ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅՈՒՆ
Ո Ր Ո Շ ՈՒ Մ
19 դեկտեմբերի 2019 թվականի N 1849-Ն
ԷԼԵԿՏՐՈՆԱՅԻՆ ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԻ ՄԻՋՈՑՈՎ ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՓՈԽԱՆՑՄԱՆ ԿԱՐԳԸ ՀԱՍՏԱՏԵԼՈՒ ԵՎ ՀԱՅԱՍՏԱՆԻ ՀԱՆՐԱՊԵՏՈՒԹՅԱՆ ԿԱՌԱՎԱՐՈՒԹՅԱՆ 2017 ԹՎԱԿԱՆԻ ՓԵՏՐՎԱՐԻ 16-Ի N 192-Ն ՈՐՈՇՈՒՄՆ ՈՒԺԸ ԿՈՐՑՐԱԾ ՃԱՆԱՉԵԼՈՒ ՄԱՍԻՆ
Հիմք ընդունելով «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի 7-րդ հոդվածի 4-րդ մասի պահանջները՝ Հայաստանի Հանրապետության կառավարությունը որոշում է.
1. Հաստատել էլեկտրոնային տեղեկատվական համակարգի միջոցով անձնական տվյալների փոխանցման կարգը` համաձայն հավելվածի:
2. Սահմանել, որ Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ սահմանված օպերատորը նշված որոշմամբ սահմանված ընդհանուր պահանջների հիման վրա մշակելու է տեխնիկական միացման համար սահմանված և կիրառվող անվտանգության նվազագույն պահանջներ: Անձնական տվյալների փոխանցման վերաբերյալ ծրագրային հարցումներ ուղարկելու համար նշված տեխնիկական միացման համար սահմանված և կիրառվող անվտանգության նվազագույն պահանջները բավարարելու պայման պետք է սահմանվի օպերատորի և համապատասխան պետական, տեղական ինքնակառավարման մարմնի, իրավաբանական անձանց և ներդրումային ֆոնդի հետ կնքվող պայմանագրերով:
3. Ուժը կորցրած ճանաչել Հայաստանի Հանրապետության կառավարության 2017 թվականի փետրվարի 16-ի «Պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներում մշակվող անձնական տվյալներն էլեկտրոնային եղանակով փոխանցելու կարգը հաստատելու մասին» N 192-Ն որոշումը:
4. Սույն որոշումն ուժի մեջ է մտնում պաշտոնական հրապարակման օրվան հաջորդող տասներորդ օրը։
Հայաստանի Հանրապետության |
Ն. Փաշինյան |
2019 թ. դեկտեմբերի 19 Երևան |
Հավելված ՀՀ կառավարության 2019 թվականի դեկտեմբերի 19-ի N 1849-Ն որոշման |
Կ Ա Ր Գ
ԷԼԵԿՏՐՈՆԱՅԻՆ ՏԵՂԵԿԱՏՎԱԿԱՆ ՀԱՄԱԿԱՐԳԻ ՄԻՋՈՑՈՎ ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՓՈԽԱՆՑՄԱՆ
I. ԸՆԴՀԱՆՈՒՐ ԴՐՈՒՅԹՆԵՐ
1. Սույն կարգով կարգավորվում են պետական և տեղական ինքնակառավարման մարմինների, ինչպես նաև այդ մարմինների կողմից պատվիրակված լիազորությունների շրջանակներում այլ անձանց կողմից էլեկտրոնային եղանակով պահպանվող և մշակվող անձնական տվյալներն էլեկտրոնային տեղեկատվական համակարգի միջոցով պետական և տեղական ինքնակառավարման մարմինների միջև, ինչպես նաև Հայաստանի Հանրապետության ռեզիդենտ իրավաբանական անձանց փոխանցելու և տվյալների բազաները փոխկապակցելու հետ կապված հարաբերությունները՝ բացառությամբ «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի 1-ին հոդվածի 2-րդ մասով սահմանված անձնական տվյալների փոխանցման հետ կապված հարաբերությունների:
II. ՀԱՍԿԱՑՈՒԹՅՈՒՆՆԵՐԸ ԵՎ ՍԱՀՄԱՆՈՒՄՆԵՐԸ
2. Սույն կարգում կիրառվում են հետևյալ հասկացությունները`
1) իսկորոշում՝ ֆիզիկական անձի ինքնության նույնականացում՝ օգտագործելով նրա էլեկտրոնային թվային ստորագրության հավաստագրի տվյալները.
2) իսկորոշման համակարգ՝ տվյալների փոխանցման ծրագրասարքավորումային համակարգ, որը հնարավորություն է տալիս իսկորոշելու հարցում կատարող ֆիզիկական անձանց և տվյալների սուբյեկտների վերաբերյալ անձնական տվյալներ ստանալու պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներից.
3) պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներ՝ Հայաստանի Հանրապետության պետական և տեղական ինքնակառավարման մարմինների և այդ մարմինների կողմից պատվիրակված լիազորությունների շրջանակներում այլ անձանց կողմից մշակվող և պահպանվող, որոշակի հատկանիշներով համակարգված անձնական տվյալների ամբողջություն:
III. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐ ՊԱՐՈՒՆԱԿՈՂ ՏԵՂԵԿԱՏՎԱԿԱՆ ՀՈՍՔԵՐԻ ԿԱՌԱՎԱՐՈՒՄԸ
3. Սույն կարգի համաձայն պետական և տեղական ինքնակառավարման մարմինների միջև անձնական տվյալներ փոխանցելիս և տվյալների բազաները միմյանց հետ փոխկապակցելիս հաշվի են առնվում Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ սահմանված պահանջները:
4. Անձնական տվյալների պաշտպանությունն ապահովելու նպատակով սույն կարգն ուժի մեջ մտնելուց հետո պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաների միջև էլեկտրոնային փոխկապակցումը և անձնական տվյալների փոխանակումը կատարվում են միայն Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ սահմանված օպերատորի միջոցով՝ կիրառելով վերջինիս կողմից շահագործվող իսկորոշման համակարգը: Փոխկապակցելիս օպերատորն ապահովում է տվյալներ ստացող անձի կողմից տվյալների բազայից էլեկտրոնային հարցումներ կատարելիս այդպիսի հարցում կատարողի անհատական իսկորոշումը և մուտքային գործողությունների վերաբերյալ էլեկտրոնային գրանցամատյանում հաշվառումը (լոգավորում):
IV. ՏՎՅԱԼՆԵՐԻ ԲԱԶԱՅԻ ՀԱՍԱՆԵԼԻՈՒԹՅՈՒՆԸ
5. Պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներում պահպանվող ու մշակվող անձնական տվյալներն էլեկտրոնային տեղեկատվական համակարգի միջոցով այդ մարմինների միջև, ինչպես նաև Հայաստանի Հանրապետության ռեզիդենտ իրավաբանական անձանց սույն կարգի համաձայն փոխանցելու նպատակով տվյալների բազային տիրապետող պետական, տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձն օպերատորի կողմից գրավոր ծանուցում ներկայացվելու պահից մեկամսյա ժամկետում ապահովում է դրա տեխնիկական հասանելիությունը և փոխկապակցումը, եթե տվյալների բազային փոխկապակցված է համապատասխան ծրագրավորման կիրառական ինտերֆեյս (API), ինչպես նաև առկա է իրական ժամանակում տվյալների հարցում և համապատասխան տվյալների վերադարձման մեխանիզմը: Հարցումները կատարվելու են միմիայն օպերատորի կողմից նախապես ամրագրված ինտերնետ հասցեներից (IP Address)՝ օգտագործելով անվտանգության հետևյալ կանոններն ու միջոցները՝ հիպերտեքստի փոխանակման անվտանգ պրոտոկոլ (HTTPS), պաշտպանված սոկետների մակարդակով (SSL/TLS) գաղտնագրման ալգորիթմներ, իսկ առկայության դեպքում պետք է օգտագործվի նաև վիրտուալ մասնավոր ցանցի (VPN) առանձնացված կապուղու հնարավորությունը՝ կիրառելով սիմետրիկ բանալիների (symetric keys) փոխանակման մեթոդը։ Սույն կետով նախատեսված ժամկետում համապատասխան գործողությունները կատարելու անհնարինության դեպքում տվյալների բազային տիրապետող պետական կամ տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձն այդ ժամկետում օպերատորին ծանուցում է սկզբնական ժամկետը չգերազանցող լրացուցիչ ժամկետի մասին, որի ընթացքում պարտավորվում է կատարել սահմանված գործողությունները:
6. Տվյալների բազան փաստացի մշակված և ներդրված ծրագրավորման կիրառական ինտերֆեյս չունենալու պարագայում տվյալների բազային տիրապետող պետական կամ տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձն իրականացնում է հետևյալը`
1) մեկամսյա ժամկետում մշակում և օպերատորին է տրամադրում սույն կարգի 5-րդ կետով սահմանված պահանջները բավարարող ծրագրավորման կիրառական ինտերֆեյսը՝ ապահովելով դրա փոխկապակցումը տվյալների բազային և օպերատորի իսկորոշման համակարգին.
2) իր միջոցներով դրա կատարման անհնարինության դեպքում երկշաբաթյա ժամկետում օպերատորին տրամադրում է տվյալների բազայի դասակարգված կառուցվածքի, դրանում մշակվող տվյալների տեսակների մասին ամբողջական տեղեկատվությունը և այդ տվյալների բազայի մշակման վերաբերյալ տեխնիկական փաստաթղթերը (այդ թվում՝ դրա ճարտարապետության, կիրառվող ծրագրային հենքի և օպերացիոն համակարգի վերաբերյալ՝ նշելով ծրագրավորման կիրառական ինտերֆեյսով տվյալների բազայից հարցումներ կատարելու հնարավոր տեխնիկական սահմանափակումների մասին տեղեկություններ): Սույն կետով նախատեսված ժամկետներում համապատասխան գործողությունները կատարելու անհնարինության դեպքում տվյալների բազային տիրապետող պետական կամ տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձն այդ ժամկետներում օպերատորին ծանուցում է համապատասխան սկզբնական ժամկետը չգերազանցող լրացուցիչ ժամկետի մասին, որի ընթացքում պարտավորվում է կատարել սահմանված գործողությունները:
7. Օրենքով սահմանված կարգով մշակված տվյալների բազային տիրապետող պետական կամ տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձը սույն կարգով սահմանված կարգով տեղեկատվության փոխանակման կազմակերպման համար օպերատորի լիազորած անձանց հնարավորություն է տալիս իրականացնելու տվյալների բազայի կառուցվածքի և տեխնիկական հնարավորությունների ուսումնասիրություններ՝ բազաների փոխկապակցումն ապահովելու համար:
8. Սույն կարգի 6-րդ կետի 2-րդ ենթակետով նախատեսված անհրաժեշտ տեղեկատվությունը և փաստաթղթերն ստանալուց հետո օպերատորը կարող է իր միջոցներով մշակել համապատասխան ծրագրավորման կիրառական ինտերֆեյսը, այն ներդնել և փոխկապակցել օպերատորի իսկորոշման համակարգին:
9. Ցանկացած եղանակով փոխկապակցելու դեպքում տվյալների բազային տիրապետող պետական կամ տեղական ինքնակառավարման մարմինը կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձը, մինչև իրական ռեժիմում տվյալների փոխանցման մեկնարկը, պարտավոր է իր կողմից լիազորված անձանց միջոցով օպերատորի հետ համատեղ ապահովել տվյալների փոխանակման թեստային հարցումների իրականացումը:
10. Տվյալների փոխանակման թեստային հարցումների հաջող իրականացման արդյունքում տվյալների բազան կառավարող պետական կամ տեղական ինքնակառավարման մարմնի կամ այդ մարմնի կողմից պատվիրակված լիազորությունների շրջանակներում տվյալների բազային տիրապետող անձի և օպերատորի միջև կազմվում է փոխկապակցման մասին արձանագրություն, որում նշվում են տվյալների այն տեսակները, որոնք փաստացի հասանելի են, և, որոնց վերաբերյալ հնարավոր է ծրագրային հարցումներ կատարել տվյալների բազայից:
V. ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԻ ՓՈԽԱՆՑՈՒՄԸ
11. Ցանկացած պետական և տեղական ինքնակառավարման մարմնի գրավոր պահանջով անձնական տվյալները կարող են փոխանցվել՝ պահպանելով Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ սահմանված ընդհանուր պահանջների հիման վրա օպերատորի կողմից սահմանված և կիրառվող անվտանգության և տեխնիկական նվազագույն պահանջները: Անձնական տվյալների փոխանցման գրավոր պահանջը պետք է պարունակի տեղեկություններ այն տվյալների բազաների մասին, որոնցից անձնական տվյալներ ստանալու համար ներկայացվում են պահանջը, անձնական տվյալների բոլոր տեսակները և դրանց մշակման իրավական հիմքերը: Օպերատորը գրավոր պահանջի հիման վրա տրամադրում է ծրագրային հարցումներ կատարելու տեխնիկական պայմանները:
12. Բոլոր պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներն այլ պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներին փոխկապակցելիս այդ տվյալների բազաներում առկա տվյալները փոխանցվում են անհատույց:
13. Հայաստանի Հանրապետության ռեզիդենտ ցանկացած իրավաբանական անձի կամ ներդրումային ֆոնդի կողմից պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներին փոխկապակցումը կարող է կատարվել միայն այդ բազաներին միանալու մասին պատշաճ կերպով լրացված հայտն օպերատորին ներկայացվելու, վերջինիս կողմից հայտը բավարարվելու և հայտի բավարարումից հետո օպերատորի հետ պայմանագիր կնքվելու դեպքում՝ պահպանելով Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ սահմանված ընդհանուր պահանջների հիման վրա օպերատորի կողմից տեխնիկական միացման համար սահմանված և կիրառվող անվտանգության նվազագույն պահանջները:
14. Հայաստանի Հանրապետության ռեզիդենտ իրավաբանական անձանց և Հայաստանի Հանրապետության կենտրոնական բանկի կողմից լիցենզավորվող կամ գրանցվող այլ սուբյեկտների պետական և տեղական ինքնակառավարման մարմինների տվյալների բազաներին փոխկապակցման և առկա անձնական տվյալների փոխանցման համար օպերատորն իրավունք ունի սահմանելու ծառայության վճարներ:
15. Հայտում պետք է նշվեն պահանջվող այն տվյալների բազաները, որոնց փոխկապակցման համար ներկայացվում է հայտը, ինչպես նաև պետք է նշվեն փոխանցման ենթակա տվյալների բոլոր տեսակները և այդ տվյալների օգտագործման եղանակներն ու նպատակները:
16. Տվյալների բազային տեխնիկական հասանելիություն ունենալու պարագայում օպերատորի կողմից հայտը բավարարվում է երկշաբաթյա ժամկետում, եթե օպերատորի մեջ կասկածներ չեն առաջանում տվյալ հայտի բավարարման պարագայում հայտը ներկայացրած անձի կողմից «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքով սահմանված օրինականության կամ համաչափության սկզբունքների հնարավոր խախտման կամ դրա վտանգի առաջացման մասին: Նման դեպքում հայտի բավարարման գործընթացը կասեցվում է, և օպերատորը դիմում է անձնական տվյալների պաշտպանության լիազոր մարմնին՝ ներկայացված հայտի բավարարման դեպքում «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքի պահանջներին անձնական տվյալների մշակման համապատասխանությունն ստուգելու նպատակով՝ միաժամանակ դրա մասին ծանուցելով հայտատուին:
17. Անձնական տվյալներ մշակելու մասին դիմումի ուսումնասիրության արդյունքում անձնական տվյալների պաշտպանության լիազոր մարմինը կարող է ամբողջությամբ կամ մասամբ արգելել անձնական տվյալների մշակումը տվյալ հայտատուի կողմից: Անձնական տվյալների պաշտպանության լիազոր մարմինը հայտերն ուսումնասիրում և հայտը բավարարելու կամ մերժելու վերաբերյալ պատճառաբանված որոշումն ընդունում է երեսունօրյա ժամկետում՝ ընդունումից հետո եռօրյա ժամկետում որոշումն ուղարկելով օպերատորին և հայտատուին: Օպերատորը հայտատուի հետ փոխհարաբերություններում առաջնորդվում է անձնական տվյալների պաշտպանության լիազոր մարմնի կողմից ընդունված որոշմամբ:
18. Օպերատորի կողմից տվյալների բազաներին փաստացի փոխկապակցման կատարումից հետո օպերատորը մեկշաբաթյա ժամկետում անձնական տվյալների պաշտպանության լիազոր մարմնին էլեկտրոնային փոստով ծանուցում է իր կողմից իրականացված փոխկապակցումների և անձնական տվյալներ մշակողին տրվող անձնական տվյալների տեսակների մասին՝ կցելով համապատասխան գրավոր պահանջները և հայտերը:
19. Սույն կարգում ուղղակիորեն չկարգավորված մասով անձնական տվյալների փոխանցման և մշակման հետ կապված հարաբերությունները կարգավորվում են «Անձնական տվյալների պաշտպանության մասին» Հայաստանի Հանրապետության օրենքով, Հայաստանի Հանրապետության կառավարության 2015 թվականի օգոստոսի 31-ի N 1093-Ն որոշմամբ, ինչպես նաև օպերատորի հետ կնքված պայմանագրի դրույթներով:
Հայաստանի Հանրապետության |
Է. Աղաջանյան |