З А К О Н
РЕСПУБЛИКИ АРМЕНИЯ
Принят 8 октября 2002 года
О ПЕРСОНАЛЬНЫХ ДАННЫХ
Г Л А В А 1
ОБЩИЕ ПОЛОЖЕНИЯ
Статья 1. |
Предмет регулирования Закона |
1. Настоящий Закон регулирует отношения, связанные с обработкой государственными органами управления и органами местного самоуправления, государственными или муниципальными учреждениями, юридическими или физическими лицами персональных данных.
2. Настоящий Закон не регулирует отношения, связанные с обработкой персональных данных, считающихся государственной тайной, персональных данных, опубликованных в общедоступных источниках, а также персональных данных физических лиц, используемых в личной, семейной и иных подобных целях.
Статья 2. |
Законодательство Республики Армения о персональных данных |
1. Законодательство Республики Армения о персональных данных состоит из Конституции Республики Армения, настоящего Закона, иных законодательных актов, регулирующих обработку персональных данных.
2. Если международными договорами Республики Армения установлены иные нормы, чем предусмотренные настоящим Законом, то применяются нормы международных договоров.
Статья 3. |
Основные понятия, используемые в Законе |
Основные понятия, используемые в настоящем Законе, имеют следующий смысл:
персональные данные - любые данные о фактах, случаях, обстоятельствах, относящиеся к физическому лицу, закрепленные на материальном носителе письменно или иным образом, в таком виде, который дает или может дать возможность идентифицировать личность индивидума;
обработка персональных данных - любое действие или группа действий, связанных со сбором, внесением, систематизацией, преобразованием, передачей, хранением, исправлением, закрытием, уничтожением и использованием персональных данных;
обработчик - государственный орган и орган местного самоуправления, государственное или муниципальное учреждение, юридическое или физическое лицо, обрабатывающие персональные данные;
субъект данных - физическое лицо, к которому относятся персональные данные;
информационная база персональных данных (далее - информационная база) - совокупность персональных данных, систематизированных по определенным признакам;
деиндивидуализированные персональные данные - любые данные о физических лицах в таком виде, который не допускает идентификацию личности индивидуума;
конфиденциальная информация - информация, доступность которой ограничена законом;
закрытие - приостановление возможности передачи и использования персональных данных, имеющихся в информационной базе;
третье лицо (заказчик) - любой субъект, который не является субъектом данных либо обработчиком персональных данных.
Г Л А В А 2
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Статья 4. |
Основные принципы обработки персональных данных |
1. Персональные данные собираются и обрабатываются законным способом.
2. Персональные данные собираются для четко установленных и заявленных законных целей и не могут употребляться для иных целей, за исключением случаев, установленных законодательством.
Запрещаются сбор и обработка таких персональных данных, которые не являются необходимыми для осуществления целей обработки данных.
3. Персональные данные хранятся столько времени, сколько требует цель, для которой они собирались и обрабатывались, если законом не предусмотрено иное.
4. Осуществляющие ведение информационной базы обработчики персональных данных, за исключением государственных органов и органов местного самоуправления, государственных или муниципальных учреждений, устанавливают регламент ведения информационной базы.
Статья 5. |
Регламент ведения информационной базы |
1. Регламент ведения информационной базы включает следующие сведения:
1) наименование (имя) и место нахождения (проживания) обработчика;
2) цель и законные основания обработки персональных данных;
3) перечень персональных данных, подлежащих обработке;
4) круг субъектов данных;
5) пределы возможного предоставления персональных данных;
6) порядок предоставления субъекту данных относящихся к нему персональных данных;
7) условия и порядок исправления, закрытия и уничтожения персональных данных;
8) организационные и технические мероприятия по защите персональных данных;
9) прочие сведения, касающиеся обработки персональных данных.
2. Установление регламента ведения информационной базы не обязательно при:
1) обработке персональных данных по заданию государственных органов и органов местного самоуправления, государственных или муниципальных учреждений;
2) обработке работодателями в установленном законодательством порядке персональных данных, касающихся трудовой деятельности физических лиц, находящихся в трудовых отношениях с работодателями.
Статья 6. |
Законность обработки персональных данных |
1. Обработка персональных данных считается законной, если:
1) персональные данные обрабатываюся с согласия субъекта данных;
2) персональные данные обрабатываются для защиты жизненных интересов субъекта данных, когда нет оснований предполагать, что он, узнав об обработке, не дал бы на то своего согласия;
3) обработка персональных данных предусмотрена законодательством, или непосредственно вытекает из закона, или необходима для выполнения требований закона;
4) персональные данные обрабатываются для защиты от непосредственной угрозы государственной и общественной безопасности.
2. Согласием субъекта данных на обработку персональных данных является однозначное, добровольное разрешение, выраженное в любой форме.
Субъект данных может в любой момент в письменной форме отозвать согласие. Отзыв согласия обратной силы не имеет.
Статья 7. |
Обработка персональных данных государственными органами и органами местного самоуправления, государственными или муниципальными учреждениями |
1. Государственные органы и органы местного самоуправления, государственные или муниципальные учреждения правомочны обрабатывать персональные данные только в случаях и порядке, установленных законодательством.
2. Органы государственного управления и местного самоуправления, государственные или муниципальные учреждения обязаны обеспечивать достоверность обрабатываемых ими персональных данных.
3. Порядок передачи государственными органами и органами местного самоуправления, государственными либо муниципальными учреждениями персональных данных друг другу устанавливает Правительство Республики Армения.
Статья 8. |
Доступность информационных баз персональных данных |
1. Если законами Республики Армения не предусмотрено иное, то запрещается ограничение:
1) доступности ведущихся за счет государственного и муниципального бюджета информационных баз, содержащих деиндивидуализированные персональные данные о деятельности государственных органов и органов местного самоуправления, государственных или муниципальных учреждений, об экономической ситуации, о нуждах населения, об окружающей среде, о санитарно-эпидемиологической ситуации, о демографии;
2) доступности библиотечных и архивных документов, содержащих деиндивидуализированные персональные данные о государственных органах и органах местного самоуправления, государственных или муниципальных учреждениях, которые представляют общественный интерес либо необходимы для осуществления прав и свобод граждан или выполнения обязательств.
2. Доступность информационных баз персональных данных, указанных в части первой настоящей статьи, ограничивается, если информационные базы содержат установленные законом секретные сведения.
Статья 9. |
Обработка персональных данных по заданию третьего лица (заказчика) |
1. Персональные данные могут обрабатываться также по заданию третьего лица (заказчика). Задание, в котором должны быть изложены правовые основы и условия обработки персональных данных, технические и организационные мероприятия и другие предусмотренные законом данные, необходимые для установления регламента ведения информационной базы, дается письменно.
2. Персональные данные обрабатываются только в рамках задания. Ответственным за обработку персональных данных в рамках задания является лицо, дающее задание. Если задание не соответствует требованиям настоящего Закона или иных правовых актов, регулирующих обработку персональных данных, то обработчик персональных данных должен уведомить об этом третье лицо (заказчика) и отказаться от обработки.
3. Персональные данные по заданию государственных органов и органов местного самоуправления, государственных или муниципальных учреждений обрабатываются в порядке, установленном статьей 7 настоящего Закона.
Статья 10. |
Правовой режим персональных данных |
1. Персональные данные, находящиеся в распоряжении обработчика, являются конфиденциальной информацией, за исключением случаев, установленных законом.
2. Обработчик обязан принимать соответствующие меры для обеспечения защиты от случайной утраты информационных баз, содержащих персональные данные, незаконного вторжения в информационные базы, незаконного использования данных.
3. Правовой режим персональных данных, собранных в процессе деятельности правоохранительных органов, устанавливается законом.
4. Общедоступный информационный режим персональных данных (телефонные справочники, адресные книги, биографические сведения, частные объявления, декларация о доходах и прочее) может устанавливаться с согласия субъекта данных либо в случаях, предусмотренных законом.
5. Правовой режим персональных данных после смерти субъекта данных может быть изменен на установленный законом режим архивного хранения или иной правовой режим.
6. Право защиты персональных данных умершего лица в установленном законом порядке может осуществляться иным лицом (в том числе наследниками) в целях защиты чести, достоинства, деловой репутации, а также защиты от незаконного вторжения в личную и семейную жизнь.
Статья 11. |
Информация, предоставляемая субъекту данных |
1. Обработчик, при получении согласия субъекта данных, обязан сообщить ему:
1) цель обработки персональных данных;
2) наименование (имя) и место нахождения (проживания) обработчика;
3) сведения о субъектах, которым будут предоставлены или могут быть предоставлены персональные данные;
4) персональные данные, подлежащие опубликованию в общедоступных источниках.
2. Обработчик по требованию субъекта данных обязан кроме установленных частью первой настоящей статьи сведений предоставить сведения:
1) о факте обработки персональных данных субъекта данных;
2) о содержании обрабатываемых персональных данных, касающихся субъекта данных, и об источниках их получения.
3) об основаниях на передачу данных без согласия на то субъекта данных.
Субъект данных не обязан обосновывать требование.
3. Сведения предоставляются субъекту данных бесплатно, если законодательством не предусмотрено иное.
4. В предоставлении сведений может быть отказано в случаях, установленных законом.
Статья 12. |
Исправление, закрытие и уничтожение персональных данных |
1. Субъект данных может потребовать у обработчика внесения исправлений в его персональные данные, если представляет соответствующие документы, удостоверяющие наличие ошибки в персональных данных.
2. Персональные данные закрываются, если:
1) субъектом данных оспаривается достоверность его персональных данных или законность обработки;
2) этого требует субъект данных, персональные данные которого обрабатывались с его согласия;
3) они уже не нужны обработчику для осуществления целей обработки и не истекли установленные законодательством сроки хранения данных.
Закрытость персональных данных устраняется в случае прекращения оснований закрытия.
3. Персональные данные уничтожаются, если:
1) их обработка не соответствует требованиям настоящего Закона;
2) они уже не нужны обработчику для осуществления целей обработки и (или) истекли сроки хранения данных, установленные законодательством;
3) этого требует субъект данных, персональные данные которого обрабатывались с его согласия.
4. Об исправлении, закрытии и уничтожении персональных данных информируются лица, которым персональные данные передаются для дальнейшего использования в законном порядке.
Статья 13. |
Передача персональных данных в иностранные государства |
Персональные данные передаются в иностранные государства в соответствии с международными договорами Республики Армения или по основаниям, предусмотренным статьей 6 настоящего Закона.
Г Л А В А 3
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНА
Статья 14. |
Обжалование действий обработчиков персональных данных |
Если субъект данных считает, что в отношении его персональных данных осуществлены незаконные действия, то он имеет право обжаловать эти действия в порядке подчиненности или в судебном порядке.
Статья 15. |
Ответственность за нарушение Закона |
Нарушители законодательства о персональных данных несут ответственность в установленном законом порядке.
Г Л А В А 4
ВСТУПЛЕНИЕ ЗАКОНА В СИЛУ
Статья 16. |
Вступление Закона в силу |
Настоящий Закон вступает в силу через 3 месяца после его официального опубликования.
Президент Республики Армения |
Р. Кочарян |
7 ноября 2002 года гор. Ереван ЗР-422-Н |