Անձնական տվյալների պաշտպանություն
Անձնական տվյալների պաշտպանությունն, իրավական, կազմակերպչական և/կամ տեխնիկական միջոցառումների ամբողջություն է, որն ուղղված է մարդու անձնական (մարդուն նույնականացնող կամ նույնականացման հնարավորություն տվող) տվյալների պաշտպանությանը։ Անձնական վյալների պաշտպանության իրավունքը կոնվենցիոն և սահմանադրական իրավունք է, որը միտված է անձնական տվյալների պաշտպանությանը։
Անձնական տվյալների պաշտպանության դեպքում խոսք է գնում ոչ թե, ոչ այնքան և ոչ միայն անձնական տվյալները գաղտնի պահելու, այլ անձնական տվյալների հետ բարեխղճորեն[1] վարվելու մասին։ Հիմնականում հենց այդ առանձնահատկությամբ է անձնական տվյալների պաշտպանության իրավունքը տարբերակվում մասնավոր և ընտանեկան կյանքի անձեռնմխելիության իրավունքից[2][3]։ Ըստ այդմ, անձնական տվյալների պաշտպանության իրավունքն ավելի լայն է. ներառում է նաև անձնական և ընտանեկան կյանքը, սակայն չի սահմանափակվում դրանով, այլ ներառում է անձնական տվյալների պաշտպանությունը ցանկացած ոլորտում։
Անձնական տվյալների պաշտպանության հետ կապված հարաբերությունները կարգավորվում են ինչպես ներպետական, այնպես էլ միջազգային իրավական ակտերով։ Հայաստանում անձնական տվյալների պաշտպանության ոլորտը կարգավորում են Հայաստանի Հանրապետության Սահմանադրությունը, «Անձնական տվյալների պաշտպանության մասին» Հայաստանի օրենքը, անձնական տվյալների պաշտպանության լիազոր մարմնի որոշումները, ուղեցույցները և խորհրդատվական որոշումները, ինչպես նաև այլ նորմատիվ և ենթաօրենսդրական իրավական ակտեր։
Անձնական տվյալների պաշտպանության իրավունքին վերաբերող հիմնական միջազգային փաստաթղթերից է «Անձնական տվյալների ավտոմատացված մշակման դեպքում անհատների պաշտպանության մասին» Եվրոպայի Խորհրդի կոնվենցիան (1981 թվական), որը կոչվում է նաև 108 կոնվենցիա[4]։ Եվրոպայի խորհրդի բոլոր անդամները վավերացրել են պայմանագիրը։ Հայաստանում ուժի մեջ է մտել 2012 թվականի սեպտեմբերի 1-ին։ 2018 թվականի արձանագրությամբ 108 կոնվենցիան էական փոփոխությունների ենթարկվեց, և արդիականացված կոնվեցիան սկսեց կոչվել 108+ կոնվենցիա[5]։ Կոնվենցիան փոփոխող արձանագրությունը (108+ կոնվենցիան) Հայաստանը ստորագրել է 2019 թվականի հոկտեմբերի 2-ին։ Անձնական տվյալների պաշտպանության ոլորտում հիմնական միջազգային փաստաթղթերից է նաև ԵՄ Տվյալների պաշտպանության ընդհանուր կանոնակարգը (General Data Protection Regulation (GDPR)) :
Անձնական տվյալների պաշտպանության իրավունքը ապահովում է անձնական տվյալների պաշտպանության լիազոր մարմինը։ Հայաստանում անձնական տվյալների պաշտպանության լիազոր մարմինը Անձնական տվյալների պաշտպանության գործակալությունն է։
Անձնական տվյալների պաշտպանության միջազգային օրը նշվում է ամեն տարի հունվարի 28-ին։
Անձնական տվյալների պաշտպանության հիմնական հասկացությունները
խմբագրելԱնձնական տվյալ է ֆիզիկական անձին վերաբերող ցանկացած տեղեկություն, որը թույլ է տալիս կամ կարող է թույլ տալ ուղղակի կամ անուղղակի կերպով նույնականացնել անձի ինքնությունը (օրինակ՝ անուն, ազգանուն, նույնականացման քարտի համար, հեռախոսահամար, նկար, բնակության հասցե, տարիք և այլն)[6]:Այսպես, անձնական տվյալ է այն տեղեկությունը, որը վերաբերում է ֆիզիկական անձին, այսինքն մարդուն վերաբերող տվյալներն են, որ համարվում են անձնական։ Անձնական տվյալները կարող են լինել այնպիսին, որոնց միջոցով կարող են ուղղակիորեն նույնականացնել մարդուն. օրինակ՝ մարդու լուսանկարը։ Անձնական տվյալները կարող են լինել նաև այնպիսին, որոնք կարող են թույլ տալ մարդուն նույնականացնել անուղղակիորեն։ Այս դեպքում անձնական տվյալն անհրաժեշտ կլինի համադրել այլ տեղեկությունների հետ նույնպես[7]։
Այն անձը, ում վերաբերում են անձնական տվյալները, կոչվում է տվյալների սուբյեկտ[6]:Այս համատեքստում պետք է առավել ուշադրություն դարձնել երեխայի անձնական տվյալների սուբյեկտ հասկացությանը և պետք է նկատի ունենալ,որ երեխայի անձնական տվյալների սուբյեկտը հենց երեխան է, այլ ոչ ծնողը կամ օրինական ներկայացուցիչը՝ անկախ երեխայի տարիքից, ֆիզիկական և մտավոր զարգացվածությունից, իրավագիտակցության մակարդակից։ Ընդ որում, պետք է հաշվի առնել, որ թեև երեխա է համարվում տասնութ տարին չլրացած անձը (18 տարին լրանալու դեպքում անձը դադարում է երեխա համարվելուց և դուրս է գալիս ծնողական խնամքից)[8], սակայն անձնական տվյալների պաշտպանության ոլորտում 16 տարին լրացած երեխան անձնական տվյալների պաշտպանության իրավունքով սահմանված իր իրավունքներն անձամբ է իրականացնում և կարող է ամբողջությամբ ինքնուրույն կայացնել իր անձնական տվյալների մշակման վերաբերյալ որոշումներ[7]։
Անձնական տվյալների մշակում Է անկախ իրականացման ձևից և եղանակից (այդ թվում՝ ավտոմատացված, տեխնիկական ցանկացած միջոցներ կիրառելու կամ առանց դրանց) ցանկացած գործողություն կամ գործողությունների խումբ, որը կապված է անձնական տվյալները հավաքելու կամ ամրագրելու, կամ մուտքագրելու, կամ համակարգելու, կամ կազմակերպելու, կամ պահպանելու կամ օգտագործելու կամ վերափոխելու, կամ վերականգնելու, կամ փոխանցելու կամ ուղղելու կամ ուղեփակելու կամ ոչնչացնելու կամ այլ գործողություններ կատարելու հետ։ Անձնական տվյալների հետ իրականացվող գործողությունները բազմաթիվ են, և դրանց ցանկը սպառիչ չէ (նշված է՝ և այլ գործողություններ), ուստի անձնական տվյալների հետ հնարավոր կատարվելիք բոլոր գործողությունները մեկ բառով բնութագրվում է որպես մշակում։ Կարևոր է նկատի ունենալ, որ անձնական տվյալները հրապարակելը (այդ թվում՝ սոցիալական ցանցերով կամ առհասարակ համացանցով կամ լրատվամիջոցներով), այլ անձանց մատչելի դարձնելը, այլ անձանց փոխանցելը կամ այդ տվյալների ծանոթացնելը նույնպես համարվում է անձնական տվյալների մշակում[6]։
Անձնական տվյալների փոխանցում երրորդ անձանց նշանակում է անձնական տվյալները որոշակի կամ անորոշ շրջանակի այլ անձանց փոխանցելուն կամ դրանց հետ ծանոթացնելուն ուղղված գործողություն, այդ թվում` զանգվածային լրատվության միջոցներով անձնական տվյալները հրապարակելը, տեղեկատվական հաղորդակցման ցանցերում տեղադրելը կամ այլ եղանակով անձնական տվյալներն այլ անձի մատչելի դարձնելը[6]։
Անձնական տվյալների օգտագործում նշանակում է անձնական տվյալների հետ կատարվող գործողություն, որի ուղղակի կամ անուղղակի նպատակը կարող է լինել որոշումներ ընդունելը կամ կարծիք ձևավորելը կամ իրավունքներ ձեռք բերելը կամ իրավունքներ կամ արտոնություններ տրամադրելը կամ իրավունքները սահմանափակելը կամ զրկելը կամ այլ նպատակի իրագործումը, որոնք տվյալների սուբյեկտի կամ երրորդ անձանց համար առաջացնում կամ կարող են առաջացնել իրավական հետևանքներ կամ այլ կերպ առնչվել նրանց իրավունքներին ու ազատություններին[6]։
Անձնական տվյալների ապանձնավորում են այն գործողությունները, որոնց արդյունքում հնարավոր չէ որոշել տվյալների պատկանելությունը կոնկրետ տվյալների սուբյեկտին[6]։
Անձնական տվյալների ուղեփակում է անձնական տվյալները հավաքելու կամ ամրագրելու կամ համակարգելու կամ փոխանցելու կամ օգտագործելու հնարավորության ժամանակավոր կասեցումը[6]։
Անձնական տվյալների ոչնչացում է այն գործողությունը, որի արդյունքում հնարավոր չէ վերականգնել տեղեկատվական համակարգում առկա անձնական տվյալների բովանդակությունը[6]։
Անձնական տվյալներ մշակող է պետական կառավարման կամ տեղական ինքնակառավարման մարմին , պետական կամ համայնքային հիմնարկ կամ կազմակերպություն, իրավաբանական կամ ֆիզիկական անձ, որը կազմակերպում և (կամ) իրականացնում է անձնական տվյալների մշակում[6]։ Այսպես, անձնական տվյալներ մշակող կարող են լինել բոլորը՝ և՛ մարդիկ, և՛ մասնավոր կազմակերպությունները, և՛ պետական մարմինները, և՛ տեղական ինքնակառավարման մարմինները։ Անձնական տվյալներ մշակող համարվելու չափանիշը հետևյալն է. մշակողը պետք է կամ իրականացնի կամ կազմակերպի անձնական տվյալների մշակումը։ Անձնական տվյալներ մշակողն է սահմանում անձնական տվյալների մշակման նպատակը և պայմանները, որոշում, թե ինչ անձնական տվյալներ և ինչպես պետք է մշակվեն, և մշակում է սեփական նպատակներին հասնելու նկատառումներով։ Նման որոշումներ կայացնողն էլ կոնկրետ դեպքում կհամարվի անձնական տվյալներ մշակող, իսկ մշակողի անունից և մշակողի հանձնարարությամբ տվյալների մշակում փաստացի կատարողը կհամարվի տվյալներ մշակողի լիազորված անձ[7]։
Անձնական տվյալների տեսակները
խմբագրելԱնձնական տվյալները բաժանվում են տեսակների՝ ըստ այնպիսի չափանիշների, որոնք ընդհանուր և բնորոշ են անձնական տվյալների մի խմբի համար։
Անձնական կյանքի տվյալներ. անձնական կյանքի տվյալներ են մարդու անձնական կյանքի, ընտանեկան կյանքի, ֆիզիկական, ֆիզիոլոգիական, մտավոր, սոցիալական վիճակի վերաբերյալ կամ նման այլ տեղեկությունները[6]։ Անձնական կյանքի տվյալներն այնպիսի տեղեկություններ են, որոնք կապված են մարդու առօրյայի, կյանքի ընթացքի, կյանքի հանգամանքների և պայմանների, ընտանիքի, ամուսնության կամ ամուսնալուծության հանգամանքների, կենցաղի և, առհասարակ, մարդու անհատականության հետ։ Անձնական կյանքի տվյալները մարդու մասին այնպիսի տեղեկություններ են, որոնց մարդը սովորաբար չի ցանկանում հաղորդակից դարձնել ուրիշներին։ Դա մարդու կյանքի այն մասն է, որը, ի տարբերություն մարդու հանրային կյանքի, անձեռնմխելի է շրջապատի համար։ Այդ է պատճառը, որ անձնական կյանքի տվյալները հավակնում են լինել անձնական կյանքի գաղտնիք, և պատահական չէ, որ անձնական կյանքի անձեռնմխելիության իրավունքը ամրագրված է երկրի հիմնարար օրենքում՝ Սահմանադրությունում[2]։
Կենսաչափական անձնական տվյալներ. Կենսաչափական անձնական տվյալներ են անձի ֆիզիկական, ֆիզիոլոգիական և կենսաբանական առանձնահատկությունները բնութագրող տեղեկությունները։ Այս տվյալները նաև կոչվում են բիոմետրիկ[6]։ Կենսաչափական անձնական տվյալներն ունեն իրենց առանձնահատկությունները. դրանք, որպես կանոն, հնարավոր է ստանալ միայն մարդուց, անհրաժեշտ է մարդու ֆիզիկական ներկայությունը, թույլ են տալիս անսխալական նույնականացնել մարդուն, քանի որ, որպես կանոն, ունիկալ են, վերաբերում են (պատկանում են) միայն մի մարդու և չեն կրկնվում։ Կենսաչափական անձնական տվյալներ են մատնահետքը, լուսանկարը, ստորագրությունը, ձայնը և այլն։ Իրենց առանձնահատկություններից ելնելով՝ կենսաչափական անձնական տվյալները համարվում են նաև զգայուն անձնական տվյալներ, քանի որ դրանք մարդուն անսխալական նույնականացնելու հնարավորություն են տալիս։ Ուստի, այս տվյալներն առանձնահատուկ պաշտպանության կարիք ունեն և չպետք է օգտագործվեն, եթե առանց դրանց, այլ տվյալների միջոցով հնարավոր է հասնել անձնական տվյալների մշակման նպատակին[7]։ Ներկայումս տարածված է ինքնության գողությունը՝ որպես կիբեր հանցագործություն[9], որը մի շարք դեպքերում ավելի հեշտ է իրականացնել՝ ունենալով մարդու կենսաչափական տվյալները։ Այլ կերպ ասած՝ կենսաչափական տվյալները մեծացնում են մարդու ինքնության գողության հնարավորությունը։
Հատուկ կատեգորիայի անձնական տվյալներ. Հատուկ կատեգորիայի են համարվում մարդու ռասայական, ազգային պատկանելությանը կամ էթնիկ ծագմանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, արհեստակցական միությանն անդամակցությանը, առողջական վիճակին, սեռական կյանքին վերաբերող տեղեկությունները[6]։ Ըստ էության, հատուկ կատեգորիայի անձնական տվյալների ցանկը որոշակիորեն առնչվում է խտրականության արգելքին։ Հատուկ կատեգորիայի անձնական տվյալների մշակման համար անհրաժեշտ է բավականին ամուր հիմք և օրինական ու հիմնավոր նպատակ։ Հակառակ դեպքում կարող է առաջանալ խտրական վերաբերմունք դրսևորելու կասկած։
Անձնական կյանքի տվյալները, կենսաչափական անձնական տվյալները և հատուկ կատեգորիայի անձնական տվյալներն առանձնացվել են՝ այնպիսի առանձնահատկություններից ելնելով, ինչպիսիք են զգայունությունը և առանձնահատուկ ուշադրության անհրաժեշտությունը։ Սակայն մարդու վերաբերյալ այն տեղեկությունները, որոնք չեն մտնում նշված տեսակներից որևէ մեկի մեջ, միևնույն է, շարունակում են լինել անձնական տվյալներ։
Անձնական տվյալները չեն նույնանում գաղտնիք հանդիսացող տեղեկությունների հետ, իսկ անձնական տվյալը, այդ թվում՝ անձնական կյանքի, կենսաչափական կամ հատուկ կատեգորիայի տվյալները, տվյալի տեսակի անվանումն է, այլ ոչ թե ռեժիմը։ Անձնական տվյալները կարող են լինել ինչպես գաղտնի, այնպես էլ հանրամատչելի։ Հանրամատչելի անձնական տվյալներ են այն տեղեկությունները, որոնք տվյալների սուբյեկտի համաձայնությամբ կամ իր անձնական տվյալները հանրամատչելի դարձնելուն ուղղված գիտակցված գործողությունների կատարմամբ մատչելի են դառնում որոշակի կամ անորոշ շրջանակի անձանց համար, ինչպես նաև այն տեղեկությունները, որոնք օրենքով նախատեսված են որպես հանրամատչելի տեղեկություններ[6]։ Նշանակում է, որ և՛ անձնական կյանքի տվյալները, և՛ կենսաչափական անձնական տվյալները, և՛ հատուկ կատեգորիայի անձնական տվյալները և՛ այլ անձնական տվյալներ կարող են դառնալ հանրամատչելի։
Անձնական տվյալների մշակման սկզբունքները
խմբագրելԱնձնական տվյալների մշակումը իրականացվում է անձնական տվյալների մշակմանը բնորոշ հիմնարար սկզբունքների պահպանմամբ։
Անձնական տվյալների մշակման սկզբունքներից առաջինը օրինականության սկզբունքն է։ Անձնական տվյալների մշակումը պետք է լինի օրենքի պահանջների պահպանմամբ[10]։ Այս սկզբունքը պահանջում է, որ անձնական տվյալները մշակվեն բացառապես օրինական և որոշակի նպատակներով, ինչպես նաև տվյալների մշակման հիմքի առկայության պարագայում։ Օրինական և որոշակի նպատակ ունենալու պահանջը նշանակում է, որ անձնական տվյալները չեն կարող մշակվել հենց այնպես, աննպատակ։ Պարտադիր պետք է առկա լինի օրինական (այսինքն՝ ոչ հանցավոր, ոչ չարամիտ, օրենքներին համապատասխանող) և որոշակի (այսինքն՝ հստակ ձևակերպված, հասկանալի, ոչ անորոշ) նպատակ։ Սակայն միայն օրինական և որոշակի նպատակի առկայությունը բավարար չէ տվյալների մշակումը օրինական համարելու համար։ Անհրաժեշտ է նաև տվյալները մշակելու հիմքի առկայությունը, ինչպիսիք են տվյալների սուբյեկտի համաձայնությունը կամ օրենքով նախատեսված լինելը կամ տվյալը հանրամատչելի աղբյուրից ձեռք բերված լինելը։
Օրենքով նախատեսված լինելու հիմքը հազվադեպ է խնդիրներ առաջացնում, քանի որ օրենքներում և այլ իրավական ակտերում նկարագրված են տվյալներ մշակելու պայմանները, տվյալներն օգտագործելու կարգը, տվյալներ մշակողի պարտականությունները և տվյալների սուբյեկտի իրավունքները։
Անձնական տվյալների մշակումն օրինական է համարվում նաև այն դեպքում, երբ օգտագործվում են հանրամատչելի աղբյուրից ձեռք բերված տվյալներ։
Անձնական տվյալների մշակման հիմնական իրավական հիմքը տվյալների սուբյեկտի համաձայնությունն է։ Համաձայնություն է ցանկացած կամահայտնություն, որով տվյալների սուբյեկտը տալիս է իր հավանությունը, և այն պետք է լինի ազատ տրված, որոշակի և տեղեկացված։ Միաժամանակ չորս չափանիշի առկայության պարագայում է տվյալներ մշակելու համաձայնությունը համարվում տրված։
- Ցանկացած կամահայտնություն, որով տվյալների սուբյեկտը տալիս է իր համաձայնությունը։ Համաձայնությունը կարող է տրվել գրավոր կամ բանավոր կամ կոնկլյուդենտ գործողությունների միջոցով, որոնք ակնհայտ վկայում են համաձայնության մասին։ Համաձայնությունը պետք է հստակ արտացոլի տվյալների սուբյեկտի կամքն իր անձնական տվյալների մշակման վերաբերյալ, իսկ տվյալների սուբյեկտի մտադրության վերաբերյալ ողջամիտ կասկածի առկայության դեպքում համաձայնությունը տրված համարվել չի կարող։
- «ազատ տրված» - համաձայնությունը կհամարվի վավեր, եթե տվյալների սուբյեկտը համաձայնությունը տվել է ազատ կամահայտնությամբ, այսինքն՝ առանց խաբեության, սպառնալիքի կամ հարկադրանքի։ Եթե համաձայնություն տալու կամ չտալու հետևանքները խաթարում են անձի ազատ ընտրությունը, ապա համաձայնությունը ազատ տրված համարվել չի կարող ։
- «որոշակի» - համաձայնությունը կարող է վավեր համարվել, եթե այն կոնկրետ է։ Այլ կերպ ասած, ընդհանուր համաձայնությունը, առանց անձնական տվյալի ճշգրիտ նպատակը մանրամասնելու, ընդունելի չէ։ Համաձայնությունը պետք է լինի հստակ և որոշակի, այսինքն՝ այն պետք է վերաբերի անձնական տվյալների մշակման հստակ և ճշգրիտ շրջանակի։
- «տեղեկացված» - անձնական տվյալների սուբյեկտի համաձայնությունը պետք է հիմնված լինի անձնական տվյալների մշակման հանգամանքները և հետևանքները գիտակցելու և հասկանալու, անձնական տվյալների մշակման (մշակվող տվյալների, մշակման նպատակի, այլ անձանց հնարավոր փոխանցման, տվյալների սուբյեկտի իրավունքների և այլնի) վերաբերյալ ճշգրիտ և լիարժեք տեղեկությունների վրա։ Ընդ որում, տեղեկությունները պետք է հասանելի, հասկանալի և տեսանելի լինեն տվյալների սուբյեկտի համար[7]։
Անձնական տվյալների մշակման հաջորդ սկզբունքը համաչափության սկզբունքն է։ Ըստ համաչափության սկզբունքի՝ տվյալների մշակումը պետք է հետապնդի օրինական նպատակ, դրան հասնելու միջոցները պետք է լինեն պիտանի, անհրաժեշտ և չափավոր։ Անձնական տվյալների մշակումը պետք է իրականացվի այն նվազագույն քանակով, որն անհրաժեշտ է օրինական նպատակներին հասնելու համար։ Չպետք է մշակվեն այնպիսի անձնական տվյալներ, որոնք անհրաժեշտ չեն տվյալները մշակելու նպատակին հասնելու համար, կամ եթե տվյալները մշակելու նպատակին հնարավոր է հասնել ապանձնավորված կերպով։ Անձնական տվյալները պետք է պահպանվեն այնպես, որ բացառվի տվյալների սուբյեկտի հետ դրանց նույնականացումն ավելի երկար ժամկետով, քան անհրաժեշտ է դրանց նախօրոք որոշված նպատակներին հասնելու համար[11]։
Հավաստիության սկզբունքի համաձայն՝ մշակվող անձնական տվյալը պետք է լինի ամբողջական, ճշգրիտ, պարզ և հնարավորինս թարմացված[12]։
Անձնական տվյալների մշակումն իրականացվում է նաև սուբյեկտների նվազագույն ներգրավման սկզբունքով:Այս սկզբունքի էությունն այն է, որ երբ մշակողը միասնական էլեկտրոնային տեղեկատվական համակարգի միջոցով կարող է անձնական տվյալը ձեռք բերել այլ մարմնից, ապա պետք է նվազագույնի հասցնել անձնական տվյալների սուբյեկտի մասնակցությունը անձնական տվյալների մշակման գործընթացին[13] :
Անձնական տվյալների մշակման կարևոր կանոն է անձնական տվյալների անվտանգության ապահովումը։ Անձնական տվյալների հետ առնչվողները, տվյալներ մշակողները պետք է տեխնիկական և կազմակերպչական միջոցառումներ ձեռնարկեն տվյալների անվտանգությունը ինչպես պատահական, այնպես էլ դիտավորյալ միջամտությունից պաշտպանելու համար։ Տեխնիկական միջոցառումները վերաբերում են այնպիսի տեխնոլոգիաների և տեխնիկական միջոցների կիրառմանը, որոնք կապահովեն անձնական տվյալներն անօրինական օգտագործումից, ձայնագրումից, ոչնչացումից, վերափոխումից, ուղեփակումից, կրկնօրինակումից, տարածումից և այլ միջամտությունից։ Նման միջոցներ են, օրինակ, հակահրդեհային համակարգերի կիրառումը, համակարգչային հակավիրուսային ծրագրերի տեղադրումը և այլն։ Կազմակերպչական միջոցառումները վերաբերում են այնպիսի ընթացակարգերի և կանոնակարգերի կիրառմանը, որոնք կրկին կապահովեն անձնական տվյալների անվտանգությունը։ Օրինակ, նման միջոցառումներ են տվյալներ մշակողի անձնակազմի վերապատրաստումը (ուսուցումը) կամ տեսահսկման ընթացակարգի ընդունումը, համակարգիչները մուտքանուններով և գաղտնաբառերով ապահովելու և դրանք թարմացնելու կարգերը, անձնական տվյալներին հասանելիություն ունեցող անձանց իրավասությունները և պարտականությունները սահմանելը և այլն։ Ձեռնարկվող անվտանգության միջոցառումները պետք է համարժեք լինեն տվյալների տեսակին. որքան զգայուն է տվյալը, այնքան բարձր պետք է լինի ձեռնարկվող անվտանգության միջոցառումը։ Այսպես, առանձնահատուկ անվտանգության միջոցառումներ պետք է ձեռնարկվեն հատուկ կատեգորիայի և կենսաչափական տվյալների պաշտպանության համար։ Ձեռնարկվող անվտանգության միջոցառումները պետք է համարժեք լինեն նաև տվյալների անվտանգությանը սպառնացող ռիսկերին. որքան բարձր է տվյալների անվտանգությանը սպառնացող ռիսկը, այնքան բարձր պետք է լինի ձեռնարկվող անվտանգության միջոցառումը։ Ձեռնարկվող միջոցառումների ծավալը կարող է տարբերվել նաև կախված անձնական տվյալների ռեժիմից. այսպես, հանրամատչելի անձնական տվյալները կարող են պահանջել անվտանգության ապահովման այլ միջոցառումներ, իսկ գաղտնիք համարվող անձնական տվյալները՝ այլ[7]։
Անձնական տվյալների մշակումը Հայաստանի Հանրապետությունում
խմբագրելՀՀ Սահմանադրության համաձայն՝ անձնական տվյալների մշակումը պետք է կատարվի բարեխղճորեն, օրենքով սահմանված նպատակով, անձի համաձայնությամբ կամ առանց այդ համաձայնության` օրենքով սահմանված այլ իրավաչափ հիմքի առկայությամբ[1]։ Անձնական տվյալներ մշակելը օրինական է, եթե տվյալները մշակվել են օրենքի պահանջների պահպանմամբ, և տվյալների սուբյեկտը տվել է իր համաձայնությունը, բացառությամբ օրենքով նախատեսված դեպքերի, կամ մշակվող տվյալները ձեռք են բերվել անձնական տվյալների հանրամատչելի աղբյուրներից[14]։
Անձնական տվյալներ մշակողը կամ լիազորված անձը տվյալների սուբյեկտի համաձայնությունը ստանալու նպատակով պետք է ծանուցի տվյալներ մշակելու մտադրության մասին։ Ծանուցման մեջ նշվում են՝
- տվյալների սուբյեկտի ազգանունը, անունը, հայրանունը,
- անձնական տվյալների մշակման իրավական հիմքերը և նպատակը,
- մշակման ենթակա անձնական տվյալների ցանկը,
- անձնական տվյալների հետ կատարման ենթակա գործողությունների ցանկը, որոնց համար հայցվում է տվյալների սուբյեկտի համաձայնությունը,
- այն անձանց շրջանակը, որոնց կարող են փոխանցվել անձնական տվյալները,
- անձնական տվյալների սուբյեկտի համաձայնությունը հայցող մշակողի կամ նրա ներկայացուցչի անվանումը (ազգանունը, անունը, հայրանունը, պաշտոնը) և գտնվելու կամ հաշվառման (փաստացի բնակության) վայրը,
- տվյալների սուբյեկտի կողմից անձնական տվյալների ուղղում, ոչնչացում, տվյալների մշակման դադարեցում պահանջելու կամ մշակման հետ կապված այլ գործողություն կատարելու վերաբերյալ տեղեկություններ,
- հայցվող համաձայնության գործողության ժամկետը, ինչպես նաև համաձայնությունը հետ կանչելու կարգը և դրա հետևանքները[15]։
Տվյալների սուբյեկտը կարող է տալ իր համաձայնությունը անձամբ կամ ներկայացուցչի միջոցով, եթե լիազորագրով հատուկ նախատեսված է նման լիազորություն։ Տվյալների սուբյեկտի համաձայնությունը համարվում է տրված, և մշակողն այն մշակելու իրավունք ունի, երբ՝
- մշակողին հասցեագրած և տվյալների սուբյեկտի ստորագրած փաստաթղթում նշված են անձնական տվյալները, բացառությամբ այն դեպքերի, երբ փաստաթուղթն իր բովանդակությամբ հանդիսանում է անձնական տվյալները մշակելու դեմ առարկություն,
- մշակողը տվյալները ստացել է տվյալների սուբյեկտի հետ կնքված պայմանագրի հիման վրա և օգտագործում է այդ պայմանագրով սահմանված գործողությունների նպատակով,
- տվյալների սուբյեկտն իր կամքով օգտագործելու նպատակով բանավոր փոխանցում է մշակողին իր անձնական տվյալների մասին տեղեկությունները։
Ընդ որում, տվյալների սուբյեկտն իրավունք ունի հետ կանչելու իր համաձայնությունը օրենքով, ինչպես նաև այլ օրենքներով նախատեսված դեպքերում և կարգով։ Տվյալների սուբյեկտի համաձայնությունը գրավոր` հաստատված ստորագրությամբ կամ էլեկտրոնային եղանակով՝ հաստատված էլեկտրոնային թվային ստորագրությամբ, հետ կանչվելու դեպքում մշակողը պետք է դադարեցնի անձնական տվյալներ մշակելը և ոչնչացնի տվյալները։ Առանց տվյալների սուբյեկտի համաձայնության անձնական տվյալներ կարող են մշակվել, եթե տվյալներ մշակելն ուղղակիորեն նախատեսված է օրենքով[16]։
Անձնական տվյալների մշակման ընթացքում տվյալների սուբյեկտն իրավունք ունի ստանալու տեղեկություններ իր անձնական տվյալների, տվյալները մշակելու, մշակելու հիմքերի և նպատակների, տվյալները մշակողի, նրա գտնվելու վայրի մասին, ինչպես նաև այն անձանց շրջանակի մասին, որոնց կարող են փոխանցվել անձնական տվյալները։ Տվյալների սուբյեկտն իրավունք ունի ծանոթանալու իր անձնական տվյալներին, մշակողից պահանջելու ուղղել, ուղեփակել կամ ոչնչացնել իր անձնական տվյալները, եթե անձնական տվյալներն ամբողջական կամ ճշգրիտ չեն կամ հնացած են կամ ձեռք են բերվել անօրինական ճանապարհով կամ անհրաժեշտ չեն մշակելու նպատակներին հասնելու համար։ Տվյալների սուբյեկտին անձնական տվյալները տրամադրվում են տվյալների սուբյեկտի կամ լիազորագրով հանդես եկող ներկայացուցչի կամ օրինական ներկայացուցչի գրավոր հարցման հիման վրա։ Ընդ որում, տեղեկությունները տվյալների սուբյեկտին տրամադրվում են անվճար[17]։
Անձնական տվյալների մշակման ընթացքում մշակողը պետք է տվյալների սուբյեկտին և լիազոր մարմնին տեղեկատվություն տրամադրի տվյալների սուբյեկտի վերաբերյալ անձնական տվյալների առկայության մասին կամ հնարավորություն ընձեռի ծանոթանալու դրանց գրավոր հարցումը ստանալուց հետո։ Եթե տվյալների սուբյեկտի անձնական տվյալներն ամբողջական կամ ճշգրիտ չեն կամ հնացած են կամ ձեռք են բերվել անօրինական ճանապարհով կամ անհրաժեշտ չեն մշակելու նպատակներին հասնելու համար, ապա մշակողի կամ լիազորված անձի կողմից դրանք հայտնաբերվելու կամ տվյալների սուբյեկտի կամ օրինական ներկայացուցչի (կամ լիազորված անձի) կողմից դիմում ստանալուց հետո մշակողը պետք է անհրաժեշտ գործողություններ իրականացնի դրանք ամբողջացնելու, թարմացնելու, ուղղելու, ուղեփակելու կամ ոչնչացնելու ուղղությամբ։
Տվյալների մշակման ընթացքում չեն կարող անձնական տվյալներ մշակելու նպատակներից չբխող այնպիսի որոշումներ ընդունվել, որոնք տվյալների սուբյեկտի համար կարող են առաջացնել իրավական հետևանքներ կամ այլ կերպ առնչվել նրա իրավունքներին ու օրինական շահերին, բացառությամբ եթե այդ որոշումներն ընդունվում են տվյալների սուբյեկտի համաձայնությամբ կամ օրենքով նախատեսված դեպքերում։
Անձնական տվյալները մշակելու ընթացքում մշակողը պետք է օգտագործի գաղտնագրման միջոցներ` անձնական տվյալներ պարունակող տեղեկատվական համակարգերի պաշտպանվածությունը պատահական կորստից, տեղեկատվական համակարգեր անօրինական մուտք գործելուց, անձնական տվյալների անօրինական օգտագործումից, ձայնագրումից, ոչնչացումից, վերափոխումից, ուղեփակումից, կրկնօրինակումից, տարածումից և այլ միջամտությունից ապահովելու համար։ Անձնական տվյալներ մշակողները պետք է պահպանեն անձնական տվյալների գաղտնիությունը ինչպես անձնական տվյալները մշակելու հետ առնչվող ծառայողական կամ աշխատանքային պարտականությունները կատարելու ընթացքում, այնպես էլ դրա ավարտից հետո[18]։
Անձնական տվյալների պաշտպանության մեխանիզմները
խմբագրելՄիշտ չէ, որ անձնական տվյալների մշակումը իրականացվում է օրենքի պահանջների պահպանմամաբ։ Եթե տվյալների սուբյեկտը համարում է, որ իր անձնական տվյալների մշակումն իրականացվում է օրենքի պահանջների խախտմամբ կամ այլ կերպ խախտում է իր իրավունքներն ու ազատությունները, ապա նա իրավունք ունի մշակողի գործողությունները կամ անգործությունը կամ որոշումները բողոքարկելու անձնական տվյալների պաշտպանության լիազոր մարմին կամ դատական կարգով[19]։
Անձնական տվյալների պաշտպանության լիազոր մարմինը իրականացնում է անձնական տվյալների պաշտպանությունը, այն գործում է Հայաստանի Հանրապետության կառավարության որոշմամբ սահմանված կառուցվածքով՝ ի դեմս ՀՀ արդարադատության նախարարության կազմում գործող Անձնական տվյալների պաշտպանության գործակալության , որը ստեղծվել է 2015 թվականին։ Անձնական տվյալների պաշտպանության լիազոր մարմինը գործում է անկախ, օրենքի և այլ իրավական ակտերի հիման վրա[20]։
Անձնական տվյալների պաշտպանության գործակալությունը
- ստուգում է իր նախաձեռնությամբ կամ համապատասխան դիմումի հիման վրա անձնական տվյալների մշակման համապատասխանությունը օրենքի պահանջներին,
- օրենքի պահանջների խախտման դեպքում կիրառում է օրենքով սահմանված վարչական պատասխանատվության միջոցներ,
- պահանջում է արգելափակել, կասեցնել կամ դադարեցնել օրենքի պահանջները խախտող անձնական տվյալների մշակումը,
- օրենքով նախատեսված հիմքերի առկայության դեպքում մշակողից պահանջում է անձնական տվյալների ուղղում, փոփոխում, ուղեփակում կամ ոչնչացում,
- անձնական տվյալներ մշակելու վերաբերյալ մշակողի ծանուցման ուսումնասիրության արդյունքում ամբողջությամբ կամ մասամբ արգելում է անձնական տվյալների մշակումը,
- վարում է անձնական տվյալներ մշակողների ռեեստր,
- իրավաբանական անձանց անձնական տվյալներ մշակող էլեկտրոնային համակարգերը ճանաչում է բավարար պաշտպանության մակարդակ ունեցող և դրանք ներառում է ռեեստրում.
- ստուգում է տվյալներ մշակելու համար օգտագործվող սարքերը և փաստաթղթերը, այդ թվում՝ առկա տվյալները և համակարգչային ծրագրերը.
- օրենքով նախատեսված դեպքերում դիմում է դատարան,
- իրականացնում է օրենքով սահմանված այլ լիազորություններ,
- պահպանում է իր գործունեության ընթացքում իրեն վստահված կամ հայտնի դարձած անձնական տվյալների գաղտնիությունը,
- ապահովում է տվյալների սուբյեկտի իրավունքների պաշտպանությունը,
- քննում է անձնական տվյալների մշակմանը վերաբերող հարցերով ֆիզիկական անձանց դիմումները և իր լիազորությունների սահմաններում ընդունում որոշումներ,
- տարեկան մեկ անգամ ներկայացնում է հրապարակային հաշվետվություն՝ անձնական տվյալների պաշտպանության բնագավառում առկա իրավիճակի և նախորդ տարվա գործունեության վերաբերյալ,
- կատարում է հետազոտություններ և մշակողների դիմումների կամ լուսաբանումների հիման վրա տալիս տվյալներ մշակելու վերաբերյալ խորհրդատվություն կամ տեղեկացնում է անձնական տվյալներ մշակելու վերաբերյալ լավագույն փորձի մասին,
- իրավապահ մարմիններին հաղորդում է ներկայացնում իր գործունեության ընթացքում քրեաիրավական բնույթի խախտումների վերաբերյալ կասկածներ ի հայտ գալու դեպքում։
Անձնական տվյալների պաշտպանության լիազոր մարմինը օրենքի պահանջների խախտման դեպքում կիրառում է վարչական պատասխանատվության հետևյալ միջոցները.
- Անձնական տվյալների հավաքման, ձայնագրման, մուտքագրման, համակարգման, կազմակերպման, ուղղման, պահպանման, օգտագործման, վերափոխման, վերականգնման կամ փոխանցման օրենքով սահմանված կարգը խախտելը, եթե տվյալ արարքը չի պարունակում հանցագործության հատկանիշներ, առաջացնում է տուգանքի նշանակում` սահմանված նվազագույն աշխատավարձի երկուհարյուրապատիկից մինչև հինգհարյուրապատիկի չափով։
- Անձնական տվյալները ոչնչացնելու կամ ուղեփակելու օրենքով սահմանված կարգը խախտելը, եթե տվյալ արարքը չի պարունակում հանցագործության հատկանիշներ, առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի երեքհարյուրապատիկից մինչև հինգհարյուրապատիկի չափով։
- Անձնական տվյալներ հավաքելու ընթացքում անձնական տվյալների սուբյեկտի պահանջով մշակողի կողմից օրենքով նախատեսված տեղեկատվություն չտրամադրելը, տրամադրման կարգը խախտելը կամ չտրամադրելու պատճառներն ու հետևանքները չպարզաբանելը, առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի հարյուրապատիկից մինչև երկուհարյուրապատիկի չափով։
- Անձնական տվյալներ մշակողի կողմից անձնական տվյալների պաշտպանության լիազոր մարմնին չծանուցելը կամ ծանուցման կարգը խախտելը, առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի հիսնապատիկից մինչև հարյուրապատիկի չափով։
- Անձնական տվյալները մշակելու ընթացքում գաղտնագրման միջոցներ չօգտագործելը, եթե տվյալ արարքը չի պարունակում հանցագործության հատկանիշներ առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի հարյուրապատիկի չափով։
- Տեղեկատվական համակարգերում անձնական տվյալները մշակելու անվտանգությունն ապահովելուն ներկայացվող պահանջները, կենսաչափական անձնական տվյալների նյութական կրիչներին և տեղեկատվական համակարգերից դուրս այդ անձնական տվյալները պահպանելու տեխնոլոգիաներին ներկայացվող պահանջները խախտելը, եթե տվյալ արարքը չի պարունակում հանցագործության հատկանիշներ, առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի հարյուրապատիկից մինչև երկուհարյուրապատիկի չափով։
- Անձնական տվյալները մշակելու հետ առնչվող ծառայողական կամ աշխատանքային պարտականությունները կատարելու ընթացքում կամ դրա ավարտից հետո անձնական տվյալներ մշակողների կամ «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքով նախատեսված այլ անձանց կողմից անձնական տվյալների գաղտնիությունը չպահպանելը առաջացնում է տուգանքի նշանակում՝ նվազագույն աշխատավարձի երկուհարյուրապատիկից մինչև երեքհարյուրապատիկի չափով։
- վերը նշված արարքները կատարած անձն ազատվում է վարչական պատասխանատվությունից, եթե լիազոր մարմնի որոշմամբ սահմանված ժամկետում կամ մինչև վարչական պատասխանատվության ենթարկվելու վերաբերյալ որոշում կայացնելը նա վերացրել է իր թույլ տված խախտումը և լիազոր մարմին է ներկայացրել ապացույցներ այդ մասին[21]։
Անձնական տվյալների պաշտպանության լիազոր մարմնի որոշումները կարող են բողոքարկվել դատական կարգով։
Ծանոթագրություններ
խմբագրել- ↑ 1,0 1,1 Հայաստանի Սահմանադրություն, 34-րդ հոդված
- ↑ 2,0 2,1 ՀՀ Սահմանադրություն, 31-րդ հոդված
- ↑ Հարությունյան, Գագիկ; Վաղարշյան, Արթուր (2010). Հայաստանի Հանրապետության Սահմանադրության մեկնաբանություններ. Երևան: «Իրավունք». էջ 276.
- ↑ «Անձնական տվյալների ավտոմատացված մշակման դեպքում անհատների պաշտպանության մասին» Ստրասբուրգի կոնվենցիա
- ↑ 108+ կոնվենցիա
- ↑ 6,00 6,01 6,02 6,03 6,04 6,05 6,06 6,07 6,08 6,09 6,10 6,11 6,12 ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 3-րդ հոդված
- ↑ 7,0 7,1 7,2 7,3 7,4 7,5 երեխաներ են. ուղեցույց՝ երեխաների անձնական տվյալների վերաբերյալ։ Պատրաստվել է ՄԱԿ-ի մանկական հիմնադրամի (ՅՈՒՆԻՍԵՖ) աջակցությամբ(չաշխատող հղում)
- ↑ ԿՈՆՎԵՆՑԻԱ ԵՐԵԽԱՅԻ ԻՐԱՎՈՒՆՔՆԵՐԻ ՄԱՍԻՆ (20 նոյեմբերի 1989 թ.)
- ↑ «2020 Phishing» (PDF).
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 4-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 5-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 6-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 7-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 8-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 10-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 9-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 15-րդ հոդված
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 18-րդ, 19-րդ հոդվածներ
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 17-րդ հոդվածներ
- ↑ ՀՀ օրենքը «Անձնական տվյալների պաշտպանության մասին», 24-րդ հոդվածներ
- ↑ Վարչական իրավախախտումների վերաբերյալ ՀՀ օրենսգիրք, 189-րդ հոդված, 17-րդ կետ