Ի՞ՆՉՊԵՍ ՏԱԼ ՀԱՄԱՁԱՅՆՈՒԹՅՈՒՆ ԱՆՁՆԱԿԱՆ ՏՎՅԱԼՆԵՐԸ ՄՇԱԿԵԼՈՒ ՀԱՄԱՐ (Գայանե Հայրապետյան)

Բանկային գործարքներից մինչև կայքերի բաժանորդագրություններ մեր անձնական տվյալները հասանելի են դառնում տարբեր կազմակերպությունների։ Երբևէ մտածե՞լ եք՝ օրական քանի անգամ եք անձնական տվյալների մշակման համաձայնություն տալիս և հետագայում ի՞նչ է լինում այդ տվյալների հետ։

Փորձենք հասկանալ՝ ի՞նչ է տվյալների մշակման համաձայնությունը և որոնք են դրա սահմանները։

Համաձայնությունը անձնական տվյալների մշակման օրինական հիմքն է։ Համաձայն Անձնական տվյալների պաշտպանության մասին ՀՀ օրենքի՝ այն համարվում է տրված միայն երեք դեպքում՝ երբ ստորագրվել  է համաձայնությունը հաստատող փաստաթուղթը, երբ կնքվել է պայմանագիր կամ երբ առկա է բանավոր հայտարարություն համաձայնության վերաբերյալ։

Ի՞նչ տարրեր ունի համաձայնությունը

Համաձայնությունը անձի կամքի ազատ արտահայտումն է, ինչը նշանակում է` անձին տալ ընտրություն կատարելու և իրեն վերաբերող անձնական տվյալները վերահսկելու իրական հնարավորություն։ Օրինակ՝ անձը ցանկացած պահի կարող է հետ կանչել իր տված համաձայնությունը։

Համաձայնությունը տրվում է ակտիվ գործողություն միջոցով, ինչը նշանակում է, որ անձը գիտակցված է թույլատրել մշակել իր անձնական տվյալները: Օրինակ՝ համաձայնությունը կարող  է տրվել գրավոր հայտարարության կամ կայքում առկա կարգավորումներն ընդունելու միջոցով։

Տվյալների մշակման մասին ընդհանրական (բոլոր հնարավոր նպատակներով հավաքագրման և օգտագործման) համաձայնությունը իրավաչափ չէ։
Տվյալ մշակողը պարտավոր է մշակման յուրաքանչյուր նպատակին համապատասխան ստանալ նոր համաձայնություն, քանի որ միևնույն անձնական տվյալները կարող են օգտագործվել, մշակվել տարբեր նպատակներով:

Օրինակ՝ աշխատանքային պայմանագիր կնքելու համար հավաքած տվյալները չեն կարող օգտագործվել մարկետինգային առաջարկներով հանդես գալու համար։

Նախքան համաձայնությունը տալը անձը պետք է տեղեկացվի բոլոր այն դեպքերի և պայմանների մասին, որոնց համար մշակվելու և օգտագործվելու են անձնական տվյալները։ Օրինակ՝ ո՞րն է մշակման նպատակը, արդյո՞ք այն փոխանցվելու է երրորդ անձի, ի՞նչ իրավունքներ ունի տվյալների մշակման սուբյեկտը, որքա՞ն ժամանակ կպահպանվի համաձայնությունը և այլն։

Համաձայնության տեքստը  պետք է շարադրված լինի պարզ և հասկանալի կերպով՝ հարմարեցված ընթերցողի ունակություններին, ինչը նշանակում է, որ այն չպետք է պարունակի երկիմաստ բառեր և մոլորեցնի անձին։

Իսկ ո՞րն է տվյալների մշակման նպատակը և որքա՞ն ժամանակ է այդ նպատակը իրավաչափ

Յուրաքանչյուր տվյալ մշակող ինքն է նախապես սահմանում տվյալների մշակման նպատակը։ Այն պետք է համապատասխանի կազմակերպության սահմանած մշակման  վերջնարդյունքին, լինի որոշակի, պարզ և հասկանալի։

Նպատակի սահմանումը հնարավոր է դարձնում արդյունավետորեն համապատասխանել «նվազագույն տվյալների հավաքման» սկզբունքին:

Սկզբունքի համաձայն՝ անձնական տվյալների մշակողը պետք է հավաքի միայն այն տվյալները, որոնք ուղղակիորեն անհրաժեշտ են իր առջև դրված նպատակին հասնելու համար։ Այսինքն՝ կարիք չկա հավաքել այնպիսի տվյալներ, որոնք հետագայում մշակման համար անհրաժեշտ չեն լինելու։ Օրինակ՝ որոշ կայքեր գրանցման համար պահանջում են գրանցվողի բնակության հասցեն, մինչդեռ կայքի օգտագործման համար այդ տվյալը անհրաժեշտ չէ։

Անձը պետք է նաև տեղեկացված լինի իր անձնական տվյալների մշակման հետ կապված ռիսկերի և երաշխիքների մասին։ Այս պատճառով յուրաքանչյուր տվյալ մշակող ինքն է կազմում և անձին ներկայացնում իր գաղտնիության քաղաքականությունը, որտեղ նշում են տվյալների հավաքման նպատակները, օրինական հիմքերը։

Համաձայնության առկայությունը չի ենթադրում, որ տվյալները կարող են մշտապես պահվել

Անձնական տվյալների պաշտպանության մասին ՀՀ օրենքի համաձայն՝ համաձայնության հիման վրա մշակվող տվյալները պահպանվում են այն ժամկետով, որն օբյեկտիվորեն անհրաժեշտ է տվյալներ մշակելու նպատակներին հասնելու համար կամ համաձայնությամբ սահմանված ժամկետում։

Քանի որ համաձայնությունը ժամանակի ընթացքում «հնանում է», միջազգային պրակտիկայում համաձայնությունը թարմացնելու օպտիմալ ժամկետը երկու տարի է։[1] Օրինակ, եթե անձը բաժանորդագրվել է սեզոնային գովազդներ ստանալու համար, այդ համաձայնությունը սպառված կլինի այդ ժամանակն անցնելուց հետո։


[1]  Այսպիսի մոտեցումն ընդունված է Մեծ Բրիտանիայի Տեղեկատվության հանձնակատարի գրասենյակի կողմից

Առավել երկար ժամանակով անձնական տվյալների պահպանումը հնարավոր է միայն հանրային նպատակներից ելնելով՝ այդ տվյալների արխիվացման, գիտական կամ այլ հետազոտությունների իրականացման, վիճակագրական տվյալների ստեղծման նպատակով: Այս դեպքերում հնարավոր է տվյալները պահպանել անորոշ ժամկետով։

Մի շարք Եվրոպական երկրներ հավաքագրված տվյալները դարձնում են անանուն, երբ նպատակի իրագործման համար անհրաժեշտ չէ, որպեսզի դրանք անհատականացված  լինեն։ Օրինակ, երբ վիճակագրության համար հավաքում են տեղեկատվություն, ոչ այնքան անհրաժեշտ է անձի անունը, այլ վիճակագրության համար նրանց տրամադրած տեղեկատվությունը։

Անձն ունի մոռացված լինելու իրավունք

Մոռացված լինելու իրավունքի էությունն այն է, որ անձին վերաբերող որոշակի տվյալների հասանելիությունը արգելվում է հենց այդ անձի կողմից։

Եթե անձն իր տված համաձայնությունը հետ է կանչել, ապա տվյալների մշակումը դադարեցվում է, իսկ հավաքված տվյալները ենթակա են որոշակի ժամկետի ընթացքում ոչնչացման (օրինակ՝ հետկանչը ստանալու օրվան հաջորդող տասն աշխատանքային օրվա ընթացքում), եթե այն համապատասխանում է օրենսդրությամբ սահմանված պայմաններին։

ԵՄ ընդհանուր տվյալների պաշտպանության հայտնի GDPR կանոնակարգը նախատեսում է, որ տվյալների մշակման համաձայնությունը հետ կանչելը պետք է կատարվի նույնքան պարզ և արագ, որքան համաձայնությունը ստանալն է։[2]

Նշենք, որ անձնական տվյալների մշակում հնարավոր է նաև առանց անձի համաձայնության, եթե տվյալները ստացվել են հանրամատչելի աղբյուրներից կամ այդպիսի մշակումը նախատեսված է օրենքով։

Միևնույն ժամանակ, առանց անձի համաձայնության արգելվում է հատուկ կատեգորիայի անձնական տվյալների մշակումը, բացառությամբ, երբ մշակումն ուղղակիորեն նախատեսված է օրենքով: Այդպիսի տվյալներ են համարվում անձի ռասայական, ազգային պատկանելությանը կամ էթնիկ ծագմանը, քաղաքական հայացքներին, կրոնական կամ փիլիսոփայական համոզմունքներին, արհեստակցական միությանն անդամակցությանը, առողջական վիճակին ու սեռական կյանքին վերաբերող տեղեկություններ։


[2] Տես ԵՄ Ընդհանուր տվյալների պաշտպանության կանոնակարգ, հոդված 7: Ինչպես նաև Proximus NV (Public electronic directories) v Gegevensbeschermingsautoriteit

Ի՞նչ նվազագույն տեղեկություններ պետք է ներկայացվեն համաձայնությունը ստանալուց առաջ

Անհրաժեշտ է, որ համաձայնությունը ստանալուց առաջ անձին ներկայացվեն հետևյալ նվազագույն տեղեկություները․

  • Տվյալներ մշակողի ինքնությունը
  • Նպատակը
  • Նշում այն մասին, թե որ տվյալներն են հավաքվելու
  • Ինչպես են օգտագործվելու այդ տվյալները
  • Նշում երրորդ անձանց փոխանցելու մասին
  • Պրոֆայլինգ լինելու է, թե ոչ[3]
  • Ինչ ժամկետով են հավաքագրվում:

[3] Անձնական տվյալների ավտոմատացված մշակում՝ անհատի մասին որոշ բաներ գնահատելու համար։ Օրինակ՝ անձի վարքագծի ուսումնասիրում համապատասխան առաջարկներ ներկայացնելու համար։

Համաձայնությունը պետք է տրվի մինչև անձնական տվյալների մշակումը սկսելը։ Այդ պարագայում հստակ կլինի, որ անձը նախապես ծանոթացել է մշակման պայմաններին և նպատակներին։

Ի՞նչ հետևություններ կարող ենք անել

  • Տվյալները պետք է հավաքվեն նվազագույն քանակով՝ միայն մշակման նպատակին համապատասխան
  • Յուրաքանչյուր մշակման նպատակին համապատասխան պետք է տրվի առանձին համաձայնություն
  • Տվյալների անորոշ ժամկետով պահելն արգելվում է, բացառությամբ որոշ դեպքերի, օրինակ՝ վիճակագրական և հետազոտական նպատակների
  • Տվյալները կարող են մշակվել առանց համաձայնության օրենքով նախատեսված դեպքերում
  • Յուրաքանչյուր ոք իրավունք ունի պահանջել մշակումը դադարեցնել և համաձայնությունը հետ կանչել

Related posts

Ի՞նչ է կատարվում արտարժույթի շուկայում (Հայկ Խեկոյան)

Nelli Avetisyan

Հուզական ինտելեկտի աճի կարևորությունը բիզնեսում (Հայկ Խեկոյան)

Nelli Avetisyan

8 միլիարդ (Հայկ Խեկոյան)

Nelli Avetisyan