Недействующая редакция. Принята: 30.12.2016 / Вступила в силу: 09.01.2017

Недействующая редакция, не действует с 30 марта 2018 года

О вступлении в силу отдельных частей документа смотри Справку

Неофициальный перевод. (с) ООО СоюзПравоИнформ

ЗАКОН РЕСПУБЛИКИ АРМЕНИЯ

от 13 июня 2015 года №ЗР-49

О защите персональных данных

(В редакции Законов Республики Армения от 27.06.2016 г. №ЗР-102, 30.12.2016 г. №ЗР-244, 30.12.2016 г. №ЗР-255)

Принят Национальным Собранием Республики Армения 18 мая 2015 года

Глава 1. Общие положения

Статья 1. Предмет регулирования Закона

1. Настоящий Закон регулирует порядок и условия государственного контроля над обработкой персональных данных органами государственного управления или местного самоуправления, государственными или общинными учреждениями или организациями, юридическими или физическими лицами.

2. Особенности персональных данных, считающихся государственной и служебной, банковской, нотариальной, адвокатской, страховой тайной, используемых во время оперативно-следственных действий, относящихся к национальной безопасности или обороне, а так же в борьбе с отмыванием денег и терроризмом или в судебных процессах, регулируются другими законами.

3. Утратила силу в соответствии с Законом Республики Армения от 30.12.2016 г. №ЗР-244

4. Иными законами могут определяться особенности обработки персональных данных и осуществления контроля. В случае определения другими законами органа, осуществляющего контроль, уполномоченный орган осуществляет свои полномочия согласно порядку, определенному настоящим Законом.

5. Установленным настоящим Законом опубликованием персональных данных не считается опубликование персональных данных фондом, созданным на основании 3акона Республики Армения "О возмещении вреда, причиненного жизни или здоровью военнослужащих при защите Республики Армения".

(В статью 1 внесены изменения в соответствии с Законами Республики Армения от 30.12.2016 г. №ЗР-244, 30.12.2016 г. №ЗР-255)

(см. предыдущую редакцию)

Статья 2. Законодательство Республики Армения о персональных данных

1. Отношения, связанные с обработкой персональных данных регулируются Конституцией Республики Армения, международными договорами Республики Армения, настоящим Законом, другими законами.

Статья 3. Основные понятия Закона

1. В настоящем Законе используются следующие основные понятия:

1) персональные данные – любое сведение, относящееся к физическому лицу, которое позволяет или может позволить впрямую или косвенно идентифицировать личность,

2) обработка персональных данных – вне зависимости от формы и способа осуществления (в том числе, в применением автоматизированных, любых технических средств или без них) любое действие или группа действий, которая связана со сбором или фиксированием или вводом или систематизированием или организацией или сохранением или использованием или изменением или восстановлением или передачей или исправлением или блокированием или уничтожением персональных данных или выполнением других действий,

3) передача персональных данных третьим лицам – передача персональных данных иным лицам определенного или неопределенного круга или действие, направленное на ознакомление с ними, в том числе, публикация персональных данных в средствах массовой информации, размещение в информационных коммуникационных сетях или допуск другого лица к персональным данным иным образом,

4) использование личных данных – действие, выполняемое с персональными данными, прямой или косвенной целью которого может быть принятие решений или формирование мнения или получение прав или предоставление прав или привилегий или ограничение или лишение прав или реализация другой цели, которые для субъекта данных или для третьих лиц порождают или могут порождать правовые последствия или относятся иным образом к их правам и свободам.

5) обработчик персональных данных – орган государственного управления или местного самоуправления, государственное или общинное учреждение или организация, юридическое или физическое лицо, которое организует и (или) осуществляет обработку персональных данных,

6) субъект данных – физическое лицо, которого касаются персональные данные,

7) база данных – совокупность персональных данных, систематизированных по определенным признакам,

8) информационная система - совокупность информационных технологий и технических средств, используемых для обработки персональных данных в электронном и неэлектронным способом,

9) обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность данных конкретному субъекту,

10) блокировка персональных данных – временное приостановление возможности сбора или фиксирования или систематизирования или передачи или использования персональных данных,

11) уничтожение персональных данных – действие, в результате которого невозможно восстановить содержание имеющихся в информационной системе персональных данных,

12) данные личной жизни – сведения о личной, семейной жизни, физического, физиологического, умственного, социального состояния личности или иные подобные сведения,

13) биометрические персональные данные – сведения, описывающие физические, физиологические и биологические особенности личности,

14) персональные данные специальных категорий – сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, членству в профсоюзе, состоянию здоровья и половой жизни,

15) общедоступные персональные данные – сведения, которые с согласия субъекта данных или выполнением сознательных действий, направленных на приобретение общедоступности своих персональных данных, становятся доступными для лиц определенного или неопределенного круга, а так же сведения, которые предусмотрены законом как общественно доступные сведения,

16) уполномоченное лицо – юридическое или физическое лицо, государственный орган управления или местного самоуправления, государственное или общинное учреждение или организация, которой обработчиком данных в предусмотренных законом случаях или на основании договора было заказано собирать, вводить, систематизировать или обрабатывать другим образом персональные данные,

17) третье лицо – любое лицо, орган, учреждение или организация, которая не является субъектом данных, обработчиком или уполномоченным лицом, и права или законные интересы которой затрагиваются или могут быть затронуты в результате обработки персональных данных.

Глава 2. Основные принципы обработки персональных данных

Статья 4. Принцип законности

1. Обработчик персональных данных обязан следить и обеспечить обработку данных с соблюдением требований закона.

2. Персональные данные обрабатываются законно и в определенных целях и без согласия субъекта данных не могут использоваться в других целях.

Статья 5. Принцип пропорциональности

1. Обработка данных должна преследовать законную цель, средства достижения этого должны быть пригодные, необходимые и умеренные.

2. Обработчик персональных данных обязан обработать персональные данные в том минимальном количестве, которое необходимо для достижения законных целей.

3. Запрещается обработка таких персональных данных, которые не обязательны для цели обработки данных или несовместимы с ней.

4. Запрещается обработка персональных данных, если возможно достичь цели обработки данных неперсонализированным образом.

5. Персональные данные должны сохраняться так, чтобы исключить их идентификацию с субъектом данных дольше, чем нужно для достижения заранее определенных целей.

Статья 6. Принцип достоверности

1. Обрабатываемые персональные данные должны быть полными, точными, простыми и обновленными по возможности.

Статья 7. Принцип минимального привлечения субъектов

1. Обработка персональных данных осуществляется по принципу минимального привлечения субъектов.

2. В случае, если государственный орган управления или местного самоуправления, нотариус с помощью единой электронной системы могут получить персональные данные от другого органа, от субъекта данных не требуется предъявление необходимых данных для определенных действий.

3. В случае письменного согласия субъекта персональных данных физические или юридические лица, считающиеся обработчиками персональных данных, могут получить от государственного органа управления или местного самоуправления персональные данные, необходимые для определенного действия и указанные в письменном согласии субъекта персональных данных.

4. Порядок передачи персональных данных с помощью электронной информационной системы устанавливает Правительство Республики Армения.

Статья 7 вступает в силу с 1 января 2019 года

Глава 3. Обработка персональных данных

Статья 8. Законность обработки персональных данных

1. Обработка персональных данных законна, если:

1) данные были обработаны с соблюдением требований закона, и субъект данных дал свое согласие, за исключением случаев, непосредственно предусмотренных настоящим законом или другими законами, или

2) обработанные данные были получены из общедоступных источников.

Статья 9. Согласие субъекта данных

1. Субъект данных может дать свое согласие лично или с помощью представителя, если доверенностью специально предусмотрено подобное полномочие.

2. Обработанные на основании согласия данные сохраняются на срок, который объективно необходим для осуществления целей обработки данных, или на срок, определенный согласием.

3. Субъект данных имеет право отозвать свое согласие в случаях и в порядке, предусмотренных настоящим законом, а так же другими законами.

4. Согласие субъекта данных считается данным, и обработчик имеет право его обработать, если:

1) в документе, адресованном обработчику и подписанном субъектом данных, указаны персональные данные, за исключением случаев, когда документ по своему содержанию является возражением против обработки персональных данных,

2) обработчик получил данные на основании договора, заключенного с субъектом данных и использует для действий, установленных данным договором,

3) субъект данных по собственной воле устно передает обработчику сведения о своих персональных данных для использования.

5. Без согласия субъекта данных персональные данные могут обрабатываться, если обработка данных впрямую предусмотрена законом.

6. Обработчик персональных данных или уполномоченное лицо в целях получения письменного согласия субъекта данных сообщает субъекту данных о намерении обработки данных.

7. Согласие субъекта данных дается письменно или электронным способом с утвержденной электронной подписью, в случае устного согласия, с помощью таких достоверных действий, которые очевидно свидетельствуют о согласии субъекта данных на использование персональных данных.

8. Обязанность доказывания факта получения с согласия субъекта данных, а в случае обработки общедоступных персональных данных, факта их общественной доступности, несет обработчик.

9. В случае если субъект данных является недееспособным или ограниченно дееспособным или несовершеннолетним до 16 лет, для обработки его персональных данных согласие дает законный представитель субъекта данных.

10. В случае смерти или признания умершим решением суда субъекта данных для обработки его персональных данных согласие дают все наследники субъекта данных по закону, при отсутствии наследников, руководитель общины по месту открытия наследства, а в случае признания безвестно отсутствующим, попечитель имущества безвестно отсутствующего лица, если до этого субъект данных не давал подобного согласия.

11. В случае смерти субъекта данных его персональные данные могут обрабатываться без согласия, если обрабатываемыми данными должны быть имя, фамилия, пол, год, месяц, день рождения и смерти. В случае смерти деятеля сфер культуры, искусства, науки, образования, спорта, религии и других общественных сфер, его персональные данные могут быть обработаны без согласия, если со дня смерти прошло пятьдесят лет.

Статья 10. Уведомление, предъявляемое субъекту данных в целях получения согласия на обработку персональных данных

1. Обработчик персональных данных или уполномоченное лицо, предусмотренное статьей 14 настоящего закона, для получения согласия на обработку персональных данных уведомляет о намерении обработки персональных данных.

2. В уведомлении указываются:

1) фамилия, имя, отчество субъекта данных,

2) правовые основы и цель обработки персональных данных,

3) перечень персональных данных, подлежащих обработке,

4) перечень действий, подлежащих исполнению с персональными данными, для которых запрашивается согласие субъекта данных,

5) круг лиц, которым могут передаваться персональные данные,

6) название запрашивающего согласие субъекта персональных данных обработчика (фамилия, имя, отчество, должность) и место нахождения или регистрации (фактического проживания),

7) сведения о требовании субъекта данных об исправлении, уничтожении, приостановлении обработки персональных данных или выполнении других действий, связанных с обработкой,

8) срок действия запрашиваемого согласия, а так же порядок и следствия отзыва согласия.

Статья 11. Общедоступные персональные данные

1. При согласии субъекта данных или в предусмотренных законом случаях может быть установлен общедоступный информационный режим персональных данных (телефонные справочники, адресные книги, биографические справочники, частные объявления, декларация доходов и так далее). Общедоступными считаются имя, фамилия, год, месяц, день, место рождения, место, год, месяц, число смерти, а так же те личные данные, которые осознанными действиями субъекта данных, направленных на приобретение общедоступности, становятся доступными для лиц определенного или неопределенного круга.

2. Сведения о субъекте данных, за исключением сведений, предусмотренных частью 1 настоящей статьи, могут быть удалены из общедоступных источников персональных данных по требованию субъекта данных или в судебном порядке.

3. Данные, обрабатываемые на основании договора, могут быть удалены из общедоступных источников персональных данных по взаимному согласию или в судебном порядке.

Статья 12. Особенности обработки персональных данных специальных категорий

1. Без согласия лица запрещается обработка персональных данных специальных категорий, за исключением случая, если обработка данных непосредственно предусмотрено законом.

2. Обработка персональных данных, предусмотренная частью 1 настоящей статьи, приостанавливается незамедлительно, если больше нет оснований и цели для обработки.

Статья 13. Особенности обработки биометрических персональных данных

1. Биометрические персональные данные обрабатываются только с согласия субъекта данных, за исключением предусмотренных законом случаев, и если цель, преследуемая законом, можно осуществить только с помощью обработки биометрических данных.

Статья 14. Обработка персональных данных уполномоченным лицом по заданию обработчика данных

1. Данные может обрабатывать уполномоченное лицо по заданию обработчика данных.

2. Задание дается в письменной форме, в котором должны быть изложены правовые основы и условия, цель обработки персональных данных, список персональных данных, подлежащих обработке, круг субъектов данных, круг лиц, которым могут быть переданы персональные данные, технические и организационные меры защиты персональных данных и другие необходимые сведения.

3. Данные обрабатываются только в рамках задания. В рамках задания за обработку персональных данных ответственен обработчик данных. Если задание не соответствует требованиям закона, то уполномоченное лицо должно сообщить об этом обработчику данных в письменной форме и отказаться от обработки.

4. Персональные данные по заданию государственных органов управления или местного самоуправления, государственных или общинных учреждений или организаций обрабатываются с соблюдением требований настоящего закона.

5. Иными законами или договором, заключенным между обработчиком данных и уполномоченным лицом, могут устанавливаться особенности обработки персональных данных, которые не относятся к правам и обязанностям других лиц.

Глава 4. Права субъекта данных

Статья 15. Право субъекта данных получения сведений о своих персональных данных

1. Субъект данных имеет право получить сведения о своих персональных данных, обработке данных, основании и целях обработки, обработчике, его места нахождения, а так же о круге лиц, которым могут быть переданы персональные данные.

2. Субъект данных имеет право ознакомиться со своими персональными данными, требовать от обработчика исправить, блокировать или уничтожить свои персональные данные, если персональные данные неполные или неточные или устаревшие или получены незаконным путем или необязательны для достижения целей обработки.

3. В случае подозрений в исправлении, блокировании или уничтожении персональных данных обработчиком данных, субъект данных имеет право обратиться в уполномоченный орган защиты персональных данных для выяснения факта исправления, блокирования или уничтожения своих персональных данных и с требованием предоставления сведений.

4. Сведения о персональных данных обработчиком данных должны предоставляться субъекту данных в доступной форме и не должны содержать персональные данные иного субъекта данных.

5. Персональные данные предоставляются субъекту данных на основании письменного запроса субъекта данных или представителя, действующего по доверенности, или законного представителя. Запрос может быть представлен в электронной форме с утвержденной электронной подписью.

6. Субъект данных имеет право получить сведения об обработке своих персональных данных, в том числе,

1) об утверждении факта обработки персональных данных и цели обработки,

2) о методах обработки персональных данных,

3) о субъектах, кому были предоставлены или могут быть предоставлены персональные данные,

4) о перечне обрабатываемых персональных данных и источнике их получения,

5) о сроках обработки персональных данных,

6) о возможных правовых последствиях, возникающих у субъекта данных в результате обработки персональных данных.

7. Сведения предоставляются субъекту данных бесплатно, если законом не предусмотрено иное.

Статья 16. Права субъекта данных в принятии решений на основании обработки персональных данных

1. Запрещается принятие таких неисходящих из целей обработки персональных данных решений, которые порождают правовые последствия для субъекта данных или другим образом касаются его прав и законных интересов, за исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Решения, порождающие правовые последствия для субъекта данных или другим образом касающиеся его прав и законных интересов на основании обработки персональных данных, принимаются с согласия субъекта данных или в случаях, предусмотренных законом.

Статья 17. Право обжалования действия или бездействия обработчика

1. Если субъект данных считает, что обработка своих персональных данных осуществляется с нарушением требований настоящего закона или иным образом нарушает свои права и свободы, то он имеет право обжаловать действия или бездействие обработчика в уполномоченный орган или в судебном порядке.

2. Субъект данных имеет право на возмещение ущерба в установленном законом порядке

Глава 5. Обязанности обработчика персональных данных

Статья 18. Обязанности обработчика персональных данных в процессе сбора персональных данных

1. Обработчик обязан в процессе обработки персональных данных по требованию субъекта данных предоставить ему информацию, предусмотренную статьей 15 настоящего закона.

2. В случае, если персональные данные неполные, неточные, устаревшие, получены незаконным путем или необязательны для достижения целей обработки данных, обработчик персональных данных обязан осуществить необходимые действия для их дополнения, обновления, исправления или уничтожения.

3. Обработчик обязан разъяснить субъекту данных в письменной форме следствия непредъявления персональных данных, в том числе, права субъекта персональных данных.

4. Если персональные данные были получены не от субъекта данных, за исключением предусмотренных законом случаев, а так же общедоступных персональных данных, то обработчик до обработки подобных персональных данных обязан предоставить субъекту данных следующую информацию:

1) название обработчика или уполномочившего его лица (при наличии) (фамилия, имя, отчество) и место нахождения или регистрации (фактический адрес),

2) цель и правовые основы обработки персональных данных, перечень обрабатываемых данных,

3) круг возможных пользователей персональных данных,

4) права субъекта данных, установленные настоящим законом.

Статья 19. Средства обеспечения безопасности обработки персональных данных и обязанности обработчика

1. Обработчик обязан уничтожить или блокировать персональные данные, которые не обязательны для достижения законной цели.

2. В процессе обработки персональных данных обработчик обязан использовать средства шифрования для обеспечения защиты информационных систем, содержащих персональные данные, от случайной потери, незаконного проникновения в информационные системы, незаконного использования персональных данных, записи, уничтожения, изменения, блокирования, копирования, распространения и другого вмешательства.

3. Обработчик обязан предотвратить доступность соответствующих технологий обработки персональных данных для лиц, не имеющих право на них, и обеспечить для законного пользователя систем доступность только обрабатываемых им данных и тех данных, которыми разрешено пользоваться.

4. В информационных системах требования к обеспечению безопасности обработки персональных данных, к материальным носителям биометрических персональных данных и технологиям хранения персональных данных вне информационных систем устанавливаются постановлениям Правительства Республики Армения.

5. В случае установления законом другого органа, осуществляющего контроль, данный орган в рамках полномочий, предоставленных ему законом, может установить требования выше требований, предусмотренных частью 4 настоящей статьи, установленных постановлениям Правительства Республики Армения.

6. Использование и сохранение биометрических персональных данных вне информационных систем могут осуществляться только с помощью таких материальных носителей, применением технологий и методов, которые обеспечивают защиту этих данных от незаконного проникновения, незаконного использования, уничтожения, изменения, блокирования, копирования, распространения персональных данных и так далее.

7. Обработчики персональных данных или иные лица, предусмотренные настоящим законом, обязаны сохранять конфиденциальность персональных данных как во время исполнения служебных или рабочих обязанностей, связанных с обработкой персональных данных, так и после их окончания.

8. Контроль над исполнением требований настоящей статьи осуществляет уполномоченный орган защиты персональных данных без права обработки обрабатываемых персональных данных в информационных системах.

9. Юридические лица, обрабатывающие персональные данные, для признания достаточного уровня защиты электронных систем обработки персональных данных, находящихся в их владении и для регистрации в реестре могут обратиться в уполномоченный орган защиты персональных данных.

Статья 20. Обязанности обработчика данных в случаях письменного запроса субъекта данных или уполномоченного органа, ознакомления с персональными данными, обнаружения нарушений обработчиком или уполномоченным лицом

1. Обработчик обязан в установленном статьей 15 настоящего закона порядке предоставить субъекту данных и уполномоченному органу информацию о наличии персональных данных субъекта данных или предоставить возможность ознакомления с ними в течение пяти дней после получения письменного запроса.

2. Обработчик обязан предоставить возможность субъекту данных бесплатно ознакомиться с личными данными, относящимися к субъекту данных. Если персональные данные субъекта данных неполные или неточные или устаревшие или получены незаконным путем или необязательны для достижения целей обработки, то после их обнаружения обработчиком или уполномоченным лицом или получения заявления от субъекта данных или законного представителя (или уполномоченного лица) обработчик незамедлительно или в случае отсутствия такой возможности, в течение трех рабочих дней, обязан выполнить необходимые действия для их дополнения, обновления, исправления, блокирования или уничтожения.

3. Обработчик обязан на основании письменного запроса уполномоченного органа защиты персональных данных предоставить необходимые для его деятельности данные в течение пяти дней после получения запроса.

4. В случае отказа предоставления, исправления, блокирования или уничтожения персональных данных субъекта данных на основании письменного запроса субъекта данных обработчик обязан субъекту данных и уполномоченному органу в течение пяти дней предоставить обоснованное письменное решение, ссылаясь на положения закона, которые послужили основанием для принятия решения.

5. В случае, если уполномоченный орган считает необоснованным отказ предоставления, исправления, блокирования или уничтожения персональных данных, обработчик обязан незамедлительно предоставить, исправить, блокировать или уничтожить персональные данные субъекта данных или обжаловать решение уполномоченного органа в судебном порядке.

Статья 21. Обязанности обработчика при устранении нарушений законодательства, допущенных в процессе обработки, исправлении, блокирования или уничтожения персональных данных

1. В случае оспаривания достоверности персональных данных или законности обработки на основании письменного запроса субъекта данных или уполномоченного органа защиты персональных данных обработчик обязан блокировать персональные данные, относящиеся к субъекту данных, начиная с момента получения запроса до окончания действий по проверке.

2. При подтверждении неточности персональных данных обработчик обязан на основании документов, предъявленных субъектом данных или уполномоченным органом защиты персональных данных, исправить персональные данные и устранить блокирование.

3. При обнаружении незаконных действий, осуществляемых с персональными данными, обработчик обязан незамедлительно, но не позднее, чем в течение трех рабочих дней устранить допущенные нарушения. В случае невозможности устранения нарушений обработчик обязан незамедлительно уничтожить персональные данные. Об устранении нарушений или уничтожении персональных данных обработчик обязан в течение трех рабочих дней сообщить субъекту данных или его представителю, а в случае, если запрос был получен из уполномоченного органа защиты персональных данных, так же данному органу.

4. В случае утечки персональных данных из электронных систем обработчик обязан опубликовать об этом объявление, одновременно сообщив об утечке Полиции Республики Армения и уполномоченному органу защиты персональных данных.

5. В случае достижения целей обработки данных обработчик обязан незамедлительно приостановить обработку данных, если законом не предусмотрено иное.

6. В случае отозвания письменного согласия субъекта данных с утвержденной подписью или в электронном виде с утвержденной электронной подписью, обработчик обязан приостановить обработку персональных данных и уничтожить данные в течение десяти рабочих дней после получения отозвания, если не предусмотрено иное взаимным согласием между субъектом данных и обработчиком или законом. Обработчик обязан в течение трех дней после уничтожения сообщить субъекту данных об уничтожении персональных данных.

Статья 22. Порядок исполнения полномочий уполномоченного органа с помощью другого органа, осуществляющего контроль

1. Если законом предусмотрен другой орган, осуществляющий контроль, то данный орган, осуществляющий контроль, предоставляет уполномоченному органу заключение о признании достаточного уровня защиты электронных систем, обрабатывающих персональные данные юридических лиц.

2. Если законом предусмотрен другой орган, осуществляющий контроль, то уполномоченный орган передает заявления о защите персональных данных осуществляющему контроль органу.

3. Другой орган, осуществляющий контроль, свои решения, принятые в области защиты персональных данных или сведения о действиях, направленных на защиту персональных данных, в кратчайшие сроки отправляет уполномоченному органу.

4. Решения, действия и бездействие другого органа, осуществляющего контроль, уполномоченный орган может обжаловать в судебном порядке.

Статья 23. Уведомление уполномоченного органа об обработке персональных данных

1. Обработчик до обработки персональных данных имеет право уведомить уполномоченный орган защиты персональных данных о намерении обработки данных.

2. По требованию уполномоченного органа обработчик обязан отправить уведомление в уполномоченный орган.

3. Обработчик до обработки биометрических персональных данных или данных особой категории обязан уведомить уполномоченный орган защиты персональных данных о намерении обработки данных.

4. В уведомлении указываются следующие сведения:

1) название обработчика или уполномоченного лица (при наличии) (фамилия, имя, отчество) и место нахождения или регистрации,

2) цель и правовые основы обработки персональных данных,

3) рамка персональных данных,

4) круг субъектов данных,

5) перечень действий, выполняемых с персональными данными, общее описание методов обработки персональных данных обработчиком данных,

6) описание средств, которые обработчик обязывается осуществить для обеспечения безопасности обработки персональных данных,

7) дата начала обработки персональных данных,

8) сроки и условия окончания обработки персональных данных.

5. Уполномоченный орган защиты персональных данных после получения уведомления в течение 30 дней, вводит предусмотренные частью 2 настоящей статьи сведения, а так же сведения об дате отправки в реестр обработчиков.

6. На обработчика не могут быть возложены расходы, связанные с обсуждением уведомления уполномоченный орган защиты персональных данных об обработке персональных данных, а так же с вводом сведений в реестр обработчиков данных.

7. В случае, если сведения, предусмотренные частью 2 настоящей статьи, представленные обработчиком, неполные или недостоверные, уполномоченный орган защиты персональных данных имеет право требовать у обработчика уяснения представленных сведений до их ввода в реестр обработчиков.

8. В случае изменений сведений, предусмотренных частью 2 настоящей статьи, обработчик обязан уведомить об изменениях уполномоченный орган защиты персональных данных в течение десяти рабочих дней после появления изменений.

Глава 6. Контроль над законностью обработки персональных данных

Статья 24. Уполномоченный орган защиты персональных данных

1. Защиту персональных данных осуществляет уполномоченный орган, который действует по установленной постановлением Правительства Республики Армения структуре.

2. Уполномоченный орган защиты персональных данных действует независимо, на основании закона и других правовых актов.

3. Уполномоченный орган защиты персональных данных:

1) по собственной инициативе или на основании соответствующего заявления проверяет соответствие обработки персональных данных требованиям настоящего закона,

2) в случае нарушений требований настоящего закона применяет установленные законом меры административной ответственности,

3) требует блокировать, приостановить или прекратить обработку персональных данных, нарушающих требования настоящего закона,

4) при наличии предусмотренных законом оснований, требует у обработчика исправления, изменения, блокирования или уничтожения персональных данных,

5) в результате изучения уведомления обработчика об обработке персональных данных в целом или частично запрещает обработку персональных данных,

6) ведет реестр обработчиков персональных данных,

7) признает достаточной степень защиты электронных систем, обрабатывающих персональные юридических лиц и вносит их в реестр,

8) проверяет оборудование и документы, используемые для обработки данных, в том числе, имеющиеся данные и компьютерные программы,

9) в предусмотренных случаях обращается в суд,

10)осуществляет иные полномочия, установленные законом,

11) соблюдает конфиденциальность персональных данных, доверенных или полученных им во время своей деятельности,

12) обеспечивает защиту прав субъекта данных,

13) рассматривает заявления физических лиц по вопросам обработки персональных данных и принимает решения в рамках своих полномочий,

14) раз в год представляет публичный отчет о настоящей ситуации в сфере защиты персональных данных и прошлогодней деятельности,

15) проводит исследования и на основании заявлений обработчиков или публикаций дает консультации об обработке данных или уведомляет о лучшем опыте обработки персональных данных,

16) представляет сообщение правоохранительным органам при возникновении подозрений о нарушениях уголовно-правового характера во время своей деятельности.

4. Решения уполномоченного органа защиты персональных данных могут быть обжалованы в судебном порядке.

5. Деятельность уполномоченного органа защиты персональных данных финансируется за счет бюджетных средств отдельной строкой.

6. При уполномоченном органе защиты персональных данных на общественных основах может действовать консультативный орган, порядок формирования и деятельности которой устанавливается приказом руководителя уполномоченного органа защиты персональных данных.

Статья 25. Назначение, прекращение полномочий и предъявляемые требования к руководителю уполномоченного органа защиты персональных данных

1. Руководитель уполномоченного органа защиты персональных данных назначается сроком на пять лет Премьер-министром Республики Армения по представлению Министра юстиции Республики Армения, на основании совместных предложений не менее пяти общественных организаций, осуществляющих правозащитную деятельность. Кандидат руководителя уполномоченного органа, представленный Министром юстиции Республики Армения Премьер-министру Республики Армения, должен быть из списка, предложенного общественными организациями.

2. Порядок предложения кандидатур общественными организациями устанавливает Правительство Республики Армения.

3. Одно и то же лицо не может быть назначено в должности руководителя уполномоченного органа защиты персональных данных два раза подряд.

4. Руководитель уполномоченного органа защиты персональных данных руководит деятельность органа защиты персональных данных и ответственен за осуществление полномочий органа защиты персональных данных.

5. Руководитель уполномоченного органа защиты персональных данных имеет так же и другие права и обязанности, установленные законом и иными правовыми актами.

6. Руководитель уполномоченного органа защиты персональных данных:

1) должен иметь высшее образование, хорошую репутацию и не менее пяти лет опыта работы в сфере управления,

2) должен воздерживаться от действий, ставящих под сомнение свою независимость и непредвзятость.

7. Руководитель уполномоченного органа защиты персональных данных устраняется от должности при наличии следующих оснований:

1) на основании письменного заявления,

2) при исполнении 65 лет ( пенсионный возраст), или истечении срока полномочий,

3) избрание или назначение на другую должность или перевод на другую работу, несовместимую с должностью руководителя уполномоченного органа защиты персональных данных,

4) в результате временной нетрудоспособности, неявка на службе 120 дней подряд или 140 дней за последние 12 месяцев, не считая отпуск по беременности или уходу за ребенком,

5) без уважительной причины более пяти дней подряд непоявление на работе,

6) на основании решения суда, вступившего в законную силу, признание недееспособным, ограниченно дееспособным, безвестно отсутствующим или умершим.

7) в случае вступления в законную силу его обвинительного приговора.

Глава 7. Передача персональных данных третьим лицам и другим государствам

Статья 26. Передача персональных данных третьим лицам

1. Без согласия субъекта персональных данных обработчик может передать персональные данные третьим лицам или дать возможность пользоваться данными, если это предусмотрено законом и имеет достаточную степень защиты.

2. Без согласия субъекта персональных данных обработчик может передать персональные данные специальной категории третьим лицам и дать возможность пользоваться данными, если:

1) обработчик данных является обработчиком персональных данных специальной категории по закону или международному договору, передача данного сведения впрямую предусмотрено законом и имеет достаточную степень защиты,

2) в исключительных случаях, предусмотренных законом, персональные данные специальной категории могут быть переданы для защиты жизни, здоровья или свободы субъекта данных.

Статья 27. Передача персональных данных другим государствам

1. Персональные данные могут передаваться другим государствам с согласия субъекта данных, или если передача данных исходит из целей обработки персональных данных и (или) необходима для достижения этих целей.

2. Без разрешения уполномоченного органа персональные данные могут передаваться другому государству, если в данном государстве обеспечена достаточная степень защиты персональных данных. Степень защиты персональных данных считается достаточным, если:

1) персональные данные передаются соответственно с международными договорами,

2) личные данные передаются государству, включенному в официально опубликованный уполномоченным органом список.

3. Персональные данные могут быть переданы на территорию государства, не имеющего достаточную степень защиты только с разрешения уполномоченного органа, если персональные данные передаются на основании договора, и договором предусмотрены такие гарантии защиты персональных данных, которые были утверждены уполномоченным органом в качестве обеспечивающих достаточную защиту.

4. В случаях, указанных в части 3 настоящей статьи, обработчик персональных данных обязан до передачи данных другому государству обратиться в письменной форме в уполномоченный орган, с заявкой получения разрешения. В заявке обработчик персональных данных обязан указать страну, куда передаются персональные данные, описание субъекта, получающего персональные данные (название, правовая организационная форма), описание (содержание) персональных данных, цель и договор или его проект обработки, передачи персональных данных. Уполномоченный орган в течение 30 дней обязан разрешить или отклонить заявку. Уполномоченный орган может потребовать у обработчика персональных данных дополнительные сведения, соблюдая срок рассмотрения заявки. В случае, если уполномоченный орган посчитает, что гарантий договора недостаточно, он обязан указать те изменения, которые обеспечат гарантии защиты персональных данных.

5. Уполномоченный орган защиты персональных данных периодически, но не реже одного раза в год обязан пересмотреть список стран, обеспечивающих достаточную степень защиты персональных данных, и опубликовать изменения в официальном бюллетене и на официальной интернет странице.

6. Персональные данные, находящиеся у государственных органов, могут передаваться иностранным государственным органам только в рамках межгосударственных договоров, а негосударственным органам – в соответствии с нормами настоящей статьи.

Глава 8. Заключительная часть и переходные положения

Статья 28. Заключительная часть

1. Настоящий закон вступает в силу с 1 июля 2015 года.

2. С момента вступления в силу настоящего закона признать утратившим силу Закон Республики Армения №422 "О персональных данных" от 8 октября 2002 года.

3. Статья 7 настоящего закона вступает в силу с 1 января 2019 года.

Статья 29. Переходные положения

1. После вступления в силу настоящего закона обработка персональных данных, обрабатываемых до вступления в силу настоящего закона, продолжается согласно порядку, установленному настоящим законом.

2. Те обработчики, которые обрабатывали персональные данные до вступления в силу настоящего закона и продолжают обработку персональных данных после вступления в силу настоящего закона, обязаны отправить обязательное уведомление, предусмотренное настоящим законом, в уполномоченный орган защиты персональных данных до 1 сентября 2015 года.

3. До 1 января 2019 года порядок передачи персональных данных между государственными органами и органами местного самоуправления осуществляется в установленном Правительством Республики Армения порядке.

(В статью 29 внесены изменения в соответствии с Законом Республики Армения от 27.06.2016 г. №ЗР-102)

(см. предыдущую редакцию)

 

Президент Республики Армения

С.Саргсян

 

Глава 1. Общие положения Статья 1. Предмет регулирования Закона Статья 2. Законодательство Республики Армения о персональных данных Статья 3. Основные понятия Закона Глава 2. Основные принципы обработки персональных данных Статья 4. Принцип законности Статья 5. Принцип пропорциональности Статья 6. Принцип достоверности Статья 7. Принцип минимального привлечения субъектов Глава 3. Обработка персональных данных Статья 8. Законность обработки персональных данных Статья 9. Согласие субъекта данных Статья 10. Уведомление, предъявляемое субъекту данных в целях получения согласия на обработку персональных данных Статья 11. Общедоступные персональные данные Статья 12. Особенности обработки персональных данных специальных категорий Статья 13. Особенности обработки биометрических персональных данных Статья 14. Обработка персональных данных уполномоченным лицом по заданию обработчика данных Глава 4. Права субъекта данных Статья 15. Право субъекта данных получения сведений о своих персональных данных Статья 16. Права субъекта данных в принятии решений на основании обработки персональных данных Статья 17. Право обжалования действия или бездействия обработчика Глава 5. Обязанности обработчика персональных данных Статья 18. Обязанности обработчика персональных данных в процессе сбора персональных данных Статья 19. Средства обеспечения безопасности обработки персональных данных и обязанности обработчика Статья 20. Обязанности обработчика данных в случаях письменного запроса субъекта данных или уполномоченного органа, ознакомления с персональными данными, обнаружения нарушений обработчиком или уполномоченным лицом Статья 21. Обязанности обработчика при устранении нарушений законодательства, допущенных в процессе обработки, исправлении, блокирования или уничтожения персональных данных Статья 22. Порядок исполнения полномочий уполномоченного органа с помощью другого органа, осуществляющего контроль Статья 23. Уведомление уполномоченного органа об обработке персональных данных Глава 6. Контроль над законностью обработки персональных данных Статья 24. Уполномоченный орган защиты персональных данных Статья 25. Назначение, прекращение полномочий и предъявляемые требования к руководителю уполномоченного органа защиты персональных данных Глава 7. Передача персональных данных третьим лицам и другим государствам Статья 26. Передача персональных данных третьим лицам Статья 27. Передача персональных данных другим государствам Глава 8. Заключительная часть и переходные положения Статья 28. Заключительная часть Статья 29. Переходные положения