Մեր նախորդ հոդվածներից մեկում մանրամասն ներկայացված է անձնական տվյալների պաշտպանության ոլորտը և դրա կարգավորման օրենսդրական դաշտը, մասնավորապես անդրադառնալով անձնական տվյալների սահմանմանը, անձնական տվյալների սուբյեկտի իրավունքներին, անձնական տվյալները մշակող սուբյեկտներին և վերջիններիս կողմից ձեռնարկվող՝ անձնական տվյալների պաշտպանությանն ուղղված անվտանգության միջոցներին, և այլն։ Անձնական տվյալների պաշտպանության ոլորտում կարևորություն ներկայացնող մեկ այլ ասպեկտ է անձնական տվյալների դասակարգումը և դրա հետ տրամաբանորեն կապվող ՀՀ կիբերանվտանգության ապահովումը։
Ուստի այս հոդվածում ցանկանում ենք առաջին հերթին քննարկել, թե ինչ է անձնական տվյալների դասակարգումը և թե ինչու է դա կարևոր, ինչպես նաև ՀՀ-ում առկա/նախատեսվող կիբերանվտանգության օրենսդրական դաշտը:
Ի՞նչ է տվյալների դասակարգումը և ինչու՞ է այն կարևոր
Տվյալների դասակարգումը կատարվում է ըստ տվյալների բովանդակության խոցելիության/զգայունության մակարդակի։ Հավաքագրվող և մշակվող տեղեկատվության կատեգորիայից կախված տարբերվում են նաև այդ տվյալների պաշտպանության և անվտանգության վերահսկման միջոցները, մեխանիզմները և դրանց խստության աստիճանը։ Տվյալների դասակարգումը կարևոր է, քանի որ այն հնարավորություն է տալիս տվյալներ մշակողին ճիշտ կազմակերպել տվյալները և դրանց պաշտպանության համակարգերը՝ այդպիսով ապահովելով դրանց անվտանգությունը և տվյալներ մշակողի գործողությունների` օրենքին համապատասխանությունը:
Տվյալների պաշտպանության ապահովման համար անհրաժեշտ է մշտապես վերանայել և թարմացնել տվյալների դասակարգումը, հատկապես, եթե կան որևէ լուրջ տեխնոլոգիական առաջընթաց կամ փոփոխություններ օրենսդրական դաշտում, կանոնակարգերում և տվյալների անվտանգության ուղեցույցներում, հաշվի առնելով, որ նման փոփոխությունների համատեքստում կարող է նաև առաջանալ անվտանգության միջոցների վերանայման և համապատասխանեցման անհրաժեշտություն:
Տվյալների ինչպիսի՞ դասակարգում է նախատեսում ՀՀ օրենսդրությունը
«Անձնական տվյալների պաշտպանության մասին» ՀՀ օրենքը (այսուհետ՝ Օրենք) նախատեսում է անձնական տվյալների հետևյալ տեսակները.
- Կենսաչափական անձնական տվյալներ, որոնք անձի ֆիզիկական, ֆիզիոլոգիական և կենսաբանական առանձնահատկությունները բնութագրող տեղեկություններն են.
- Հատուկ կատեգորիայի անձնական տվյալներ, որոնք անձի ռասայական, ազգային պատկանելությանը կամ էթնիկ ծագմանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, արհեստակցական միությանն անդամակցությանը, առողջական վիճակին ու սեռական կյանքին վերաբերող տեղեկություններ են.
- հանրամատչելի անձնական տվյալներն այն տեղեկություններն են, որոնք տվյալների սուբյեկտի համաձայնությամբ կամ իր անձնական տվյալները հանրամատչելի դարձնելուն ուղղված գիտակցված գործողությունների կատարմամբ մատչելի են դառնում որոշակի կամ անորոշ շրջանակի անձանց համար, ինչպես նաև այն տեղեկությունները, որոնք օրենքով նախատեսված են որպես հանրամատչելի տեղեկություններ, ինչպես օրինակ՝ անձի անունը, ազգանունը, հայրանունը, ծննդյան տարին, ամիսը և ամսաթիվը, վայրը, մահվան վայրը, տարին, ամիսը և ամսաթիվը․
Ինչպիսի՞ կարգավորում է նախատեսում ՀՀ օրենսդրությունը անձնական տվյալների յուրաքանչյուր տեսակի համար
Հարկ է նշել, որ Օրենքը հատուկ կարգավորումներ է նախատեսում կենսաչափական և հատուկ կատեգորիայի տվյալների համար։ Մասնավորապես, հատուկ կատեգորիայի տվյալները մշակվում են միայն տվյալների սուբյեկտի համաձայնությամբ, բացառությամբ երբ այս տեսակի տվյալի մշակումն ուղղակիորեն նախատեսված է օրենքով, և նման տվյալների մշակումն անհապաղ դադարեցվում է, եթե վերացել են տվյալները մշակելու հիմքերը և նպատակը։ Ինչ վերաբերում է կենսաչափական տվյալներին, ապա դրանք նույնպես մշակվում են բացառապես տվյալների սուբյեկտի համաձայնությամբ, և միայն այն դեպքում, երբ իրավաչափ նպատակների իրականացումը հնարավոր է միայն այդ կենսաչափական տվյալները մշակելու միջոցով։
Միևնույն ժամանակ օրենսդիրը նախատեսել է նախքան կենսաչափական կամ հատուկ կատեգորիայի անձնական տվյալներ մշակելը տվյալներ մշակողի՝ անձնական տվյալների պաշտպանության լիազոր մարմնին (ՀՀ ԱՆ Անձնական տվյալների պաշտպանության գործակալություն) ծանուցելու պարտականությունը։
Ծանուցման մեջ, մասնավորապես, նշվում են հետևյալ տեղեկությունները.
- Մշակողի կամ լիազորված անձի (առկայության դեպքում) անվանումը (ազգանունը, անունը, հայրանունը), գտնվելու կամ հաշվառման վայրը.
- Անձնական տվյալներ մշակելու նպատակը և իրավական հիմքերը.
- Անձնական տվյալների շրջանակը.
- Տվյալների սուբյեկտների շրջանակը.
- Անձնական տվյալների հետ կատարվող գործողությունների ցանկը, մշակողի կողմից անձնական տվյալների մշակման եղանակների ընդհանուր նկարագիրը.
- Այն միջոցների նկարագիրը, որոնք մշակողը պարտավորվում է իրականացնել անձնական տվյալները մշակելու անվտանգության ապահովման ուղղությամբ.
- Անձնական տվյալների մշակումն սկսելու ամսաթիվը.
- Անձնական տվյալների մշակումն ավարտելու ժամկետները և պայմանները:
Որպես ընդհանուր կանոն, առանց անձնական տվյալների սուբյեկտի համաձայնության մշակողը կարող է անձնական տվյալները փոխանցել երրորդ անձանց կամ տվյալներից օգտվելու հնարավորություն տրամադրել, եթե դա նախատեսված է օրենքով և ունի բավարար պաշտպանության մակարդակ:
Մինչդեռ հատուկ կատեգորիայի անձնական տվյալները առանց տվյալների սուբյեկտի համաձայնության երրորդ անձանց փոխանցելու կամ տվյալներից օգտվելու հնարավորություն տրամադրելու իրավունքը նախատեսված է, եթե տվյալներ մշակողը հանդիսանում է օրենքով կամ վավերացված միջազգային պայմանագրով սահմանված հատուկ կատեգորիայի անձնական տվյալներ մշակող, այդ տեղեկության փոխանցումը ուղղակիորեն նախատեսված է օրենքով և ունի բավարար պաշտպանության մակարդակ, կամ օրենքով նախատեսված բացառիկ դեպքերում հատուկ կատեգորիայի անձնական տվյալները կարող են փոխանցվել տվյալների սուբյեկտի կյանքի, առողջության կամ ազատության պաշտպանության համար:
Միևնույն ժամանակ հատկանշական է, որ հանրային քննարկման է դրվել «Կիբերանվտանգության մասին» ՀՀ օրենքի նախագիծը, որի նպատակն է ստեղծել համապարփակ իրավական դաշտ կիբերանվտանգության ապահովման և կիբերհանցագործությունների դեմ պայքարի նպատակով։
Նախագիծը մասնավորապես ներառում է ի թիվս այլնի Հայաստանի Հանրապետությունում կենսական նշանակության ծառայությունների մատուցման համար կիրառվող տեղեկատվական համակարգերով և/կամ կրիտիկական տեղեկատվական ենթակառուցվածքների անխափան շահագործման, դրանցում մշակվող, շրջանառվող, պահպանվող, փոխանցվող և հրապարակվող տեղեկության հասանելիության, ամբողջականության, գաղտնիության ապահովման, կիբերմիջադեպերի մասին ծանուցելու, դրանք կանխարգելելու և լուծելու կարգավորումներ։
Անձնական տվյալների միջսահմանային փոխանցման կարգավորումները ՀՀ օրենսդրությամբ
Ի լրումն տվյալների սուբյեկտի համաձայնության առկայության օրենսդրական պահանջի՝ անձնական տվյալները այլ պետություն փոխանցելու հարցում օրենսդիրը նախատեսել է նաև լիազոր մարմնի թույլտվությունը ստանալու պահանջ։ Մասնավորապես, անձնական տվյալները կարող են փոխանցվել բավարար պաշտպանության մակարդակ չապահովող պետության տարածք միայն լիազոր մարմնի թույլտվությամբ, եթե անձնական տվյալները փոխանցվում են պայմանագրի հիման վրա, և պայմանագրով նախատեսված են անձնական տվյալների պաշտպանության այնպիսի երաշխիքներ, որոնք լիազոր մարմնի կողմից հաստատվել են որպես բավարար պաշտպանություն ապահովող:
Միևնույն ժամանակ առանց լիազոր մարմնի թույլտվության անձնական տվյալները կարող են փոխանցվել այլ պետություն, եթե այդ պետությունում ապահովված է անձնական տվյալների պաշտպանության բավարար մակարդակ, ինչը ենթադրվում է, եթե անձնական տվյալները փոխանցվում են միջազգային պայմանագրերին համապատասխան կամ անձնական տվյալները փոխանցվում են լիազոր մարմնի կողմից պաշտոնական հրապարակված ցուցակում ընդգրկված որևէ երկիր:
MB Legal-ի պրոֆեսիոնալ թիմը մասնագիտացած է Հայաստանում և նրա սահմաններից դուրս տվյալների պաշտպանության նորմատիվ ակտերի և ՀՀ կիբերանվտանգության նրբությունների ուսումնասիրության մեջ: Մեր համագործակցությունը կապահովվի ձեր անձնական և բիզնես տվյալների արդյունավետ պաշտպանությունը։