О ЗАЩИТЕ ЛИЧНЫХ ДАННЫХ
ГЛАВА 2. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ
ГЛАВА 3. ОБРАБОТКА ЛИЧНЫХ ДАННЫХ
ГЛАВА 4. ПРАВА СУБЪЕКТА ДАННЫХ
ГЛАВА 5. ОБЯЗАННОСТИ ОПЕРАТОРА ЛИЧНЫХ ДАННЫХ
ГЛАВА 6. НАДЗОР ЗА ЗАКОННОСТЬЮ ОБРАБОТКИ ЛИЧНЫХ ДАННЫХ
ГЛАВА 7. ПЕРЕДАЧА ЛИЧНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ ИЛИ ДРУГИМ ГОСУДАРСТВАМ
ГЛАВА 8. ЗАКЛЮЧИТЕЛЬНАЯ ЧАСТЬ И ПЕРЕХОДНЫЕ ПОЛОЖЕНИЯ
Статья 1. Предмет регулирования Закона
1. Настоящий Закон регулирует порядок и условия обработки личных данных органами государственного управления или местного самоуправления, государственными или муниципальными учреждениями или организациями, юридическими или физическими лицами, осуществления за ними государственного надзора.
2. Особенности, связанные с личными данными, считающимися государственной и служебной, банковской, нотариальной, адвокатской, страховой тайной, с используемыми во время действий, связанных с национальной безопасностью и обороной, а также используемыми в ходе борьбы с отмыванием денег и финансированием терроризма, в оперативно-розыскной деятельности или судопроизводствах, регулируются другими законами.
3. Установленные настоящим Законом ограничения обработки личных данных не распространяются на личные данные, обрабатываемые исключительно в целях журналистики, литературы и в художественных целях.
4. Особенности обработки личных данных, осуществления надзора могут устанавливаться другими законами. В случае, если другими законами установлен орган, осуществляющий надзор, уполномоченный орган осуществляет свои полномочия в порядке, установленном настоящим Законом.
Статья 2. Законодательство Республики Армения о личных данных
1. Отношения, связанные с обработкой личных данных, регулируются Конституцией Республики Армения, международными договорами Республики Армения, настоящим Законом, другими законами.
Статья 3. Основные понятия Закона
1. В настоящем Законе используются следующие основные понятия:
1) личные данные – любое относящееся к физическому лицу сведение, которое дает возможность или может дать возможность прямо или косвенно идентифицировать личность лица;
2) обработка личных данных – любое действие или совокупность действий, которые связаны со сбором или с фиксированием, или вводом, или систематизацией, или формированием, или хранением, или использованием, или преобразованием, или восстановлением, или передачей, или исправлением, или блокированием, или уничтожением личных данных, или совершением с ними других действий, независимо от вида и способа осуществления (в том числе, с применением любых средств автоматизации, технических средств или без них);
3) передача личных данных третьим лицам – действие, направленное на передачу личных данных определенному или неопределенному кругу других лиц либо на ознакомление с ними определенного или неопределенного круга других лиц, в том числе обнародование личных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление другому лицу доступа к личным данным иным способом;
4) использование личных данных – действие, совершаемое с личными данными, прямой или косвенной целью которого может быть принятие решений или формирование мнения, или приобретение прав, или предоставление прав либо льгот, или ограничение либо лишение прав, или реализация иной цели, которые влекут или могут повлечь для субъекта данных или третьих лиц правовые последствия или иным образом соотноситься с их правами и свободами;
5) оператор личных данных – орган государственного управления или местного самоуправления, государственные или муниципальные учреждение или организация, юридическое или физическое лицо, которые организуют и (или) осуществляют обработку личных данных;
6) субъект данных – физическое лицо, к которому относятся личные данные;
7) база данных – совокупность личных данных, систематизированных по определенным признакам;
8) информационная система – совокупность информационных технологий или технических средств, применяемых для обработки включенных в базу данных личных данных, их обработки электронным или неэлектронным способом;
9) обезличивание личных данных – действия, в результате которых невозможно определить принадлежность данных конкретному субъекту данных;
10) блокирование личных данных – временное приостановление возможности сбора или фиксирования, или систематизации, или передачи, или использования личных данных;
11) уничтожение личных данных – действие, в результате которого невозможно восстановить содержание личных данных, имеющихся в информационной системе;
12) данные личной жизни – сведения о личной жизни, семейной жизни, физическом, физиологическом, интеллектуальном, социальном состоянии лица или другие подобные сведения;
13) биометрические личные данные – сведения, характеризующие физические, физиологические и биологические особенности лица;
14) личные данные специальной категории – сведения, касающиеся расовой, национальной принадлежности или этнического происхождения, политических взглядов, религиозных или философских убеждений, членства в профессиональном союзе, состояния здоровья и интимной жизни лица;
15) общедоступные личные данные – сведения, которые становятся доступными определенному или неопределенному кругу лиц с согласия субъекта данных или при совершении сознательных действий, направленных на их общедоступность, а также сведения, предусмотренные законом в качестве общедоступных сведений;
16) уполномоченное лицо – юридическое или физическое лицо, орган государственного управления или местного самоуправления, государственные или муниципальные учреждение или организация, которым в установленных законом случаях или на основании договора оператором данных заказан сбор, ввод, систематизация или другой способ обработки личных данных;
17) третье лицо – любые лицо, орган, учреждение или организация, которые не являются субъектом данных, оператором личных данных или уполномоченным лицом, и права или законные интересы которых затрагиваются или могут быть затронуты в результате обработки личных данных.
1. Оператор личных данных обязан следить за обработкой и обеспечивать обработку данных с соблюдением требований закона.
2. Личные данные обрабатываются в законных и определенных целях и не могут быть использованы в других целях без согласия субъекта данных.
Статья 5. Принцип соразмерности
1. Обработка данных должна преследовать законную цель, методы ее достижения должны быть приемлемыми, необходимыми и соразмерными.
2. Оператор личных данных обязан обрабатывать личные данные в том минимальном количестве, которое необходимо для достижения законных целей.
3. Запрещается обработка таких личных данных, которые не являются необходимыми для цели обработки данных или несовместимы с ней.
4. Запещается обработка личных данных, если цель обработки данных может быть достигнута способом обезличивания.
5. Личные данные должны храниться таким образом, чтобы исключить их идентификацию с субъектом данных на более длительный срок, чем это необходимо для достижения заранее определенных целей.
Статья 6. Принцип достоверности
1. Обрабатываемые личные данные должны быть полными, точными, ясными и по возможности обновленными.
Статья 7. Принцип минимального вовлечения субъектов
1. Обработка личных данных осуществляется по принципу минимального вовлечения субъектов.
2. В случае, когда орган государственного управления или местного самоуправления, нотариус могут получить личные данные от другого органа через единую электронную информационную систему, то представления необходимых для определенных действий личных данных от субъекта личных данных не требуется.
3. В случае письменного согласия субъекта личных данных физические или юридические лица, считающиеся операторами личных данных, могут получать от органов государственного управления или местного самоуправления личные данные, необходимые для определенного действия и непосредственно указанные субъектом личных данных в письменном согласии.
4. Порядок передачи личных данных по электронной информационной системе устанавливается Правительством Республики Армения.
Статья 8. Законность обработки личных данных
1. Обработка личных данных является законной, если:
1) данные обработаны с соблюдением требований закона и субъект данных дал свое согласие на это, за исключением случаев, непосредственно предусмотренных настоящим Законом либо иными законами, или
2) обрабатываемые данные получены из общедоступных источников личных данных.
Статья 9. Согласие субъекта личных данных
1. Субъект данных может дать свое согласие лично или через представителя, если подобное полномочие специально предусмотрено доверенностью.
2. Данные, обрабатываемые на основании согласия, сохраняются на срок, объективно необходимый для осуществления целей обработки данных, или на установленный согласием срок.
3. Субъект данных вправе отозвать свое согласие в случаях и порядке, предусмотренных настоящим Законом, а также иными законами.
4. Согласие субъекта данных считается полученным и оператор имеет право на их обработку, когда:
1) личные данные указаны в документе, адресованном оператору и подписанном субъектом данных, за исключением случаев, когда документ по своему содержанию является возражением против обработки личных данных;
2) оператор получил данные на основании договора, заключенного с субъектом данных, и использует их в целях действий, установленных этим договором;
3) субъект данных добровольно передает в устной форме сведения о своих личных данных оператору в целях использования.
5. Личные данные могут быть обработаны без согласия субъекта данных, если обработка данных непосредственно предусмотрена законом.
6. Оператор личных данных или уполномоченное лицо в целях получения письменного согласия субъекта данных уведомляет субъекта данных о намерении осуществить обработку данных.
7. Согласие субъекта данных дается в письменной или электронной форме с подтвержденной электронной цифровой подписью, а при устном согласии - посредством таких достоверных действий, которые явно будут свидетельствовать о согласии субъекта данных на использование личных данных.
8. Обязанность по доказыванию факта получения согласия субъекта данных, а в случае обработки общедоступных личных данных - факта их общедоступности несет оператор.
9. В случае недееспособности или ограниченной дееспособности, или несовершеннолетия до 16 лет субъекта данных согласие на обработку его личных данных дает законный представитель субъекта данных.
10. В случае смерти субъекта данных или признания его умершим по решению суда согласие на обработку его личных данных дают все законные наследники субъекта данных, а в случае отсутствия наследников – руководитель муниципалитета по месту открытия наследства, а в случае признания безвестно отсутствующим – доверительный управляющий имуществом лица, признанного безвестно отсутствующим, если до этого подобное согласие субъектом этих данных не было дано.
11. В случае смерти субъекта данных его личные данные могут быть обработаны без согласия, если обрабатываемыми данными должны стать имя, пол, день, месяц, год рождения и смерти умершего лица. В случае смерти деятеля в области культуры, искусства, науки, образования, спорта, религиии, других публичных областей данные его личной жизни могут быть обработаны без согласия, если со дня смерти прошло пятьдесят лет.
Статья 10. Уведомление, представляемое субъекту данных для получения согласия на обработку личных данных
1. Оператор личных данных или уполномоченное лицо, предусмотренное статьей 14 настоящего Закона, уведомляет субъекта данных о намерении обработки данных для получения его согласия.
2. В уведомлении указываются:
1) фамилия, имя, отчество субъекта данных;
2) правовые основания и цель обработки личных данных;
3) перечень личных данных, подлежащих обработке;
4) перечень действий, подлежащих совершению с личными данными, для которых испрашивается согласие субъекта данных;
5) круг лиц, которым могут быть переданы личные данные;
6) наименование (фамилия, имя, отчество, должность) и место нахождения или учета (фактического проживания) оператора или его представителя, испрашивающего согласие субъекта личных данных;
7) сведения о требовании субъекта данных по исправлению, уничтожению личных данных, прекращению обработки данных или совершению другого действия, связанного с обработкой;
8) срок действия испрашиваемого согласия, а также порядок отзыва согласия и его последствия.
Статья 11. Общедоступные личные данные
1. С согласия субъекта данных или в предусмотренных законом случаях может быть установлен режим информационной общедоступности личных данных (телефонные справочники, адресные книги, биографические справочники, частные объявления, декларирование доходов и прочее). Общедоступными считаются имя, фамилия, день, месяц и год, место рождения лица; место, день, месяц и год смерти лица, а также личные данные, которые при совершении субъектом данных сознательных действий, направленных на их общедоступность, становятся доступными для определенного или неопределенного круга лиц.
2. Сведения о субъекте данных могут быть исключены из общедоступных источников личных данных по требованию субъекта данных или в судебном порядке, за исключением сведений, предусмотренных частью 1 настоящей статьи.
3. Данные, обрабатываемые на основании договора, могут быть исключены из общедоступных источников личных данных по взаимному согласию или в судебном порядке.
Статья 12. Особенности обработки личных данных специальной категории
1. Запрещается обработка личных данных специальной категории без согласия лица, за исключением обработки данных, непосредственно предусмотренной законом.
2. Обработка личных данных, предусмотренная частью 1 настоящей статьи, незамедлительно прекращается, если отпали основания и цель обработки данных.
Статья 13. Особенности обработки биометрических личных данных
1. Биометрические личные данные обрабатываются только с согласия субъекта данных, за исключением случаев, предусмотренных законом, и если осуществление преследуемой законом цели возможно только путем обработки этих биометрических данных.
Статья 14. Обработка уполномоченным лицом личных данных по заданию оператора данных
1. Личные данные может обрабатывать также уполномоченное лицо по заданию оператора данных.
2. Задание дается в письменной форме, в нем должны быть изложены правовые основания и условия, цель обработки личных данных, перечень личных данных, подлежащих обработке, круг субъектов данных, круг лиц, которым могут передаваться личные данные, технические и организационные мероприятия по защите личных данных и другие необходимые сведения.
3. Личные данные обрабатываются только в пределах задания. Ответственным за обработку личных данных в пределах задания является оператор данных. Если задание не соответствует требованиям закона, то уполномоченное лицо должно в письменной форме проинформировать об этом оператора и отказаться от обработки.
4. Личные данные обрабатываются по заданию органов государственного управления или местного самоуправления, государственных или муниципальных учреждений или организаций с соблюдением требований настоящего Закона.
5. Иными законами и договорами, заключенными между оператором данных и уполномоченным лицом, могут устанавливаться особенности обработки уполномоченным лицом личных данных, которые не могут относиться к правам и обязанностям других лиц.
Статья 15. Право субъекта данных на получение сведений о своих личных данных
1. Субъект данных вправе получать сведения о своих личных данных, об обработке данных, основаниях и целях обработки, операторе данных, о месте его нахождения, а также круге лиц, которым могут быть переданы личные данные.
2. Субъект данных вправе ознакомляться со своими личными данными, требовать от оператора исправления, блокирования или уничтожения своих личных данных, если личные данные являются неполными или неточными, или устаревшими, или получены незаконным путем, или не являются необходимыми для достижения целей обработки.
3. В случае сомнений относительно исправления, блокирования или уничтожения оператором личных данных субъект данных вправе обратиться в уполномоченный орган по защите личных данных с требованием о выяснении факта исправления, блокирования или уничтожения своих личных данных и о предоставлении ему сведений.
4. Сведения о личных данных должны быть предоставлены оператором субъекту данных в доступной форме и не должны содержать личные сведения о другом субъекте данных.
5. Личные данные предоставляются субъекту данных на основании письменного запроса субъекта данных или его представителя, выступающего по доверенности, или законного представителя. Запрос может быть направлен в электронной форме с подтвержденной электронной цифровой подписью.
6. Субъект данных вправе получать информацию об обработке своих личных данных, в том числе:
1) о подтверждении факта обработки и цели обработки личных данных;
2) о способах обработки личных данных;
3) о субъектах, которым предоставлены или могут предоставляться личные данные;
4) о перечне обрабатываемых личных данных и об источниках их получения;
5) о сроках обработки личных данных;
6) о возможных правовых последствиях, возникающих для субъекта данных вследствие обработки личных данных.
7. Сведения предоставляются субъекту данных бесплатно, если законом не предусмотрено иное.
Статья 16. Права субъекта данных при принятии решений на основании обработки личных данных
1. Запрещается принятие таких не следующих из целей обработки личных данных решений, которые влекут для субъекта данных правовые последствия или иным образом соотносятся с его правами и законными интересами, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решения, влекущие для субъекта данных правовые последствия, или иным образом соотносящиеся с его правами и законными интересами на основании обработки личных данных, принимаются с согласия субъекта данных или в предусмотренных законом случаях.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект данных сочтет, что обработка его личных данных осуществляется с нарушением требований настоящего Закона или иным образом нарушает его права и свободы, то он вправе обжаловать в уполномоченный орган по защите личных данных или в судебном порядке действия или бездействие, или решения оператора.
2. Субъект данных имеет право на возмещение вреда в установленном законом порядке.
Статья 18. Обязанности оператора личных данных в ходе сбора личных данных
1. Оператор в ходе обработки личных данных обязан предоставить по требованию субъекта данных информацию, предусмотренную статьей 15 настоящего Закона.
2. Оператор личных данных в случае неполных, неточных, устаревших, полученных незаконным путем или не являющихся необходимыми для достижения целей обработки личных данных обязан осуществить необходимые действия по их дополнению, обновлению, исправлению или уничтожению.
3. Оператор обязан в письменной форме разъяснить субъекту данных последствия непредставления личных данных, в том числе права субъекта личных данных.
4. Если личные данные получены не от субъекта данных, за исключением предусмотренных законом случаев, а также общедоступных личных данных, то оператор до обработки таких личных данных обязан предоставить субъекту данных следующую информацию:
1) наименование (фамилию, имя, отчество) и место нахождения или учета (фактического проживания) оператора или уполномоченного им лица (при наличии);
2) цель и правовое основание обработки личных данных, перечень обрабатываемых данных;
3) круг возможных пользователей личных данных;
4) права субъекта данных, установленные настоящим Законом.
Статья 19. Меры по обеспечению безопасности обработки личных данных и обязанности оператора
1. Оператор обязан уничтожать или блокировать личные данные, не являющиеся необходимыми для достижения законной цели.
2. Оператор при обработке личных данных обязан использовать шифровальные средства для обеспечения защиты информационных систем, содержащих личные данные, от случайной потери, незаконного проникновения в информационные системы, незаконных использования, записи, уничтожения, преобразования, блокирования, копирования, распространения личных данных и другого вмешательства.
3. Оператор обязан предотвращать доступ к соответствующим технологиям обработки личных данных лиц, не имеющих на это право, и обеспечивать, чтобы законному пользователю этих систем были доступны только обрабатываемые им данные и те данные, которыми разрешается пользоваться.
4. Требования, предъявляемые к обеспечению безопасности обработки личных данных в информационных системах, требования, предъявляемые к материальным носителям биометрических личных данных и технологиям хранения таких личных данных вне информационных систем, устанавливаются постановлением Правительства Республики Армения.
5. В случае установления законом другого осуществляющего надзор органа этот орган в пределах отведенных ему полномочий может устанавливать более высокие требования, чем предусмотренные частью 4 настоящей статьи требования, установленные постановлением Правительства Республики Армения.
6. Использование и хранение биометрических личных данных вне информационных систем могут осуществляться только на таких материальных носителях, с применением таких технологий или такими способами, которые обеспечивают защиту этих данных от незаконного в них проникновения, незаконного использования, уничтожения, преобразования, блокирования, копирования, распространения личных данных и прочего.
7. Операторы личных данных или другие предусмотренные настоящим Законом лица обязаны обеспечивать конфиденциальность личных данных как в процессе исполнения служебных или трудовых обязанностей, связанных с обработкой личных данных, так и после его завершения.
8. Надзор за выполнением требований настоящей статьи осуществляет уполномоченный орган по защите личных данных – без права на обработку личных данных, обрабатываемых в информационных системах.
9. Юридические лица, обрабатывающие личные данные, могут обращаться в уполномоченный орган по защите личных данных в целях признания наличия достаточного уровня защиты и включения в реестр электронной системы обработки личных данных, находящейся в их распоряжении.
Статья 20. Обязанности оператора личных данных в случаях письменного запроса, ознакомления субъекта данных или уполномоченного органа с личными данными, выявления оператором или уполномоченным органом нарушений
1. Оператор обязан в порядке, установленном статьей 15 настоящего Закона, предоставить субъекту данных и уполномоченному органу информацию о наличии личных данных, относящихся к субъекту данных, или предоставить возможность ознакомления с ними в течение пяти дней после получения их письменного запроса.
2. Оператор обязан безвозмездно предоставить субъекту данных возможность ознакомления с личными данными, относящимися к субъекту данных. Если личные данные субъекта данных являются неполными или неточными, или устаревшими, или получены незаконным путем, или не являются необходимыми для достижения цели обработки, то при выявлении этого оператором или уполномоченным органом либо после получения заявления от субъекта данных или его законного представителя (или уполномоченного лица) оператор обязан осуществить необходимые действия по их дополнению, обновлению, внесению изменений, блокированию или уничтожению незамедлительно либо, при отсутствии такой возможности, в течение трех рабочих дней.
3. Оператор обязан на основании запроса уполномоченного органа по защите личных данных предоставить ему информацию, необходимую для осуществления его деятельности, в течении пяти дней со дня получения запроса.
4. В случае отказа в предоставлении, исправлении, блокировании или уничтожении личных данных субъекта данных на основании письменного требования субъекта данных оператор обязан в течение пяти дней со дня получения запроса предоставить субъекту данных и уполномоченному органу мотивированное письменное решение со ссылкой на положения закона, послужившие основанием для принятия решения.
5. В случае признания уполномоченным органом оснований отказа в предоставлении, исправлении, блокировании или уничтожении личных данных немотивированными оператор обязан незамедлительно предоставить, исправить, блокировать или уничтожить личные данные субъекта данных или обжаловать решение уполномоченного органа в судебном порядке.
Статья 21. Обязанности оператора при устранении нарушений законодательства, допущенных в ходе обработки личных данных, исправлении, блокировании или уничтожении
личных данных
1. В случае оспаривания достоверности или законности обработки личных данных на основании запроса субъекта данных или уполномоченного органа по защите личных данных оператор обязан заблокировать личные данные, относящиеся к субъекту данных, с момента получения запроса до окончания действий по проверке.
2. В случае подтверждения факта неточности личных данных оператор обязан внести исправления в личные данные и разблокировать их на основании документов, представленных субъектом данных или уполномоченным органом по защите личных данных, или других необходимых документов.
3. В случае выявления незаконных действий, совершаемых с личными данными, оператор незамедлительно, но не позднее чем в течение трех рабочих дней, обязан устранить допущенные нарушения. При невозможности устранения нарушений оператор обязан незамедлительно уничтожить личные данные. Оператор обязан в течение трех рабочих дней уведомить субъекта данных или его представителя, а в случае, если запрос получен от уполномоченного органа по защите личных данных, также этот орган об устранении нарушений или уничтожении личных данных.
4. В случае утечки личных данных из электронных систем оператор обязан незамедлительно опубликовать объявление об этом, одновременно заявив об утечке в Полицию Республики Армения и уполномоченный орган по защите личных данных.
5. При достижении цели обработки личных данных оператор обязан незамедлительно прекратить обработку данных, если законом не предусмотрено иное.
6. В случае отзыва письменного согласия субъекта данных, подтвержденого подписью, или его согласия в электронной форме с подтвержденной электронной цифровой подписью, оператор обязан прекратить обработку личных данных и уничтожить данные в течение десяти рабочих дней, следующих за днем получения отзыва, если взаимным согласием субъекта данных и оператора или законом не предусмотрено иное. Оператор обязан уведомить субъекта данных об уничтожении личных данных в течение трех рабочих дней с момента уничтожения.
Статья 22. Порядок осуществления полномочий уполномоченного органа посредством другого органа, осуществляющего надзор
1. Если законом установлен другой орган, осуществляющий надзор, то этот орган, осуществляющий надзор, предоставляет уполномоченному органу заключение о признании наличия достаточного уровня защиты электронных систем обработки личных данных юридических лиц.
2. Если законом установлен другой орган, осуществляющий надзор, то уполномоченный орган передает заявления о защите личных данных, а также сведения о защите личных данных этому органу, осуществляющему надзор.
3. Другой орган, осуществляющий надзор, направляет решения, вынесенные им в сфере защиты личных данных, или сведения о действиях по защите личных данных в уполномоченный орган в сжатые сроки.
4. Уполномоченный орган может обжаловать решения, действия и бездействие осуществляющего надзор другого органа в судебном порядке.
Статья 23. Уведомление уполномоченного органа об обработке личных данных
1. Оператор до обработки личных данных имеет право уведомить уполномоченный орган по защите личных данных о своем намерении осуществить обработку данных.
2. Оператор по требованию уполномоченного органа обязан направить уведомление уполномоченному органу.
3. Оператор до обработки биометрических личных данных или личных данных специальной категории обязан уведомить уполномоченный орган по защите личных данных о намерении осуществить обработку данных.
4. В уведомлении указываются следующие сведения:
1) наименование (фамилия, имя, отчество), место нахождения или учета оператора или уполномоченного лица (при наличии);
2) цель и правовые основания обработки личных данных;
3) круг личных данных;
4) круг субъектов данных;
5) перечень действий, совершаемых с личными данными, общее описание способов обработки оператором личных данных;
6) описание мер, которые оператор обязуется осуществить по обеспечению безопасности обработки личных данных;
7) дата начала обработки личных данных;
8) сроки и условия прекращения обработки личных данных.
5. Уполномоченный орган по защите личных данных в течение 30 дней после получения уведомления вносит в реестр операторов сведения, предусмотренные частью 2 настоящей статьи, а также сведения о дате направления данного уведомления.
6. На оператора не могут возлагаться расходы, связанные с рассмотрением уведомления об обработке личных данных уполномоченным органом по защите личных данных, а также с внесением сведений в реестр операторов.
7. В случае, когда представленные оператором сведения, предусмотренные частью 2 настоящей статьи, являются неполными или неточными, уполномоченный орган по защите личных данных вправе потребовать от оператора уточнения представленных сведений до их внесения в реестр операторов.
8. В случае изменения сведений, предусмотренных частью 2 настоящей статьи, оператор обязан уведомить уполномоченный орган по защите личных данных об изменениях в течение десяти рабочих дней со дня возникновения изменений.
Статья 24. Уполномоченный орган по защите личных данных
1. Защита личных данных осуществляется уполномоченным органом, действующим по структуре, установленной постановлением Правительства Республики Армения.
2. Уполномоченный орган по защите личных данных действует независимо - на основании закона и иных правовых актов.
3. Уполномоченный орган по защите личных данных:
1) проверяет по собственной инициативе или на основании соответствующего заявления соответствие обработки личных данных требованиям настоящего Закона;
2) применяет установленные законом меры административной ответственности при нарушении требований настоящего Закона;
3) требует запрещения, приостановления или прекращения обработки личных данных, нарушающей требования настоящего Закона;
4) требует от оператора исправления, изменения, блокирования или уничтожения личных данных при наличии предусмотренных законом оснований;
5) запрещает полностью или частично обработку личных данных по результатам изучения уведомления оператора об обработке личных данных;
6) ведет реестр операторов личных данных;
7) признает наличие удовлетворительного уровня защиты электронных систем обработки личных данных юридических лиц и включает их в реестр;
8) проверяет устройства, используемые для обработки данных, и документы, в том числе имеющиеся данные и компьютерные программы;
9) обращается в суд в предусмотренных законом случаях;
10) осуществляет другие установленные законом полномочия;
11) соблюдает конфиденциальность личных данных, доверенных или ставших известными ему в ходе своей деятельности;
12) обеспечивает защиту прав субъекта данных;
13) рассматривает заявления физических лиц по вопросам обработки личных данных и принимает решения в пределах своих полномочий;
14) раз в год представляет публичный отчет о ситуации в сфере защиты личных данных и о деятельности за предыдущий год;
15) проводит исследования и на основании заявлений или разъяснений операторов предоставляет консультацию по обработке данных либо информирует о лучшей практике обработки данных;
16) передает правоохранительным органам сообщение в случае возникновения в ходе своей деятельности подозрений относительно нарушений уголовно-правового характера.
4. Решения уполномоченного органа по защите личных данных могут быть обжалованы в судебном порядке.
5. Деятельность уполномоченного органа по защите личных данных финансируется за счет средств государственного бюджета – отдельной строкой.
6. При уполномоченном органе по защите личных данных может действовать на общественных началах консультативный орган, порядок формирования и деятельности которого устанавливается приказом руководителя уполномоченного органа по защите личных данных.
Статья 25. Назначение, прекращение полномочий руководителя уполномоченного органа по защите личных данных и предъявляемые ему требования
1. Руководитель уполномоченного органа по защите личных данных назначается Премьер-министром Республики Армения сроком на пять лет по представлению министра юстиции Республики Армения на основании совместных предложений как минимум пяти общественных организаций, осуществляющих правозащитную деятельность. Кандидат в руководители уполномоченного органа, представляемый министром юстиции Республики Армения Премьер-министру Республики Армения, должен быть из перечня кандидатур, предложенных общественными организациями.
2. Порядок выдвижения кандидатур общественными организациями устанавливается Правительством Республики Армения.
3. Одно и то же лицо не может быть назначено на должность руководителя уполномоченного органа по защите личных данных два раза подряд.
4. Руководитель уполномоченного органа по защите личных данных руководит деятельностью уполномоченного органа по защите личных данных и несет ответственность за осуществление уполномоченным органом полномочий по защите личных данных.
5. Руководитель уполномоченного органа по защите личных данных имеет права и обязанности, установленные законом и иными правовыми актами.
6. Руководитель уполномоченного органа по защите личных данных:
1) должен иметь высшее образование, высокий авторитет и не менее чем пятилетний трудовой опыт в сфере управления;
2) должен воздерживаться от действий, ставящих под сомнение его независимость и непредвзятость.
7. Руководитель уполномоченного органа по защите личных данных освобождается от должности при наличии следующих оснований:
1) на основании письменного заявления;
2) он достиг 65 лет (возраст пребывания в должности) или истек срок его пребывания в должности;
3) он избран или назначен на другую должность или перешел на другую работу, несовместимую с должностью руководителя уполномоченного органа по защите личных данных;
4) в случае неявки на службу в течение более чем 120 дней непрерывно или в течение более чем 140 дней в течение 12 месяцев вследствие временной нетрудоспособности, не считая отпуска по беременности и родам или по уходу за ребенком;
5) в случае неявки на службу без уважительной причины более пяти дней непрерывно;
6) он признан недееспособным, ограниченно дееспособным, безвестно отсуствующим или умершим на основании вступившего в законную силу решения суда;
7) в случае вступления в законную силу обвинительного приговора суда в его отношении.
ГЛАВА 7
ПЕРЕДАЧА ЛИЧНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ ИЛИ ДРУГИМ ГОСУДАРСТВАМ
Статья 26. Передача личных данных третьим лицам
1. Оператор может передавать третьим лицам личные данные или предоставлять им возможность пользоваться данными без согласия субъекта личных данных, если это предусмотрено законом и имеется удовлетворительный уровень защиты.
2. Оператор может передавать личные данные специальной категории третьим лицам или предоставлять им возможность пользоваться данными без согласия субъекта личных данных, если:
1) оператор данных является установленным законом или межгосударственным договором оператором личных данных специальной категории, передача этого сведения непосредственно предусмотрена законом и имеет удовлетворительный уровень защиты;
2) личные данные специальной категории в предусмотренных законом исключительных случаях могут быть переданы для защиты жизни, здоровья или свободы субъекта данных.
Статья 27. Передача личных данных другим государствам
1. Личные данные могут быть переданы другой стране с согласия субъекта данных или если передача данных вытекает из целей обработки личных данных и (или) необходима для реализации этих целей.
2. Личные данные могут быть переданы другому государству без разрешения уполномоченного органа, если в этом государстве обеспечен удовлетворительный уровень защиты личных данных. Удовлетворительный уровень защиты личных данных считается обеспеченным, если:
1) личные данные передаются в соответствии с международными договорами;
2) личные данные передаются какой-либо стране, включенной в официально опубликованный уполномоченным органом список.
3. Личные данные могут передаваться на территорию государства, не обеспечивающего удовлетворительный уровень защиты, только с разрешения уполномоченного органа, если личные данные передаются на основании договора и договором предусмотрены гарантии защиты личных данных, утвержденные уполномоченным органом как обеспечивающие удовлетворительную защиту.
4. Оператор личных данных в случаях, указанных в части 3 настоящей статьи, обязан до передачи данных другой стране письменно обратиться в уполномоченный орган с заявкой на получение разрешения. Оператор личных данных обязан указать в заявке страну, которой передаются личные данные, описание субъекта, получающего личные данные (наименование, организационно-правовая форма), описание (содержание) личных данных, цель обработки личных данных, передачи личных данных и договор или его проект. Уполномоченный орган обязан в течение 30 дней выдать разрешение или отклонить заявку. Уполномоченный орган может потребовать у оператора личных данных дополнительные сведения с соблюдением сроков рассмотрения заявки. В случае, когда уполномоченный орган сочтет, что договорные гарантии недостаточны, он обязан указать необходимые изменения, которые обеспечат гарантию защиты личных данных.
5. Уполномоченный орган по защите личных данных обязан регулярно, но не менее чем раз в год, пересматривать список стран, обеспечивающих удовлетворительный уровень защиты личных данных, и публиковать изменения в официальном бюллетене и на своем официальном интернет-сайте.
6. Личные данные, находящиеся в распоряжении государственных органов, могут быть переданы органам иностранных государств только в рамках межгосударственных договоров, а негосударственным органам – в соответствии с нормами настоящей статьи.
Статья 28. Заключительная часть
1. Настоящий Закон вступает в силу с 1-го июля 2015 года.
2. С момента вступления в силу настоящего Закона считать утратившим силу Закон Республики Армения “О персональных данных” от 8 октября 2002 года, ЗР–422–Н.
3. Статья 7 настоящего Закона вступает в силу с 1-го января 2019 года.
Статья 29. Переходные положения
1. После вступления настоящего Закона в силу обработка личных данных, обрабатываемых до вступления настоящего Закона в силу, продолжает осуществляться в порядке, установленном настоящим Законом.
2. Операторы, обработавшие личные данные до вступления настоящего Закона в силу и продолжающие обрабатывать личные данные после вступления настоящего Закона в силу, обязаны направить предусмотренное настоящим Законом обязательное уведомление в уполномоченный орган по защите личных данных до 1-го сентября 2015 года.
Президент Республики Армения С. САРГСЯН
13.06.2015
ЗР-49