dpHUB: Տվյալների պաշտպանության կենտրոն

1. «Անձնական տվյալների պաշտպանության» մասին օրենքում փոփոխություններ եւ լրացումներ կատարելու մասին օրենքի նախագծով (այսուհետ նաեւ՝ Նախագիծ) առաջարկվում է «Անձնական տվյալների պաշտպանության մասին» օրենքի (այսուհետ նաեւ՝ ԱՏՊ օրենք) 7-րդ հոդվածի 4-րդ մասը շարադրել հետեւյալ խմբագրությամբ․ «4․ Տեղեկատվական համակարգերի միջոցով անձնական տվյալների մշակման եւ փոխանցման կարգը, այդ ընթացքում անձնական տվյալների պաշտպանության ընթացակարգը հաստատում է ՀՀ կառավարությունը։ Նշված կարգից բխող տեխնիկական պահանջները և անվտանգության կանոնակարգերը հաստատում է «Հանրային տեղեկությունների մասին» օրենքով նախատեսված ինքնավար մարմինը»։

ԱՏՊ օրենքի 3-րդ հոդվածի 1-ին մասի 2-րդ կետի համաձայն՝ անձնական տվյալների մշակում է անկախ իրականացման ձևից եւ եղանակից ցանկացած գործողություն կամ գործողությունների խումբ, որն ի թիվս այլնի կապված է անձնական տվյալներ փոխանցելու հետ: Հետեւաբար Նախագծի վերոնշյալ դրույթում «անձնական տվյալների մշակման եւ փոխանցման» արտահայտությունը կրկնաբանություն է այնքանով, որքանով անձնական տվյալների փոխանցումը անձնական տվյալների մշակման ձեւերից է եւ արդեն իսկ ներառված է անձնական տվյալների մշակման մեջ:

Անձնական տվյալների պաշտպանությունը սահմանադրական եւ կոնվենցիոն իրավունքն է, որն առարկայացել է ԱՏՊ օրենքով: Հետեւաբար, որպես այդպիսին հենց ամբողջ ԱՏՊ օրենսդրությունն է անձնական տվյալների պաշտպանության «ընթացակարգ»: Տվյալ դեպքում նախատեսելով անձնական տվյալների պաշտպանության ընթացակարգը հաստատելու ՀՀ կառավարության լիազորությունը՝ Նախագծի հեղինակները հավանաբար նկատի են ունեցել անձնական տվյալների անվտանգության ընթացակարգը, հատկապես, որ նույն դրույթով արդեն նախատեսված է անձնական տվյալների մշակման կարգ սահմանելու՝ կառավարության լիազորությունը: Իսկ եթե հաշվի առնենք, որ նույն դրույթով սահմանվում է, որ կառավարության հաստատած կարգից բխող տեխնիկական պահանջները եւ անվտանգության կանոնակարգերը հաստատում է «Հանրային տեղեկությունների մասին» օրենքով նախատեսված ինքնավար մարմինը, ապա անհասկանալի է դառնում, թե ինչ է ենթադրում անձնական տվյալների պաշտպանության ընթացակարգը։

Առաջարկում ենք նշված դրույթում

– «եւ փոխանցման» բառերը հանել,

– «պաշտպանության» բառը փոխարինել «անվտանգության» բառով, կամ առհասարակ հանել «, այդ ընթացքում անձնական տվյալների պաշտպանության ընթացակարգը» բառերը:

2. Նախագծով առաջարկվում է ԱՏՊ օրենքի 19-րդ հոդվածի 6-րդ մասը լրացնել նոր նախադասությամբ․ «Տեղեկատվական համակարգերից դուրս կենսաչափական անձնական տվյալների նյութական կրիչներին և այդ անձնական տվյալները պահպանելու տեխնոլոգիաներին ներկայացվող պահանջները սահմանում է «Հանրային տեղեկությունների մասին» օրենքով նախատեսված ինքնավար մարմինը:»։

Տեղեկատվական համակարգերից դուրս կենսաչափական անձնական տվյալների մշակումը դուրս է «Կիբեռանվտանգության մասին» նախատեսվող օրենքի կարգավորման դաշտից այնքանով, որքանով այդ օրենքը վերաբերում է բացառապես կրիտիկական տեղեկատվական ենթակառուցվածքների կամ տեղեկատվական համակարգերի կիբեռանվտանգությանը  եւ ոչ ուղղակիորեն, ոչ անուղղակիորեն չի վերաբերում նման նման տեղեկատվական համակարգերից դուրս որեւէ անձնական տվյալի մշակմանը: Տեղեկատվական համակարգերից դուրս կենսաչափական անձնական տվյալների մշակումը ըստ էության դուրս է նաեւ «Հանրային տեղեկությունների մասին» օրենքի կարգավորման դաշտից այնքանով, որքանով այդ օրենքի գործողությունը տարածվում է պետական և տեղական ինքնակառավարման մարմինների, ինչպես նաեւ սահմանափակ այլ իրավաբանական եւ ֆիզիկական անձանց վրա: «Հանրային տեղեկությունների մասին» օրենքը տեղեկատվական համակարգերից դուրս անձնական տվյալների մշակմանը կարող է վերաբերել առավելագույնն այնքանով, որքանով տեղեկատվական համակարգերից դուրս կենսաչափական անձնական տվյալները հանդիսանում են նույն օրենքով սահմանված հանրային տեղեկություն:

Նման պայմաններում անհասկանալի է, թե «Հանրային տեղեկությունների մասին» օրենքով նախատեսված ինքնավար մարմինը ի՞նչ կապ ունի եւ ո՞ր իրավազորության ներքո է անդրադառնալու «Կիբեռանվտանգության մասին» օրենքի եւ «Հանրային տեղեկությունների մասին» օրենքի գործողությունից դուրս գտնվող անձնական տվյալներ մշակողների (այդ թվում՝ ֆիզիկական եւ իրավաբանական անձանց) կողմից կենսաչափական անձնական տվյալների մշակմանը (նյութական կրիչներին, դրանցում տվյալները տվյալները պահպանելու տեխնոլոգիաներին):

Առաջարկում ենք պահպանել ԱՏՊ օրենքում գործող կարգավորումը, այն է, նման կարգի սահմանումը թողնել ՀՀ կառավարությանը կամ վերապահել անձնական տվյալների պաշտպանության լիազոր մարմնին:

3. Նախագծով առաջարկվում է ուժը կորցրած ճանաչել ԱՏՊ օրենքի 19-րդ հոդվածի 9-րդ մասը եւ ԱՏՊ օրենքի 24-րդ հոդվածի 3-րդ մասի 7-կետը: ԱՏՊ օրենքի 19-րդ հոդվածի 9-րդ մասի համաձայն՝ անձնական տվյալներ մշակող իրավաբանական անձինք իրենց տիրապետման տակ գտնվող անձնական տվյալներ մշակող էլեկտրոնային համակարգերը բավարար պաշտպանության մակարդակ ունեցող ճանաչելու եւ ռեեստրում ընդգրկելու նպատակով կարող են դիմել անձնական տվյալների պաշտպանության լիազոր մարմին: ԱՏՊ օրենքի 24-րդ հոդվածի 3-րդ մասի 7-կետի համաձայն է անձնական տվյալների պաշտպանության լիազոր մարմինը իրավաբանական անձանց անձնական տվյալներ մշակող էլեկտրոնային համակարգերը ճանաչում է բավարար պաշտպանության մակարդակ ունեցող և դրանք ներառում է ռեեստրում:

Անձնական տվյալներ մշակող էլեկտրոնային համակարգեր տիրապետող ոչ բոլոր իրավաբանական անձինք են, որոնց վրա տարածվելու է «Կիբեռանվտանգության մասին» օրենքը: Այսինքն, անձնական տվյալներ մշակող բազմաթիվ իրավաբանական անձինք չեն համարվելու «Կիբեռանվտանգության մասին» օրենքի իմաստով ծառայություն մատուցող: Ընդ որում, նման իրավաբանական անձինք «Կիբեռանվտանգության մասին» օրենքից բխող կիբեռանվտանգության ապահովման պարտավորություններ կարող են ստանձնել կամ հրաժարվել դրանցից կամավոր (տես՝ «Կիբեռանվտանգության մասին» օրենքի նախագծի 1-ին հոդվածի 2-րդ մասը):

Նման պայմաններում հիմնավորված չէ ԱՏՊ օրենքի 19-րդ հոդվածի 9-րդ մասը ուժը կորցրած ճանաչելն այնքանով, որքանով այդպիսով անձնական տվյալներ մշակող էլեկտրոնային համակարգերը բավարար պաշտպանության մակարդակ ունեցող ճանաչելու հնարավորությունից զրկվում են «Կիբեռանվտանգության մասին» օրենքի կարգավորումից դուրս գտնվող անձնական տվյալներ մշակող իրավաբանական անձինք, ինչպես նաեւ դրանով խախտվում է կիբեռանվտանգության ապահովման պարտավորություններ ստանձնելու կամավորության կանոնը:

Առաջարկում ենք

– ԱՏՊ օրենքի 19-րդ հոդվածի 9-րդ մասն ուժը կորցրած ճանաչելու փոխարեն սահմանել, որ այն չի տարածվում «Կիբեռանվտանգության մասին» օրենքի իմաստով ծառայություն մատուցող, իսկ «Հանրային տեղեկությունների մասին» օրենքի իմաստով տվյալների շտեմարանի կառավարիչ համարվող անձանց վրա (օրինակ, 19-րդ հոդվածի 9-րդ մասը «լիազոր մարմին» բառերից հետո լրացնել «՝ բացառությամբ «Կիբեռանվտանգության մասին» օրենքի իմաստով ծառայություն մատուցող, իսկ «Հանրային տեղեկությունների մասին» օրենքի իմաստով տվյալների շտեմարանի կառավարիչ համարվող անձանց» բառերով),

– ԱՏՊ օրենքի 24-րդ հոդվածի 3-րդ մասի 7-կետն ուժը կորցրած ճանաչելու փոխարեն սահմանել, որ այն չի տարածվում «Կիբեռանվտանգության մասին» օրենքի իմաստով ծառայություն մատուցող, իսկ «Հանրային տեղեկությունների մասին» օրենքի իմաստով տվյալների շտեմարանի կառավարիչ համարվող անձանց վրա (օրինակ, 24-րդ հոդվածի 3-րդ մասի 7-կետը «իրավաբանական անձանց» բառերից առաջ լրացնել «սույն օրենքի 19-րդ հոդվածի 9-րդ մասով նախատեսված» բառերով):

4. Նախագծով առաջարկվում է ԱՏՊ օրենքի 24-րդ հոդվածի 3-րդ մասի 8-րդ կետում «ծրագրերը.» բառը եւ կետադրական նշանը փոխարինել «, բացառությամբ «Հանրային տեղեկությունների մասին» օրենքով պետական տեղեկատվական համակարգի և դրան միացված տվյալների շտեմարանների.» կետադրական նշանով և բառերով:

Առաջարկվող ձեւակերպման մեջ առեւրեւույթ կա վրիպակ/սխալ, քանի որ նման խմբագրությունում դեպքում ստացվում է, որ ԱՏՊ oրենքի 24-րդ հոդվածի 3-րդ մասի 8-րդ կետը կունենա հետեւյալ ձեւակերպումը՝ «3. Անձնական տվյալների պաշտպանության լիազոր մարմինը` (…) ստուգում է տվյալներ մշակելու համար օգտագործվող սարքերը և փաստաթղթերը, այդ թվում՝ առկա տվյալները և համակարգչային, բացառությամբ «Հանրային տեղեկությունների մասին» օրենքով պետական տեղեկատվական համակարգի և դրան միացված տվյալների շտեմարանների.»:

Առերեւույթ «ծրագրերը.» բառը եւ կետադրական նշանը պետք է ոչ թե փոխարինել, այլ «ծրագրերը» բառից հետո եւ «.» կետադրական նշանից առաջ լրացնել «, բացառությամբ «Հանրային տեղեկությունների մասին» օրենքով պետական տեղեկատվական համակարգի և դրան միացված տվյալների շտեմարանների» բառերով:

Առաջարկում ենք վերանայել/շտկել առաջարկվող խմնբագրության արդյունքում ստացվող սխալ ձեւակերպումը:

5. Նախագծով առաջարկվում է ԱՏՊ օրենքի 26-րդ հոդվածը լրացնել հետևյալ բովանդակությամբ նոր՝ 3-րդ մասով. «3․ Մշակողը պարտավոր է տեղեկատվական տեխնոլոգիաների միջոցով կիրառել լուծումներ, որոնք հնարավորություն կտան ցանկացած ժամանակ ստույգ պարզել, թե ում, ինչ նպատակով, երբ, ինչ ձևով եւ ինչ տեղեկատվությունից օգտվելու հնարավորություն է տրվել /հասանելի դարձել/ կամ փոխանցվել, որը պարունակում է անձնական տվյալներ` բացառությամբ օրենքով նախատեսված դեպքերի:»։

Նման իմպերատիվ պահանջը համաչափ եւ ողջամիտ չէ, խնդրահարույց է համաչափության սահմանադրական սկզբունքի տեսանկյունից՝ հաշվի առնելով, որ ԱՏՊ օրենքի 3-րդ հոդվածի 1-ին մասի 5-րդ կետի համաձայն՝ անձնական տվյալներ մշակող է ոչ միայն  պետական կառավարման կամ տեղական ինքնակառավարման մարմինը, պետական կամ համայնքային հիմնարկը կամ կազմակերպությունը, այլ նաեւ ցանկացած իրավաբանական կամ ֆիզիկական անձ:

Իհարկե, նման մոտեցում կիրառվում է միջազգային փորձում, բայց այս պարագայում հաշվի առնված չեն ՀՀ օրենսդրության կարգավորման առանձնահատկությունները: Օրինակ, որպես կանոն անձնական տվյալների (ներառյալ՝ ավտոմատացված) մշակման կանոնները միջազգային պրակտիկայում չեն տարածվում անհատի կողմից՝ բացառապես անձնական կամ ընտանեկան գործունեության շրջանակներում իրականացվող տվյալների մշակման վրա (տես՝ GDPR, Կոնվենցիա 108+), իսկ ԱՏՊ օրենքը տարածվում է: Հենց այդ պատճառով էլ նման ընդհանուր պահանջը, փաստորեն, տարածվելու է ցանկացած անհատի վրա, ով, օրինակ, ունի հեռախոս եւ որեւէ հավելվածի հասանելիություն է տվել իր կոնտակտներին:

Առաջարկում ենք

– ձեռնպահ մնալ ԱՏՊ օրենքի 26-րդ հոդվածը նման բովանդակությամբ նոր մասով լրացնելուց,

– իսկ եթե նախագծի հեղինակները անձնական տվյալներ մշակողների կոնկրետ շրջանակ են նկատի ունեցել, ապա առաջարկում ենք ԱՏՊ օրենքի 26-րդ հոդվածում լրացվելիք նոր մասը հստակեցնել կամ, տվյալ պահանջը սահմանել ոչ թե ԱՏՊ օրենքով, այլ անձնական տվյալներ մշակողների կոնկրետ շրջանակի կողմից տվյալների մշակման առանձնահատկությունները նախատեսող ոլորտային օրենքով: