A

A

A

Бүлэг: 1979

МОНГОЛ УЛСЫН ХУУЛЬ

2021 оны 12 сарын 17 өдөр

Төрийн ордон, Улаанбаатар хот

ХҮНИЙ ХУВИЙН МЭДЭЭЛЭЛ ХАМГААЛАХ ТУХАЙ

/Шинэчилсэн найруулга/

НЭГДҮГЭЭР БҮЛЭГ

НИЙТЛЭГ ҮНДЭСЛЭЛ

1 дүгээр зүйл.Хуулийн зорилт

Хэвлэх

1.1.Энэ хуулийн зорилт нь хүний хувийн мэдээллийг цуглуулах, боловсруулах, ашиглах, аюулгүй байдлыг хангахтай холбогдсон харилцааг зохицуулахад оршино.

2 дугаар зүйл.Хүний хувийн мэдээлэл хамгаалах хууль тогтоомж

Хэвлэх

2.1.Хүний хувийн мэдээлэл хамгаалах хууль тогтоомж нь Монгол Улсын Үндсэн хууль, Иргэний хууль, Нийтийн мэдээллийн ил тод байдлын тухай хууль, энэ хууль болон эдгээр хуультай нийцүүлэн гаргасан хууль тогтоомжийн бусад актаас бүрдэнэ.

2.2.Монгол Улсын олон улсын гэрээнд энэ хуульд зааснаас өөрөөр заасан бол олон улсын гэрээний заалтыг дагаж мөрдөнө.

3 дугаар зүйл.Хуулийн үйлчлэх хүрээ

Хэвлэх

3.1.Энэ хуулиар хүн, хуулийн этгээд, хуулийн этгээдийн эрхгүй байгууллага хүний хувийн мэдээлэл /цаашид "мэдээлэл" гэх/-ийг цуглуулах, боловсруулах, ашиглах, аюулгүй байдлыг хангахтай холбогдсон харилцааг зохицуулна.

3.2.Техник хэрэгсэл, программ хангамжийн тусламжтайгаар мэдээлэл цуглуулах, боловсруулах, ашиглах, аюулгүй байдлыг хангахтай холбогдсон харилцаанд энэ хууль нэгэн адил үйлчилнэ.

3.3.Энэ хууль дараах харилцаанд үйлчлэхгүй:

3.3.1.хүн өөрт нь буюу түүний гэр бүлийн гишүүнд хамааралтай мэдээллийг тухайн хүний халдашгүй, чөлөөтэй байх эрхийг зөрчихгүйгээр цуглуулах, боловсруулах, ашиглах, аюулгүй байдлыг хангах;

3.3.2.хүн өөрийн өмчилж, эзэмшиж, ашиглаж байгаа хөдлөх болон үл хөдлөх эд хөрөнгө, өөрийн болон гэр бүлийн гишүүний амь нас, эрүүл мэндийг хамгаалах зорилгоор дууны, дүрсний, дуу-дүрсний бичлэгийн төхөөрөмж байршуулах;

3.3.3.хүн өөрийн өмчилж, эзэмшиж, ашиглаж байгаа хөдлөх болон үл хөдлөх эд хөрөнгийг хамгаалах, мэдээллийг хадгалах зорилгоор өөрийн биометрик мэдээллийг ашиглах;

3.3.4.мэдээллийг нийтэд ил болгохоор хуульд заасан.

3.4.Гүйцэтгэх ажлын тухай хуулиар тусгайлан зохицуулснаас бусад хувь хүний нууцтай холбогдсон харилцааг энэ хуулиар зохицуулна.

3.5.Гэмт хэрэг, зөрчлөөс урьдчилан сэргийлэх зорилгоор нийтийн эзэмшлийн гудамж, зам, талбай, олон нийтийн газарт, эсхүл замын хөдөлгөөний аюулгүй байдлыг хангах зорилгоор дүрсний бичлэгийн төхөөрөмж байршуулахтай холбогдсон Гэмт хэрэг, зөрчлөөс урьдчилан сэргийлэх тухай хуульд зааснаас бусад харилцааг энэ хуулиар зохицуулна.

4 дүгээр зүйл.Хуулийн нэр томьёоны тодорхойлолт

Хэвлэх

4.1.Энэ хуульд хэрэглэсэн дараах нэр томьёог доор дурдсан утгаар ойлгоно:

4.1.1."биометрик мэдээлэл" гэж тоног төхөөрөмж, техник хэрэгсэл, программ хангамжийн тусламжтайгаар хүнийг тодорхойлох боломжтой гарын хурууны хээ, нүдний солонгон бүрхэвч, нүүр царай, дуу хоолой, биеийн хөдөлгөөний онцлог шинж зэрэг хүний бие махбодтой холбоотой биеийн давхцахгүй өгөгдлийг;

4.1.2."генетик мэдээлэл" гэж биологийн сорьцын шинжилгээгээр тогтоосон хүний бие махбод, эрүүл мэнд, өвлөн авсан удамшлын шинж чанарыг илэрхийлсэн дахин давтагдашгүй мэдээллийг;

4.1.3."даруй" гэж боломжит богино хугацааг;

4.1.4."захидал харилцааны мэдээлэл" гэж захидал, илгээмж, цахим шуудан, харилцаа холбоо, мэдээллийн технологи ашиглан солилцож байгаа мэдээллийг;

4.1.5."мэдээллийн эзэн" гэж энэ хуулийн 4.1.11-д заасан мэдээллээр тодорхойлогдож байгаа хүнийг, Иргэний хуулийн 17, 18, 19 дүгээр зүйлд заасан, хуульд өөрөөр заагаагүй бол мөн хуулийн 16 дугаар зүйлд заасан иргэн бол түүний хууль ёсны төлөөлөгчийг;

4.1.6."мэдээлэл ашиглах" гэж Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 4.1.4-т заасныг;

4.1.7."мэдээлэл боловсруулах" гэж Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 4.1.5-д заасныг;

4.1.8."мэдээлэл хариуцагч" гэж хуульд заасны дагуу, эсхүл мэдээллийн эзний зөвшөөрлийн дагуу мэдээлэл цуглуулж, боловсруулж, ашиглаж байгаа хүн, хуулийн этгээд, хуулийн этгээдийн эрхгүй байгууллагыг;

4.1.9."мэдээлэл цуглуулах" гэж Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 4.1.6-д заасныг;

4.1.10."хөрөнгийн мэдээлэл" гэж мэдээллийн эзний өмчилж, эзэмшиж, ашиглаж байгаа эд хөрөнгийн талаарх мэдээллийг;

4.1.11."хүний хувийн мэдээлэл" гэж хүний эмзэг мэдээлэл болон хүний эцэг /эх/-ийн нэр, өөрийн нэр, төрсөн он, сар, өдөр, төрсөн газар, оршин суугаа газрын хаяг, байршил, иргэний бүртгэлийн дугаар, хөрөнгө, боловсрол, гишүүнчлэл, цахим тодорхойлогч, хүнийг шууд болон шууд бусаар тодорхойлох, эсхүл тодорхойлох боломжтой бусад мэдээллийг;

4.1.12."хүний эмзэг мэдээлэл" гэж хүний үндэс, угсаа, шашин шүтлэг, итгэл үнэмшил, эрүүл мэнд, захидал харилцаа, генетик болон биометрик мэдээлэл, тоон гарын үсгийн хувийн түлхүүр, ял эдэлж байгаа болон ял эдэлсэн эсэх, бэлгийн болон хүйсийн чиг баримжаа, илэрхийлэл, бэлгийн харьцааны талаарх мэдээллийг;

4.1.13."хүнийг тодорхойлох боломжгүй болгох" гэж мэдээллийг тухайн хүнд хамааруулах боломжгүй болгохыг;

4.1.14."цахим тодорхойлогч" гэж хүнийг цахим орчинд тодорхойлох мэдээллийн системийн нэвтрэх нэр, цахим шуудан, нийгмийн сүлжээ, харилцаа холбооны утастай болон утасгүй технологийн хаяг, бусад төрлийн төхөөрөмж, мэдээллийн систем дэх мэдээллийг;

4.1.15."эрүүл мэндийн мэдээлэл" гэж хүний бие махбод, сэтгэцийн эрүүл мэнд болон эрүүл мэндийн тусламж, үйлчилгээ авсан тухай мэдээллийг.

5 дугаар зүйл.Мэдээлэл цуглуулах, боловсруулах, ашиглахад баримтлах зарчим

Хэвлэх

5.1.Мэдээлэл цуглуулах, боловсруулах, ашиглахад дараах зарчмыг баримтална:

5.1.1.хүний эрх, эрх чөлөөг зөрчихгүй байх;

5.1.2.хүний эрх, хууль ёсны ашиг сонирхлыг хүндэтгэх;

5.1.3.ялгаварлан гадуурхахгүй байх;

5.1.4.мэдээллийг хуульд заасан үндэслэлээр, эсхүл мэдээллийн эзний зөвшөөрлийн дагуу цуглуулах, боловсруулах, ашиглах;

5.1.5.мэдээллийн аюулгүй байдлыг хангах;

5.1.6.мэдээллийн үнэн зөв, бүрэн бүтэн байдлыг алдагдуулахгүй байх.

ХОЁРДУГААР БҮЛЭГ

МЭДЭЭЛЭЛ ЦУГЛУУЛАХ, БОЛОВСРУУЛАХ, АШИГЛАХ

6 дугаар зүйл.Төрийн байгууллага мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

6.1.Төрийн байгууллага дараах тохиолдолд мэдээлэл цуглуулж, боловсруулна:

6.1.1.мэдээллийн эзний зөвшөөрлөөр;

6.1.2.хуульд заасан үндэслэлээр;

6.1.3.хуульд заасан тохиолдолд хөдөлмөрийн харилцааны явцад мэдээлэл хариуцагч эрхээ эдлэх, үүргээ биелүүлэх;

6.1.4.гэрээ байгуулах, байгуулсан гэрээний хэрэгжилтийг хангах;

6.1.5.Монгол Улсын олон улсын гэрээгээр хүлээсэн үүргээ биелүүлэх;

6.1.6.мэдээллийн эзний эрх, хууль ёсны ашиг сонирхлыг хөндөхгүйгээр хуульд заасан чиг үүргээ хэрэгжүүлэх.

6.2.Төрийн байгууллага дараах тохиолдолд мэдээллийг ашиглана:

6.2.1.мэдээллийн эзний зөвшөөрлөөр;

6.2.2.хуульд заасан үндэслэлээр;

6.2.3.мэдээллийн эзний амь нас, бие махбод, эрх, эрх чөлөө, эд хөрөнгөд хохирол учруулахаас урьдчилан сэргийлэх, түүний эрх, хууль ёсны ашиг сонирхлыг хамгаалах;

6.2.4.бусдын эрх, хууль ёсны ашиг сонирхолд хохирол учруулахаас урьдчилан сэргийлэх;

6.2.5.хүнийг тодорхойлох боломжгүй болгож түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх.

6.3.Төрийн байгууллага хүнийг тодорхойлох боломжгүй болгож мэдээллийн эзний мэдээллийг нээлттэй өгөгдөл болгохдоо Нийтийн мэдээллийн ил тод байдлын тухай хуулийн 12 дугаар зүйлд заасан журмыг баримтална.

7 дугаар зүйл.Хүн, хуулийн этгээд, хуулийн этгээдийн эрхгүй байгууллага мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

7.1.Төрийн байгууллагаас бусад хуулийн этгээд, хуулийн этгээдийн эрхгүй байгууллага, хүн дараах тохиолдолд мэдээлэл цуглуулж, боловсруулж, ашиглана:

7.1.1.энэ хуулийн 6.1.1, 6.1.2, 6.1.3, 6.1.4-т заасан үндэслэлээр;

7.1.2.хуульд заасны дагуу нийтэд ил болгосон;

7.1.3.хүнийг тодорхойлох боломжгүй болгож түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, нээлттэй өгөгдөл, статистикийн мэдээлэл бэлтгэх.

8 дугаар зүйл.Мэдээллийн эзнээс зөвшөөрөл авах

Хэвлэх

8.1.Мэдээлэл хариуцагч хуульд зааснаас бусад тохиолдолд мэдээллийг боловсруулах, цуглуулах, ашиглахдаа мэдээллийн эзнээс зөвшөөрөл авна.

8.2.Мэдээлэл хариуцагч мэдээллийн эзэнд дараах нөхцөлийг танилцуулж, зөвшөөрөл авна:

8.2.1.мэдээлэл цуглуулах, боловсруулах, ашиглах үндэслэл, зорилго ойлгомжтой, тодорхой байх;

8.2.2.мэдээлэл хариуцагчийн нэр, хуулийн этгээд бол оноосон нэр, холбоо барих мэдээлэл;

8.2.3.цуглуулах, боловсруулах, ашиглах мэдээллийн жагсаалт;

8.2.4.мэдээлэл боловсруулах, ашиглах хугацаа;

8.2.5.мэдээллийг нийтэд ил болгох эсэх;

8.2.6.мэдээллийг бусдад дамжуулах эсэх, дамжуулахаар бол дамжуулах этгээд, дамжуулах мэдээллийн жагсаалт;

8.2.7.зөвшөөрлөө цуцлах хэлбэр.

8.3.Мэдээллийн эзэн зөвшөөрлийг мэдээлэл хариуцагчид бичгээр өгөх бөгөөд энэ зөвшөөрөл нь цаасан, эсхүл цахим хэлбэртэй байна.

8.4.Энэ хуулийн 8.3-т заасан цахим хэлбэртэй зөвшөөрөл нь хуульд заасан, эсхүл мэдээллийн эзний хүлээн зөвшөөрсөн арга хэрэгслээр түүнийг цахим орчинд таньж, баталгаажуулах замаар өгөгдсөн байна.

8.5.Иргэний хуулийн 17, 18, 19 дүгээр зүйлд заасан, хуульд өөрөөр заагаагүй бол мөн хуулийн 16 дугаар зүйлд заасан иргэний мэдээллийг цуглуулахад түүний хууль ёсны төлөөлөгчөөс зөвшөөрөл авна.

8.6.Мэдээлэл цуглуулах зөвшөөрөлд мэдээллийн эзэн хариу өгөөгүй бөгөөд ийнхүү хариу өгөхөөр тогтоосон хугацаа, эсхүл ердийн боломжит хугацаа өнгөрсөн нь мэдээлэл цуглуулахыг зөвшөөрсөнд тооцох үндэслэл болохгүй.

8.7.Мэдээллийн эзэн өгсөн зөвшөөрлөө хэдийд ч цуцалж болох бөгөөд цуцлах тухай хүсэлтийг хүлээн авснаас өмнөх хугацаанд хийгдсэн мэдээлэл боловсруулалт нь энэ хуулийг зөрчөөгүй бол хууль ёсны хэвээр үлдэнэ.

8.8.Төрийн болон орон нутгийн өмчийн хөрөнгөөр бараа, ажил, үйлчилгээ худалдан авах ажиллагаанд оролцогчийн Өрсөлдөөний тухай хуулийн 4.1.6-д заасан харилцан хамааралтай этгээдийг тодорхойлох зорилгоор мэдээлэл цуглуулахад мэдээллийн эзний зөвшөөрөл шаардахгүй.

8.9.Мэдээлэл хариуцагч мэдээлэл цуглуулахдаа мэдээллийн эзний зөвшөөрөлтэй болохоо нотолно.

8.10.Мэдээлэл хариуцагч анх зөвшөөрөл авсан зорилгоос өөр зорилгоор мэдээллийг боловсруулах, ашиглах тохиолдолд мэдээллийн эзнээс дахин зөвшөөрөл авна.

8.11.Мэдээлэл хариуцагч энэ хуулийн 8.2.6-д заасны дагуу зөвшөөрөл авснаас бусад тохиолдолд мэдээллийн эзний мэдээллийг дамжуулахад түүнээс зөвшөөрөл авах бөгөөд зөвшөөрөл нь энэ хуулийн 8.3-т заасан хэлбэртэй байна.

8.12.Энэ хуулийн 8.4, 8.5, 8.6, 8.7, 8.9-д заасан зохицуулалт нь мэдээлэл дамжуулах зөвшөөрөл авахад нэгэн адил үйлчилнэ.

9 дүгээр зүйл.Хүний эмзэг мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

9.1.Энэ хуулийн 4.1.12-т заасан эрүүл мэнд, захидал харилцаа, генетик болон биометрик мэдээлэл, тоон гарын үсгийн хувийн түлхүүр, бэлгийн болон хүйсийн чиг баримжаа, илэрхийлэл, бэлгийн харьцааны талаарх хүний эмзэг мэдээлэл нь хувь хүний нууцад хамаарна.

9.2.Доор дурдсанаас бусад тохиолдолд хүний эмзэг мэдээллийг цуглуулах, боловсруулах, ашиглахыг хориглоно:

9.2.1.энэ хуулийн 6, 7 дугаар зүйлд заасан;

9.2.2.тухайн хүн болон бусдын эрүүл мэндийг хамгаалах, эрүүл мэндийн үйлчилгээ үзүүлэх зорилгоор эрүүл мэндийн ажилтан хуульд заасан эрх, үүргээ хэрэгжүүлэх;

9.2.3.иргэн, хуулийн этгээдийн гаргасан нэхэмжлэлийн шаардлагад хуульд заасны дагуу тайлбар, мэдүүлэг, нотлох баримт гаргаж өгөх.

9.3.Хүний эмзэг мэдээлэл цуглуулах, боловсруулах, ашиглахад хүний эрх, эрх чөлөөг зөрчихөөс урьдчилан сэргийлэх зорилгоор Монгол Улсын Хүний эрхийн Үндэсний Комисс /цаашид "Хүний эрхийн Үндэсний Комисс" гэх/ мэдээлэл хариуцагчид зөвлөмж өгч болно.

10 дугаар зүйл.Генетик болон биометрик мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

10.1.Доор дурдсан төрийн байгууллага дараах зорилгоор хуульд заасан үндэслэл, журмын дагуу хүний генетик болон биометрик мэдээллийг цуглуулж, ашиглана:

10.1.1.улсын бүртгэлийн байгууллага иргэний улсын бүртгэл хөтлөх, сонгогчийн бүртгэлийг хянах зорилгоор биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-ийг;

10.1.2.хил хамгаалах байгууллага улсын хилээр нэвтэрч байгаа гадаадын иргэнийг таних, баталгаажуулах зорилгоор биометрик мэдээллийг;

10.1.3.хуульд заасан эрх бүхий байгууллага гэмт хэрэг, зөрчилтэй тэмцэх, түүнээс урьдчилан сэргийлэх, шалган шийдвэрлэх зорилгоор генетик болон биометрик мэдээллийг;

10.1.4.шүүхийн шинжилгээний байгууллага хэрэг, маргааныг хянан шийдвэрлэх ажиллагааны явцад шүүхийн шинжилгээ хийхэд генетик болон биометрик мэдээллийг;

10.1.5.Улсын Их Хурлын гишүүн хуралдааны ирцэд бүртгүүлэх, санал хураалт явуулах зорилгоор биометрик мэдээллийг.

10.2.Ажил олгогч хөдөлмөрийн дотоод журамд заасны дагуу ажилтныг таньж, баталгаажуулах үйлдлийг хялбарчлах зорилгоор ажилтны зөвшөөрлөөр биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-ээс бусад биометрик мэдээллийг ашиглаж болно.

10.3.Энэ хуулийн 10.2-т заасны дагуу ашиглаж байгаа мэдээллийг ажил олгогч боловсруулж өөрчлөх, бусад этгээдэд дамжуулахыг хориглоно.

10.4.Мэдээлэл хариуцагч генетик болон биометрик мэдээллийг цуглуулах, ашиглах үйл ажиллагааны аюулгүй байдлыг хангаж ажиллана.

10.5.Мэдээлэл хариуцагчийн энэ хуулийн 25.1.2-т заасан журмын дагуу тогтоосон мэдээллийн аюулгүй байдлын шаардлагыг хангасан нь мэдээлэл алдагдсанаас үүсэх хариуцлагаас чөлөөлөх үндэслэл болохгүй.

11 дүгээр зүйл.Түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх зорилгоор мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

11.1.Хуульд өөрөөр заагаагүй бол түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх зорилгоор мэдээллийн эзнээс зөвшөөрөл авч мэдээлэл цуглуулна.

11.2.Мэдээлэл цуглуулсан зорилгоос үл хамааран түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх зорилгоор мэдээлэл боловсруулж, ашиглаж болно.

11.3.Хуульд өөрөөр заасан, эсхүл мэдээллийн эзэн бичгээр зөвшөөрөл өгснөөс бусад тохиолдолд хүнийг тодорхойлох боломжгүй болгож түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх зорилгоор мэдээлэл боловсруулж, ашиглана.

11.4.Түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэхдээ мэдээллийн эзэн болон бусдын эрх, хууль ёсны ашиг сонирхлыг зөрчиж болохгүй.

11.5.Энэ хуулийн 11.1-д заасан зорилгоор мэдээлэл боловсруулж, ашиглахад мэдээллийн эзэнд энэ хуулийн 16.1.1, 16.1.2, 16.1.3 дахь заалт хамаарахгүй.

11.6.Түүх, эрдэм шинжилгээ, урлаг, утга зохиолын бүтээл туурвих, статистикийн мэдээлэл бэлтгэх зорилгоор мэдээлэл боловсруулах, ашиглахад энэ хуулийн 20 дугаар зүйлд заасны дагуу аюулгүй байдлын арга хэмжээг авч хэрэгжүүлнэ.

12 дугаар зүйл.Сэтгүүл зүйн зорилгоор мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

12.1.Сэтгүүл зүйн, эсхүл нийтийн ашиг сонирхлыг хамгаалах зорилгоор мэдээллийг цуглуулж, боловсруулж, ашиглаж болно.

12.2.Мэдээллийн эзний зөвшөөрөлгүйгээр эрүүл мэнд, захидал харилцаа, генетик болон биометрик мэдээлэл, бэлгийн болон хүйсийн чиг баримжаа, илэрхийлэл, бэлгийн харьцааны талаарх мэдээллийг энэ хуулийн 12.1-д заасан зорилгоор цуглуулж, боловсруулж, ашиглахыг хориглоно.

12.3.Сэтгүүл зүйн зорилгоор мэдээлэл цуглуулж, боловсруулж, ашиглахдаа мэдээллийн эзэн болон бусдын эрх, хууль ёсны ашиг сонирхлыг зөрчиж болохгүй.

13 дугаар зүйл.Мэдээллийн эзэн нас барсны дараа мэдээлэл цуглуулах, боловсруулах, ашиглах

Хэвлэх

13.1.Хуульд өөрөөр заагаагүй бол мэдээллийн эзэн нас барсан, эсхүл нас барсанд тооцогдсон бол гэрээслэл, түүний гэр бүлийн гишүүн, хууль ёсны төлөөлөгчийн бичгээр өгсөн зөвшөөрлөөр түүнд хамаарах мэдээллийг цуглуулж, боловсруулж, ашиглана.

13.2.Хуульд өөрөөр заагаагүй бол мэдээллийн эзэн нас барснаас хойш 70 жил өнгөрсөн тохиолдолд хүний эмзэг мэдээлэл цуглуулах, боловсруулах, ашиглахад зөвшөөрөл шаардахгүй.

14 дүгээр зүйл.Мэдээллийг гадаад улс дахь хүн, хуулийн этгээд болон олон улсын байгууллагад дамжуулах

Хэвлэх

14.1.Хууль, Монгол Улсын олон улсын гэрээнд зааснаас бусад тохиолдолд, эсхүл мэдээллийн эзэн зөвшөөрөл өгснөөс бусад тохиолдолд мэдээллийг гадаад улс дахь хүн, хуулийн этгээд болон олон улсын байгууллагад дамжуулан өгөхийг хориглоно.

15 дугаар зүйл.Мэдээллийг устгах

Хэвлэх

15.1.Мэдээлэл хариуцагч дараах үндэслэлээр мэдээллийг устгана:

15.1.1.мэдээллийг хуульд заасан үндэслэл, журмын дагуу цуглуулж, боловсруулж, ашиглаагүй бол мэдээллийн эзний хүсэлтээр;

15.1.2.хууль, Монгол Улсын олон улсын гэрээ, хуулийн хүчин төгөлдөр шүүхийн шийдвэрээр мэдээллийг устгахаар мэдээлэл хариуцагчид үүрэг хүлээлгэсэн;

15.1.3.хуульд заасны дагуу цуглуулж, боловсруулснаас бусад мэдээллийг анх цуглуулсан зорилгод хүрсэн, эсхүл гэрээнд заасан, эсхүл харилцан тохиролцсон;

15.1.4.хуульд заасан бусад.

15.2.Хуульд өөрөөр заагаагүй бол энэ хуулийн 15.1-д зааснаас бусад үндэслэлээр мэдээллийг устгахыг хориглоно.

ГУРАВДУГААР БҮЛЭГ

МЭДЭЭЛЛИЙН ЭЗНИЙ ЭРХ, ҮҮРЭГ

16 дугаар зүйл.Мэдээллийн эзний эрх

Хэвлэх

16.1.Мэдээллийн эзэн дараах эрхтэй:

16.1.1.мэдээлэл цуглуулах, дамжуулах зөвшөөрлийг сайн дурын үндсэн дээр мэдээлэл хариуцагчид өгөх, өгөхөөс татгалзах;

16.1.2.өөрт хамааралтай мэдээллийг цуглуулсан, боловсруулсан, ашигласан эсэхийг мэдэх;

16.1.3.энэ хуулийн 8.2-т заасан мэдээллийг мэдэх;

16.1.4.мэдээллийн эзэнд хамааралтай мэдээллийг гуравдагч этгээдэд дамжуулсан, эсхүл дамжуулахаар бол тухайн гуравдагч этгээдийн талаар мэдэх;

16.1.5.алдаатай мэдээллийг залруулах талаар мэдээлэл хариуцагчид мэдэгдэж өөрчлөлт оруулах, нэмэлт мэдээлэл өгч тусгуулах;

16.1.6.хуульд заасны дагуу өөрийн мэдээллийг устгуулах талаар мэдээлэл хариуцагчид мэдэгдэж устгуулах;

16.1.7.мэдээллийг хууль тогтоомжийн дагуу цуглуулахыг хориглосон, устгахаар заасан бол хэрэгжүүлэхийг шаардах;

16.1.8.өөрт хамааралтай мэдээллийн хуулбарыг мэдээлэл хариуцагчаас цаасан, эсхүл цахим хэлбэрээр гаргуулан авах;

16.1.9.энэ хуулийн 16.1.8-д заасан мэдээллийн хуулбарыг өөрийн сонгосон мэдээлэл хариуцагчид дамжуулах;

16.1.10.мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагааны явцад цуцлах хүсэлт гаргах, энэ тухайгаа мэдээлэл хариуцагчид бичгээр мэдэгдэх;

16.1.11.мэдээллийг боловсруулсны үр дүнд гарсан шийдвэрт гомдол, тайлбар гаргах, нэмэлт мэдээллийг оруулах, мэдээллийг дахин боловсруулахыг шаардах.

16.2.Мэдээллийн эзэн энэ хууль, Монгол Улсын олон улсын гэрээнд заасан эрх, эрх чөлөө нь зөрчигдсөн гэж үзвэл уул эрхээ хамгаалуулах, бусдын хууль бусаар учруулсан хохирол болон эдийн бус гэм хорыг арилгуулах эрхтэй.

17 дугаар зүйл.Мэдээллийн эзний үүрэг

Хэвлэх

17.1.Мэдээллийн эзэн дараах үүрэгтэй:

17.1.1.өөрт хамааралтай мэдээллийн үнэн зөв байдлыг хангах, мэдээллийг хамгаалах;

17.1.2.алдаатай мэдээллийг залруулах талаар мэдээлэл хариуцагчид мэдэгдэж өөрчлөлт оруулах, нэмэлт мэдээлэл өгч тусгуулах;

17.1.3.энэ хуулийн 16.1.9-д заасан эрхийг хэрэгжүүлэхдээ бусдын эрх, эрх чөлөөг зөрчихгүй, хууль ёсны ашиг сонирхлыг хөндөхгүй байх.

ДӨРӨВДҮГЭЭР БҮЛЭГ

МЭДЭЭЛЭЛ ХАРИУЦАГЧ БОЛОН МЭДЭЭЛЭЛ БОЛОВСРУУЛАГЧ

18 дугаар зүйл.Мэдээлэл хариуцагч

Хэвлэх

18.1.Мэдээлэл хариуцагч хуульд заасан үндэслэлээр, эсхүл мэдээллийн эзний зөвшөөрлөөр мэдээлэл цуглуулж, боловсруулж, ашиглана.

18.2.Мэдээлэл хариуцагч мэдээлэл цуглуулах, боловсруулах, ашиглах талаар дараах үүрэгтэй:

18.2.1.хуульд нийцүүлэн мэдээлэл цуглуулах, боловсруулах, ашиглах журам баталж, мөрдүүлэх;

18.2.2.энэ хуулийн 8.4-т заасны дагуу, эсхүл иргэний үнэмлэх, түүнтэй адилтгах бичиг баримтаар мэдээллийн эзнийг таньж, баталгаажуулсны үндсэн дээр түүний талаар мэдээлэл цуглуулах зөвшөөрөл авах;

18.2.3.мэдээллийн эзнээс зөвшөөрөл авахдаа энэ хуулийн 8.2-т заасан мэдээллээр хангах, мэдээлэл цуглуулж байгаа зорилго, үндэслэлийг мэдээллийн эзэнд ойлгомжтой, тодорхой тайлбарлах;

18.2.4.мэдээлэл цуглуулахад зөвшөөрөл өгөхөөс татгалзах болон мэдээлэл цуглуулах, боловсруулах, ашиглахтай холбоотой гомдол гаргах эрхийн талаар мэдээллийн эзэнд тайлбарлах;

18.2.5.мэдээллийн эзэн мэдээлэл цуглуулахад зөвшөөрөл өгөөгүй тохиолдолд үүсэж болох үр дагаврыг тайлбарлах;

18.2.6.мэдээллийг хүний оролцоогүй цахим хэлбэрээр боловсруулсны үр дүнд шийдвэр гаргах, түүнээс гарах үр дагаврын талаар мэдээллийн эзэнд тайлбарлах;

18.2.7.мэдээллийг мэдээллийн эзний иргэний үнэмлэх, түүнтэй адилтгах бичиг баримтын эх хувь, эсхүл цахимаар илгээсэн болон мэдээллийн сан дахь мэдээлэлтэй тулгах;

18.2.8.мэдээллийн эзний хүсэлтийн дагуу мэдээлэл боловсруулах, ашиглах үйл ажиллагааны талаарх мэдээлэл өгөх;

18.2.9.мэдээллийн эзний хүсэлтийн дагуу мэдээллийг засах, өөрчлөх, устгах, энэ талаар мэдээллийн эзэнд мэдэгдэх;

18.2.10.мэдээллийн эзний хүсэлтийг хүлээн авсны дараа бусдын эрх, хууль ёсны ашиг сонирхлыг хөндөхгүй тохиолдолд мэдээлэл боловсруулах, ашиглах үйл ажиллагааг цуцлах;

18.2.11.мэдээллийн эзний хүсэлтийн дагуу мэдээллийн хуулбарыг цахим хэлбэрээр үнэ төлбөргүй өгөх;

18.2.12.мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагааны талаар бүртгэл хөтлөх;

18.2.13.мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагааны явцад олж авсан мэдээллийг хадгалах;

18.2.14.мэдээллийн эзний гомдлыг хүлээн авч шийдвэрлэж, хариу мэдэгдэх;

18.2.15.мэдээлэл цуглуулах, боловсруулах, ашиглах талаар мэдээллийн эзэн, хуульд заасан тохиолдолд эрх бүхий байгууллага, гуравдагч этгээдийн өмнө хариуцлага хүлээх.

18.3.Энэ хуулийн 18.2.10-т заасан мэдээлэл боловсруулах, ашиглах үйл ажиллагааг цуцлах нөхцөл нь мэдээллийн эзэнд хамаарах мэдээллийг боловсруулах, ашиглах үйл ажиллагааг цуцлахад хамаарахгүй.

18.4.Мэдээлэл хариуцагч мэдээллийн эзэнд хүндрэл үүсгэхгүйгээр, хялбар, ойлгомжтой байдлаар түүний хүсэлтийн дагуу зөвшөөрлийг цуцална.

19 дүгээр зүйл.Гэрээний үндсэн дээр мэдээлэл цуглуулах, боловсруулах үйл ажиллагааг гүйцэтгүүлэх

Хэвлэх

19.1.Мэдээлэл хариуцагч мэдээлэл цуглуулах, боловсруулах үүргийг гэрээний үндсэн дээр мэдээлэл боловсруулагчид шилжүүлж болно.

19.2.Энэ хуулийн 19.1-д заасан гэрээнд мэдээлэл цуглуулах, боловсруулах зорилго, гэрээний хугацаа, мэдээллийн жагсаалт, мэдээллийн эзний эрхийг хамгаалах нөхцөлийг тусгана.

19.3.Энэ хуулийн 19.1-д заасан гэрээнд өөрөөр заагаагүй бол мэдээлэл боловсруулагч нь мэдээлэл хариуцагчийн өмнө хүлээсэн үүргээ бусдад шилжүүлэхийг хориглох бөгөөд хариуцлагын талаар гэрээнд тодорхой тусгана.

19.4.Мэдээлэл цуглуулах, боловсруулах үүргийг шилжүүлэн авсан мэдээлэл боловсруулагч дараах үүрэгтэй байна:

19.4.1.мэдээллийн эзний өгсөн зөвшөөрлийн хүрээнд мэдээлэл хариуцагчийн хяналт доор мэдээлэл цуглуулах, боловсруулах;

19.4.2.мэдээлэл хариуцагчийн өгсөн үүрэг, чиглэл, даалгаврын дагуу мэдээллийг засах, өөрчлөх, устгах;

19.4.3.мэдээлэл цуглуулах, боловсруулахтай холбоотой шаардлагатай мэдээллийг мэдээлэл хариуцагчид өгөх;

19.4.4.мэдээлэл цуглуулах, боловсруулах үйл ажиллагааны явцад олж авсан мэдээллийг хадгалах;

19.4.5.мэдээлэл цуглуулах, боловсруулах зорилго биелсэн бол мэдээлэл болон мэдээлэл боловсруулснаас гарсан үр дүнг мэдээлэл хариуцагчид хуулбар авч үлдэлгүй гэрээнд заасан хугацаанд өгөх, боловсруулахаар авсан мэдээллийг дахин ашиглах боломжгүйгээр устгах;

19.4.6.энэ хуулийн 20 дугаар зүйлд заасны дагуу мэдээллийн аюулгүй байдлыг хангах арга хэмжээг авах;

19.4.7.энэ хуулийн 18.2.1-д заасан журмын хүрээнд мэдээлэл хариуцагчийн өгсөн үүрэг, чиглэл, даалгаврыг гүйцэтгэх.

19.5.Мэдээлэл боловсруулагч мэдээлэл хариуцагчийн өгсөн үүрэг, чиглэл, даалгаврыг зөрчсөн нь мэдээлэл хариуцагчийг мэдээллийн эзний өмнө хүлээсэн үүрэг, хариуцлагаас чөлөөлөх үндэслэл болохгүй.

ТАВДУГААР БҮЛЭГ

МЭДЭЭЛЭЛ ХАМГААЛАХ ҮЙЛ АЖИЛЛАГАА

20 дугаар зүйл.Мэдээллийн аюулгүй байдлыг хангах арга хэмжээ

Хэвлэх

20.1.Мэдээлэл хариуцагч, энэ хуулийн 19.1-д заасан мэдээлэл боловсруулагч мэдээллийн аюулгүй байдлыг хангах талаар дараах арга хэмжээг авч хэрэгжүүлнэ:

20.1.1.энэ хуулийн 20.2-т заасан шаардлагад нийцүүлэн мэдээллийн аюулгүй байдлыг хангах дотоод журам баталж үйл ажиллагаандаа мөрдөх;

20.1.2.мэдээлэл алдагдсан үед авах арга хэмжээ, мэдээллийн эзэн болон холбогдох төрийн байгууллагад мэдээлэл хүргэх төлөвлөгөөг хуульд нийцүүлэн баталсан байх;

20.1.3.мэдээлэл цуглуулах, боловсруулах, ашиглахад хэрэглэгдэх мэдээллийн системийн бүрэн бүтэн, нууцлагдсан, хүртээмжтэй байдлыг хангах бүхий л арга хэмжээг авсан байх;

20.1.4.мэдээлэл ашиглахыг хязгаарлах, мэдээллийг устгах, мэдээллийн эзнийг тодорхойлох боломжгүй болгох талаар журам, зааварчилгаа баталж, мөрдөх;

20.1.5.мэдээлэл боловсруулах үйл ажиллагааны аюулгүй байдлыг хангах зорилгоор үнэлгээг хийх.

20.2.Мэдээлэл цуглуулах, боловсруулах, ашиглах үед мэдээллийн аюулгүй байдлыг хангах шаардлага, үнэлгээ хийх зааварчилгаа, хадгалах технологид тавигдах шаардлагыг цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага тогтооно.

21 дүгээр зүйл.Мэдээллийн эзэнд мэдэгдэл өгөх

Хэвлэх

21.1.Дараах тохиолдолд мэдээлэл хариуцагч мэдээллийн эзэнд мэдэгдэл даруй өгнө:

21.1.1.хүний эмзэг мэдээллийг ашигласан;

21.1.2.мэдээллийн эзний зөвшөөрлөөр мэдээлэл боловсруулахаас бусад үндэслэл, зорилгоор мэдээлэл боловсруулсан, боловсруулсан мэдээллийг гуравдагч этгээдэд дамжуулсан;

21.1.3.мэдээллийн эзний мэдээллийг цуглуулснаас хойш энэ хуулийн 8.2-т заасан нөхцөл өөрчлөгдсөн.

21.2.Мэдээлэл хариуцагч энэ хуулийн 21.1-д зааснаас бусад тохиолдолд мэдээллийн эзний мэдээллийг цуглуулж, боловсруулж, ашиглахад мэдэгдэл хүргүүлж болно.

22 дугаар зүйл.Мэдээлэл цуглуулах, боловсруулах, ашиглахад илэрсэн зөрчлийн талаар мэдэгдэх

Хэвлэх

22.1.Энэ хуулийн 19.1-д заасан мэдээлэл боловсруулагч мэдээлэл цуглуулах, боловсруулахад илэрсэн зөрчлийг мэдсэн даруйд энэ тухай мэдээлэл хариуцагчид мэдэгдэнэ.

22.2.Энэ хуулийн 22.1-д заасан зөрчил нь мэдээллийн эзний эрх, хууль ёсны ашиг сонирхолд хохирол учруулахаар бол мэдээлэл хариуцагч даруй мэдээллийн эзэнд мэдэгдэнэ.

22.3.Энэ хуулийн 22.2-т заасан мэдэгдэл дараах мэдээллийг агуулсан байна:

22.3.1.зөрчилд хамаарах мэдээллийн эзэн, мэдээллийн бүртгэл;

22.3.2.мэдээлэл хариуцагчийн нэр, холбоо барих мэдээлэл;

22.3.3.зөрчил, түүний улмаас учирч болзошгүй сөрөг үр дагавар;

22.3.4.зөрчил, түүний улмаас учирч болзошгүй сөрөг үр дагаврыг арилгах талаар авсан хариу арга хэмжээ.

22.4.Мэдээллийн эзэн энэ хуулийн 22.2-т заасан зөрчлийн улмаас эрх, хууль ёсны ашиг сонирхолд нь хохирол учирсан гэж үзвэл хуульд заасны дагуу холбогдох байгууллагад гомдол гаргах эрхтэй.

22.5.Мэдээлэл хариуцагч зөрчил, түүний сөрөг үр дагаврыг арилгах талаар авсан хариу арга хэмжээний тухай бүртгэл хөтөлнө.

22.6.Энэ хуулийн 22.5-д заасан бүртгэлийг жил бүрийн нэгдүгээр сард Хүний эрхийн Үндэсний Комисст хүргүүлэх ба түүний шаардсанаар тухай бүр хүргүүлнэ.

23 дугаар зүйл.Үнэлгээ хийх

Хэвлэх

23.1.Мэдээлэл хариуцагч хүний оролцоогүй цахим хэлбэрээр боловсруулалт хийх технологийг ашиглан мэдээлэл цуглуулж, боловсруулж, ашиглаж болох бөгөөд дараах тохиолдолд үнэлгээ хийнэ:

23.1.1.мэдээллийн эзний эрх, эрх чөлөө, хууль ёсны ашиг сонирхолд нөлөөлөхүйц шийдвэр гаргах;

23.1.2.хүний эмзэг мэдээллийг байнга боловсруулах.

23.2.Энэ хуулийн 23.1-д заасан үнэлгээг Хүний эрхийн Үндэсний Комисст хүргүүлж, зөвлөмж гаргуулсны үндсэн дээр цахим хэлбэрээр боловсруулалт хийх технологийг ашиглан мэдээлэл цуглуулж, боловсруулж, ашиглана.

23.3.Энэ хуулийн 23.1-д заасан үнэлгээ хийх аргачлал, журмыг Хүний эрхийн Үндэсний Комиссын саналыг үндэслэн цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага батална.

ЗУРГАДУГААР БҮЛЭГ

МЭДЭЭЛЭЛ ХАМГААЛАХ ЭРХ БҮХИЙ БАЙГУУЛЛАГА

24 дүгээр зүйл.Мэдээлэл хамгаалах талаарх Хүний эрхийн Үндэсний Комиссын бүрэн эрх

Хэвлэх

24.1.Хүний эрхийн Үндэсний Комисс мэдээлэл хамгаалах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

24.1.1.хүний хувийн мэдээлэл хамгаалах хууль тогтоомжийн хэрэгжилтэд хяналт тавих, олон нийтэд таниулах, сурталчлах ажлыг зохион байгуулах, энэ талаар холбогдох байгууллагад шаардлага, зөвлөмж хүргүүлэх, холбогдох журамд санал өгөх;

24.1.2.мэдээлэл цуглуулах, боловсруулах, ашиглах, хамгаалах үйл ажиллагааны явцад энэ хуулиар хамгаалагдсан хүний эрх, эрх чөлөөнд халдсан, эсхүл халдаж болзошгүй нөхцөл бүрдүүлсэн гэж үзвэл энэ талаар ирүүлсэн гомдол, мэдээллийг хүлээн авч шалгаж, шийдвэрлэх, эсхүл өөрийн санаачилгаар шалгаж, шийдвэрлэх, уг асуудлаар холбогдох байгууллагад шаардлага, зөвлөмж хүргүүлэх;

24.1.3.хүний эмзэг мэдээлэл цуглуулах, боловсруулах, ашиглах, хамгаалах чиглэлээр холбогдох байгууллагад шаардлага, зөвлөмж өгөх;

24.1.4.мэдээлэл хариуцагчийн мэдээлэл цуглуулах, боловсруулах, ашиглахад илэрсэн зөрчил, түүний сөрөг үр дагаврыг арилгах талаар авсан хариу арга хэмжээний талаар ирүүлсэн бүртгэлийг хүлээн авч хянан, цаашид анхаарах зүйлийн талаар зөвлөмж өгөх;

24.1.5.мэдээлэл хариуцагчийн энэ хуулийн 23 дугаар зүйлд заасны дагуу хүний оролцоогүй цахим хэлбэрээр боловсруулалт хийх технологийг ашиглан мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагаанд хүний эрх, эрх чөлөө зөрчигдөхөөс урьдчилан сэргийлэх зорилгоор зөвлөмж өгөх;

24.1.6.Монгол Улс дахь хүний эрх, эрх чөлөөний байдлын талаарх илтгэлд мэдээлэл хамгаалах үйл ажиллагаа, гарсан зөрчил, мэдээллийн эзний эрхийн хэрэгжилтийн талаар тусгах.

24.2.Энэ хуулийн 24.1-д заасан чиг үүргийг Хүний эрхийн Үндэсний Комиссын нэг гишүүн тусгайлан хариуцна.

25 дугаар зүйл.Цахим орчинд мэдээлэл хамгаалах талаарх цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллагын бүрэн эрх

Хэвлэх

25.1.Цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага цахим орчинд мэдээлэл хамгаалах талаар дараах бүрэн эрхийг хэрэгжүүлнэ:

25.1.1.хүний хувийн мэдээлэл хамгаалах хууль тогтоомжийн хэрэгжилтийг хангаж, олон нийтэд сурталчлан таниулах, холбогдох байгууллагатай хамтран ажиллах, мэргэжил, арга зүйн туслалцаа үзүүлэх;

25.1.2.хүний эмзэг мэдээлэл, генетик болон биометрик мэдээлэл боловсруулахад баримтлах технологийн аюулгүй байдлын шаардлага, журмыг батлах;

25.1.3.мэдээлэл цуглуулах, боловсруулах, ашиглах зориулалттай мэдээллийн системийн аюулгүй байдал алдагдсан, кибер халдлагад өртсөн талаар мэдээлэл хариуцагчаас ирүүлсэн мэдэгдлийг хүлээн авч бүртгэн, шаардлагатай арга хэмжээг даруй авах.

26 дугаар зүйл.Мэдээлэл хамгаалах талаарх төрийн бусад байгууллагын бүрэн эрх

Хэвлэх

26.1.Төрийн байгууллага мэдээлэл хариуцагчийн мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагаанд холбогдох хууль тогтоомжид заасан чиг үүргийнхээ хүрээнд хяналт тавина.

ДОЛДУГААР БҮЛЭГ

дууны, дүрсний, дуу-дүрсний БИЧЛЭГИЙН СИСТЕМ

27 дугаар зүйл.Дууны, дүрсний, дуу-дүрсний бичлэгийн систем

Хэвлэх

27.1.Дууны, дүрсний, дуу-дүрсний бичлэгийн төхөөрөмж нь технологийн тусламжтайгаар дууны, дүрсний, дуу-дүрсний мэдээлэл цуглуулах, дамжуулах, хадгалах боломж бүхий суурин болон хөдөлгөөнт техник хэрэгслээс бүрдэнэ.

27.2.Дууны, дүрсний, дуу-дүрсний бичлэгийн систем нь энэ хуулийн 27.1-д заасан төхөөрөмж, мэдээлэл дамжуулах сүлжээ, хадгалах төхөөрөмж, программ хангамжаас бүрдэнэ.

27.3.Хуульд өөрөөр заагаагүй бол дараах зорилгоор дүрсний бичлэгийн төхөөрөмж байршуулж болно:

27.3.1.нийтийн зориулалттай орон сууцны орох, гарах нийтийн хэсэг болон дундын эзэмшлийн талбайд оршин суугчдын аюулгүй байдлыг хамгаалах, дундын эзэмшлийн эд хөрөнгийн бүрэн бүтэн байдлыг хангах;

27.3.2.ажлын байранд хүний болон мэдээллийн аюулгүй байдлыг хамгаалах, байгууллагын эд хөрөнгийн бүрэн бүтэн байдлыг хангах;

27.3.3.замын хөдөлгөөний мэдээлэл цуглуулах, боловсруулах, ашиглах, түүнд дүн шинжилгээ хийх.

27.4.Хуульд өөрөөр заагаагүй бол энэ хуулийн 27.3-т заасны дагуу дүрсний бичлэгийн төхөөрөмж байршуулах болон бичлэгийг ашиглахад дараах үйл ажиллагааг хориглоно:

27.4.1.ариун цэврийн өрөө, хувцас солих өрөө, нийтийн үйлчилгээний газрын тусгай зориулалтын үйлчилгээний өрөө, караокены өрөө, зочид буудлын өрөө, эрүүл мэндийн тусламж, үйлчилгээг үзүүлэх хэвтүүлэн эмчлэх өрөө зэрэг хүний халдашгүй, чөлөөтэй байх эрхэд илтэд халдахаар байршилд дүрсний бичлэгийн төхөөрөмж байршуулах;

27.4.2.нийтийн зориулалттай орон сууцанд оршин сууж байгаа айл, өрхийн орох, гарах хэсгийг хамруулан дүрсний бичлэгийн төхөөрөмж байршуулах;

27.4.3.нийтийн зориулалттай орон сууцны орох, гарах нийтийн хэсэг болон дундын эзэмшлийн талбайн дүрсний бичлэгийг олон нийтийн мэдээллийн хэрэгслээр дүрст хэлбэрээр тараах;

27.4.4.дүрсний бичлэгт мэдээллийн эзнээс бусад хүний мэдээлэл байгаа тохиолдолд дүрсний бичлэгийг үзүүлэх, хуулбарлаж өгөх.

27.5.Энэ хуулийн 27.3.1, 27.4.1, 27.4.2-т заасан газар дууны, дуу-дүрсний бичлэгийн төхөөрөмж байршуулахыг хориглоно.

27.6.Дууны, дүрсний, дуу-дүрсний бичлэгийн төхөөрөмжийн талаарх анхааруулгыг иргэн саадгүй харах боломжтойгоор байршуулна.

27.7.Дууны, дүрсний, дуу-дүрсний бичлэгийн төхөөрөмж байршуулахад тавигдах шаардлага, анхааруулгад тусгах мэдээллийг Хүний эрхийн Үндэсний Комиссын саналыг үндэслэн цахим хөгжил, харилцаа холбооны асуудал эрхэлсэн төрийн захиргааны төв байгууллага тогтооно.

27.8.Хүний эрхийн Үндэсний Комисс энэ хуулийн 27.3, 27.4-т заасан үйл ажиллагаа, бусад хуулийн хүрээнд ашиглаж байгаа дууны, дүрсний, дуу-дүрсний бичлэгийн системийг хууль ёсны дагуу ашиглаж байгаа эсэхэд хяналт тавих зорилгоор хууль хяналтын байгууллагатай хамтран шалгалт хийж болно.

27.9.Хуульд заасан журмын дагуу мэдээлэл хариуцагч эрх бүхий байгууллага, албан тушаалтанд дууны, дүрсний, дуу-дүрсний бичлэгийн системд байгаа мэдээлэлтэй танилцах, хадгалагдсан бичлэгийг үзүүлэх, сонсгох, хуулбарлаж өгч болно.

27.10.Дууны, дүрсний, дуу-дүрсний бичлэгийн систем нь мэдээлэлд хандах эрхгүй этгээд хандахаас урьдчилан сэргийлэх техникийн болон үйл ажиллагааны нөхцөлийг бүрдүүлсэн байна.

НАЙМДУГААР БҮЛЭГ

БУСАД ЗҮЙЛ

28 дугаар зүйл.Мэдээллийн эзний гомдлыг шийдвэрлэх

Хэвлэх

28.1.Мэдээллийн эзэн энэ хуульд заасны дагуу төрийн байгууллагын мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагаанд холбогдох гомдлыг Захиргааны ерөнхий хууль болон холбогдох бусад хуульд заасны дагуу гаргаж шийдвэрлүүлнэ.

28.2.Энэ хуулийн 28.1-д зааснаас бусад мэдээлэл хариуцагчийн мэдээлэл цуглуулах, боловсруулах, ашиглах үйл ажиллагаанд холбогдох гомдлыг эрх бүхий байгууллага, эсхүл Хүний эрхийн Үндэсний Комисст гаргаж шийдвэрлүүлнэ.

28.3.Мэдээллийн эзэн энэ хуулийн 28.1, 28.2-т заасан шийдвэрийг эс зөвшөөрвөл шүүхэд гомдол гаргаж болно.

29 дүгээр зүйл.Хориглох зүйл

Хэвлэх

29.1.Мэдээллийн эзнээс хуульд заасан үндэслэл болон анх зөвшөөрөл авснаас өөр зорилгоор мэдээлэл цуглуулах, боловсруулах, ашиглахыг хориглоно.

29.2.Мэдээллийг хүний оролцоогүй цахим хэлбэрээр боловсруулсны үр дүнд мэдээллийн эзний эрх, эрх чөлөөг зөрчихийг хориглоно.

29.3.Мэдээллийг энэ хуульд заасны дагуу олж мэдсэн этгээд бусдад задруулахыг хориглоно.

30 дугаар зүйл.Хууль зөрчигчид хүлээлгэх хариуцлага

Хэвлэх

30.1.Энэ хуулийг зөрчсөн албан тушаалтны үйлдэл нь гэмт хэргийн шинжгүй бол Төрийн албаны тухай хууль, эсхүл Хөдөлмөрийн тухай хуульд заасан хариуцлага хүлээлгэнэ.

30.2.Энэ хуулийг зөрчсөн хүн, хуулийн этгээдэд Эрүүгийн хууль, эсхүл Зөрчлийн тухай хуульд заасан хариуцлага хүлээлгэнэ.

31 дүгээр зүйл.Шилжилтийн үеийн зохицуулалт

Хэвлэх

31.1.Энэ хууль хүчин төгөлдөр дагаж мөрдөхөөс өмнө хуулиар зөвшөөрснөөс бусад мэдээлэл хариуцагчийн цуглуулсан биеийн давхцахгүй өгөгдөл /гарын хурууны хээ/-ийг устгана.

31.2.Энэ хуулийн 31.1-д заасан үйл ажиллагааг зохион байгуулах, хяналт тавих ажлын хэсгийг Засгийн газрын шийдвэрээр байгуулна.

32 дугаар зүйл.Хууль хүчин төгөлдөр болох

Хэвлэх

32.1.Энэ хуулийг 2022 оны 05 дугаар сарын 01-ний өдрөөс эхлэн дагаж мөрдөнө.

МОНГОЛ УЛСЫН ИХ ХУРЛЫН ДАРГА Г.ЗАНДАНШАТАР

 

 

 

 

 

 

 

 

 

 

 

 

(2022.07.08-ны өдрийн орчуулга)          Unofficial translation

 

LAW OF MONGOLIA

 

December 17, 2021                              Ulaanbaatar city

 

ON Personal Data Protection

(Revised edition)

CHAPTER one

general provision

Article 1. Purpose of the Law

1.1. The purpose of the Law is to regulate relations with respect to the collection, processing, use and security of personal data.

Article 2. Legislation on Personal Data Protection

2.1. Legislation on the personal data protection shall consist of the Constitution of Mongolia, Civil Code, Law on Transparency of Public Information, this Law, and other legislative acts enacted in conformity therewith.

2.2. If an international treaty to which Mongolia is a party provides other than this law, the provisions of the international treaty shall prevail.

Article 3. Scope of the Law

3.1. This law shall regulate the relations with respect to the collection, processing, use and security of personal data ("data") by a person, legal entity, or non-legal entity.

3.2. This law shall also equally apply to relations with respect to the data collection, processing, use and security with the assistance of hardware and software.

3.3. The law shall not apply to the following relations:

3.3.1. Collection, processing, use and security of data regarding oneself or one's family members without violating the right to liberty and security of such person.

3.3.2. Installation of audio, video and audio-video recording devices for the protection of movable and immovable property owned, possessed, and used as well as oneself or one's family members life and health .

3.3.3. Use of one's biometric data for the protection of movable and immovable property owned, possessed, and used, and storage of its data.

3.3.4. Disclosure of information as provided under the law.

3.4. The Law shall regulate the relations with respect to personal secrets other than those specifically regulated by the Law on Intelligence Activity.

3.5. This Law shall regulate relations other than those specified in the Law on Crime and Offense Prevention with respect to the installation of video recorders in publicly possessed streets, areas, squares, and public places in order to prevent from crime and offence or for ensuring the traffic safety.

Article 4. Definitions of Terms of the Law

4.1. The following terms specified in this law shall have the following meanings:

4.1.1. "Biometric data" means non-overlapping physiological data related to the human body such as fingerprints, iris, face, voice, and gait which can be identified with equipment, technical tool, and software.

4.1.2. "Genetic data" means unique information indicating a person's physiological, health and hereditary characteristics determined by the analysis of a biological sample.

4.1.3."Immediately" means the shortest possible duration.

4.1.4."Correspondence data" refers to the information exchanged using letters, parcels, emails, communications, and information technology.

4.1.5."Data subject" refers to a person identified by the information provided in Sub-paragraph 4.1.11 of this Law or legal representative of a citizen provided in Articles 17, 18 and 19 of the Civil Code, or of a citizen stated in the Article 16 of such code, unless otherwise provided by law.

4.1.6."Data use" refers to Sub-paragraph 4.1.4 of the Law on Transparency of Public Information.

4.1.7."Data processing" refers to Sub-paragraph 4.1.5 of the Law on Transparency of Public Information.

4.1.8."Data controller" refers to a person, legal entity or non-legal entity which collects, processes, and uses data in accordance with the law or with the consent of the data subject.

4.1.9. "Data collection" refers to Sub-paragraph 4.1.6 of the Law on Transparency of Public Information.

4.1.10. "Property information" means information on the property owned, possessed, and used by the data subject.

4.1.11. "Personal data" means sensitive personal data and other information which can directly or indirectly identify or potentially identify a person, including parents' name, first name, date of birth, place of birth, place of residence, address, location, citizen's registration number, property, education, membership, and electronic identifiers.

4.1.12. "Sensitive information" means information in regards with a person's race, ethnic origin, religion, beliefs, health, correspondence, genetic and biometric data, digital signature private key, criminal records, sexual and gender orientation, expression, and sexual relations.

4.1.13."Deidentification" refers to the prevention of linking information or data to a person.

4.1.14. "Electronic identifier" means login name to access any information system, email address, social media account, wired and wireless technology addresses, and information on other types of equipment and information system.

4.1.15. "Data concerning health" means information related to the physical or mental health and provision of healthcare services.

Article 5. Principles for Data Collection, Processing, and Use

5.1. Data collection, processing and use shall comply with following principles:

5.1.1. Refrain from violating human rights and freedom.

5.1.2. Respect human rights and legitimate interests.

5.1.3. Refrain from discrimination.

5.1.4. Collect, process and use data based on grounds specified in laws or with the consent of the data subject.

5.1.5. Ensure data security.

5.1.6. Ensure data accuracy and integrity.

Chapter two

Data collection, processing and use

Article 6. Data Collection, Processing and Use of State Authorities

6.1. The state authority shall collect and process data on the following grounds:

6.1.1. With the consent of the data subject.

6.1.2. On the grounds specified by law.

6.1.3. Data controller to exercise the rights and fulfil the obligations in employment relations in cases provided by law.

6.1.4. Execute contracts and ensure the implementation of executed contracts.

6.1.5. Comply with obligations under international treaties to which Mongolia is a party.

6.1.6. Implement its legal functions without affecting the rights and legitimate interests of the data subject.

6.2. The state authority shall use data on the following grounds:

6.2.1. With the consents of the data subject.

6.2.2. On the grounds specified by law.

6.2.3. Prevent damage and harm to the life, body, rights, freedom, and property of the data subject, and protect its rights and legitimate interests.

6.2.4. Prevent damage and harm to the rights and legitimate interest of others.

6.2.5. Create historical, scientific, artistic, literary works and prepare statistical information by de-identifying a person.

6.3. The state authority shall follow the procedure set forth in Article 12 of the Law on Transparency of Public Information for the de-identification of the data subject in order to make the information available to the public.

Article 7. Data Collection, Processing and Use by Person, Legal Entities and Non-Legal Entities

7.1. Individuals/person, legal entities, and non-legal entities other than state authorities shall collect, process, and use data on the following grounds:

7.1.1. On grounds specified in Sub-paragraphs 6.1.1, 6.1.2, 6.1.3, and 6.1.4 of this Law.

7.1.2. Disclosed to the public as specified in the Law.

7.1.3. Create historical, scientific, artistic, literary works and prepare statistical information by de-identifying a person.

Article 8. Consent from Data Subject

8.1. The data controller shall seek a consent from the data subject for data processing, collection, and use, except as provided by law.

8.2. The data controller, in order to obtain a consent, shall introduce the following conditions to the data subject, including:

8.2.1. Clear and specific grounds and purposes for data collection, processing, and use.

8.2.2. Data controller's name or a legal entity's given name and contact information.

8.2.3. List of data required for collection, processing, and use.

8.2.4. Duration of data processing and use.

8.2.5. Information on whether the data will be made available to the public.

8.2.6. Information on whether the data will be transferred to others, and if so, the list of information to be transferred.

8.2.7. Form of withdrawal of consent.

8.3. The data subject shall give a written consent to the data controller, which shall be in paper or electronic form.

8.4. The consent in electronic form specified in Paragraph 8.3 of this Law shall be granted by identifying and certifying in an electronic environment by means specified in the law or accepted by the data subject.

8.5. The consent shall be sought from a legal representative for collection of data of a citizen provided in Articles 17, 18 and 19 of the Civil code, or of a citizen stated in Article 16 of such code, unless otherwise provided by law.

8.6. The data subject's failure to respond to the data collection consent and the expiration of response timeframe or the expiration of a reasonable time frame, shall not become grounds for deeming the data collection is permitted.

8.7. The data subject may withdraw the consent at any time and the data processed prior to the receipt of the request for withdrawal shall remain lawful if it does not violate this law.

8.8. The consent of the data subject shall not be required for data collection for the purpose of identifying affiliated parties specified in Sub-paragraph 4.1.6 of the Law on Competition of the participants/bidders in the procurement of goods, works and services with state and local funds.

8.9. The data controller shall prove that the consent of the data subject has been acquired for data collection.

8.10. The data controller shall request a consent from the data subject again if the data will be processed or used for a purpose other than those for which a consent was originally provided.

8.11. Unless a consent was provided as specified in Sub-paragraph 8.2.6 of this Law, the data controller shall seek a consent in the form specified in Paragraph 8.3 of this Law from the data subject for data transfer.

8.12. The regulations specified in Paragraphs 8.4, 8.5, 8.6, 8.7 and 8.9 of this Law shall equally apply to seeking a consent to data transfer.

Article 9. Collection, Processing and Use of Sensitive Personal Data

9.1. Sensitive data on health, correspondence, genetic and biometric data, digital signature private key, sexual and gender orientation, expression, and sexual relations specified in Sub-paragraph 4.1.12 of this Law shall be considered as personal secrets.

9.2. Collection, processing or use of sensitive personal data shall be prohibited except in the following cases:

9.2.1. Provided in Articles 6 and 7 of this Law.

9.2.2. Healthcare staff to exercise their rights and fulfill obligations specified in the law for the protection of the health of the respective person or others and provision of healthcare services.

9.2.3. Provide an explanation, statement, and evidence in accordance with the law for the requirements of the claims from citizens and legal entities.

9.3. The National Human Rights Commission of Mongolia ("National Human Rights Commission") may make recommendations to data controllers in order to prevent violations of human rights and freedoms in the collection, processing and use of sensitive personal data.

Article 10. Collection, Processing and Use of Genetic and Biometric Data

10.1. The following state authorities shall collect and use human genetic and biometric data, in accordance with the grounds and procedures provided by law, for following purposes:

10.1.1. Non-overlapping physiological data (fingerprints) by the state registration authority for the purpose of maintaining civil state registration and monitoring registration of voters.

10.1.2. Biometric data by border protection authority for the purpose of identifying and verifying a foreign citizen crossing the state border.

10.1.3. Genetic and biometric data by the competent authority specified in the law for the purpose of combating, preventing, and investigating crimes and offences.

10.1.4. Genetic and biometric data by a forensic organization for forensic analysis conducted during the course of resolving a case or dispute.

10.1.5. Biometric data of a member of the State Great Khural for the purpose of registering for the meeting and voting.

10.2. An employer may use biometric data other than non-overlapping physiological data (fingerprints) with the employees' consent in order to facilitate the identification and verification of employees under the internal labor procedures.

10.3. An employer is prohibited to process, change or transfer data used as per Paragraph 10.2 of this Law to other persons.

10.4. The data controller shall ensure the security of the collection and use of genetic and biometric data.

10.5. The data controller's compliance with the information security requirements established under the procedure set forth in Sub-paragraph 25.1.2 of this Law shall not serve as a ground for exemption from liability for information loss.

Article 11. Data Collection, Processing and Use for Historical, Scientific, Artistic and Literary and Statistical Purposes

11.1. Unless otherwise provided by law, data shall be collected with the consent of the data subject for the purpose of creating historical, scientific, artistic, and literary works and preparing statistical information.

11.2. The data may be processed and used for the purpose of creating historical, scientific, artistic, and literary works and preparing statistical information, regardless of the purpose of the data collected.

11.3. Unless otherwise provided by law or with the written consent of the data subject, the data may be processed and used through de-identification for the purpose of creating historical, scientific, artistic, and literary works and preparing statistical information.

11.4.The rights and legitimate interests of the data subject and others may not be violated in creating historical, scientific, artistic, and literary works and preparing statistical information.

11.5. Sub-paragraphs 16.1.1, 16.1.2 and 16.1.3 of this Law shall not apply to the data subject for processing and using data for the purposes specified in Paragraph 11.1 of this Law.

11.6. Security measures shall be taken in accordance with Article 20 of this Law for processing and using data for the purpose of creating historical, scientific, artistic and literary works and preparing statistical information.

Article 12. Data Collection, Processing and Use for Journalistic Purposes

12.1. Data may be collected, processed, and used for journalistic purposes or protecting public interests.

12.2. It is prohibited to collect, process, and use data regarding health, correspondence, genetic and biometric data, sexual and gender orientation, expression, and sexual relations for the purposes specified in Paragraph 12.1 of this Law without the consent of the data subject.

12.3. The rights and legitimate interests of the data subject and others may not be violated during the data collection, processing and use for journalistic purposes.

Article 13. Data Collection, Processing and Use Following the Death of the Data Subject

13.1. Unless otherwise provided by law, if the data subject is deceased or is considered to be deceased, the relevant data shall be collected, processed, and used based on the will or the written consent of his or her family member, or legal representative.

13.2. Unless otherwise provided by law, if 70 years passed since the death of the data subject, a consent is not required for the collection, processing or use of sensitive information.

Article 14.  Data Transfer to Foreign Individuals, Legal Entities, and International Organizations

14.1. Data transfer to foreign individuals, legal entities, or international organizations is prohibited, except as provided in laws, international treaties which Mongolia is a party, or with the consent of the data subject.

Article 15. Data Erasure

15.1. Data controller shall erase the data on the following grounds:

15.1.1. By the request of the data subject, if the data has not been collected, processed, or used in accordance with the grounds and procedures provided by the law.

15.1.2. Data controller's obligation to erase the data under the laws, international treaties to which Mongolia is a party, and legally enforceable court decisions.

15.1.3. Data other than collected and processed under the law has achieved the purpose for which it was originally collected or has been specified in the contract or has been mutually agreed upon.

15.1.4. Other grounds, as provided by law.

15.2. Unless otherwise provided by law, data erasure shall be prohibited except for the grounds specified in Paragraph 15.1 of this Law.

 

Chapter three

Data subject's rights and obligations

Article 16. Data Subject's Rights

16.1. The data subject shall have following rights:

16.1.1. Give or refuse to give a consent to the data controller for data collection on a voluntary basis.

16.1.2. Know whether his or her data has been collected, processed, and used.

16.1.3. Know about the information provided in Paragraph 8.2 of this Law.

16.1.4. Know about the third party who has received or is going to receive the data regarding the data subject to the third party.

16.1.5. Notify the data controller to rectify inaccurate data, make changes, and provide additional data.

16.1.6. Notify the data controller of the data erasure under the law for data erasure.

16.1.7. Demand the erasure of the data if the law prohibits data collection and provides for erasure.

16.1.8. Obtain a copy of the relevant information from the data controller in paper or electronic form.

16.1.9. Transfer a copy of the data specified in Sub-paragraph 16.1.8 of this Law to the selected data controller.

16.1.10. Request cancellation in the course of data collection, processing, and use, and to notify the data controller in writing.

16.1.11. File a complaint or provide an explanation on the decision made as a result of data processing, provide additional data and demand data processing again.

16.2. If the data subject considers that his or her rights and freedoms specified in this law and international treaties of Mongolia have been violated, he or she shall have the right protected and illegal damage and non-pecuniary damage rectified.

Article 17. Data Subject's Obligations

17.1. The data subject has following obligations:

17.1.1. Ensure the accuracy and security of the relevant data.

17.1.2. Notify the data controller to rectify inaccurate data, make changes, and provide additional data.

17.1.3. Avoid violating the rights and freedoms of others and affecting their legitimate interests while exercising the rights specified in Sub-paragraph 16.1.9 of this Law.

Chapter four

data controller and data processor

Article 18. Data Controller

18.1. The data controller shall collect, process, and use data based on the grounds specified in the law or with the consent of the data subject.

18.2. The data controller shall have the following responsibilities regarding the data collection, processing and use:

18.2.1. Approve and enforce procedures for data collection, processing and use under the Law.

18.2.2. Seek a consent from a data subject for data collection in accordance with Paragraph 8.4 of this Law or on the basis of identifying and verifying the data subject with ID card or similar document.

18.2.3. Provide the information specified in Paragraph 8.2 of this Law in order to seek a consent from the data subject, provide clear explanation on the purpose and grounds for data collection.

18.2.4. Explain the data subject about the right for refusal to give a consent for data collection and filing a complaint related to the data collection, processing, and use.

18.2.5. Explain the consequences that may arise if the data subject refuses to give a consent for data collection.

18.2.6. Explain the data subject about the decision-making based on electronic data processing without any human involvement and consequences of such decisions.

18.2.7. Verify the data against with the original copy of the data subject's ID card or similar document, or the information delivered electronically or placed in the database.

18.2.8. Provide information on data processing and use at the request of the data subject.

18.2.9. Rectify, change, erase data at the request of the data subject and notify the data subject accordingly.

18.2.10.Terminate the data processing and use after receiving the data subject's request unless the rights and legitimate interests of others are affected.

18.2.11.Provide a copy of the data in electronic form free of charge at the request of the data subject.

18.2.12. Keep records on data collection, processing, and use

18.2.13. Store information obtained in the course of data collection, processing, and use.

18.2.14. Receive and resolve the complaint of the data subject and provide a response.

18.2.15. Accept liability before the data subject on the data collection, processing and use, or before to the authorized organizations and third parties in cases provided by law.

18.3. The conditions for termination of the data processing and use specified in Sub-paragraph 18.2.10 of this Law shall not apply to the cancellation of the processing and use of data related to the data subject.

18.4. The data controller shall revoke the consent at the request of the data subject in an easy and understandable manner without causing any inconvenience.

Article 19. Data Collection and Processing on a Contractual Basis

19.1. The data controller may transfer the obligation for data collection and processing to the data processor on a contractual basis.

19.2. The contract specified in Paragraph 19.1 of this Law shall include the purpose of data collection and processing, the term of the contract, the data list and the conditions for protecting the rights of the data subject.

19.3. Unless otherwise provided in the contract specified in Paragraph 19.1 of this Law, the data processor shall be prohibited from transferring his or her obligations to the others and the liabilities shall be clearly stated in the contract.

19.4. The data processor who has taken over the responsibility of data collection and processing shall have the following responsibilities, including:

19.4.1. Collect and process data under the supervision of the data controller with the consent from the data subject.

19.4.2. Rectify, change, or erase data in accordance with the duties, directions and instructions given by the data controller

19.4.3. Provide the data controller the necessary information related to data collection and processing.

19.4.4. Maintain data obtained in the course of data collection and processing.

19.4.5. Provide information and results of data processing to the data controller within the period specified in the contract without keeping a copy, and erase the data which was collected for processing without re-use.

19.4.6. Take measures to ensure information security in accordance with Article 20 of this Law.

19.4.7. Perform the duties, directions and instructions given by the data controller within the procedure specified in 18.2.1 of this Law.

19.5. The data processor's violation of the duties, directions and instructions given by the data controller shall not serve as a ground to release the data controller from the obligations and responsibilities to the data subject.

CHAPTER FIVE

INFORMATION PROTECTION

Article 20. Information Security Measures

20.1. The data controller and data processor specified in Paragraph 19.1 of this Law, for information security, shall take the following measures:

20.1.1.Approve and follow internal procedures to ensure information security in accordance with the requirements set forth in Paragraph 20.2 of this Law.

20.1.2. Approve a plan for taking actions for loss of information and notifying the data subject and relevant state authority in accordance with the Law.

20.1.3. Take all measures to ensure the integrity, confidentiality and accessibility of the information system used for data collection, processing, and use.

20.1.4. Approve and follow procedures and guidelines on data use restriction, data erasure and deidentification of data subject.

20.1.5. Conduct an assessment in order to ensure the security of data processing activities.

20.2. The state central administrative body in charge of digital development and communication shall determine the requirements for ensuring information security during data collection, processing and use, instructions for assessment and storage technology requirements.

Article 21. Notice to Data Subjects

21.1. The data controller shall immediately provide a notice to the data subject in the following cases:

21.1.1. Use of sensitive personal data.

21.1.2. Data processed for grounds and purposes other than processing data with the consent of data subject and transfer of such processed data to third parties.

21.1.3. Change of conditions specified in Paragraph 8.2 of this Law following the collection of the data from the data subject.

21.2. The data controller may submit a notice for the collection, processing and use of the information of the data subject, except for the cases specified in Paragraph 21.1 of this Law.

Article 22. Notification of Violations in the Data Collection, Processing and Use

22.1. The data processor specified in Paragraph 19.1 of this Law shall immediately notify the data controller of any violations identified during data collection and processing.

22.2. If the violation specified in Paragraph 22.1 of this Law harms the rights and legitimate interests of the data subject, the data controller shall immediately notify the data subject.

22.3. The notice specified in Paragraph 22.2 of this Law shall contain the following:

22.3.1. Data subject and data records related to the violation.

22.3.2. Name and contact information of the data subject

22.3.3. Violation and possible negative consequences.

22.3.4. Responses to eliminate the violation and potential negative consequences.

22.4. The data subject shall have the right to file a complaint to the relevant authority in accordance with the law if he or she considers that his or her rights and legitimate interests have been harmed due to the violation specified in Paragraph 22.2 of this Law.

22.5. The data controller shall keep a record of the response taken to eliminate the violation and its negative consequences.

22.6. The record specified in Paragraph 22.5 of this Law shall be submitted to the National Human Rights Commission in January of each year or as requested.

Article 23. Assessment

23.1. The data controller may use electronic data processing technology for data collection, processing, and use without any human involvement, and an assessment shall be completed in following cases:

23.1.1. Decision-making which could potentially affect the rights, freedoms, and legitimate interests of the data subject.

23.1.2. Regular processing of sensitive personal data.

23.2. Data shall be collected, processed and used using electronic data processing technology based on the recommendations of the National Human Rights Commission provided for the assessment specified in Paragraph 23.1 of this Law.

23.3. The state central administrative body in charge of digital development and communication shall approve the methodology and procedure for conducting the assessment specified in Paragraph 23.1 of this Law based on the proposal of the National Human Rights Commission.

Chapter six

data protection authority

Article 24. Full Power of the National Human Rights Commission for Information Protection:

24.1. The National Human Rights Commission shall exercise the following full powers with respect to information protection:

24.1.1. Monitor the compliance of the laws on personal data protection, raise public awareness and organize advocacy activities, submit requirements and recommendations to relevant organizations, and comment on relevant procedures.

24.1.2. Receive, investigate, and resolve complaints and reports, if it is considered that human rights and freedoms protected by this Law have been violated or potentially violated in the course of the data collection, processing, use and protection or investigate and resolve on its own initiative and submit requirements and recommendations to the relevant authorities on the respective matter.

24.1.3.Provide directions and recommendations to relevant organizations regarding collection, processing, use and protection of personal sensitive data.

24.1.4.Receive and review reports submitted by the data controller on violations identified in the data collection, processing and use and measures taken to eliminate its negative consequences and make recommendations on further considerations.

24.1.5.Make recommendations for the purpose of preventing violations of human rights and freedoms in in the data collection, processing and use with electronic processing technology in accordance with Article 23 of this Law.

24.1.6. Specify data protection activities, violations, and compliance with data subject's rights in the report on the situation of human rights and freedoms in Mongolia.

24.2. One member of the National Human Rights Commission shall be specifically responsible for the functions specified in Paragraph 24.1 of this Law.

Article 25. Full Power of the State Central Administrative Body in charge of Digital Development and Communication Regarding Data Protection in the Digital Environment

25.1. The state central administrative body in charge of digital development and communication shall exercise the following full powers for the data protection in the digital environment:

25.1.1. Ensure the implementation of the laws on personal data protection, raise public awareness, and organize advocacy activities, cooperate with relevant organizations, and provide professional and methodological assistance.

25.1.2. Approve technological security requirements and procedures for processing sensitive personal data, genetic and biometric data.

25.1.3. Receive and register the data subject's report of security failures of information system intended for data collection, processing and use, occurrence of cyber-attacks, and immediately take necessary measures.

Article 26. Full Power of Other State Authorities for Information Protection

26.1. The state authority shall monitor the data collection, processing and use by the data controller within the scope of its functions specified in the applicable laws.

Chapter seven

audio, video and audio Video recording system

Article 27. Audio, Video and Audio-Video Recording System

27.1. Audio, video, and audio-video recording equipment consists of fixed and mobile technical instrument that can collect, transmit, and store audio, video, and audio-video data with technological assistance.

27.2. Audio, video, and audio-video recording system shall consist of equipment, data transmission network, storage device and software specified in Paragraph 27.1 of this Law.

27.3. Unless otherwise provided by Law, video recording devices may be installed for following purposes:

27.3.1. Protect the safety of residents at the entrances and exits of public housing and common areas and ensure the safety of shared properties.

27.3.2. Protect people and ensure information security in the workplace and ensure the safety of the properties of organizations.

27.3.3. Collect, process, use and analyze traffic information.

27.4. Unless otherwise provided by law, the following activities shall be prohibited for the installation of video recording equipment and use of video recordings under Paragraph 27.3 of this Law, including:

27.4.1. Install video recording equipment in locations where the right to personal liberty and immunity will be clearly violated such as toilets, dressing rooms, special purpose service rooms of commercial areas, karaoke rooms, hotel rooms, and inpatient rooms for the provision of healthcare services.

27.4.2.Install video recording equipment covering the entrances and exits of households residing in public apartments.

27.4.3.Distribute video recordings of public entrances and exits of public housing and common areas to the mass media.

27.4.4. Show and copy the video recordings, if the video recording contains information of a person other than the data subject.

27.5. Installation of audio and audio-video recording devices is prohibited in the places specified in Sub-paragraphs 27.3.1, 27.4.1 and 27.4.2 of this Law.

27.6. The warnings of audio, video and audio-video recording devices shall be placed in visible areas for the citizens.

27.7. The state central administrative body in charge of digital development and communication shall determine the information which will be specified in the requirements and warnings for the installation of audio, video and audio-video recording devices based on the proposal of the National Human Rights Commission.

27.8. The National Human Rights Commission may conduct inspections in cooperation with law enforcement agencies in order to monitor the activities specified in Paragraphs 27.3 and 27.4 of this Law and the lawful use of audio, video, and audio-visual recording systems under other laws.

27.9. Under the procedures set forth in the law, the data controller may review, show, and listen to the data contained in the audio, video, and audio-video recording system, and copy the stored recordings for the authorized organization or official.

27.10. The audio, video and audio-video recording system shall have technical and operational conditions in place to prevent authorized access to data.

CHAPTER EIGHT

MISCELLANEOUS

Article 28. Resolving Complaints of Data Subjects

28.1. The data subject shall file a complaint related to the data collection, processing and use by the state organization for resolution under the General Administrative Law and other applicable laws.

28.2. Except the complaint specified in Paragraph 28.1 of this Law, the complaints related to the data controller's data collection, processing and use shall be submitted to and resolved by the competent authority or the National Human Rights Commission.

28.3. The data subject who is disagreement with the decision specified in Paragraphs 28.1 and 28.2 of this Law may appeal to the court.

Article 29. Prohibitions

29.1. It is prohibited to collect, process, or use data from the data subject for purposes other than those specified in the Law or for purposes different from the initial purpose.

29.2. It is prohibited to violate the rights and freedoms of the data subject during the electronic data processing without any human intervention.

29.3. It shall be prohibited for a person who acquired the data under this law to disclose the data to others.

Article 30. Liability for the Violation of the Law

30.1. The official in violation of this Law whose actions are not of a criminal nature shall be subject to liability as specified in the Law on Civil Service or the Labor Code.

30.2. A person or legal entity that violates this Law shall be subject to liability specified in the Criminal Code or the Law on Violations.

Article 31. Transfer Arrangements

31.1. Prior to the entry into force of this law, non-overlapping physiological data (fingerprints) collected by the data controller, other than those permitted by law, shall be erased.

31.2. A working group shall be established by the decision of the Government for the organization and monitoring of the activities specified in Paragraph 31.1 of this Law.

Article 32. Entry into Force

32.1. The law shall come into force on May 1, 2022.

 

THE CHAIRMAN OF THE STATE GREAT KHURAL OF MONGOLIA ZANDANSHATAR.G

 

 

 

1