ՈՒՂԵՑՈՒՅՑ ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՄՇԱԿՄԱՆ
Սույն ուղեցույցը նպատակ ունի «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի դրույթների հիման վրա սահմանել Հայաստանի Հանրապետության պետական եկամուտների կոմիտեի (այսուհետ` ՊԵԿ) կողմից անձնական տվյալների մշակման ցուցումներ, այդ թվում՝ անձնական տվյալներ մշակելու անվտանգության ապահովման միջոցների և մշակողի պարտականությունների, այլ պետական մարմիններին անձնական տվյալների փոխանցման, անձնական տվյալների պաշտպանության համար պատասխանատուի, անձնական տվյալների պաշտպանության իրավունքի վերաբերյալ վերապատրաստման մասին:
Սույն ուղեցույցում տերմիններն օգտագործվում են նույն իմաստով, ինչ «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքում. «պետական մարմիններ» եզրույթի շրջանակում նկատի ունենք պետական կառավարման կամ տեղական ինքնակառավարման մարմիններին, պետական կամ համայնքային հիմնարկներին կամ կազմակերպություններին, իսկ «պետական մարմինների աշխատող» եզրույթի շրջանակում նկատի ունենք պետական կառավարման կամ տեղական ինքնակառավարման մարմիններին, պետական կամ համայնքային հիմնարկներին կամ կազմակերպությունների ցանկացած աշխատողի՝ անկախ զբաղեցրած պաշտոնից (հաստիքից), պաշտոնի տեսակից, պայմանագրի տեսակից և այլ առանձնահատկություններից:
1. Անձնական տվյալներ մշակելու հիմքը, տվյալների մշակում նախատեսելը, տվյալներ ստանալը
ՊԵԿ կողմից անձնական տվյալների մշակումը կարող է իրականացվել` անձնական տվյալները կարող են հավաքվել, ամրագրվել, մուտքագրվել, համակարգվել, կազմակերպվել, պահպանվել, օգտագործվել, վերափոխվել, վերականգնվել, փոխանցվել, ուղղվել, ուղեփակվել, ոչնչացվել, կամ դրանց հետ այլ գործողություն կարող է կատարվել բացառապես օրենքներով (օրենքի մակարդակում) ուղղակիորեն սահմանված դեպքերում և կարգով:
Այն պարագայում, երբ անհրաժեշտ է, որ ՊԵԿ օգտվի անձնական տվյալի մշակման համաձայնության հիմքերից, անհրաժեշտ է, որ այդ հնարավորությունը (հայեցողությունը) նույնպես նախատեսված լինի օրենքով:
Անձնական տվյալների մշակում նախատեսող օրենքներ նախագծելիս, օրենսդրական նախաձեռնություն իրականացնելիս ՊԵԿ պետք է առաջնորդվի անձնական տվյալների մշակման համաչափության սկզբունքով, այդ թվում` սահմանի անձնական տվյալների մշակման որոշակի նպատակ, նախատեսի սահմանված նպատակին հասնելու համար անձնական տվյալների մշակման պիտանի, անհրաժեշտ և չափավոր միջոցներ, նախատեսի սահմանված նպատակին հասնելու համար անհրաժեշտ նվազագույն քանակի անձնական տվյալների մշակում, չնախատեսի այնպիսի անձնական տվյալների մշակում, որոնք անհրաժեշտ չեն սահմանված նպատակին հասնելու համար, չնախատեսի անձնական տվյալների մշակում, եթե սահմանված նպատակին հնարավոր է հասնել ապանձնավորված ձևով, նախատեսի անձնական տվյալների մշակման այնպիսի ժամկետ, որն անհրաժեշտ է սահմանված (այդ թվում՝ արխիվային պահպանության) նպատակին հասնելու համար, նախատեսի կենսաչափական անձնական տվյալների մշակում, եթե սահմանված նպատակը հնարավոր է իրականացնել միայն այդ կենսաչափական տվյալները մշակելու միջոցով:
ՊԵԿ կարող է ստանալ կամ ձևավորել անձնական տվյալներ միայն օրենքներով ուղղակիորեն սահմանված դեպքում և կարգով:
2. Անձնական տվյալների անվտանգությունը, տվյաների օգտագործումը
Անձնական տվյալների մշակում իրականացնելիս, ՊԵԿ պետք է առաջնորդվի «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի 5-րդ գլխի դրույթներով:
ՊԵԿ և ՊԵԿ աշխատողները ծառայողական կամ աշխատանքային պարտականությունները կատարելու ընթացքում, ինչպես նաև դրա ավարտից հետո իրենց վստահված անձնական տվյալները կամ անձնական տվյալներ պարունակող փաստաթղթերը ծառայողական կամ աշխատանքային նպատակներով օգտագործելիս պետք է ձեռնարկեն անհրաժեշտ տեխնիկական և կազմակերպչական միջոցառումներ՝ անձնական տվյալների պաշտպանությունն անօրինական օգտագործումից, ձայնագրումից, ոչնչացումից, վերափոխումից, ուղեփակումից, կրկնօրինակումից, տարածումից և այլ միջամտությունից պաշտպանելու համար: Սա վերաբերում է ինչպես ՊԵԿ աշխատողների աշխատանքի կազմակերպմանը, այնպես էլ նրանց կողմից օգտագործվող համակարգչային և այլ տեխնիկական միջոցների պաշտպանվածությանը:
Տեղեկատվական համակարգերում անձնական տվյալները մշակելու անվտանգությունն ապահովելուն ներկայացվող պահանջները սահմանվում են Հայաստանի Հանրապետության կառավարության որոշմամբ:
ՊԵԿ աշխատողը չի կարող ծառայողական կամ աշխատանքային պարտականությունները կատարելու նպատակով իրեն վստահված անձնական տվյալներն օգտագործել ծառայողական կամ աշխատանքային նպատակների հետ չկապված այլ, այդ թվում՝ անձնական նպատակներով:
Եթե ՊԵԿ աշխատողին ծառայողական կամ աշխատանքային նպատակներով անձնական տվյալներ կամ անձնական տվյալներ պարունակող փաստաթղթեր օգտագործելիս անհրաժեշտ է օգտվել անձնական (ոչ ծառայողական) տեխնիկական միջոցներից (այդ թվում՝ հեռախոս, համակարգիչ և այլն), ապա ՊԵԿ աշխատողն անձնական տեխնիկական միջոցների համար պետք է ապահովի այն նույն պաշտպանվածությունը, ինչ ապահովված է ծառայողական տեխնիկական միջոցների համար: Հակառակ պարագայում անձնական տեխնիկական միջոցներով ծառայողական կամ աշխատանքային պարտականությունների համար անհրաժեշտ անձնական տվյալների մշակումն արգելվում է:
Եթե ՊԵԿ աշխատողին անհրաժեշտ է խորհրդակցել այլ անձանց (այդ թվում՝ այլ աշխատողի կամ այլ պետական մարմնի աշխատողի) հետ, և այդ նպատակով պետք է փոխանցի ծառայողական կամ աշխատանքային նպատակներով իրեն վստահված կամ հայտնի դարձած և ոչ հանրամատչելի անձնական տվյալներ պարունակող փաստաթղթեր, ապա ՊԵԿ աշխատողը պետք է առաջնորդվի «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի 5-րդ գլխի դրույթներով, մասնավորապես՝ տվյալներն այլ գերատեսչություն փոխանցել ապանձնավորված կերպով և նվազագույն քանակով, որն անհրաժեշտ է օրինական նպատակներին հասնելու համար:
ՊԵԿ աշխատողը Էլեկտրոնային փաստաթղթաշրջանառության համակարգից (օրինակ՝ «Mulberry» համակարգ) օգտվելիս պետք է սահմանափակի այլ աշխատողների հասանելիությունը ծառայողական կամ աշխատանքային նպատակներով իրեն վստահված կամ հայտնի դարձած և ոչ հանրամատչելի անձնական տվյալներ պարունակող փաստաթղթերին՝ համակարգի կարգավորումների միջոցով անձնական տվյալներ պարունակող փաստաթղթերը հասանելի դարձնելով միայն այն ծավալով և այն աշխատակիցներին, որոնք իրենց աշխատանքային պարտականություններից ելնելով կարող են կամ պետք է առնչվեն տվյալ փաստաթղթին:
ՊԵԿ աշխատողը, ծառայողական կամ աշխատանքային նպատակներով իրեն վստահված կամ հայտնի դարձած և ոչ հանրամատչելի անձնական տվյաների արտահոսքը կանխելու նպատակով, չպետք է կողմնակի անձանց (այդ թվում` պետական համակարգի այլ աշխատողներին) փոխանցի Էլեկտրոնային փաստաթղթաշրջանառության համակարգի (օրինակ՝ «Mulberry» համակարգի) իր անձական էջ մուտք գործելու տվյալները՝ մուտքանունը և գաղտնաբառը:
ՊԵԿ աշխատողի՝ աշխատանքից ազատվելու պարագայում անհրաժեշտ է արգելափակել տվյալ անձի Էլեկտրոնային փաստաթղթաշրջանառության համակարգի անձնական էջը՝ նրա կողմից այլ տեխնիկական սարքավորումներից և անձնական նպատակներով համակարգ մուտք գործելը կանխելու համար:
Վերոնշյալ կանոնները վերաբերում են նաև նյութական կրիչով (ներառյալ՝ թղթային տարբերակով) կամ էլեկտրոնային փոստի միջոցով ծառայողական կամ աշխատանքային նպատակներով ՊԵԿ աշխատողին վստահված կամ հայտնի դարձած և ոչ հանրամատչելի անձնական տվյալների հասանելիության սահմանափակմանը՝ նյութական կրիչի կամ էլեկտրոնային փոստի մատչելիությանը վերաբերելի միջոցներով: Մասնավորապես, ՊԵԿ աշխատողը պետք է օգտվի ծառայողական էլեկտրոնային փոստից (եթե այդպիսին առկա է) կամ այնպիսի էլեկտրոնային փոստից, որն ապահովում է տվյալների բավարար պաշտպանության մակարդակ, էլեկտրոնային փոստի մուտքանունը և գաղտնաբառը չտրամադրի այլ անձանց, անձնական տվյալներ պարունակող նյութական կրիչը աշխատասենյակում (աշխատասեղանին) պահի այնպես, որ կանխվի անձնական տվյալների արտահոսքը (փաստաթղթերը պահի կողպվող դարակում, աշխատասենյակից բացակայելիս կամ այլ անձանց ընդունելիս չթողնի անձնական տվյալներ պարունակող փաստաթղթերը տեսանելի վայրում և այլն):
3. Անձնական տվյալների գաղտնիությունը
Անձնական տվյալն ինքնին գաղտնիք չէ:
Անձնական տվյալները երրորդ անձանց կարող են փոխանցվել կամ այլ կերպ մատչելի դարձվել միայն օրենքներով, այդ թվում՝ «Տեղեկատվության ազատության մասին» Հայաստանի Հանրապետության օրենքով նախատեսված դեպքերում և կարգով:
ՊԵԿ տնօրինության տակ գտնվող անձնական տվյալներին երրորդ անձանց մատչելիությունը կամ այդ տվյալների հանրամատչելիությունը սահմանափակելու անհրաժեշտության դեպքում անձնական տվյալները կամ անձնական տվյալներ պարունակող փաստաթղթերը պետք է դասակարգվեն որպես որևէ գաղտնիք:
ՊԵԿ և ՊԵԿ աշխատողները պարտավոր են պահպանել երրորդ անձանց ոչ մատչելի կամ ոչ հանրամատչելի անձնական տվյալների գաղտնիությունը ինչպես անձնական տվյալները մշակելու հետ առնչվող ծառայողական կամ աշխատանքային պարտականությունները կատարելու ընթացքում, այնպես էլ դրա ավարտից հետո:
4. Անձնական տվյալների փոխանցումն այլ պետական մարմիններին
ՊԵԿ տնօրինության տակ գտնվող անձնական տվյալներն այլ պետական մարմիններին կարող են փոխանցվել միայն օրենքներով ուղղակիորեն նախատեսված դեպքերում:
ՊԵԿ տնօրինության տակ գտնվող անձնական տվյալներն օտարերկրյա պետական մարմիններին կարող են փոխանցվել միայն վավերացված միջազգային պայմանագրերի շրջանակներում:
ՊԵԿ տվյալների բազաներում մշակվող անձնական տվյալներն էլեկտրոնային եղանակով փոխանցելու կարգը սահմանվում է ՀՀ կառավարության որոշմամբ:
5. Անձնական տվյալների պաշտպանության համար պատասխանատուն
Կախված տվյալների մշակման դեպքից` անձնական տվյալների պաշտպանության համար պատասխանատու է այն պաշտոնատար անձը, ով, իր լիազորությունների շրջանակով պայմանավորված, ապահովում է «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքով սահմանված՝ անձնական տվյալներ մշակողի պարտականությունների կատարումը:
6. Անձնական տվյալների պաշտպանության իրավունքի վերաբերյալ ՊԵԿ աշխատակիցների վերապատրաստումը
ՊԵԿ՝ անձնական տվյալների մշակման հետ առնչվող աշխատակիցները պետք է անցնեն պարբերական (ոչ պակաս, քան երեք տարին մեկ անգամ) վերապատրաստում անձնական տվյալների պաշտպանության վերաբերյալ:
Վերապատրաստումն իրականացվում է անձնական տվյալների լիազոր մարմնի կողմից սահմանված ժամանակացույցով և թեմաներով:
ՊԵԿ նախաձեռնությամբ (առաջարկությամբ) և անձնական տվյալների լիազոր մարմնի համաձայնությամբ կարող են իրականացվել անձնական տվյալների պաշտպանության իրավունքի վերաբերյալ ՊԵԿ համար անհրաժեշտ քանակի և թեմաներով ուսուցումներ: