Armenian ARMSCII Armenian
Կ-670-03.12.2014,23.02.2015-ՊԻ-010/3ամբ.

ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ
ՕՐԵՆՔԸ

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՊԱՇՏՊԱՆՈՒԹՅԱՆ ՄԱՍԻՆ

ԳԼՈՒԽ 1. ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ
ԳԼՈՒԽ 2. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼՈՒ ՀԻՄՆԱԿԱՆ ՍԿԶԲՈՒՆՔՆԵՐԸ
ԳԼՈՒԽ 3. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼԸ
ԳԼՈՒԽ 4. ՏՎՅԱԼՆԵՐԻ ՍՈՒԲՅԵԿՏԻ ԻՐԱՎՈՒՆՔՆԵՐԸ
ԳԼՈՒԽ 5. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿՈՂԻ ՊԱՐՏԱԿԱՆՈՒԹՅՈՒՆՆԵՐԸ
ԳԼՈՒԽ 6. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼՈՒ ՕՐԻՆԱԿԱՆՈՒԹՅԱՆ ՆԿԱՏՄԱՄԲ ՀՍԿՈՂՈՒԹՅՈՒՆԸ
ԳԼՈՒԽ 7. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԸ  ԵՐՐՈՐԴ ԱՆՁԱՆՑ ԵՎ ԱՅԼ ՊԵՏՈՒԹՅՈՒՆՆԵՐ ՓՈԽԱՆՑԵԼԸ
ԳԼՈՒԽ 8. ԵԶՐԱՓԱԿԻՉ ՄԱՍ ԵՎ ԱՆՑՈՒՄԱՅԻՆ ԴՐՈՒՅԹՆԵՐ

ԳԼՈՒԽ 1

ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ

Հոդված 1. Oրենքի կարգավորման առարկան

1. Uույն oրենքը կարգավորում է պետական կառավարման կամ տեղական ինքնակառավարման մարմինների, պետական կամ համայնքային հիմնարկների կամ կազմակերպությունների, իրավաբանական կամ ֆիզիկական անձանց կողմից անձնական տվյալները մշակելու, դրանց նկատմամբ պետական հսկողություն իրականացնելու կարգն ու պայմանները:

2. Պետական եւ ծառայողական, բանկային, նոտարական, փաստաբանական, ապահովագրական գաղտնիք համարվող, ազգային անվտանգությանը կամ  պաշտպանությանն առնչվող գործողությունների ժամանակ օգտագործվող, ինչպես նաեւ փողերի լվացման եւ ահաբեկչության դեմ պայքարի, օպերատիվ-հետախուզական գործունեության ընթացքում կամ դատավարություններում օգտագործվող անձնական տվյալների հետ կապված առանձնահատկությունները կարգավորվում են այլ օրենքներով:

3. Սույն օրենքով սահմանված անձնական տվյալներ մշակելու սահմանափակումները չեն տարածվում բացառապես լրագրության, գրական եւ գեղարվեստական նպատակներով մշակվող անձնական տվյալների վրա:

4. Այլ օրենքներով կարող են սահմանվել անձնական տվյալներ մշակելու, հսկողություն իրականացնելու առանձնահատկություններ։ Այլ օրենքներով հսկողություն իրականացնող մարմին սահմանված լինելու դեպքում լիազոր մարմինն իր լիազորություններն իրականացնում է սույն օրենքով սահմանված կարգով։

Հոդված 2. Անձնական տվյալների մասին Հայաստանի Հանրապետության օրենսդրությունը

1. Անձնական տվյալները մշակելու հետ կապված հարաբերությունները կարգավորվում են Հայաստանի Հանրապետության Սահմանադրությամբ, Հայաստանի Հանրապետության միջազգային պայմանագրերով, սույն օրենքով, այլ օրենքներով։

Հոդված 3. Օրենքի հիմնական հասկացությունները

1. Uույն օրենքում օգտագործվում են հետեւյալ հիմնական հասկացությունները.

1) անձնական տվյալ` ֆիզիկական անձին վերաբերող ցանկացած տեղեկություն, որը թույլ է տալիս կամ կարող է թույլ տալ ուղղակի կամ անուղղակի կերպով նույնականացնել անձի ինքնությունը.

2) անձնական տվյալների մշակում` անկախ իրականացման ձեւից եւ եղանակից (այդ թվում՝ ավտոմատացված, տեխնիկական ցանկացած միջոցներ կիրառելու կամ առանց դրանց) ցանկացած գործողություն կամ գործողությունների խումբ, որը կապված է անձնական տվյալները հավաքելու կամ ամրագրելու կամ մուտքագրելու կամ համակարգելու կամ կազմակերպելու կամ պահպանելու կամ օգտագործելու կամ վերափոխելու կամ վերականգնելու կամ փոխանցելու կամ ուղղելու կամ ուղեփակելու կամ ոչնչացնելու կամ այլ գործողություններ կատարելու հետ.

3) անձնական տվյալների փոխանցում երրորդ անձանց`  անձնական տվյալները որոշակի կամ անորոշ շրջանակի այլ անձանց փոխանցելուն կամ դրանց հետ ծանոթացնելուն ուղղված գործողություն, այդ թվում` զանգվածային լրատվության միջոցներով անձնական տվյալները հրապարակելը, տեղեկատվական հաղորդակցման ցանցերում տեղադրելը կամ այլ եղանակով անձնական տվյալներն  այլ անձի մատչելի դարձնելը.

4) անձնական տվյալների օգտագործում` անձնական տվյալների հետ կատարվող գործողություն, որի ուղղակի կամ անուղղակի նպատակը կարող է լինել որոշումներ ընդունելը կամ կարծիք ձեւավորելը կամ իրավունքներ ձեռք բերելը կամ իրավունքներ կամ արտոնություններ տրամադրելը կամ իրավունքները սահմանափակելը կամ զրկելը կամ այլ նպատակի իրագործումը, որոնք տվյալների սուբյեկտի կամ երրորդ անձանց համար առաջացնում կամ կարող են առաջացնել իրավական հետեւանքներ կամ այլ կերպ առնչվել նրանց իրավունքներին ու ազատություններին.

5) անձնական տվյալներ մշակող` պետական կառավարման կամ տեղական ինքնակառավարման մարմին, պետական կամ համայնքային հիմնարկ կամ կազմակերպություն, իրավաբանական կամ ֆիզիկական անձ, որը կազմակերպում եւ (կամ) իրականացնում է անձնական տվյալների մշակում.

6) տվյալների սուբյեկտ` ֆիզիկական անձ, որին վերաբերում են անձնական տվյալները.

7) տվյալների բազա` որոշակի հատկանիշներով համակարգված անձնական տվյալների ամբողջություն.

8) տեղեկատվական համակարգ` տվյալների բազայում ներառված անձնական տվյալների, դրանց էլեկտրոնային կամ ոչ էլեկտրոնային եղանակով մշակելու համար կիրառվող տեղեկատվական տեխնոլոգիաների կամ  տեխնիկական միջոցների ամբողջություն.

9) անձնական տվյալների ապանձնավորում` գործողություններ, որոնց արդյունքում հնարավոր չէ որոշել տվյալների պատկանելությունը կոնկրետ տվյալների սուբյեկտին.

10) անձնական տվյալների ուղեփակում` անձնական տվյալները հավաքելու կամ ամրագրելու կամ համակարգելու կամ փոխանցելու կամ օգտագործելու հնարավորության ժամանակավոր կասեցում.

11) անձնական տվյալների ոչնչացում` գործողություն, որի արդյունքում հնարավոր չէ վերականգնել տեղեկատվական համակարգում առկա անձնական տվյալների բովանդակությունը.

12) անձնական կյանքի տվյալներ՝ անձի անձնական կյանքի, ընտանեկան կյանքի, ֆիզիկական, ֆիզիոլոգիական, մտավոր, սոցիալական վիճակի վերաբերյալ կամ նման այլ տեղեկություններ.

13) կենսաչափական անձնական տվյալներ` անձի ֆիզիկական, ֆիզիոլոգիական եւ կենսաբանական առանձնահատկությունները բնութագրող տեղեկություններ.

14) հատուկ կատեգորիայի անձնական տվյալներ` անձի ռասայական, ազգային պատկանելությանը կամ էթնիկ ծագմանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, արհեստակցական միությանն անդամակցությանը, առողջական վիճակին ու սեռական կյանքին վերաբերող տեղեկություններ.

15) հանրամատչելի անձնական տվյալներ` տեղեկություններ, որոնք տվյալների սուբյեկտի համաձայնությամբ կամ իր անձնական տվյալները հանրամատչելի դարձնելուն ուղղված գիտակցված գործողությունների կատարմամբ մատչելի են դառնում որոշակի կամ անորոշ շրջանակի անձանց համար, ինչպես նաեւ այն տեղեկությունները, որոնք օրենքով նախատեսված են որպես հանրամատչելի տեղեկություններ.

16) լիազորված անձ՝ իրավաբանական կամ ֆիզիկական անձ, պետական կառավարման կամ տեղական ինքնակառավարման մարմին, պետական կամ համայնքային հիմնարկ կամ կազմակերպություն, որին տվյալների մշակողի կողմից օրենքով սահմանված դեպքերում կամ պայմանագրի հիման վրա պատվիրվել է հավաքել, մուտքագրել, համակարգել կամ այլ կերպ մշակել անձնական տվյալներ.

17) երրորդ անձ՝ ցանկացած անձ, մարմին, հիմնարկ կամ կազմակերպություն, որը չի հանդիսանում տվյալների սուբյեկտ, անձնական տվյալների մշակող կամ լիազորված անձ, եւ որի իրավունքները կամ օրինական շահերը շոշափվում կամ կարող են շոշափվել անձնական տվյալները մշակելու արդյունքում:

ԳԼՈՒԽ  2

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼՈՒ ՀԻՄՆԱԿԱՆ ՍԿԶԲՈՒՆՔՆԵՐԸ



Հոդված 4. Օրինականության սկզբունքը

1. Անձնական տվյալներ մշակողը պարտավոր է հետեւել եւ ապահովել, որ տվյալները մշակվեն օրենքի պահանջների պահպանմամբ։

2. Անձնական տվյալները մշակվում են օրինական եւ որոշակի նպատակներով եւ առանց տվյալների սուբյեկտի համաձայնության չեն կարող օգտագործվել այլ նպատակներով:

Հոդված 5. Համաչափության սկզբունքը

1. Տվյալների մշակումը պետք է հետապնդի օրինական նպատակ, դրան հասնելու միջոցները պետք է լինեն պիտանի, անհրաժեշտ եւ չափավոր։

2. Անձնական տվյալներ մշակողը պարտավոր է անձնական տվյալները մշակել  այն նվազագույն քանակով, որն անհրաժեշտ է օրինական նպատակներին հասնելու համար:

3. Արգելվում է այնպիսի անձնական տվյալների մշակումը, որոնք անհրաժեշտ չեն տվյալները մշակելու նպատակի համար կամ անհամատեղելի են դրա հետ:

4. Արգելվում է անձնական տվյալների մշակումը, եթե տվյալները մշակելու նպատակին հնարավոր է հասնել ապանձնավորված կերպով:

5. Անձնական տվյալները պետք է պահպանվեն այնպես, որ բացառվի տվյալների սուբյեկտի  հետ դրանց նույնականացումն ավելի երկար ժամկետով, քան անհրաժեշտ է դրանց նախօրոք որոշված նպատակներին հասնելու համար:

Հոդված 6. Հավաստիության սկզբունքը

1. Մշակվող անձնական տվյալը պետք է լինի ամբողջական, ճշգրիտ, պարզ եւ հնարավորինս թարմացված:

Հոդված 7. Սուբյեկտների նվազագույն ներգրավման սկզբունքը

1. Անձնական տվյալների մշակումն իրականացվում է սուբյեկտների նվազագույն ներգրավման սկզբունքով:

2. Այն դեպքում, երբ պետական կառավարման կամ տեղական ինքնակառավարման մարմինը, նոտարը միասնական էլեկտրոնային տեղեկատվական համակարգի միջոցով կարող են անձնական տվյալը ձեռք բերել այլ մարմնից, ապա անձնական տվյալների սուբյեկտից չի պահանջվում ներկայացնել որոշակի գործողությունների համար անհրաժեշտ անձնական տվյալը։

3. Անձնական տվյալների սուբյեկտի գրավոր համաձայնության դեպքում անձնական տվյալներ մշակող համարվող ֆիզիկական կամ իրավաբանական անձինք կարող են պետական կամ տեղական ինքնակառավարման մարմնից ստանալ որոշակի գործողության համար անհրաժեշտ եւ անձնական տվյալների սուբյեկտի գրավոր համաձայնության մեջ ուղղակիորեն մատնանշված անձնական տվյալը:

4. Էլեկտրոնային տեղեկատվական համակարգի միջոցով անձնական տվյալների փոխանցման կարգը սահմանում է Հայաստանի Հանրապետության կառավարությունը:

ԳԼՈՒԽ 3

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼԸ



Հոդված 8. Անձնական տվյալները մշակելու օրինականությունը

1. Անձնական տվյալներ մշակելը օրինական է, եթե՝

1)  տվյալները մշակվել են օրենքի պահանջների պահպանմամբ, եւ տվյալների սուբյեկտը տվել է իր համաձայնությունը, բացառությամբ սույն օրենքով կամ այլ օրենքներով ուղղակիորեն նախատեսված դեպքերի, կամ

2) մշակվող տվյալները ձեռք են բերվել անձնական տվյալների հանրամատչելի աղբյուրներից:

Հոդված 9. Տվյալների սուբյեկտի համաձայնությունը

1. Տվյալների սուբյեկտը կարող է տալ իր համաձայնությունը անձամբ կամ ներկայացուցչի միջոցով, եթե լիազորագրով հատուկ նախատեսված է նման լիազորություն:

2. Համաձայնության հիման վրա մշակվող տվյալները պահպանվում են այն ժամկետով, որն օբյեկտիվորեն անհրաժեշտ է տվյալներ մշակելու նպատակներն իրականացնելու համար, կամ համաձայնությամբ սահմանված ժամկետով։

3. Տվյալների սուբյեկտն իրավունք ունի հետ կանչելու իր համաձայնությունը սույն օրենքով, ինչպես նաեւ այլ օրենքներով նախատեսված դեպքերում եւ կարգով:

4. Տվյալների սուբյեկտի համաձայնությունը համարվում է տրված, եւ մշակողն այն մշակելու իրավունք ունի, երբ՝

1) մշակողին հասցեագրած եւ տվյալների սուբյեկտի ստորագրած փաստաթղթում նշված են անձնական տվյալները, բացառությամբ այն դեպքերի, երբ փաստաթուղթն իր բովանդակությամբ հանդիսանում է անձնական տվյալները մշակելու դեմ առարկություն.

2) մշակողը տվյալները ստացել է տվյալների սուբյեկտի հետ կնքված պայմանագրի հիման վրա եւ օգտագործում է այդ պայմանագրով սահմանված գործողությունների նպատակով.

3) տվյալների սուբյեկտն իր կամքով, օգտագործելու նպատակով բանավոր փոխանցում է մշակողին իր անձնական տվյալների մասին տեղեկությունները։

5. Առանց տվյալների սուբյեկտի համաձայնության անձնական տվյալներ կարող են մշակվել, եթե տվյալներ մշակելն ուղղակիորեն նախատեսված է օրենքով։

6. Անձնական տվյալներ մշակողը կամ լիազորված անձը տվյալների սուբյեկտի գրավոր համաձայնությունն ստանալու նպատակով տվյալների սուբյեկտին ծանուցում է տվյալներ մշակելու մտադրության մասին:

7. Տվյալների սուբյեկտի համաձայնությունը տրվում է գրավոր կամ էլեկտրոնային եղանակով՝ հաստատված էլեկտրոնային թվային ստորագրությամբ, բանավոր համաձայնության դեպքում` այնպիսի հավաստի գործողությունների միջոցով, որոնք ակնհայտորեն կվկայեն տվյալների սուբյեկտի` անձնական տվյալները օգտագործելու համաձայնության մասին:

8. Տվյալների սուբյեկտի համաձայնությունը ստանալու փաստն ապացուցելու, իսկ հանրամատչելի անձնական տվյալներ մշակելու դեպքում դրանց հանրամատչելի լինելու փաստն ապացուցելու պարտականությունը կրում է մշակողը:

9. Տվյալների սուբյեկտի անգործունակության կամ սահմանափակ գործունակության կամ մինչեւ 16 տարեկան անչափահաս լինելու դեպքում նրա անձնական տվյալները մշակելու համար համաձայնություն է տալիս տվյալների սուբյեկտի օրինական ներկայացուցիչը:

10. Տվյալների սուբյեկտի մահվան կամ դատարանի վճռով մահացած ճանաչվելու դեպքում նրա անձնական տվյալները մշակելու համար համաձայնություն են տալիս տվյալների սուբյեկտի բոլոր ըստ օրենքի ժառանգները, ժառանգներ չունենալու դեպքում՝ ժառանգության բացման վայրի համայնքի ղեկավարը, իսկ անհայտ բացակայող ճանաչվելու դեպքում՝ անհայտ բացակայող ճանաչված անձի գույքի հավատարմագրային կառավարիչը, եթե մինչ այդ տվյալների սուբյեկտը նման համաձայնություն չի տվել:

11. Տվյալների սուբյեկտի մահվան դեպքում նրա անձնական տվյալները կարող են մշակվել առանց համաձայնության, եթե մշակվող տվյալները պետք է լինեն մահացած անձի անունը, սեռը, ծննդյան եւ մահվան տարին, ամիսը, ամսաթիվը։ Մշակույթի, արվեստի, գիտության, կրթության, սպորտի, կրոնի եւ հանրային այլ  բնագավառների գործչի մահվան դեպքում նրա անձնական կյանքի տվյալները կարող են մշակվել առանց համաձայնության, եթե մահվան օրվանից անցել է հիսուն տարի։

Հոդված 10.  Անձնական տվյալներ մշակելու համաձայնությունն ստանալու նպատակով  տվյալների սուբյեկտին ներկայացվող ծանուցումը

1. Անձնական տվյալներ մշակողը կամ սույն օրենքի 14-րդ հոդվածով նախատեսված լիազորված անձը տվյալների սուբյեկտի համաձայնությունն  ստանալու նպատակով ծանուցում է տվյալներ մշակելու մտադրության մասին:

2. Ծանուցման մեջ նշվում են՝

1) տվյալների սուբյեկտի ազգանունը, անունը, հայրանունը.

2) անձնական տվյալների մշակման իրավական հիմքերը եւ նպատակը.

3) մշակման ենթակա անձնական տվյալների ցանկը.

4) անձնական տվյալների հետ կատարման ենթակա գործողությունների ցանկը, որոնց համար հայցվում է տվյալների սուբյեկտի համաձայնությունը.

5) այն անձանց շրջանակը, որոնց կարող են փոխանցվել անձնական տվյալները.

6) անձնական տվյալների սուբյեկտի համաձայնությունը հայցող մշակողի կամ նրա ներկայացուցչի անվանումը (ազգանունը, անունը, հայրանունը, պաշտոնը) եւ գտնվելու կամ հաշվառման (փաստացի բնակության) վայրը.

7) տվյալների սուբյեկտի կողմից անձնական տվյալների ուղղում, ոչնչացում, տվյալների մշակման դադարեցում պահանջելու կամ մշակման հետ կապված այլ գործողություն կատարելու վերաբերյալ տեղեկություններ.

8) հայցվող համաձայնության գործողության ժամկետը, ինչպես նաեւ համաձայնությունը հետ կանչելու կարգը եւ դրա հետեւանքները:

Հոդված 11. Հանրամատչելի անձնական տվյալները

1. Տվյալների սուբյեկտի համաձայնությամբ կամ օրենքով նախատեսված դեպքերում կարող է սահմանվել անձնական տվյալների հանրամատչելի տեղեկատվության ռեժիմ (հեռախոսային տեղեկատուներ, հասցեների գրքեր, կենսագրական տեղեկատուներ, մասնավոր հայտարարություններ, եկամուտների հայտարարագրում եւ այլն): Հանրամատչելի են համարվում անձի անունը, ազգանունը, ծննդյան տարին, ամիսը եւ ամսաթիվը, վայրը, մահվան վայրը, տարին, ամիսը եւ ամսաթիվը, ինչպես նաեւ  այն անձնական տվյալները, որոնք տվյալների սուբյեկտի կողմից հանրամատչելի դարձնելուն ուղղված գիտակցված գործողությունների կատարմամբ մատչելի են դառնում որոշակի կամ անորոշ շրջանակի անձանց համար:

2. Տվյալների սուբյեկտի վերաբերյալ տեղեկությունները, բացառությամբ սույն հոդվածի 1-ին մասով նախատեսված տեղեկությունների, կարող են հանվել անձնական տվյալների հանրամատչելի աղբյուրներից տվյալների սուբյեկտի պահանջով կամ դատական կարգով:

3. Պայմանագրի հիման վրա մշակվող տվյալները կարող են հանվել անձնական տվյալների հանրամատչելի աղբյուրներից փոխադարձ համաձայնությամբ կամ դատական կարգով:

Հոդված 12. Հատուկ կատեգորիայի անձնական տվյալներ մշակելու առանձնահատկությունները

1. Առանց անձի համաձայնության արգելվում է հատուկ կատեգորիայի անձնական տվյալներ մշակելը, բացառությամբ, երբ տվյալի մշակումն ուղղակիորեն նախատեսված է օրենքով։

2. Սույն հոդվածի 1-ին մասով նախատեսված անձնական տվյալների մշակումն անհապաղ դադարեցվում է, եթե վերացել են տվյալները մշակելու հիմքերը եւ նպատակը:

Հոդված 13. Կենսաչափական անձնական տվյալներ մշակելու առանձնահատկությունները

1. Կենսաչափական անձնական տվյալներ մշակվում են միայն տվյալների սուբյեկտի համաձայնությամբ, բացառությամբ օրենքով նախատեսված դեպքերի, եւ եթե օրենքով հետապնդվող նպատակը հնարավոր է իրականացնել միայն այդ կենսաչափական տվյալները մշակելու միջոցով:

Հոդված 14. Տվյալներ մշակողի առաջադրանքով անձնական տվյալների մշակումը լիազորված անձի կողմից

1. Անձնական տվյալները կարող է մշակել նաեւ տվյալները մշակողի առաջադրանքով լիազորված անձը:

2. Առաջադրանքը տրվում է գրավոր, որի մեջ պետք է շարադրված լինեն անձնական տվյալներ մշակելու իրավական հիմքերը եւ պայմանները, նպատակը, մշակման ենթակա անձնական տվյալների ցանկը, տվյալների սուբյեկտների շրջանակը, այն անձանց շրջանակը, որոնց կարող են փոխանցվել անձնական տվյալները, անձնական տվյալների պաշտպանության տեխնիկական եւ կազմակերպչական միջոցառումները եւ անհրաժեշտ այլ տեղեկություններ:

3.  Անձնական տվյալները մշակվում են միայն առաջադրանքի շրջանակներում: Առաջադրանքի շրջանակներում անձնական տվյալների մշակման համար պատասխանատու է տվյալներ մշակողը: Եթե առաջադրանքը չի համապատասխանում օրենքի պահանջներին, ապա լիազորված անձը պետք է այդ մասին գրավոր տեղեկացնի տվյալներ մշակողին եւ հրաժարվի մշակումից:

4. Անձնական տվյալները պետական կառավարման կամ տեղական ինքնակառավարման մարմինների, պետական կամ համայնքային հիմնարկների կամ կազմակերպությունների առաջադրանքով մշակվում են սույն օրենքի պահանջների պահպանմամբ:

5. Այլ օրենքներով կամ տվյալներ մշակողի եւ լիազորված անձի միջեւ կնքված պայմանագրերով կարող են սահմանվել լիազորված անձի կողմից անձնական տվյալներ մշակելու առանձնահատկություններ, որոնք չեն կարող վերաբերել այլ  անձանց իրավունքներին եւ պարտականություններին:

ԳԼՈՒԽ  4

ՏՎՅԱԼՆԵՐԻ ՍՈՒԲՅԵԿՏԻ ԻՐԱՎՈՒՆՔՆԵՐԸ

Հոդված 15. Տվյալների սուբյեկտի՝ իր անձնական տվյալների վերաբերյալ տեղեկություններ ստանալու իրավունքը

1. Տվյալների սուբյեկտն իրավունք ունի ստանալու տեղեկություններ իր անձնական տվյալների, տվյալները  մշակելու, մշակելու հիմքերի եւ  նպատակների, տվյալները մշակողի, նրա գտնվելու վայրի մասին, ինչպես նաեւ այն անձանց շրջանակի մասին, որոնց կարող են փոխանցվել անձնական տվյալները:

2. Տվյալների սուբյեկտն իրավունք ունի ծանոթանալու իր անձնական տվյալներին, մշակողից պահանջելու ուղղել, ուղեփակել կամ ոչնչացնել իր անձնական տվյալները, եթե անձնական տվյալներն ամբողջական կամ ճշգրիտ չեն կամ հնացած են կամ ձեռք են բերվել անօրինական ճանապարհով կամ անհրաժեշտ չեն մշակելու նպատակներին հասնելու համար:

3. Անձնական տվյալները մշակողի կողմից ուղղված, ուղեփակված կամ ոչնչացված լինելու վերաբերյալ կասկածների դեպքում տվյալների սուբյեկտն  իրավունք ունի դիմելու անձնական տվյալների պաշտպանության լիազոր մարմին՝ իր անձնական տվյալներն ուղղված, ուղեփակված կամ ոչնչացված լինելու փաստը պարզելու եւ իրեն տեղեկություններ տրամադրելու մասին պահանջով:

4. Մշակողի կողմից տվյալների սուբյեկտին անձնական տվյալների վերաբերյալ տեղեկությունները պետք է տրամադրվեն հասանելի ձեւով եւ չպետք է պարունակեն տվյալների այլ սուբյեկտի վերաբերող անձնական տեղեկություններ:

5.  Տվյալների սուբյեկտին անձնական տվյալները տրամադրվում են տվյալների սուբյեկտի կամ լիազորագրով հանդես եկող ներկայացուցչի կամ օրինական ներկայացուցչի գրավոր հարցման հիման վրա։ Հարցումը կարող է ներկայացվել էլեկտրոնային եղանակով` հաստատված էլեկտրոնային թվային ստորագրությամբ:

6. Տվյալների սուբյեկտն իրավունք ունի տեղեկատվություն ստանալու  իր անձնական տվյալների մշակման վերաբերյալ, այդ թվում`

1) անձնական տվյալները մշակելու փաստը հաստատելու եւ մշակելու նպատակի վերաբերյալ.

2) անձնական տվյալները մշակելու եղանակների վերաբերյալ.

3) այն սուբյեկտների վերաբերյալ, որոնց տրամադրվել կամ կարող են տրամադրվել անձնական տվյալները.

4) մշակվող անձնական տվյալների ցանկի եւ դրանք ձեռք բերելու աղբյուրի վերաբերյալ.

5) անձնական տվյալները մշակելու ժամկետների վերաբերյալ.

6) անձնական տվյալները մշակելու հետեւանքով տվյալների սուբյեկտի համար  առաջացող հնարավոր իրավական հետեւանքների վերաբերյալ:

7. Տեղեկությունները տվյալների սուբյեկտին տրամադրվում են անվճար, եթե օրենքով այլ բան նախատեսված չէ:

Հոդված 16. Տվյալների սուբյեկտի իրավունքները անձնական տվյալները մշակելու հիման վրա  որոշումներ ընդունելիս

1. Արգելվում է անձնական տվյալներ մշակելու նպատակներից չբխող այնպիսի որոշումներ ընդունել, որոնք տվյալների սուբյեկտի համար առաջացնում են իրավական հետեւանքներ կամ այլ կերպ առնչվում են նրա իրավունքներին ու օրինական շահերին, բացառությամբ սույն հոդվածի 2-րդ մասով նախատեսված դեպքերի:

2. Անձնական տվյալները մշակելու հիման վրա տվյալների սուբյեկտի համար իրավական հետեւանքներ առաջացնող կամ այլ կերպ նրա իրավունքներին ու օրինական շահերին առնչվող որոշումներն ընդունվում են տվյալների սուբյեկտի համաձայնությամբ կամ օրենքով նախատեսված դեպքերում:

Հոդված 17. Մշակողի գործողությունները կամ անգործությունը բողոքարկելու իրավունքը

1. Եթե տվյալների սուբյեկտը համարում է, որ իր անձնական տվյալների մշակումն իրականացվում է սույն օրենքի պահանջների խախտմամբ կամ այլ կերպ խախտում է իր իրավունքներն ու ազատությունները, ապա նա իրավունք ունի մշակողի գործողությունները կամ անգործությունը կամ որոշումները բողոքարկելու անձնական տվյալների պաշտպանության լիազոր մարմին կամ դատական կարգով:

2. Տվյալների սուբյեկտն ունի օրենքով սահմանված կարգով վնասի հատուցման իրավունք:

ԳԼՈՒԽ  5

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿՈՂԻ ՊԱՐՏԱԿԱՆՈՒԹՅՈՒՆՆԵՐԸ

Հոդված 18. Անձնական տվյալներ մշակողի պարտականություններն անձնական տվյալները հավաքելու ընթացքում

1. Անձնական տվյալները մշակելու ընթացքում մշակողը պարտավոր է տվյալների սուբյեկտի պահանջով նրան տրամադրել սույն օրենքի 15-րդ հոդվածով նախատեսված տեղեկատվությունը:

2. Ոչ ամբողջական, ոչ ճշգրիտ, հնացած, անօրինական ճանապարհով ձեռք բերված կամ մշակելու նպատակներին հասնելու համար ոչ անհրաժեշտ անձնական տվյալների դեպքում անձնական տվյալներ մշակողը պարտավոր է անհրաժեշտ գործողություններ իրականացնել դրանք ամբողջացնելու, թարմացնելու, ուղղելու կամ ոչնչացնելու ուղղությամբ:

3. Մշակողը պարտավոր է տվյալների սուբյեկտին գրավոր պարզաբանել անձնական տվյալները չտրամադրելու հետեւանքները, այդ թվում՝ անձնական տվյալների սուբյեկտի իրավունքները:

4. Եթե անձնական տվյալներն ստացվել են ոչ տվյալների սուբյեկտից, բացառությամբ օրենքով նախատեսված դեպքերի, ինչպես նաեւ հանրամատչելի անձնական տվյալների, ապա մշակողը մինչեւ այդպիսի անձնական տվյալները մշակելը պարտավոր է տվյալների սուբյեկտին տրամադրել հետեւյալ տեղեկատվությունը.

1) մշակողի կամ նրա լիազորած անձի (առկայության դեպքում) անվանումը (ազգանունը, անունը, հայրանունը) եւ գտնվելու կամ հաշվառման (փաստացի բնակության) վայրը.

2) անձնական տվյալները մշակելու նպատակը եւ իրավական հիմքը, մշակվող տվյալների ցանկը.

3) անձնական տվյալների հավանական օգտագործողների շրջանակը.

4) տվյալների սուբյեկտի` սույն օրենքով սահմանված իրավունքները:

Հոդված 19. Անձնական տվյալներ մշակելու անվտանգության ապահովման  միջոցները եւ մշակողի պարտականությունները

1. Մշակողը պարտավոր է ոչնչացնել կամ ուղեփակել անձնական այն տվյալները, որոնք անհրաժեշտ չեն օրինական նպատակին հասնելու համար:

2. Անձնական տվյալները մշակելու ընթացքում մշակողը պարտավոր է օգտագործել գաղտնագրման միջոցներ` անձնական տվյալներ պարունակող տեղեկատվական համակարգերի պաշտպանվածությունը պատահական կորստից, տեղեկատվական համակարգեր անօրինական մուտք գործելուց, անձնական տվյալների անօրինական օգտագործումից, ձայնագրումից, ոչնչացումից, վերափոխումից, ուղեփակումից, կրկնօրինակումից, տարածումից եւ այլ միջամտությունից ապահովելու համար:

3. Մշակողը պարտավոր է կանխել անձնական տվյալների մշակման համապատասխան տեխնոլոգիաների մատչելիությունը դրա իրավունքը չունեցող անձանց համար եւ ապահովել, որ այդ համակարգերի օրինական օգտագործողի համար հասանելի լինեն միայն իր կողմից մշակման ենթակա տվյալները եւ այն տվյալները, որոնցից թույլատրված է օգտվել:

4. Տեղեկատվական համակարգերում անձնական տվյալները մշակելու անվտանգությունն ապահովելուն ներկայացվող պահանջները, կենսաչափական անձնական տվյալների նյութական կրիչներին եւ տեղեկատվական համակարգերից դուրս այդ անձնական տվյալները պահպանելու  տեխնոլոգիաներին ներկայացվող պահանջները սահմանվում են Հայաստանի Հանրապետության կառավարության որոշմամբ:

5. Oրենքով հսկողություն իրականացնող այլ մարմին սահմանված լինելու դեպքում այդ մարմինը օրենքով իրեն վերապահված լիազորությունների շրջանակներում կարող է սահմանել սույն հոդվածի 4-րդ մասով նախատեսված՝ Հայաստանի Հանրապետության կառավարության որոշմամբ սահմանված պահանջներից ավելի բարձր պահանջներ:

6. Տեղեկատվական համակարգերից դուրս կենսաչափական անձնական տվյալների օգտագործումն ու պահպանումը կարող են իրականացվել միայն այնպիսի նյութական կրիչների միջոցով, տեխնոլոգիաների կիրառմամբ կամ ձեւերով, որոնք ապահովում են այդ տվյալների պաշտպանվածությունը դրանց անօրինական մուտք գործելուց, անձնական տվյալների անօրինական օգտագործումից, ոչնչացումից, վերափոխումից, ուղեփակումից, կրկնօրինակումից, տարածումից եւ այլն:

7. Անձնական տվյալներ մշակողները կամ սույն օրենքով նախատեսված այլ անձինք պարտավոր են պահպանել անձնական տվյալների գաղտնիությունը ինչպես անձնական տվյալները մշակելու հետ առնչվող ծառայողական կամ աշխատանքային պարտականությունները կատարելու ընթացքում, այնպես էլ դրա ավարտից հետո:

8. Սույն հոդվածի պահանջների կատարման նկատմամբ հսկողությունն իրականացնում է անձնական տվյալների պաշտպանության լիազոր մարմինը` առանց տեղեկատվական համակարգերում մշակվող անձնական տվյալները մշակելու իրավունքի:

9. Անձնական տվյալներ մշակող իրավաբանական անձինք իրենց տիրապետման տակ գտնվող անձնական տվյալներ մշակող էլեկտրոնային համակարգերը բավարար պաշտպանության մակարդակ ունեցող ճանաչելու եւ ռեեստրում ընդգրկելու նպատակով կարող են դիմել անձնական տվյալների պաշտպանության լիազոր մարմին։

Հոդված 20.   Անձնական տվյալներ մշակողի պարտականությունները տվյալների սուբյեկտի կամ լիազոր մարմնի գրավոր հարցման, անձնական տվյալների  ծանոթացման, մշակողի կամ լիազորված անձի կողմից խախտումներ հայտնաբերելու դեպքերում

1. Մշակողը պարտավոր է սույն օրենքի 15-րդ հոդվածով սահմանված կարգով տվյալների սուբյեկտին եւ լիազոր մարմնին տեղեկատվություն տրամադրել տվյալների սուբյեկտի վերաբերյալ անձնական տվյալների առկայության մասին կամ  հնարավորություն ընձեռել ծանոթանալու դրանց գրավոր հարցումը ստանալուց հետո՝ հինգ օրվա ընթացքում:

2. Մշակողը պարտավոր է տվյալների սուբյեկտին հնարավորություն ընձեռել անվճար ծանոթանալու տվյալների սուբյեկտին վերաբերող անձնական տվյալներին։ Եթե տվյալների սուբյեկտի անձնական տվյալներն ամբողջական կամ ճշգրիտ չեն կամ հնացած են կամ ձեռք են բերվել անօրինական ճանապարհով կամ անհրաժեշտ չեն մշակելու նպատակներին հասնելու համար, ապա մշակողի կամ լիազորված անձի կողմից դրանք հայտնաբերվելու կամ տվյալների սուբյեկտի կամ օրինական ներկայացուցչի (կամ լիազորված անձի) կողմից դիմում ստանալուց հետո մշակողը պարտավոր է անհապաղ կամ նման հնարավորության բացակայության դեպքում երեք աշխատանքային օրվա ընթացքում անհրաժեշտ գործողություններ իրականացնել դրանք ամբողջացնելու, թարմացնելու, ուղղելու, ուղեփակելու կամ ոչնչացնելու ուղղությամբ:

3. Մշակողը պարտավոր է անձնական տվյալների պաշտպանության լիազոր մարմնի գրավոր հարցման հիման վրա նրա գործունեության իրականացման համար անհրաժեշտ տեղեկատվությունը տրամադրել հարցումն ստանալու օրվանից հինգ օրվա ընթացքում:

4. Տվյալների սուբյեկտի գրավոր պահանջի հիման վրա տվյալների սուբյեկտի անձնական տվյալները տրամադրելը, ուղղելը, ուղեփակելը կամ ոչնչացնելը մերժելու դեպքում մշակողը պարտավոր է տվյալների սուբյեկտին եւ լիազոր մարմնին հարցումն ստանալու օրվանից հինգ օրվա ընթացքում տրամադրել պատճառաբանված գրավոր որոշում` հղում կատարելով այն օրենքի դրույթներին, որոնք հիմք են հանդիսացել որոշում ընդունելու համար:

5. Անձնական տվյալները տրամադրելը, ուղղելը, ուղեփակելը կամ ոչնչացնելը մերժելու հիմքերը լիազոր մարմնի կողմից հիմնավորված չհամարվելու դեպքում մշակողը պարտավոր է անհապաղ տրամադրել, ուղղել, ուղեփակել կամ ոչնչացնել տվյալների սուբյեկտի անձնական տվյալները կամ լիազոր մարմնի որոշումը բողոքարկել դատական կարգով։

Հոդված 21. Մշակողի պարտականություններն անձնական տվյալներ մշակելու ընթացքում թույլ տված օրենսդրության խախտումները վերացնելիս, անձնական տվյալներն ուղղելիս, ուղեփակելիս կամ ոչնչացնելիս

1. Տվյալների սուբյեկտի կամ անձնական տվյալների պաշտպանության լիազոր մարմնի հարցման հիման վրա անձնական տվյալների հավաստիությունը կամ մշակելու օրինականությունը վիճարկվելու դեպքում մշակողը պարտավոր է ուղեփակել տվյալների սուբյեկտին վերաբերող անձնական տվյալները` սկսած հարցումն ստանալու պահից մինչեւ ստուգման գործողությունների ավարտը:

2. Անձնական տվյալների ոչ ճշգրիտ լինելը հաստատվելու դեպքում մշակողը պարտավոր է տվյալների սուբյեկտի կամ անձնական տվյալների պաշտպանության լիազոր մարմնի ներկայացրած փաստաթղթերի կամ այլ անհրաժեշտ փաստաթղթերի հիման վրա ուղղել անձնական տվյալները եւ վերացնել դրանց ուղեփակումը:

3. Անձնական տվյալների հետ իրականացվող անօրինական գործողություններ հայտնաբերելու դեպքում մշակողը պարտավոր է անհապաղ, բայց ոչ ուշ, քան  երեք աշխատանքային օրվա ընթացքում վերացնել թույլ տված խախտումները: Խախտումները վերացնելու անհնարինության դեպքում մշակողը պարտավոր է անհապաղ ոչնչացնել անձնական տվյալները: Խախտումները վերացնելու կամ անձնական տվյալները ոչնչացնելու մասին մշակողը պարտավոր է երեք աշխատանքային օրվա ընթացքում տեղեկացնել տվյալների սուբյեկտին կամ նրա ներկայացուցչին, իսկ այն դեպքում, երբ հարցումն ստացվել է անձնական տվյալների պաշտպանության լիազոր մարմնից՝ նաեւ այդ մարմնին:

4. Էլեկտրոնային համակարգերից անձնական տվյալների արտահոսքի դեպքում մշակողը պարտավոր է այդ մասին անհապաղ հրապարակել հայտարարություն՝ միաժամանակ արտահոսքի վերաբերյալ հայտնելով Հայաստանի Հանրապետության ոստիկանությանը եւ անձնական տվյալների պաշտպանության լիազոր մարմնին:

5. Անձնական տվյալները մշակելու նպատակին հասնելու դեպքում մշակողը պարտավոր է անհապաղ դադարեցնել տվյալներ մշակելը, եթե այլ բան նախատեսված չէ օրենքով։

6. Տվյալների սուբյեկտի համաձայնությունը գրավոր` հաստատված ստորագրությամբ կամ էլեկտրոնային եղանակով՝ հաստատված էլեկտրոնային թվային ստորագրությամբ, հետ կանչվելու դեպքում մշակողը պարտավոր է դադարեցնել անձնական տվյալներ մշակելը եւ ոչնչացնել տվյալները հետկանչն ստանալու օրվան հաջորդող տասն աշխատանքային օրվա ընթացքում, եթե այլ բան նախատեսված չէ տվյալների սուբյեկտի եւ մշակողի փոխադարձ համաձայնությամբ կամ օրենքով: Մշակողը պարտավոր է ոչնչացնելու պահից երեք աշխատանքային օրվա ընթացքում տվյալների սուբյեկտին տեղեկացնել անձնական տվյալները ոչնչացնելու մասին:

Հոդված 22. Լիազոր մարմնի լիազորությունների իրականացման կարգը հսկողություն իրականացնող այլ մարմնի միջոցով

1. Եթե  օրենքով սահմանված է հսկողություն իրականացնող այլ մարմին, ապա հսկողություն իրականացնող այդ մարմինը լիազոր մարմնին տրամադրում է իրավաբանական անձանց անձնական տվյալներ մշակող էլեկտրոնային համակարգերը բավարար պաշտպանության մակարդակ ունեցող ճանաչելու վերաբերյալ եզրակացություն:

2. Եթե օրենքով սահմանված է հսկողություն իրականացնող այլ մարմին, ապա  լիազոր մարմինն անձնական տվյալների պաշտպանության մասին դիմումները, ինչպես նաեւ անձնական տվյալների պաշտպանության վերաբերյալ տեղեկությունները փոխանցում է հսկողություն իրականացնող այդ մարմնին։

3. Հսկողություն իրականացնող այլ մարմինն անձնական տվյալների պաշտպանության ոլորտում իր կայացրած որոշումները կամ անձնական տվյալների պաշտպանության ուղղությամբ կատարված գործողությունների մասին տեղեկությունները սեղմ ժամկետում ուղարկում է լիազոր մարմին։

4. Հսկողություն իրականացնող այլ մարմնի որոշումները, գործողություններն ու անգործությունը լիազոր մարմինը կարող է բողոքարկել դատական կարգով։

Հոդված 23. Անձնական տվյալները մշակելու վերաբերյալ լիազոր մարմնին ծանուցելը

1. Մշակողը մինչեւ անձնական տվյալները մշակելը իրավունք ունի անձնական տվյալների պաշտպանության լիազոր մարմնին ծանուցելու տվյալներ մշակելու մտադրության մասին։

2. Լիազոր մարմնի պահանջով մշակողը պարտավոր է ծանուցում ուղարկել լիազոր մարմին։

3. Մշակողը մինչեւ կենսաչափական կամ  հատուկ կատեգորիայի անձնական տվյալներ մշակելը պարտավոր է անձնական տվյալների պաշտպանության լիազոր մարմնին ծանուցել տվյալներ մշակելու մտադրության մասին։

4. Ծանուցման մեջ նշվում են հետեւյալ տեղեկությունները.

1) մշակողի կամ լիազորված անձի (առկայության դեպքում) անվանումը (ազգանունը, անունը, հայրանունը), գտնվելու կամ հաշվառման վայրը.

2)   անձնական տվյալներ մշակելու նպատակը եւ իրավական հիմքերը.

3)   անձնական տվյալների շրջանակը.

4)   տվյալների սուբյեկտների շրջանակը.

5) անձնական տվյալների հետ կատարվող գործողությունների ցանկը, մշակողի կողմից անձնական տվյալների մշակման եղանակների ընդհանուր նկարագիրը.

6) այն միջոցների նկարագիրը, որոնք մշակողը պարտավորվում է իրականացնել անձնական տվյալները մշակելու անվտանգության ապահովման ուղղությամբ.

7)  անձնական տվյալների մշակումն սկսելու ամսաթիվը.

8)  անձնական տվյալների մշակումն ավարտելու ժամկետները եւ պայմանները:

5. Անձնական տվյալների պաշտպանության լիազոր մարմինը ծանուցումն ստանալուց հետո՝ 30 օրվա ընթացքում, սույն հոդվածի 2-րդ մասով նախատեսված տեղեկությունները, ինչպես նաեւ տվյալ ծանուցումն ուղարկելու ամսաթվի վերաբերյալ տեղեկությունները մուտքագրում է մշակողների ռեեստր:

6. Մշակողի վրա չեն կարող դրվել անձնական տվյալների պաշտպանության լիազոր մարմնի կողմից անձնական տվյալներ մշակելու վերաբերյալ ծանուցման քննարկման, ինչպես նաեւ տեղեկությունները մշակողների ռեեստր մուտքագրելու հետ կապված ծախսերը:

7. Այն դեպքում, երբ մշակողի կողմից ներկայացված՝ սույն հոդվածի 2-րդ մասով նախատեսված տեղեկությունները լրիվ կամ ճշգրիտ չեն, ապա անձնական տվյալների պաշտպանության լիազոր մարմինն իրավունք ունի մշակողից պահանջելու հստակեցնել ներկայացված տեղեկությունները մինչեւ դրանք մշակողների ռեեստր մուտքագրելը:

8. Սույն հոդվածի 2-րդ մասով նախատեսված տեղեկությունների փոփոխման դեպքում մշակողը պարտավոր է փոփոխությունների մասին ծանուցել անձնական տվյալների պաշտպանության լիազոր մարմնին` փոփոխություններն ի հայտ գալու օրվանից տասն աշխատանքային օրվա ընթացքում:

ԳԼՈՒԽ  6

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՄՇԱԿԵԼՈՒ ՕՐԻՆԱԿԱՆՈՒԹՅԱՆ ՆԿԱՏՄԱՄԲ ՀՍԿՈՂՈՒԹՅՈՒՆԸ

Հոդված 24. Անձնական տվյալների պաշտպանության լիազոր մարմինը

1. Անձնական տվյալների պաշտպանությունն իրականացնում է լիազոր մարմինը, որը գործում է Հայաստանի Հանրապետության կառավարության որոշմամբ սահմանված կառուցվածքով:

2. Անձնական տվյալների պաշտպանության լիազոր մարմինը գործում է անկախ՝ օրենքի եւ այլ իրավական ակտերի հիման վրա։

3. Անձնական տվյալների պաշտպանության լիազոր մարմինը`

1) ստուգում է իր նախաձեռնությամբ կամ համապատասխան դիմումի հիման վրա անձնական տվյալների մշակման համապատասխանությունն սույն օրենքի պահանջներին.

2) սույն օրենքի պահանջների խախտման դեպքում կիրառում է օրենքով սահմանված վարչական պատասխանատվության միջոցներ.

3) պահանջում է արգելափակել, կասեցնել կամ դադարեցնել սույն օրենքի պահանջները խախտող անձնական տվյալների մշակումը.

4) օրենքով նախատեսված հիմքերի առկայության դեպքում մշակողից պահանջում է անձնական տվյալների ուղղում, փոփոխում, ուղեփակում կամ ոչնչացում.

5) անձնական տվյալներ մշակելու վերաբերյալ մշակողի ծանուցման ուսումնասիրության արդյունքում ամբողջությամբ կամ մասամբ արգելում է անձնական տվյալների մշակումը.

6) վարում է անձնական տվյալներ մշակողների ռեեստր?

7) իրավաբանական անձանց անձնական տվյալներ մշակող էլեկտրոնային համակարգերը ճանաչում է բավարար պաշտպանության մակարդակ ունեցող եւ դրանք ներառում է ռեեստրում.

8) ստուգում է տվյալներ մշակելու համար օգտագործվող սարքերը եւ փաստաթղթերը, այդ թվում՝ առկա տվյալները եւ համակարգչային ծրագրերը.

9) օրենքով նախատեսված դեպքերում դիմում է դատարան.

10) իրականացնում է օրենքով սահմանված այլ լիազորություններ?

11) պահպանում է իր գործունեության ընթացքում իրեն վստահված կամ հայտնի դարձած անձնական տվյալների գաղտնիությունը.

12) ապահովում է տվյալների սուբյեկտի իրավունքների պաշտպանությունը.

13) քննում է անձնական տվյալների մշակմանը վերաբերող հարցերով ֆիզիկական անձանց դիմումները եւ իր լիազորությունների սահմաններում ընդունում  որոշումներ.

14) տարեկան մեկ անգամ ներկայացնում է հրապարակային հաշվետվություն՝ անձնական տվյալների պաշտպանության բնագավառում առկա իրավիճակի եւ նախորդ տարվա գործունեության վերաբերյալ?

15) կատարում է հետազոտություններ եւ մշակողների դիմումների կամ լուսաբանումների հիման վրա տալիս տվյալներ մշակելու վերաբերյալ խորհրդատվություն կամ տեղեկացնում է անձնական տվյալներ մշակելու վերաբերյալ լավագույն փորձի մասին.

16) իրավապահ մարմիններին հաղորդում է ներկայացնում իր գործունեության ընթացքում քրեաիրավական բնույթի խախտումների վերաբերյալ կասկածներ ի հայտ գալու դեպքում։

4. Անձնական տվյալների պաշտպանության լիազոր մարմնի որոշումները կարող են բողոքարկվել դատական կարգով:

5. Անձնական տվյալների պաշտպանության լիազոր մարմնի գործունեությունը ֆինանսավորվում է պետական բյուջեի միջոցների հաշվին՝ առանձին տողով:

6. Անձնական տվյալների պաշտպանության լիազոր մարմնին կից կարող է հասարակական հիմունքներով գործել խորհրդատվական մարմին, որի ձեւավորման ու գործունեության կարգը սահմանվում է անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարի հրամանով:

Հոդված 25.  Անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարի նշանակումը, լիազորությունների դադարումը եւ նրան ներկայացվող պահանջները

1. Անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարը նշանակվում է հինգ տարի ժամկետով Հայաստանի Հանրապետության վարչապետի կողմից՝ Հայաստանի Հանրապետության արդարադատության նախարարի ներկայացմամբ՝ իրավապաշտպան գործունեություն իրականացնող առնվազն հինգ հասարակական կազմակերպությունների համատեղ առաջարկությունների հիման վրա: Հայաստանի Հանրապետության արդարադատության նախարարի կողմից Հայաստանի Հանրապետության վարչապետին ներկայացվող լիազոր մարմնի ղեկավարի թեկնածուն պետք է լինի հասարակական կազմակերպությունների առաջարկած թեկնածությունների ցանկից:

2. Հասարակական կազմակերպությունների կողմից թեկնածություններ առաջարկելու կարգը սահմանում է Հայաստանի Հանրապետության կառավարությունը:

3. Միեւնույն անձը չի կարող երկու անգամ անընդմեջ նշանակվել անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարի պաշտոնում:

4. Անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարը ղեկավարում է անձնական տվյալների պաշտպանության լիազոր մարմնի գործունեությունը եւ պատասխանատու է անձնական տվյալների պաշտպանության լիազոր մարմնի լիազորությունների իրականացման համար:

5. Անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարն ունի օրենքով եւ այլ իրավական ակտերով սահմանված իրավունքներ եւ պարտականություններ:

6. Անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարը՝

1) պետք է ունենա բարձրագույն կրթություն, բարձր հեղինակություն եւ առնվազն հինգ տարվա կառավարման ոլորտի աշխատանքային փորձ.

2) պետք է զերծ մնա իր անկախությունը եւ անաչառությունը կասկածի տակ դնող գործողություններից:

7. Անձնական տվյալների պաշտպանության լիազորված մարմնի ղեկավարը պաշտոնից ազատվում է հետեւյալ հիմքերի առկայության դեպքում՝

1) գրավոր դիմումի հիման վրա.

2) լրացել է նրա 65 տարին (պաշտոնավարման տարիքը), կամ լրացել է պաշտոնավարման ժամկետը.

3) ընտրվել կամ նշանակվել է այլ պաշտոնում կամ անցել է անձնական տվյալների պաշտպանության լիազոր մարմնի ղեկավարի պաշտոնի հետ անհամատեղելի այլ աշխատանքի.

4) ժամանակավոր անաշխատունակության հետեւանքով ավելի քան 120 օր անընդմեջ կամ վերջին 12 ամսվա ընթացքում ավելի քան 140 օր ծառայության չներկայանալու դեպքում` չհաշված հղիության եւ ծննդաբերության կամ երեխային խնամելու համար արձակուրդը.

5) ավելի քան հինգ օր անընդմեջ առանց հարգելի պատճառի չի ներկայացել աշխատանքի.

6)  դատարանի՝ օրինական ուժի մեջ մտած վճռի հիման վրա ճանաչվել է անգործունակ, սահմանափակ գործունակ, անհայտ բացակայող կամ մահացած.

7) նրա նկատմամբ դատարանի մեղադրական դատավճիռն օրինական ուժի մեջ մտնելու դեպքում:

ԳԼՈՒԽ  7

ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԸ  ԵՐՐՈՐԴ ԱՆՁԱՆՑ ԵՎ ԱՅԼ ՊԵՏՈՒԹՅՈՒՆՆԵՐ ՓՈԽԱՆՑԵԼԸ

Հոդված 26. Անձնական տվյալները երրորդ անձանց փոխանցելը

1. Առանց անձնական տվյալների սուբյեկտի համաձայնության մշակողը կարող է անձնական տվյալները փոխանցել երրորդ անձանց կամ տվյալներից օգտվելու հնարավորություն տրամադրել, եթե դա նախատեսված է օրենքով եւ ունի բավարար պաշտպանության մակարդակ։

2. Առանց անձնական տվյալների սուբյեկտի համաձայնության մշակողը կարող է հատուկ կատեգորիայի անձնական տվյալներ փոխանցել երրորդ անձանց կամ տվյալներից օգտվելու հնարավորություն տրամադրել, եթե՝

1) տվյալներ մշակողը հանդիսանում է օրենքով կամ միջպետական պայմանագրով սահմանված հատուկ կատեգորիայի անձնական տվյալներ մշակող, այդ տեղեկության փոխանցումը ուղղակիորեն նախատեսված է օրենքով եւ ունի բավարար պաշտպանության մակարդակ.

2) օրենքով նախատեսված բացառիկ դեպքերում հատուկ կատեգորիայի անձնական տվյալները կարող են փոխանցվել տվյալների սուբյեկտի կյանքի, առողջության կամ ազատության պաշտպանության համար:

Հոդված 27. Անձնական տվյալներն այլ պետություններ փոխանցելը

1. Անձնական տվյալները կարող են այլ երկիր փոխանցվել տվյալների սուբյեկտի համաձայնությամբ, կամ եթե տվյալների փոխանցումը  բխում է անձնական տվյալների մշակման նպատակներից եւ (կամ) անհրաժեշտ է այդ նպատակների իրագործման համար:

2. Առանց լիազոր մարմնի թույլտվության անձնական տվյալները կարող են փոխանցվել այլ պետություն, եթե այդ պետությունում ապահովված է անձնական տվյալների պաշտպանության բավարար մակարդակ: Անձնական տվյալների պաշտպանության բավարար մակարդակը համարվում է ապահովված, եթե՝

1) անձնական տվյալները փոխանցվում են միջազգային պայմանագրերին համապատասխան.

2) անձնական տվյալները փոխանցվում են լիազոր մարմնի կողմից պաշտոնական հրապարակված ցուցակում ընդգրկված որեւէ երկիր:

3. Անձնական տվյալները կարող են փոխանցվել բավարար պաշտպանության մակարդակ չապահովող պետության տարածք միայն լիազոր մարմնի թույլտվությամբ, եթե անձնական տվյալները փոխանցվում են պայմանագրի հիման վրա, եւ պայմանագրով նախատեսված են անձնական տվյալների պաշտպանության այնպիսի երաշխիքներ, որոնք լիազոր մարմնի կողմից հաստատվել են որպես բավարար պաշտպանություն ապահովող:

4. Սույն հոդվածի 3-րդ մասում նշված դեպքերում անձնական տվյալներ մշակողը պարտավոր է նախքան այլ երկիր տվյալներ փոխանցելը գրավոր դիմել լիազոր մարմին` թույլտվություն ստանալու հայտով: Հայտում անձնական տվյալներ մշակողը պարտավոր է նշել այն երկիրը, որտեղ փոխանցվում են անձնական տվյալները, անձնական տվյալներն ստացող սուբյեկտի նկարագրությունը (անվանումը, իրավակազմակերպչական ձեւը), անհատական տվյալների նկարագրությունը (պարունակությունը), անձնական տվյալների մշակման, անձնական տվյալները փոխանցելու նպատակը եւ պայմանագիրը կամ դրա նախագիծը: Լիազոր մարմինը 30 օրվա ընթացքում պարտավոր է թույլատրել կամ մերժել հայտը: Լիազոր մարմինը կարող է անձնական տվյալներ մշակողից պահանջել լրացուցիչ տեղեկություններ` պահպանելով հայտը դիտարկելու ժամկետը: Այն դեպքում, երբ լիազոր մարմինը կգտնի, որ պայմանագրային երաշխիքները բավարար չեն, պարտավոր է նշել այն անհրաժեշտ փոփոխությունները, որոնք կապահովեն անձնական տվյալների պաշտպանության երաշխիքներ:

 5. Անձնական տվյալների պաշտպանության լիազոր մարմինը պարբերաբար, սակայն ոչ պակաս, քան տարին մեկ անգամ, պարտավոր է վերանայել անձնական տվյալների պաշտպանության բավարար մակարդակն ապահովող երկրների ցուցակը եւ հրապարակել փոփոխությունները պաշտոնական տեղեկագրում եւ իր պաշտոնական ինտերնետային կայքում:

6. Պետական մարմինների տնօրինության տակ գտնվող անձնական տվյալները կարող են փոխանցվել օտարերկրյա պետական մարմիններին միայն միջպետական պայմանագրերի շրջանակներում, իսկ ոչ պետական մարմիններին` սույն հոդվածի նորմերին համապատասխան:

ԳԼՈՒԽ  8

ԵԶՐԱՓԱԿԻՉ ՄԱՍ ԵՎ ԱՆՑՈՒՄԱՅԻՆ ԴՐՈՒՅԹՆԵՐ

Հոդված 28. Եզրափակիչ մաս

1. Սույն օրենքն ուժի մեջ է մտնում 2015 թվականի հուլիսի 1-ից:

2. Uույն օրենքն ուժի մեջ մտնելու պահից ուժը կորցրած ճանաչել «Անհատական տվյալների մասին» Հայաստանի Հանրապետության 2002 թվականի հոկտեմբերի 8-ի ՀO-422-Ն օրենքը:

3. Սույն օրենքի 7-րդ հոդվածն ուժի մեջ է մտնում 2019 թվականի հունվարի 1-ից։

Հոդված 29. Անցումային դրույթներ

1. Սույն օրենքն ուժի մեջ մտնելուց հետո մինչեւ սույն օրենքն ուժի մեջ մտնելը մշակվող անձնական տվյալների մշակումը շարունակվում է իրականացվել սույն օրենքով սահմանված կարգով:

2. Այն մշակողները, որոնք անձնական տվյալներ մշակել են մինչեւ սույն օրենքն ուժի մտնելը եւ շարունակում են անձնական տվյալներ մշակել սույն օրենքն ուժի մեջ մտնելուց հետո, պարտավոր են սույն օրենքով նախատեսված պարտադիր ծանուցումն ուղարկել անձնական տվյալների պաշտպանության լիազոր մարմին մինչեւ 2015 թվականի սեպտեմբերի 1-ը: