положением.
27. После получения уведомления, скрепленного цифровой подписью, соответствующего требованиям к электронному документу, информационная система отправляет письмо с подтверждением получения формуляра уведомления на контактный электронный адрес, указанный заявителем регистрации.
28. После получения уведомления об операциях по обработке персональных данных, требующих, согласно закону, предварительной проверки, сотрудник Единого окна информирует заявителя регистрации о сроке и перечне документов, которые должны быть представлены в Центр для обеспечения процедур предварительной проверки.
29. Центр рассматривает уведомление и издает в срок не позднее 30 календарных дней с даты представления или со дня принятия решения об авторизации операций по обработке персональных данных, предусмотренных в части (2) статьи 24 Закона №133 от 8 июля 2011 года о защите персональных данных, решение о регистрации или отказе в регистрации контролера и/или системы учета персональных данных.
30. Результаты рассмотрения уведомления доводятся до сведения заявителя регистрации в течение 3 дней с даты принятия решения.
31. Решение об отказе в регистрации может быть обжаловано в административном суде. Срок оспаривания решения об отказе в регистрации начинается со дня получения информации, представленной Центром, или первого его открытия (скачивания) – факт, регистрируемый автоматизированной системой и представленный в виде предупреждения в профиле контролера.
32. Отказ в регистрации не препятствует заявителю регистрации представить уведомление повторно, после устранения обстоятельств, которые послужили основой для вынесения решения об отказе.
33. При первичном уведомлении каждый контролер и/или система учета персональных данных получает регистрационный номер, который будет неизменным до момента удаления из Регистра и не может быть присвоен другому контролеру или системе учета персональных данных.
34. Регистрационный номер представляет собой идентификатор, состоящий из 10 цифр, скомпонованный из идентификатора контролера и очередного номера системы учета персональных данных, согласно модели:
XXXXXXX-YYY,
где:
XXXXXXX-идентификатор контролера;
YYY- идентификатор системы учета персональных данных.
35. Впоследствии все документы, посредством которых обрабатываются персональные данные, будут маркированы с указанием только идентификатора контролера.
36. Центр ведет досье на контролеров персональных данных и систем учета персональных данных в электронном формате, в которых сохраняются все документы/файлы, представленные в связи с регистрацией/изменением/удалением записей из Регистра.
37. Порядок ведения и хранения досье устанавливается Центром в соответствии с действующим законодательством.
39. Предварительная проверка проводится на основании сведений, представленных в уведомлении, поданном заявителем регистрации. Центр может запросить и другую информацию, которая включает, но не ограничивается происхождением персональных данных, используемыми технологиями автоматизированной обработки, мерами безопасности обработки персональных данных.
40. В результате предварительной проверки Центр выносит решение о выдаче разрешения или отказе в выдаче разрешения на операции по обработке персональных данных.
41. Решение об отказе в выдаче разрешения на обработку персональных данных должно содержать основания отказа и при необходимости способ устранения обстоятельств, препятствующих обработке соответствующих данных.
42. Отказ в выдаче разрешения на обработку персональных данных не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.
43. Информация о принятом решении направляется на адрес заявителя регистрации.
44. Электронный формат решения скрепляется цифровой подписью и может загружаться контролером или уполномоченным им лицом путем доступа к профилю, созданному посредством официальной веб-страницы Центра в сети Интернет.
45. Принятое решение может быть обжаловано в административном суде.
46. Срок оспаривания принятого решения начинается со дня получения информации, представленной Центром, или первого его открытия (скачивания) – факт, который регистрируется системой и представляется в виде предупреждения в профиле контролера персональных данных.
48. О любом изменении данной информации сообщается Центру в течение 5 дней.
49. В случае принятия решения о внесении изменений автоматизированная система отмечает соответствующие изменения в Регистре.
1) подачи заявителем регистрации уведомления в этом отношении;
2) вынесения Центром решения о прекращении обработки персональных данных, осуществляемой с нарушением положений настоящего закона, после окончания срока его оспаривания.
51. Уведомление, касающееся удаления информации, зарегистрированной в Регистре, подается заявителем регистрации с указанием регистрационного номера контролера и системы учета персональных данных, при соблюдении условий подачи и обработки уведомления, указанных в разделе 1 главы IV Положения.
52. Решение об удалении должно основываться на убедительных основаниях относительно уничтожения или передачи персональных данных другому контролеру с соблюдением положений законодательства и прав субъекта персональных данных.
53. В случае вынесения решения об удалении автоматизированная система произведет соответствующие записи в Регистре.
54. В удалении информации из Регистра по инициативе контролера или уполномоченного им лица может быть отказано, в случае когда:
1) документы, прилагаемые к уведомлению, содержат недостоверную информацию, а также заявителем регистрации не были приняты меры по устранению этих недостатков в установленный Центром срок;
2) не был подтвержден факт уничтожения персональных данных;
3) не был подтвержден факт передачи персональных данных другому контролеру;
4) передача персональных данных другому контролеру была выполнена с нарушением положений законодательства о защите персональных данных.
55. В случаях, предусмотренных в пункте 54 настоящего Положения, Центр принимает решение об отказе в удалении информации из Регистра.
56. Решение об отказе в удалении не препятствует заявителю регистрации представить повторно уведомление после устранения обстоятельств, которые послужили основой для вынесения решения об отказе.
57. Контролер и/или система учета персональных данных считаются удаленными из Регистра с даты вынесения решения об их удалении.
59. Отказ в предоставлении выписки из Регистра может быть обжалован в административном суде.
61. Доступ к публичной информации, хранящейся в Регистре, выполняется посредством официальной веб-страницы Центра в сети Интернет.
63. После регистрации информации в Регистре или истечения сроков, предусмотренных для внесения записей, документы и файлы в электронном виде, которые послужили основой для регистрации уведомления, хранятся в архиве Центра в порядке и сроках, установленных законодательством.
64. В случае потери, уничтожения или повреждения данных, хранящихся в Регистре, держатель Регистра осуществляет их восстановление в течение 60 календарных дней.
65. Записи Регистра могут быть восстановлены полностью или частично, на основе документов и резервных копий электронных файлов, послуживших основой для внесения записей, выписок из Регистра и, если эти документы не сохранились, из их копий, аутентифицированных в установленном порядке, а также на основе информации из других источников.
66. Восстановление записей, хранящихся в Регистре, должно выполняться под контролем лица, осуществляющего внутренний контроль его ведения.
67. Ведение регистра подлежит внутреннему и внешнему контролю в соответствии со статьей 31 Закона № 71-XVI от 22 марта 2007 года о регистрах. Внутренний контроль выполняется лицом, назначенным в соответствии с законом. Лица, наделенные полномочиями по ведению Регистра и хранению досье учета контролеров или систем учета персональных данных, обязаны предотвращать несанкционированный доступ к данным, хранящимся в Регистре, или к досье контролеров и/или систем учета персональных данных, принимать меры в целях предотвращения случаев незаконного использования, разглашения информации, содержащейся в них, изменения или уничтожения таких данных.
68. Лица, уполномоченные вести Регистр, обязаны обеспечить неразглашение профессиональной тайны в отношении информации с ограниченным доступом, к которой они имеют доступ даже после завершения трудовой деятельности в Центре. За нарушение условия конфиденциальности виновные лица несут ответственность в соответствии с гражданским, правонарушительным или уголовным законодательством.
Утвердить Положение о регистре учета контролеров персональных данных (прилагается).
ПРЕМЬЕР-МИНИСТР Владимир ФИЛАТ
Контрасигнует:
министр информационных
технологий и связи Павел ФИЛИП
№ 296. Кишинэу, 15 мая 2012 г.
Утверждено
Постановлением Правительства
№ 296 от 15 мая 2012 г.
Постановлением Правительства
№ 296 от 15 мая 2012 г.
ПОЛОЖЕНИЕ
О РЕГИСТРЕ УЧЕТА КОНТРОЛЕРОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава I
ОБЩИЕ ПОЛОЖЕНИЯ
1. Положение о Регистре учета контролеров персональных данных (в дальнейшем – Положение) является переложением статьи 21 Директивы 95/46 ЕС Европейского Парламента и Совета от 24 октября 1995 года о защите прав частных лиц применительно к обработке персональных данных и о свободном движении этих данных, опубликованной в Официальном журнале европейских сообществ (JOCE) № L 281 от 23 ноября 1995 г., и представляет собой инструмент, посредством которого Национальный центр по защите персональных данных (в дальнейшем – Центр) реализует политику по обеспечению адекватного уровня защиты персональных данных в Республике Молдова. О РЕГИСТРЕ УЧЕТА КОНТРОЛЕРОВ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Глава I
ОБЩИЕ ПОЛОЖЕНИЯ
2. Положение устанавливает процедуры и механизмы регистрации и учета всех контролеров, баз данных, информационных и информатических систем, в которых хранятся и обрабатываются персональные данные, а также обеспечения права на информацию каждого лица.
3. В настоящем Положении используются следующие понятия:
1) система учета персональных данных – любой структурированный набор персональных данных, являющихся доступными в соответствии с определенными критериями, централизованный, децентрализованный или распределенный по функциональным или географическим критериям. В качестве системы учета персональных данных, являются, но не ограничиваются этим, базы данных, информационные и информатические системы, в которых хранятся и обрабатываются вручную или автоматизировано персональные данные;
2) уведомление (информационное заявление) – типовой бланк, заполненный и представленный под личную ответственность контролером для регистрации, изменения или удаления информационных объектов в Регистре;
3) Единое окно Национального центра по защите персональных данных (в дальнейшем – Единое окно) – единый пункт приема уведомлений и механизм, обеспечивающий адресацию контролеров в Центр в целях регистрации систем учета персональных данных, координирования с органами публичной власти, которые являются держателями информации и данных, необходимых для регистрации;
4) служащий Единого окна – работник Центра, который осуществляет функции, предусмотренные настоящим Положением.
4. Настоящее Положение устанавливает единый порядок получения уведомлений заявителей регистрации путем адресации их в Единое окно Центра или представления он-лайн уведомления и прилагаемых к нему документов в электронном формате, заверенных цифровой подписью, поданного посредством публичного интерфейса официальной веб-страницы Центра в сети Интернет.
5. Регистрация контролеров и систем учета персональных данных, изменение и удаление записей в Регистре производятся бесплатно.
6. Типовой бланк уведомления (информационного заявления) разрабатывается и утверждается Центром.
Глава II
Ведение Регистра
7. Регистр учета контролеров персональных данных (в дальнейшем – Регистр) ведется в электронном виде на государственном языке и представляет собой совокупность информационных объектов, с использованием автоматизированной информационной системы, в определенном порядке и в соответствии с законом.Ведение Регистра
8. Субъектами правовых отношений, возникающих в результате создания Регистра, являются:
1) государство в качестве владельца Регистра;
2) Центр в качестве обладателя, держателя и регистратора Регистра;
3) контролеры или уполномоченные ими лица в качестве поставщиков данных, которые хранятся в Регистре;
4) держатели систем учета, в которых хранятся информации и данные, необходимые для проверки подлинности актов/документов/информаций, представленных заявителями регистрации в качестве поставщиков информации;
5) физическое лицо или юридическое лицо, наделенное правом получения данных из Регистра в соответствии с законом.
9. Регистраторы и лицо, уполномоченное осуществлять внутренний контроль ведения Регистра, назначаются руководством Центра.
10. Информационными объектами Регистра являются:
1) имя, фамилия/наименование и место жительства/местонахождение в Республике Молдова контролера и/или уполномоченного им лица, код IDNO /IDNP;
2) заявленная цель обработки персональных данных;
3) описание категории/й субъектов персональных данных, описание категории/й данных, которые будут обработаны, а также источников происхождения этих данных;
4) информация о существовании согласия субъектов персональных данных на обработку этих данных;
5) порядок уведомления субъектов персональных данных об их правах; по необходимости, дата, намеченная для завершения операций по обработке, а также дальнейшее использование персональных данных;
6) исчерпывающий список получателей, которым могут быть раскрыты путем передачи, распространения или иным образом, персональные данные;
7) гарантии при передаче персональных данных третьей стороне;
8) предполагаемые предложения о трансграничной передаче персональных данных;
9) категории данных, которые могут быть объектом трансграничной передачи;
10) государство назначения для каждой категории данных, которые являются объектом трансграничной передачи;
11) лица, ответственные за обработку персональных данных;
12) указание систем учета персональных данных, а также возможных связей с другими обработками данных или с другими системами учета персональных данных независимо от того, осуществляются ли или не осуществляются, соответственно, находятся или не находятся на территории Республики Молдова;
13) обстоятельства, обосновывающие применение положений статьи 10 и части (3) статьи 12 Закона № 133 от 8 июля 2011 о защите персональных данных в ситуации, когда обработка данных осуществляется исключительно в целях журналистики, художественного или литературного творчества либо в статистических целях или в целях исторических или научных исследований;
14) общее описание мер, принятых для обеспечения безопасности обработки персональных данных.
11. В Регистре отражаются следующие действия:
1) регистрация контролеров и систем учета персональных данных;
2) изменение регистрации контролеров и систем учета персональных данных;
3) удаление регистрации контролеров и систем учета персональных данных.
12. Информации, хранящиеся в Регистре, за исключением информации, отнесенной законом к категории информации с ограниченным доступом, регулируемых действующим законодательством, должны предаваться гласности посредством официальной web-страницы Центра в сети Интернет в срок, не превышающий 3-х дней с даты принятия решения о регистрации, изменении или удалении.
13. Документы, на основании которых выполняются записи в Регистре, представляются в электронном формате с соблюдением требований к электронному документу, предусмотренных Законом № 264-XV от 15 июля 2004 года об электронном документе и цифровой подписи.
14. В случае, когда документы не подписаны цифровой подписью, они представляются в электронном формате с приложением на бумажном носителе, подписанные собственноручно и по необходимости заверенные печатью заявителя регистрации – юридического лица. Если информация, представленная на бумажном носителе, содержит несколько листов, они прошиваются с подписью на каждом листе и проставлением при необходимости печати соответствующего заявителя регистрации.
15. Регистратор вправе:
1) запрашивать дополнительные сведения об информационных объектах, которые регистрируются, если возникают сомнения в отношении достоверности и полноты представленных данных;
2) вносить или удалять записи в Регистре на основании информации, полученной путем подключения к государственным информационным ресурсам.
16. Держатели систем учета, в которых хранятся данные, необходимые для проверки подлинности актов/документов/информации, представленных заявителями регистрации, обязаны представить в течение 10 рабочих дней и в полном объеме информацию, запрошенную регистратором.
17. Регистратор обязан:
1) вносить только достоверную информацию на основании данных, представленных поставщиком информации;
2) не допускать изменения, уничтожения и/или несанкционированного использования данных Регистра;
3) отвечать в течение 15 дней на запросы учреждений, которые имеют законное право запрашивать информацию, отнесенную к категории информации с ограниченным доступом. В случае обнаружения недостоверной информации, представленной и хранимой в Регистре, данные актуализируются и в течение 15 дней эти учреждения информируются о внесенных изменениях.
18. Центр отказывает в регистрации контролеров и систем учета персональных данных с вынесением соответствующего решения на этот счет, в случаях когда:
1) документы, прилагаемые к уведомлению, содержат недостоверную информацию;
2) уведомление, заполненное заявителем регистрации, не соответствует модели, утвержденной и предоставленной Центром, и/или не были прикреплены все подтверждающие документы в отношении информации, необходимой для внесения в Регистр в соответствии с настоящим Положением, при условии, что контролером не были соблюдены требования по устранению этих недостатков в сроки, установленные регистратором;
3) технические и организационные меры, необходимые для защиты персональных данных, не соответствуют требованиям по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Глава III
ОРГАНИЗАЦИЯ ДЕЯТЕЛЬНОСТИ ЕДИНОГО ОКНА
19. Работу Единого окна организует и обеспечивает Управление учета и контроля Центра.ОРГАНИЗАЦИЯ ДЕЯТЕЛЬНОСТИ ЕДИНОГО ОКНА
20. Уведомления заявителей регистрации, совместно с прикрепленными подтверждающими документами, необходимыми для регистрации и актуализации информационных объектов Регистра, подаются в Единое окно.
21. Каждая система учета персональных данных уведомляется (регистрируется) отдельно.
22. Сотрудник Единого окна проверяет правильность заполнения уведомления и достоверность представленных документов.
23. Уведомление не передается для дальнейшего рассмотрения и возвращается в случае, когда оно не закреплено подписью, либо подписано неуполномоченным в этом смысле лицом.
24. В случае принятия уведомления, заявителю регистрации сообщается о сроках рассмотрения, а также о порядке уведомления его о результатах рассмотрения и о принятом решении.
Глава IV
АДМИНИСТРАТИВНЫЕ ПРОЦЕДУРЫ
Раздел 1
Регистрация уведомления
25. На официальной веб-странице Центра в сети Интернет предусмотрена возможность заполнения уведомления в электронном формате.АДМИНИСТРАТИВНЫЕ ПРОЦЕДУРЫ
Раздел 1
Регистрация уведомления
26. После заполнения уведомления в электронном формате оно может быть подписано путем применения цифровой подписи или распечатано на бумаге, подписано собственноручно заявителем регистрации и отправлено/ представлено в Единое окно в порядке, установленном настоящим Положением.
27. После получения уведомления, скрепленного цифровой подписью, соответствующего требованиям к электронному документу, информационная система отправляет письмо с подтверждением получения формуляра уведомления на контактный электронный адрес, указанный заявителем регистрации.
28. После получения уведомления об операциях по обработке персональных данных, требующих, согласно закону, предварительной проверки, сотрудник Единого окна информирует заявителя регистрации о сроке и перечне документов, которые должны быть представлены в Центр для обеспечения процедур предварительной проверки.
29. Центр рассматривает уведомление и издает в срок не позднее 30 календарных дней с даты представления или со дня принятия решения об авторизации операций по обработке персональных данных, предусмотренных в части (2) статьи 24 Закона №133 от 8 июля 2011 года о защите персональных данных, решение о регистрации или отказе в регистрации контролера и/или системы учета персональных данных.
30. Результаты рассмотрения уведомления доводятся до сведения заявителя регистрации в течение 3 дней с даты принятия решения.
31. Решение об отказе в регистрации может быть обжаловано в административном суде. Срок оспаривания решения об отказе в регистрации начинается со дня получения информации, представленной Центром, или первого его открытия (скачивания) – факт, регистрируемый автоматизированной системой и представленный в виде предупреждения в профиле контролера.
32. Отказ в регистрации не препятствует заявителю регистрации представить уведомление повторно, после устранения обстоятельств, которые послужили основой для вынесения решения об отказе.
33. При первичном уведомлении каждый контролер и/или система учета персональных данных получает регистрационный номер, который будет неизменным до момента удаления из Регистра и не может быть присвоен другому контролеру или системе учета персональных данных.
34. Регистрационный номер представляет собой идентификатор, состоящий из 10 цифр, скомпонованный из идентификатора контролера и очередного номера системы учета персональных данных, согласно модели:
XXXXXXX-YYY,
где:
XXXXXXX-идентификатор контролера;
YYY- идентификатор системы учета персональных данных.
35. Впоследствии все документы, посредством которых обрабатываются персональные данные, будут маркированы с указанием только идентификатора контролера.
36. Центр ведет досье на контролеров персональных данных и систем учета персональных данных в электронном формате, в которых сохраняются все документы/файлы, представленные в связи с регистрацией/изменением/удалением записей из Регистра.
37. Порядок ведения и хранения досье устанавливается Центром в соответствии с действующим законодательством.
Раздел 2
Предварительная проверка
38. Подлежат предварительной проверке категории операций по обработке персональных данных, являющихся объектом трансграничной передачи, и категории операций по обработке персональных данных, представляющих особый риск для прав и свобод лиц, отраженных в части (2) статьи 24 Закона №133 от 8 июля 2011 года о защите персональных данных.Предварительная проверка
39. Предварительная проверка проводится на основании сведений, представленных в уведомлении, поданном заявителем регистрации. Центр может запросить и другую информацию, которая включает, но не ограничивается происхождением персональных данных, используемыми технологиями автоматизированной обработки, мерами безопасности обработки персональных данных.
40. В результате предварительной проверки Центр выносит решение о выдаче разрешения или отказе в выдаче разрешения на операции по обработке персональных данных.
41. Решение об отказе в выдаче разрешения на обработку персональных данных должно содержать основания отказа и при необходимости способ устранения обстоятельств, препятствующих обработке соответствующих данных.
42. Отказ в выдаче разрешения на обработку персональных данных не исключает возможности повторного уведомления Центра контролером после устранения обстоятельств, препятствующих обработке соответствующих данных.
43. Информация о принятом решении направляется на адрес заявителя регистрации.
44. Электронный формат решения скрепляется цифровой подписью и может загружаться контролером или уполномоченным им лицом путем доступа к профилю, созданному посредством официальной веб-страницы Центра в сети Интернет.
45. Принятое решение может быть обжаловано в административном суде.
46. Срок оспаривания принятого решения начинается со дня получения информации, представленной Центром, или первого его открытия (скачивания) – факт, который регистрируется системой и представляется в виде предупреждения в профиле контролера персональных данных.
Раздел 3
Изменение записей в Регистре
47. Для внесения изменений заявители регистрации подают уведомление, образец которого утвержден Центром. Уведомление об изменении информации, зарегистрированной в Регистре, подается заявителем с указанием регистрационного номера контролера и системы учета персональных данных, с соблюдением сроков подачи и обработки уведомления, указанных в разделе 1 главы IV Положения.Изменение записей в Регистре
48. О любом изменении данной информации сообщается Центру в течение 5 дней.
49. В случае принятия решения о внесении изменений автоматизированная система отмечает соответствующие изменения в Регистре.
Раздел 4
Удаление записей из Регистра
50. Удаление записей из Регистра производится в случае:Удаление записей из Регистра
1) подачи заявителем регистрации уведомления в этом отношении;
2) вынесения Центром решения о прекращении обработки персональных данных, осуществляемой с нарушением положений настоящего закона, после окончания срока его оспаривания.
51. Уведомление, касающееся удаления информации, зарегистрированной в Регистре, подается заявителем регистрации с указанием регистрационного номера контролера и системы учета персональных данных, при соблюдении условий подачи и обработки уведомления, указанных в разделе 1 главы IV Положения.
52. Решение об удалении должно основываться на убедительных основаниях относительно уничтожения или передачи персональных данных другому контролеру с соблюдением положений законодательства и прав субъекта персональных данных.
53. В случае вынесения решения об удалении автоматизированная система произведет соответствующие записи в Регистре.
54. В удалении информации из Регистра по инициативе контролера или уполномоченного им лица может быть отказано, в случае когда:
1) документы, прилагаемые к уведомлению, содержат недостоверную информацию, а также заявителем регистрации не были приняты меры по устранению этих недостатков в установленный Центром срок;
2) не был подтвержден факт уничтожения персональных данных;
3) не был подтвержден факт передачи персональных данных другому контролеру;
4) передача персональных данных другому контролеру была выполнена с нарушением положений законодательства о защите персональных данных.
55. В случаях, предусмотренных в пункте 54 настоящего Положения, Центр принимает решение об отказе в удалении информации из Регистра.
56. Решение об отказе в удалении не препятствует заявителю регистрации представить повторно уведомление после устранения обстоятельств, которые послужили основой для вынесения решения об отказе.
57. Контролер и/или система учета персональных данных считаются удаленными из Регистра с даты вынесения решения об их удалении.
Раздел 5
Выписка из Регистра
58. По запросу Центр может выдавать выписки из Регистра. Выписка из Регистра предоставляется на основании подписанного заявления в течение 15 рабочих дней с соблюдением законодательства о защите персональных данных и о доступе к информации.Выписка из Регистра
59. Отказ в предоставлении выписки из Регистра может быть обжалован в административном суде.
Раздел 6
Доступ к публичной информации,
хранящейся в Регистре
60. Данные, хранящиеся в Регистре, за исключением подробной информации о мерах безопасности и мерах по обеспечению конфиденциальности персональных данных, являются общедоступными в соответствии с законодательством о защите персональных данных и о доступе к информации.Доступ к публичной информации,
хранящейся в Регистре
61. Доступ к публичной информации, хранящейся в Регистре, выполняется посредством официальной веб-страницы Центра в сети Интернет.
Глава V
ХРАНЕНИЕ И ВОССТАНОВЛЕНИЕ ЗАПИСЕЙ РЕГИСТРА.
КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ
62. Управление учета и контроля Центра обеспечивает соблюдение сроков рассмотрения уведомлений заявителей регистрации, обработку и передачу информации в срок, предусмотренный настоящим Положением, а также защиту персональных данных, ставших известными в рамках деятельности.ХРАНЕНИЕ И ВОССТАНОВЛЕНИЕ ЗАПИСЕЙ РЕГИСТРА.
КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ
63. После регистрации информации в Регистре или истечения сроков, предусмотренных для внесения записей, документы и файлы в электронном виде, которые послужили основой для регистрации уведомления, хранятся в архиве Центра в порядке и сроках, установленных законодательством.
64. В случае потери, уничтожения или повреждения данных, хранящихся в Регистре, держатель Регистра осуществляет их восстановление в течение 60 календарных дней.
65. Записи Регистра могут быть восстановлены полностью или частично, на основе документов и резервных копий электронных файлов, послуживших основой для внесения записей, выписок из Регистра и, если эти документы не сохранились, из их копий, аутентифицированных в установленном порядке, а также на основе информации из других источников.
66. Восстановление записей, хранящихся в Регистре, должно выполняться под контролем лица, осуществляющего внутренний контроль его ведения.
67. Ведение регистра подлежит внутреннему и внешнему контролю в соответствии со статьей 31 Закона № 71-XVI от 22 марта 2007 года о регистрах. Внутренний контроль выполняется лицом, назначенным в соответствии с законом. Лица, наделенные полномочиями по ведению Регистра и хранению досье учета контролеров или систем учета персональных данных, обязаны предотвращать несанкционированный доступ к данным, хранящимся в Регистре, или к досье контролеров и/или систем учета персональных данных, принимать меры в целях предотвращения случаев незаконного использования, разглашения информации, содержащейся в них, изменения или уничтожения таких данных.
68. Лица, уполномоченные вести Регистр, обязаны обеспечить неразглашение профессиональной тайны в отношении информации с ограниченным доступом, к которой они имеют доступ даже после завершения трудовой деятельности в Центре. За нарушение условия конфиденциальности виновные лица несут ответственность в соответствии с гражданским, правонарушительным или уголовным законодательством.