Предыдущие публикации подробно описывали область защиты персональных данных в Армении и законодательные основы, регулирующие эту сферу. Это включало в себя определения персональных данных, права субъектов данных, организации, осуществляющие обработку персональных данных, и меры безопасности, используемые для защиты таких данных. В данной статье мы сосредоточимся на еще одном значимом аспекте защиты персональных данных: классификации персональных данных и соответствующей законодательной базе в области киберзащиты в Армении.
Что такое классификация данных и почему она важна?
Данные классифицируются в зависимости от уровня уязвимости и конфиденциальности их содержимого. В зависимости от категории собираемой и обрабатываемой информации меры и механизмы защиты и контроля безопасности этих данных будут различаться по степени серьезности. Классификация данных имеет важное значение, поскольку она позволяет эффективно организовывать данные и системы их защиты, гарантируя как сохранность данных, так и соответствие требованиям законодательства.
Для обеспечения эффективной защиты данных важно постоянно пересматривать и обновлять классификацию данных, особенно в контексте значительных технологических достижений или изменений в законодательстве, правилах о конфиденциальности данных и рекомендациях по обеспечению безопасности данных. Такие изменения могут потребовать соответствующего пересмотра и выработки согласованных мер безопасности.
Классификация данных в соответствии с законодательством Республики Армения
Закон РА «О защите персональных данных» (далее — «Закон») предусматривает следующие категории персональных данных:
- Биометрические персональные данные: Это информация, характеризующая физические, физиологические и биологические особенности человека.
- Личная информация определенной категории: Сюда входит информация о расе, национальности или этническом происхождении, политических взглядах, религиозных или философских убеждениях, членстве в профсоюзе, состоянии здоровья и сексуальной жизни человека.
- Общедоступные персональные данные: Это информация, доступная определенной или неопределенной группе лиц с согласия субъекта данных или в результате действий, направленных на обнародование данных. Кроме того, в эту категорию входит информация, которая по закону считается общедоступной, такая как имя, фамилия, отчество, дата рождения, местонахождение и место смерти.
Правила конфиденциальности данных для каждого типа
Закон устанавливает особые правила для биометрических данных и данных определенной категории. В частности, данные определенной категории обрабатываются исключительно с согласия субъекта данных, за исключением случаев, когда их обработка прямо разрешена законом. Более того, обработка таких данных прекращается немедленно после устранения оснований и цели обработки.
Точно так же биометрические данные обрабатываются только при явном согласии субъекта данных, что позволяет осуществлять такую обработку только в случаях, когда это необходимо для достижения законных целей, которые могут быть реализованы только путем обработки биометрических данных.
Законодатель также устанавливает обязанность обработчиков данных информировать компетентный орган по защите персональных данных, в частности, Агентство по защите персональных данных при Министерстве юстиции Республики Армения, перед обработкой биометрических персональных данных или персональных данных, относящихся к особой категории.
- Уведомление, требуемое законодателем, содержит следующие сведения:
- Полное имя (фамилия, имя, отчество), адрес или место регистрации обработчика данных или уполномоченного представителя (если применимо).
- Цель и правовое основание обработки персональных данных.
- Количество обрабатываемых персональных данных.
- Категории субъектов данных.
- Обзор действий, связанных с персональными данными, с описанием общих методов, используемых обработчиком данных для обработки данных.
- Описание мер безопасности, применяемых обработчиком данных для обеспечения безопасности обработки персональных данных.
- Дата начала обработки персональных данных.
- Условия прекращения обработки персональных данных.
Право на передачу персональных данных, относящихся к определенной категории, третьим лицам или предоставление доступа к таким данным без согласия субъекта данных предоставляется при следующих обстоятельствах:
- Обработчик данных является специально уполномоченным обработчиком персональных данных, относящихся к определенной категории, определенной законом или утвержденным международным соглашением, либо обладает необходимым уровнем защиты.
- Передача таких данных напрямую разрешена законом и обеспечивает уровень защиты, достаточный для обеспечения конфиденциальности и безопасности данных.
- В исключительных случаях, предусмотренных законом, персональные данные определенной категории могут быть переданы для защиты жизни, здоровья или свободы субъекта данных.
Следует отметить, что проект закона Республики Армения «О кибербезопасности» был вынесен на общественное обсуждение. Основной целью законопроекта является создание всеобъемлющей правовой базы, направленной на обеспечение кибербезопасности и эффективное противодействие киберпреступности.
Примечательно, что проект предусматривает меры по обеспечению бесперебойного функционирования информационных систем и/или критически важных информационных инфраструктур, имеющих решающее значение для предоставления основных услуг на территории Республики Армения. В нем также рассматриваются такие аспекты, как доступ к обрабатываемой, распределяемой, хранимой, передаваемой и публикуемой информации, целостность данных, настройки конфиденциальности, процедуры уведомления о киберинцидентах, а также меры по их предотвращению и разрешению.
Регулирование трансграничной передачи персональных данных в соответствии с законодательством Армении
Передача персональных данных через границы регулируется строгими правилами в соответствии с законодательством Армении. Помимо требования получить согласие субъекта данных, законодатель также обязывает получить разрешение от компетентного органа на передачу персональных данных за пределы страны. Конкретно, передача персональных данных в страну, где отсутствуют необходимые меры защиты данных, разрешается только с разрешения компетентного органа. Данное разрешение выдается при условии, что передача осуществляется на основе контракта, содержащего определенные гарантии защиты персональных данных, которые были утверждены компетентным органом как обеспечивающие достаточную защиту.
Кроме того, персональные данные могут быть переданы в другую страну без необходимости получения разрешения от компетентного органа, если страна-получатель обеспечивает удовлетворительный уровень защиты персональных данных. Эта гарантия обычно предоставляется, когда передача персональных данных осуществляется в соответствии с международными договорами или когда данные передаются в страну, указанную в официальной публикации компетентного органа.
Итоги
Нормативно-правовая база, регулирующая защиту персональных данных и киберзаконодательство в Армении, представляет собой сложную систему. Она охватывает широкий спектр аспектов, начиная с определения классификаций данных и заканчивая установлением жестких мер для трансграничной передачи данных. В данной правовой базе особое внимание уделяется правам и неприкосновенности частной жизни отдельных лиц, а также решению возникающих проблем, связанных с киберугрозами.
Учитывая сложность и изменчивость данной области, предприятия и организации сталкиваются с необходимостью обеспечения соответствия законодательству и защите своих данных от киберугроз. В связи с этим, партнерство с компетентной командой юристов приобретает первостепенное значение.
Наша высококвалифицированная команда в MB Legal специализируется на глубоком анализе нормативных актов, касающихся защиты данных и киберзаконодательства в Армении и за ее пределами. Начните сотрудничество с нами сегодня, чтобы гарантировать соблюдение всех требований и обеспечить эффективную защиту ваших данных!
