Расширенный поиск

Обзор законодательства Республики Армения в сфере информационной безопасности. Часть 3: Защита персональных данных

Обязанности оператора при сборе персональных данных

  1. При обработке персональных данных оператор обязан, по требованию субъекта персональных данных, предоставить субъекту персональных данных информацию, предусмотренную Законом.
  2. В случае неполных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для заявленной цели обработки персональных данных, оператор персональных данных обязан предпринять необходимые действия для их дополнения, обновления, исправления или уничтожения.
  3. Оператор обязан письменно разъяснить субъекту персональных данных последствия отказа от предоставления своих персональных данных, а также права субъекта персональных данных.
  4. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании закона или если персональные данные являются общедоступными, оператор до начала обработки таких данных обязан предоставить субъекту персональных данных следующую информацию:
    • Имя (фамилия, имя, отчество) и местонахождение или адрес (фактическое место проживания) оператора или его представителя (если таковой имеется),
    • цель  и правовую основу обработки персональных данных, перечень обрабатываемых данных,
    • круг вероятных пользователей персональных данных
    • установленные Законом права субъекта персональных данных.
Оглавление (показать/скрыть)
Часть 1: Общий обзор законодательства Республики Армения в сфере информационной безопасности
Часть 2: Принципы обработки персональных данных
Часть 3: Защита персональных данных
Часть 4: Государственная и служебная тайна
Часть 5: Секретность и сроки хранения тайн
Часть 6: Защита государственной и служебной тайны
Часть 7: Защита иной секретной информации

Меры по обеспечению безопасности персональных данных при их обработке и обязанности оператора

  1. Оператор обязан уничтожить или заблокировать персональные данные, не являющиеся необходимыми для достижения законной цели.
  2. Оператор при обработке персональных данных обязан использовать шифровальные (криптографические) средства для защиты информационных систем, содержащих персональные данные от случайного доступа к ним, неправомерного использования, записи, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
  3. Оператор обязан ограничить доступ к соответствующим технологиям обработки персональных данных лицам, не имеющим полномочий, а также обеспечить официальному оператору этих систем доступ только к тем данным, которые подлежат обработке с его стороны, а также к данным, которыми разрешено пользоваться.
  4. Требования по обеспечению безопасности обработки персональных данных в информационных системах, а также требования к физическим носителям информации биометрических персональных данных и к технологиям по хранению персональных данных вне информационных систем должны быть установлены решением правительства Республики Армения (решение пока не принято).
  5. Операторы персональных данных, или предусмотренные Законом иные лица, обязаны соблюдать конфиденциальность персональных данных как в процессе выполнения служебных обязанностей, связанных с обработкой персональных данных, так и после его окончания.

5-ая глава Закона устанавливает также:

  • обязанности оператора персональных данных в случае письменного запроса субъекта или уполномоченного органа персональных данных об ознакомлении с персональными данными в случае обнаружения нарушений со стороны оператора или уполномоченного лица,
  • обязанности оператора персональных данных в процессе устранения нарушений закона, допущенных при обработке персональных данных, в процессе корректировки, блокирования или уничтожения персональных данных,
  • обязанность уведомления уполномоченного органа об обработке персональных данных.

Следует также отметить регулирование, в соответствии с которым оператор, в случае оспаривания достоверности или законности обработки персональных данных на основании запроса субъекта персональных данных или уполномоченного органа по защите персональных данных,  обязан заблокировать персональные данные, касающиеся субъекта персональных данных, с  момента получения запроса до завершения инспекционной деятельности.

Уполномоченный орган по защите персональных данных

Защита персональных данных в Республике Армения осуществляется Агентством по защите персональных данных Министерства юстиции РА (далее Уполномоченный орган). Агентство назначено Уполномоченным органом в соответствии с приказом правительства РА 1188-Н от 20-го сентября 2012 года.  Уполномоченный орган действует в соответствии с Законом и другими правовыми актами, в частности, согласно приказу правительства РА 734-Н от 2-го июля 2015 года.

Уполномоченный орган по защите персональных данных действует независимо, в соответствии с Законом и другими правовыми актами.

Уполномоченный орган осуществляет следующие функции, предусмотренные Законом:

  • по своей инициативе, или согласно соответствующему запросу, проверяет соответствие обработки персональных данных требованиям Закона;
  • в случае нарушения требований Закона применяет административные санкции, установленные Законом;
  • требует заблокировать, приостановить или прекратить обработку персональных данных, нарушающую требования Закона;
  • в случае наличия обоснований, предусмотренных Законом, требует от оператора исправление, изменение, блокирование или уничтожение персональных данных;
  • по результатам изучения уведомления оператора относительно обработки персональных данных, полностью или частично запрещает обработку персональных данных;
  • ведет реестр операторов персональных данных;
  • признает уровень защищенности электронных систем, обрабатывающих персональные данные юридических лиц, удовлетворительным и вносит их в реестр;
  • проверяет устройства, документацию, применяемую в обработке персональных данных, а также существующие данные и компьютерные программы;
  • в предусмотренных Законом случаях обращается в суд;
  • соблюдает конфиденциальность персональных данных, полученных им, или доверенных ему в процессе своей деятельности;
  • обеспечивает защиту прав субъекта персональных данных;
  • расследует заявления физических лиц относительно обработки персональных данных, и принимает решения в рамках своих полномочий;
  • раз в год представляет публичный отчет о ситуации в сфере защиты персональных данных, и о деятельности за прошедший год;
  • на основании заявлений операторов проводит исследования и консультации относительно обработки персональных данных, или делится наилучшим опытом обработки персональных данных;
  • сообщает правоохранительным органам, в случаях возникновения подозрений о нарушениях уголовного характера в процессе своей деятельности.

Решения уполномоченного органа по защите персональных данных могут быть опротестованы в судебном порядке.

Предусмотренные Законом полномочия уполномоченного органа по защите персональных данных осуществляются средствами государственного бюджета и финансируются отдельной строкой.

Назначение руководителя уполномоченного органа, его полномочия и требования к нему

  1. Руководитель уполномоченного органа назначается Премьер-министром Республики Армения сроком на 5 лет с представления Министра юстиции Республики Армения, на основании совместных рекомендаций, по крайней мере, пяти неправительственных организаций, осуществляющих правозащитную деятельность. Кандидат в руководители уполномоченного органа, представленный Премьер-министру Республики Армения Министром юстиции, должен быть из списка кандидатов, представленных общественными организациями.
  2. Порядок представления кандидатов общественными организациями был установлен Решением Правительства Республики Армения 736-Н от 2-го июля 2015 года.
  3. Руководитель уполномоченного органа по защите персональных данных руководит деятельностью уполномоченного органа и несет ответственность за осуществление полномочий уполномоченного органа.
  4. Одно и то же лицо не может быть назначено на должность руководителя уполномоченного органа два раза подряд.
  5. Руководитель уполномоченного органа:
    • Должен иметь высшее образование, пользоваться высоким авторитетом и иметь, по крайней мере, 5-и летний опыт руководящей работы;
    • должен воздерживаться от действий, ставящих под сомнение его беспристрастность и независимость.
  6. Руководитель уполномоченного органа по защите персональных данных освобождается от руководящей должности на следующих основаниях:
    • на основании письменного заявления;
    • при достижении 65 лет (пенсионный возраст), или истечении срока полномочий;
    • при избрании или назначении на другую должность, или переходе на другую работу, несовместимую с должностью руководителя уполномоченного органа;
    • вследствие отсутствия на службе более 120-и дней подряд, или более 140-а дней в течение последних 12-и месяцев, в связи с временной потерей трудоспособности, за исключением отпуска по беременности и родам или по уходу за ребенком;
    • вследствие отсутствия на службе более пяти дней подряд без уважительной причины;
    • на основании вступившего в силу решения суда, по признанию недееспособным или с ограниченными возможностями, безвестно отсутствующим или умершим;
    • в соответствии со вступившим в силу приговором суда.

Передача персональных данных третьим лицам и иностранным государствам

Передача персональных данных третьим лицам

  1. Без согласия субъекта персональных данных, оператор может передавать персональные данные третьим лицам, или предоставлять возможность использования данных в том случае, если это предусмотрено законом и имеет достаточную степень защиты.
  2. Без согласия субъекта персональных данных, оператор может передавать специальные категории персональных данных третьим лицам или предоставлять возможность использования данных, если:
    • в соответствии с законом или межгосударственным соглашением оператор данных является оператором специальных категорий персональных данных, передача таких данных прямо предусмотрена законом и имеет достаточную степень защиты;
    • в предусмотренных законом исключительных случаях специальные категории персональных данных могут передаваться в целях охраны жизни, здоровья или свобод субъекта данных.

Передача персональных данных иностранным государствам

Передача персональных данных иностранным государствам может осуществляться при наличии согласия  субъекта персональных данных, или если передача данных вытекает из целей обработки персональных данных и (или) необходима для осуществления этих целей.

Без разрешения уполномоченного органа, передача персональных данных иностранным государствам может осуществляться на территории другого государства, если в этом государстве обеспечивается надлежащий уровень защиты персональных данных. Надлежащий уровень защиты персональных данных считается обеспеченным, если:

  • персональные данные передаются в соответствии с международным соглашением;
  • персональные данные передаются на территорию других государств, включенных в официальный список, опубликованный Уполномоченным органом;

Персональные данные могут передаваться на территорию государства, не обеспечивающего надлежащий уровень защиты только с разрешения Уполномоченного органа, в том случае, если персональные данные передаются в соответствии с соглашением, по которому предусмотрены гарантии защиты персональных данных, установленные Уполномоченным органом как гарант надлежащей защиты. В таких случаях оператор персональных данных обязан, прежде чем передавать данные в такое государство, отправить в Уполномоченный орган письменный запрос о получении разрешения. Оператор персональных данных обязан указать в запросе государство, на территорию которого передаются персональные данные, описание (наименование, организационно-правовая форма) субъекта получателя персональных данных, описание персональных данных (содержание), цель обработки и передачи персональных данных, соглашение или проект соглашения.

Уполномоченный орган в течение 30-и дней обязан дать разрешение, или отклонить запрос. Уполномоченный орган может потребовать у оператора персональных данных дополнительную информацию с соблюдением сроков рассмотрения запроса. В случае если Уполномоченный орган считает, что договорные гарантии не достаточны, он обязан указать необходимые изменения, способные обеспечить гарантии защиты персональных данных.

Уполномоченных орган по защите персональных данных регулярно, но не реже одного раза в год, обязан пересматривать список стран, обеспечивающих надлежащий уровень защиты персональных данных, и публиковать поправки в официальном Журнале и на своем официальном сайте.

Персональные данные, которыми обладают органы государственной власти, могут быть переданы иностранным государственным органам только в рамках межгосударственного соглашения, а негосударственным органам в соответствии с нормами Закона.

Административная ответственность

Кодексом РА об Административных правонарушениях (статья 189.17), предусмотрена административная ответственность за нарушение закона «О защите персональных данных».

В частности, в Кодексе установлено следующее:

  1. Нарушение установленного Законом порядка сбора, записи, ввода, систематизации, организации, корректировки, хранения, использования, изменения, восстановления, передачи персональных данных, если данное действие не содержит признаков преступления, влечет наложение штрафа в размере от двухсот до пятисот минимальных заработных плат (приблизительно от 410 до 1.000 долларов США);
  2. Нарушение порядка уничтожения или блокирования персональных данных, установленного той же статьей Закона, если данное действие не содержит признаков преступления, влечет наложение штрафа в размере от трехсот до пятисот минимальных заработных плат (приблизительно от 620 до 1.000 долларов США).
  3. Если в процессе сбора персональных данных оператор персональных данных отказывается предоставить по требованию субъекта персональных данных сведения, предусмотренные Законом, нарушает порядок предоставления сведений или не разъясняет причины и последствия отказа, назначается штраф в размере от ста до двухсот минимальных заработных плат (приблизительно от 200 до 410 долларов США).
  4. Не уведомление или нарушение оператором персональных данных процедуры уведомления Уполномоченного органа по защите персональных данных, влечет за собой наложение штрафа в размере от пятидесяти до ста минимальных заработных плат (приблизительно от 100 до 200 долларов США).
  5. Неиспользование в процессе обработки персональных данных средств криптографии в случае, если данное действие не содержит признаков преступления, влечет за собой наложение штрафа в размере ста минимальных заработных плат (приблизительно 200 долларов США).
  6. Нарушение требований по обеспечению безопасности обработки персональных данных в информационных системах, а также требований к физическим носителям информации биометрических персональных данных и к технологиям по хранению персональных данных вне информационных систем, влечет за собой наложение штрафа в размере от ста до двухсот минимальных заработных плат (приблизительно от 200 до 410 долларов США).
  7. Несоблюдение конфиденциальности персональных данных в процессе исполнения рабочих обязанностей, связанных с обработкой персональных данных, или после их завершения, а также несоблюдение конфиденциальности персональных данных оператором персональных данных или другими лицами, предусмотренными Законом, влечет за собой наложение штрафа в размере от двухсот до трехсот минимальных заработных плат (около от 410 до 620 долларов США).
  8. Субъект, совершивший вышеуказанные действия, освобождается от административной ответственности, если допущенные нарушения были им устранены, и доказательства уполномоченному органу были предъявлены в рамках срока, установленного Уполномоченным органом или до принятия решения об административной ответственности.

Уголовная ответственность

Уголовный кодекс Республики Армения (статья 144) предусматривает уголовную ответственность за незаконный сбор, хранение, использование и распространение информации о частной (личной и семейной) жизни лиц.

Кодексом предусмотрено, что использование или распространение, сбор и хранение информации о частной (личной, семейной) жизни человека посредством публичных выступлений, публично демонстрируемых произведений или средств массовой информации без его разрешения, если это не предусмотрено Законом, влечет за собой наложение штрафа в размере от двухсот до пятисот минимальных заработных плат (около от 410 до 1.000 долларов США), или наказание в виде лишения свободы на срок от одного до двух месяцев.

Читать далее: Часть 4: Государственная и служебная тайна

Об авторе

Мовсес Акобян

Директор Юридической компании «Грандлекс». Руководит стратегическими исследованиями в области информационного права и политики. Принимал участие в разработке ряда законов и подзаконных актов в сфере регулирования ИКТ, Масс Медиа и авторских прав. Магистрант международного и гражданского права, лицензированный адвокат. Является автором ряда исследований и аналитических работ.

Написать ответ

Send this to a friend

Перейти к верхней панели