Single Portfolio

Անձնական տվյալների մշակման խնդիրներ Yandex-ում

1. Առիթը

2025 թվականի դեկտեմբերի 17-ին Երեւանի քաղաքապետարանը տեղեկություն հրապարակեց այն մասին, որ Երեւանի քաղաքապետարանը եւ «Yandex Armenia»-ն կհամագործակցեն՝ Երեւանի քաղաքային միջավայրի բարելավման նպատակով:1 Հրապարակված նյութում նշված էր, որ իր տեխնիկական եւ իրավական հնարավորությունների շրջանակում «Yandex Armenia»-ն քաղաքապետարանին կտրամադրի վերլուծական տվյալներ, որոնք կարող են նպաստել տրանսպորտային համակարգի կենտրոնացված կառավարման ներդրմանը։ Երեւանի քաղաքապետարանը եւ «Yandex Armenia»-ի միջեւ ստորագրվել է մտադրությունների եւ համագործակցության վերաբերյալ հուշագիր:

Հրապարակված տեղեկութում ընդգծված էր, որ հուշագրի շրջանակում «Yandex Armenia»-ն պատրաստ է Երեւանի քաղաքապետարանին տրամադրել քաղաքային շարժունակության եւ նավիգացիայի, փողոցների եւ կանգառների, ինչպես նաեւ հասարակական տրանսպորտի երթուղիների վերաբերյալ վերլուծական տվյալներ, որոնք չեն պարունակում անձնական տեղեկատվություն։ 

Այս տեղեկությունն առիթ էր ուսումնասիրելու՝ արդյոք «Yandex Armenia»-ն իրավունք ունի՞ վերլուծելու իր օգտատերերի տվյալները՝ անկախ նրանից, որ տվյալների մշակման արդյունքները հետագայում քաղաքապետարանին փոխանցելու է ապանձնավորված: Եւ եթե այո, ապա ի՞նչ նպատակներով եւ պայմաններով «Yandex Armenia»-ն իրավունք ունի վերլուծել իր օգտատերերի տվյալները ու արդյոք այդ նպատակներն ու պայմանները համադրելի՞ են այն նպատակների ու պայմանների հետ, որոնցով «Yandex Armenia»-ն պատրաստվում է տվյալների մշակման ապանձնավորված արդյունքները փոխանցել քաղաքապետարանին:

2. Անձնական տվյալների մշակման վերաբերելի կանոնները

«Yandex Armenia»-ն չի նախատեսում Երեւանի քաղաքապետարանին տրամադրել իր օգտատերերի որեւէ անձնական տվյալ, ըստ այդմ, անձնական տվյալների պաշտպանության հարց առաջին հայացքից չկա Երեւանի քաղաքապետարան-«Yandex Armenia» հարաբերություններում: Սակայն, անձնական տվյալների մշակման կանոնները դեռեւս կիրառելի են «Yandex Armenia»-օգտատեր հարաբերություններում: Այս համատեքստում անհրաժեշտ է հաշվի առնել, որ անձնական տվյալներ վերլուծելն «Անձնական տվյալների պաշտպանության մասին» (ԱՏՊ) օրենքի2 իմաստով անձնական տվյալների մշակում է:3 Ուստի, անձնական տվյալներ վերլուծելու հետ կապված գործողությունների վրա տարածվում են ԱՏՊ օրենքի կարգավորումները, այդ թվում՝

  • Տվյալների մշակման օրինականությունը,4 որի շրջանակներում «Yandex Armenia»-ն իր օգտատերերի տվյալների վերլուծություն կարող է իրականացնել, իսկ այդ վերլուծությունների ապանձնավորված արդյունքները Երեւանի քաղաքապետարանին (ցանկացած այլ անձանց) փոխանցել, եթե այդ կապակցությամբ ստացել է իր օգտատերերի պատշաճ համաձայնությունը,
  • Օրինականության սկզբունքը,5 որի համաձայն՝ եթե անգամ «Yandex Armenia»-ն ստացել է իր օգտատերերի անձնական տվյալներ վերլուծելու կապակցությամբ նրանց պատշաճ համաձայնությունը, ապա օգտատերերի անձնական տվյալներ վերլուծելը պետք է ունենա որոշակի՝ կոնկրետ նպատակներ ու այդ նպատակները պետք է համադրելի լինեն այն նպատակների հետ, որոնցով «Yandex Armenia»-ն պատրաստվում է տվյալների մշակման ապանձնավորված արդյունքները փոխանցել քաղաքապետարանին:
  • Համաչափության, հավաստիության սկզբունքները,6 եւ անձնական տվյալների մշակման՝ ԱՏՊ օրենքով սահմանված այլ կանոնները:

3. «Yandex Armenia»-ի կողմից օգտատերերի անձնական տվյալների մշակման խնդիրները

Yandex-ն իր ծառայությունները մատուցում եւ իր օգտատերերի տվյալները Հայաստանում մշակում է մի քանի կազմակերպությունների միջոցով: Օրինակ, Yandex Go ապրանքանիշի ներքո մատուցվող ծառայությունների դեպքում անձնական տվյալներ մշակողը «Րայդթեք էյ էմ» ՍՊԸ-ն է: Սակայն, շփոթությունից խուսափելու համար Yandex-ին որպես անձնական տվյալներ մշակող այսուհետ նույնպես կանդրադառնանք որպես «Yandex Armenia», ինչպես նշված էր Երեւանի քաղաքապետարանի տարածած հայտարարությունում:

«Yandex Armenia»-ն իր օգտատերերի տվյալների մշակման համաձայնությունը ստանում է երկու փաստաթղթի միջոցով՝

  • Պայմաններ7 – այս փաստաթուղթը չի սահմանում անձնական տվյալների մշակման պայմաններ: Միեւնույն ժամանակ, դրան համաձայնվելու միջոցով օգտատերը համաձայնություն է տալիս իր տվյալների մշակմանը՝ գաղտնիության քաղաքականությամբ սահմանված պայմաններով եւ նպատակներով:
  • Գաղտնիության քաղաքականություն, որը կոչվում է նաեւ Գաղտնիության ծանուցագիր8 – սա հենց այն փաստաթուղթն է, որը պարունակում է անձնական տվյալների մշակման պայմանները եւ որին հղում է կատարում Պայմաններ կոչվող փաստաթուղթը:

Երեւանի քաղաքապետարանի եւ «Yandex Armenia»-ի համագործակցության մասին տեղեկատվական առիթով ուսումնասիրել ենք վերոնշյալ երկու փաստաթղթերը եւ արձանագրել հետեւյալ առերեւույթ խախտումները:

3.1. Օգտատերերի համաձայնությունն առերեւույթ չի համապատասխանում «տեղեկացված» լինելու չափանիշին

Գաղտնիության ծանուցագիրը օգտատերերին չի առաջարկվում Yandex մուտք գործելու էջում (տես՝ Նկար 1):

Նկար 1

Գաղտնիության ծանուցագրին հասնելու համար նախ անհրաժեշտ է ընդհանուր էջի ներքեւի հատվածում անցնել «Օգտատիրոջ համաձայնագիր» բաժինը (տես՝ Նկար 2-ում կարմիրով ընդգծված հատվածը), բացել Պայմանները հայերեն, անցնել Պայմաններում տվյալների մշակման համաձայնությանը վերաբերող 2.11 կետում ներկայացված https://yandexgo.com/legal/yandexgo_privacy_notice/en/ հղմամբ եւ այդտեղ բացել Գաղտնիության ծանուցագիրը հայերեն:

Նկար 2

ԱՏՊ օրենքի համաձայն՝ անձնական տվյալներ մշակողն անձնական տվյալներ մշակելու համաձայնությունն ստանալու նպատակով տվյալների սուբյեկտին պետք է ներկայացնի ծանուցում:9 «Yandex Armenia»-ի դեպքում որպես ծանուցում հանդես է գալիս Գաղտնիության ծանուցագիրը, որով սահմանված տվյալների մշակման պայմաններին օգտատերը համաձայնում է Պայմաններն ընդունելու միջոցով:

Միաժամանակ, ԱՏՊ լիազոր մարմինը եւ նաեւ ՀՀ վճռաբեկ դատարանը,10 անդրադառնալով տվյալենրի մշակման համաձայնության որակին, հաստատել են, որ տվյալների մշակման համաձայնությունն ի թիվս այլնի պետք է համապատասխանի նաեւ «տեղեկացված» լինելու չափանիշին, ինչը նշանակում է, որ անձնական տվյալների սուբյեկտի համաձայնությունը պետք է հիմնված լինի անձնական տվյալների մշակման հանգամանքները եւ հետեւանքները գիտակցելու եւ հասկանալու, անձնական տվյալների մշակման (մշակվող տվյալների, մշակման նպատակի, այլ անձանց հնարավոր փոխանցման, տվյալների սուբյեկտի իրավունքների եւ այլնի) վերաբերյալ ճշգրիտ եւ լիարժեք տեղեկությունների վրա: Ընդ որում, տեղեկությունները պետք է հասանելի, հասկանալի եւ տեսանելի լինեն տվյալների սուբյեկտի համար, այլ ոչ թե՝ «հասանելի ինչ-որ տեղ»:

Տվյալ դեպքում օգտատերերի անձնական վյալների մշակման մասին տեղեկությունների (Գաղտնիության ծանուցագրի) հասանելիության պայմանները չեն համապատասխանում համաձայնության «տեղեկացված» լինելու չափանիշին:

3.2. Օգտատերերի տվյալների վերլուծելու հիմքն առերեւույթ բացակայում է

Ինչպես նշեցինք՝ անձնական տվյալներ վերլուծելն ԱՏՊ օրենքի իմաստով անձնական տվյալների մշակում է: «Yandex Armenia»-ի Գաղտնիության ծանուցագիրը չի պարունակում օգտատերերի անձնական տվյալների այնպիսի վերլուծություն, որը նշված էր Երեւանի քաղաքապետարանի հրապարակած տեղեկության մեջ: Օգտատիրոջ անձնական տվյալների վերլուծության միակ դրվագը, որն առկա է Գաղտնիության ծանուցագրում, մարկետինգային նպատակներով օգտատերերի ակտիվության վերլուծությունն է այնպիսի անձնական տվյալների հիման վրա, ինչպիսիք են ամենից հաճախ պատվիրվող ծառայությունները կամ ապրանքները, պատվերների հաճախականություն, պատվերը կատարելու վրա ծախսված ժամանակը, պատվերի միջին արժեքը եւ այլն (տես՝ Նկար 3):

Նկար 3

ԱՏՊ օրենքի համաձայն՝ անձնական տվյալներն առանց տվյալների սուբյեկտի համաձայնության չեն կարող մշակվել նախապես սահմանված նպատակից տարբերվող այլ նպատակներով:11 Ուստի խնդրո առարկա դեպքում «Yandex Armenia»-ի կողմից առանց լրացուցիչ եւ պատշաճ համաձայնություն ստանալու իր օգտատերերի տվյալների վերլուծությունը (մշակումը), որը նշված էր Երեւանի քաղաքապետարանի հրապարակած տեղեկության մեջ, հակասում է անձնական տվյալների մշակման օրինականության սկզբունքին եւ օրինականությանը առնվազն այնքանով, որքանով նախատեսված չէ Գաղտնիության ծանուցագրում եւ, ըստ այդմ, ապահովված չէ ստվյալների սուբյեկտի համաձայնությամբ: Ընդ որում, խնդրահարույց է օգտատերերի անձնական տվյալները վերլուծելու դրվագն ինքնին՝ անկախ նրանից հետագայում այդ տվյալները անձնավորված կամ ապանձնավորված եղանակով կփոխանցվեն այլ անձանց, թե՝ ոչ:

3.2. Այլ խնդիրներ

«Yandex Armenia»-ի Գաղտնիության ծանուցագիրը պարունակում է ԱՏՊ օրենքի տեսանկյունից խնդրահարույց այլ դրույթներորոնք հնարավոր չէր անտեսել, թեեւ դրանք ուղղակիորեն կապ չունեն այս փաստաթղթի առիթի (Երեւանի քաղաքապետարանի եւ «Yandex Armenia»-ի համագործակցության շրջանակներում «Yandex Armenia»-ի կողմից իր օգտատերերի տվյալների վերլուծության) հետ: Ստորեւ մի քանի օինակներ են.

3.2.1. Ոչ պատշաճ իրավական հիմք.

Որպես տվյալների մշակման իրավական հիմք որոշ անձնական տվյալների համար նշված է «պայմանագիր»-ը կամ այս կամ այն «օրինական շահագրգռվածություն»-ը (տես՝ Նկար 4, վերջին սյունակը):

Նախ, ԱՏՊ օրենքի իմաստով պայմանագիրը ոչ թե անձնական տվյալների մշակման ինքնուրույն իրավական հիմք է, այլ անձնական տվյալների մշակման համաձայնությունն արտահայտելու ձեւերից մեկը: Մասնավորապես, տվյալների սուբյեկտի համաձայնությունը համարվում է տրված, եւ մշակողն անձնական տվյալներ մշակելու իրավունք ունի, եթե անձկանան տվյալները ստացվել են տվյալների սուբյեկտի հետ կնքված պայմանագրի հիման վրա եւ օգտագործում է այդ պայմանագրով սահմանված գործողությունների նպատակով:12

Սակայն առավել խնդրահարույց է այն, որ այս կամ այն օրինական շահագրգռվածությունն ինքնին ԱՏՊ օրենքի իմաստով անձնական տվյալների մշակման ինքնուրույն իրավական հիմք չէ. այս համատեքստում անձնական տվյալների մշակման իրավական հիմք կլինի անձնական տվյալենրի մշակումն օրենքներով ուղղակիորեն նախատեսված լինելը:13 Այլ կերպ ասած՝ այս կամ այն նպատակին հասնելու ցանկությունը, անգամ օրինական, ԱՏՊ օրենքի իմաստով անձնական տվյալների մշակման պատշաճ իրավական հիմք չէ:

Նկար 4

3.2.2. Տվյալների համաչափ մշակման խնդիրներ

Գաղտնիության ծանուցագիրը նախատեսում է մշակման տարբեր պայմաններ ենթադրող տարբեր անձնական տվյալներ: Միաժամանակ, որոշ դրվագներում բացակայում են անձնական տվյալների մշակման այնպիսի պայմանները, որոնք մի կողմից պետք է պարտադիր ներառված լինեն տվյալների սուբյեկտի համաձայնությունը ստանալու համար նրան ներկայացվող ծանուցման մեջ,14 մյուս կողմից տվյալների համաչափ մշակման երաշխիքներ են:15

Օրինակ, Գաղտնիության ծանուցագրի 3.4 կետում նշվում է որպես արտակարգ իրավիճակի գործառույթ մեքենայում ձայնագրելու կամ տեսագրելու մասին (տես՝ Նկար 5-ը): Այնինչ, Գաղտնիության ծանուցագրում որպես մշակվող անձնական տվյալ նշված է միայն ձայնագրության մասին, սակայն որեւէ խոսք չկա մեքենայում տեսագրություն իրականացնելու մասին:

Մեկ այլ օրինակ, Գաղտնիության ծանուցագրում որպես մշակվող անձնական տվյալներ նշված են օգտատիրոջ շփումները ինչպես հավելվածների ներսում, այնպես էլ այլ կերպ՝ առանց հստակեցնելու, թե ինչ են ներառում օգտատիրոջ «այլ կերպ» շփումները (տես՝ Նկար 6-ում կարմիրով ընդգծված հատվածը): Նախ, ԱՏՊ օրենքը պահանջում է որ տվյալների սուբյեկտին ներկայացվող ծանուցումը պարունակի ոչ թե մշակվելիք անձնական տվյալների մոտավոր կամ ընդհանուր նկարագրությունը, այլ մշակման ենթակա անձնական տվյալների ցանկը:16 Բացի այդ, անձնական տվյալների սուբյեկտի համաձայնությունը վավեր է, եթե ի թիվս այլնի համապատասխանում է «տեղեկացված» լինելու չափանիշին, որը, ինչպես արդեն նշել ենք վերեւում, պահանջում է, որ համաձայնությունը հիմնված լինի ի թիվս այլնի մշակվող տվյալների վերաբերյալ ճշգրիտ եւ լիարժեք տեղեկությունների վրա:

Նաեւ, մշակվող անձնական տվյալների այնպիսի ընդհանուր շրջական նախատեսելը, ինչպիսին «այլ կերպ շփումներ»-ն են, խնդրահարույց է անձնական տվյալների մշակման համաչափության սկզբունքի տեսանկյունից, քանի որ նման ձեւակերպումը չափազանց ընդհանուր ու անորոշ է եւ հնարավոր չէ պնդել կամ չափել, որ դա անձնական տվյալների այն նվազագույն քանակն է, որ անհրաժեշտ է սահմանված նպատակներին հասնելու համար:

Նկար 5

Նկար 6

3.2.3. Տեխնիկական եւ բովանդակային անհամապատասխանություն ԱՏՊ օրենքին

Գաղտնիության ծանուցագիրը հաճախ կիրառում է այնպիսի տերմինաբանություն, որը համադրելի չէ ԱՏՊ մասին մեր օրենքի տերմինաբանությանը կամ նախատեսում է այնպիսի կարգավորումներ, որոնք առաջին հայացքից հակասում են ԱՏՊ օրենքին:

Օրինակ, Գաղտնիության ծանուցագրի 8.4 կետը նախատեսում է ջնջելու իրավունքը՝ ի թիվս այլնի, նշելով, որ օգտատերն իրավունք ունի խնդրել՝ ջնջել իր անձնական տվյալները որոշակի հանգամանքներում, օրինակ՝ եթե տվյալներն այլևս անհրաժեշտ չեն «Yandex Armenia» նպատակների համար: Այնինչ, ԱՏՊ օրենքում «ջնջել» եզրույթ առհասարակ չի կիրառվում, փոխարենը ԱՏՊ օրենքը համադրելի դեպքերում կիրառում է «ոչնչացնել» եզրույթը:17

Մեկ այլ օրինակ, Գաղտնիության ծանուցագրի 8.5 կետը նախատեսում է մշակումը սահմանափակելու իրավունք իրավունքը՝ նշելով, որ օգտատերն իրավունք ունի սահմանափակելու իր անձնական տվյալների մշակումը որոշակի հանգամանքներում, օրինակ, եթե ցանկանում է օգտվել ուղղում կատարելու իր իրավունքից, ապա կարող է խնդրել, որ «Yandex Armenia»-ն սահմանափակի իր տվյալների մշակումը, քանի դեռ դրանք չեն ուղղվել։ Այնինչ «մշակումը սահմանափակել» կամ «տվյալների սահմանափակում» կամ նմանատիպ այլ հասկացություն ԱՏՊ օրենքում չկա, փոխարենը ԱՏՊ օրենքը համադրելի դեպքերում կիրառում է «ուղեփակում» եզրույթը:18

Եւ եւս մի օրինակ, Գաղտնիության ծանուցագրի 8.7 կետը նախատեսում է առարկելու իրավունքը՝ նշելով, որ օգտատերն իրավունք ունի առարկելու իր անձնական տվյալների մշակմանը, եթե համարում է, որ մշակումը խախտում է իր իրավունքները։ Նույն կետով նշում է, որ առարկելու իրավունքը կարող է իրացվել միայն այն դեպքում, եթե օգտատիրոջ անձնական տվյալները մշակվում են օրինական շահերի կամ հանրային շահի հիման վրա։ Այս դեպքում մի կողմից ԱՏՊ օրենքը չի կիրառում «առարկել» տերմինը, այլ կիրառում է կամ «բողոքարկել» տերմինը (ԱՏՊ լիազոր մարմնին կա՛մ դատարան դիմելու կոնտեքստում),19 կա՛մ «գրավոր դիմելու/գրավոր պահանջի» իրավունքը (տվյալներ մշակողին դիմելու կոնտեքստում):20 Մյուս կողմից, ԱՏՊ օրենքի որեւէ դրույթ անձնական տվյալների մշակումը բողոքարկելու կամ տվյալներ մշակողին դիմելու կամ պահանջ ներկայացնելու իրավունքը չի կապում օրինական շահերի կամ հանրային շահի հիման վրա անձնական տվյալենր մշակելու փաստի հետ, եւ առհասարակ, ԱՏՊ օրենքը որեւէ կերպ չի նախատեսում անձնական տվյալների մշակում օրինական շահերի կամ հանրային շահի հիմքով:

Գաղտնիության ծանուցագրում ԱՏՊ օրենքին չհամապատասխանող տերմինաբանություն օգտագործելը զուտ տեխնիկական խնդիր չէ. նման անհամապատասխանությունը կարող է անորոշությունների եւ թյուրըմբռնումների տեղիք տալ՝ թույլ չտալով օգտատերերին հասկանալ, թե Գաղտնիության ծանուցագրի այս կամ այն կարգավորումն ինչպես են համադրվում ԱՏՊ օրենքով սահմանված իրենց իրավունքների հետ: Իսկ բովանդակային անհամապատասխանություններն ուղղակիորեն հակասում են ԱՏՊ օրենքին:

1 Տես՝ https://www.yerevan.am/hy/news/erewani-k-aghak-apetarane-ew-yandex-armenia-n-khamagortsakts-en-erewani-k-aghak-ayin-mijavayri-barel/

2 Տես՝ https://www.arlis.am/hy/acts/183134

3 Տես՝ ԱՏՊ օրենքի 3-րդ հոդվածի 1-ին մասի 2-րդ եւ 4-րդ կետեր:

4 Տես՝ ԱՏՊ օրենքի 8-րդ հոդված: Այս դրույթի համաձայն՝ անձնական տվյալներ մշակելն օրինական է նաեւ, եթե ուղղակիորեն նախատեսված է օրենքներով կամ եթե մշակվող տվյալները ձեռք են բերվել անձնական տվյալների հանրամատչելի աղբյուրներից: Սակայն քննարկվող դեպքում «Yandex Armenia»-ի օգտատերերի տվյալները հանրամատչելի չեն, ինչպես նաեւ «Yandex Armenia»-ն իր օգտատերերի տվյալները չի մշակում որեւէ օրենքի հիման վրա, հետեւաբար, այս դեպքում տվյալների մշակման միակ վերաբերելի հիմքը համաձայնությունն է:

5 Տես՝ ԱՏՊ օրենքի 4-րդ հոդվածի 2-րդ մաս

6 Տես՝ ԱՏՊ օրենքի 5-րդ եւ 6-րդ հոդվածներ:

7 Տես՝ https://shorturl.at/Ksq0O

8 Տես՝ https://shorturl.at/7R9rH

9 Տես՝ ԱՏՊ օրենքի 10-րդ հոդվածը:

10 Տես՝ օրինակ, թիվ ԵԴ/6046/02/19 քաղաքացիական գործով ՀՀ վճռաբեկ դատարանի որոշումը, https://www.arlis.am/hy/acts/167070/latest

11 Տես՝ ԱՏՊ օրենքի 5-րդ եւ 8-րդ հոդվածներ:

12 Տես՝ ԱՏՊ օրենքի 9-րդ 4-րդ մասի 2-րդ կետ:

13 Տես՝ ԱՏՊ օրենքի 8-րդ հոդված:

14 Տես՝ ԱՏՊ օրենքի 10-րդ հոդված, 2-րդ մաս:

15 Տես՝ ԱՏՊ օրենքի 5-րդ հոդված:

16 Տես՝ ԱՏՊ օրենքի 10-րդ հոդված, 2-րդ մասի 3-րդ կետ:

17 Տես՝ օրինակ, ԱՏՊ օրենքի 19-րդ հոդվածի 1-ին մասը:

18 Տես՝ օրինակ, ԱՏՊ օրենքի 21-րդ հոդվածի 3-րդ մասը:

19 Տես՝ ԱՏՊ օրենքի 17-րդ հոդվածը:

20 Տես՝ ԱՏՊ օրենքի 20-րդ հոդվածի 2-րդ եւ 4-րդ մասերը:

Դիմել հարցով

    RECENT CASES

    Featured Cases

    «Տեղեկատվական համակարգերի կարգավորման մարմնի մասին» օրենքի նախագծի վերաբերյալ դիտողություններ եւ առաջարկություններ. dpHUB, CyberHUB

    Կարդալ

    «Անձնական տվյալների պաշտպանության» մասին օրենքում փոփոխություններ եւ լրացումներ կատարելու մասին օրենքի նախագծի վերաբերյալ դիտողություններ եւ առաջարկություններ. dpHUB, CyberHUB

    Կարդալ

    «Անձնական տվյալների պաշտպանության» մասին օրենքում փոփոխություն կատարելու մասին օրենքի նախագծի վերաբերյալդիտողություններ եւ առաջարկություններ. dpHUB, CyberHUB

    Կարդալ