Պաշտպանի առաջարկները «Անձնական տվյալների պաշտպանության մասին» ԱՀ օրենքի նախագծի վերաբերյալ

Ողջունելով «Անձնական տվյալների պաշտպանության մասին» ԱՀ օրենքի նախագծի (այսուհետ՝ Նախագիծ) մշակումը՝ ԱՀ Մարդու իրավունքների պաշտպանն առաջարկում է՝

1.       Վավերացնել Անձնական տվյալների ավտոմատացված մշակման դեպքում անհատների պաշտպանության մասին Եվրոպայի խորհրդի 1981թ. միջազգային կոնվենցիան (Այսուհետ նաեւ՝ Կոնվենցիա):

Մինչ օրս Կոնվենցիան շարունակում է մնալ իրավաբանորեն միակ միջազգային գործիքը, որն ունի համաշխարհային կիրառման լայն շրջանակ եւ պարունակում է ընդունելի գլոբալ ստանդարտներ: Կոնվենցիան կազմվել է տեխնոլոգիականորեն չեզոք ոճով, ինչը հնարավորություն է տալիս դրա դրույթներին այսօր էլ լիարժեք արդիական լինել՝ անկախ տեխնոլոգիական զարգացումներից:

2. Նախագծով ամրագրել տեսահսկման իրականացման իրավաչափության սահմանները եւ չափանիշները:

Պաշտպանն արձանագրում է, որ ինչպես ԱՀ ոստիկանության կողմից Հանրապետության տարբեր բնակավայրերում, այնպես էլ Ստեփանակերտի քաղաքապետարանի կողմից հանրային տրանսպորտում տեղադրվել են տեսախցիկներ, որոնց նպատակը, ըստ հրապարակային պարզաբանումների, հասարակական կարգի, անվտանգության ապահովումն ու հանրային տրանսպորտի գույքի պահպանումն է: Բացի այդ, մասնավոր տնտեսվարող կազմակերպությունների կողմից եւս լայնորեն տեղադրվում են տեսահսկման սարքեր:

Սակայն պետք է ընդգծել, որ ոլորտը օրենսդրական կարգավորման ենթարկված չէ, ինչը քաղաքացիների անձնական տվյալների գաղտնիության ապահովման համար վտանգ է առաջացնում: Պետք է օրենսդրորեն հստակ ամրագրել տեսահսկման իրականացման իրավաչափ նպատակները, իրավասու սուբյեկտները, տեսախցիկների տեղադրման թույլատրելի վայրերը, հեռավորությունը բնակելի շենքերից եւ բնակելի տներից եւ մի շարք այլ չափանիշներ, որոնք կապահովեն քաղաքացիների անձնական տվյալների պաշտպանությունը: Բացի այդ, անհրաժեշտ է հստակ սահմանել տեսահսկման իրականացման գործընթացի նկատմամբ հսկողություն իրականացնելու լիազորություն ունեցող մարմինը:

3. Պաշտպանն արձանագրում է, որ երեխաների իրավունքներն, այդ թվում՝ անձնական տվյալների պաշտպանության իրավունքն առաջնահերթ ուշադրության են արժանի, եւ անհրաժեշտ է Նախագծով առանձին դրույթ նախատեսել երեխաների անձնական տվյալների պաշտպանության վերաբերյալ:

Յուրաքանչյուր ոք, առավել ևս՝ պետական մարմինները, կազմակերպությունները և լրատվամիջոցները, երեխայի անձնական կյանքի պաշտպանությանը պետք է առաջնային ուշադրություն դարձնի և բավարար միջոցներ ձեռնարկի երեխաների անձնական տվյալների անօրինական մշակումը բացառելու համար: Պետք է հաշվի առնել երեխայի լավագույն շահի սկզբունքը, ըստ որի՝ ֆիզիկական և հոգեբանական հասունության դեռևս չհասած անձն ավելի շատ պաշտպանության կարիք ունի, քան մյուսները։ Պետք է սահմանել, որ երեխայի անձնական տվյալներ մշակողները կրում են հետևյալ նվազագույն պարտականությունները և պարտավոր են.

- իրենց գործունեությունը կազմակերպել անձնական տվյալների պաշտպանության և երեխայի լավագույն շահն ամրագրող նորմերին համապատասխան, անձնական տվյալները հրապարակայնացնել միայն օրինական նպատակով՝ նպատակին հասնելու համար պիտանի, անհրաժեշտ և չափավոր ծավալով,

- երեխաների անձնական տվյալներ հրապարակելիս ցուցաբերել հատուկ զգուշավորություն երեխաներին չվնասելու համար՝ օգտագործելով անձնական տվյալներն ապանձնավորելու միջոցներ (փոխել երեխայի անունը, օգտագործել միայն անվան առաջին տառերը, փակել լուսանկարում երեխայի դեմքը և այլն),

- երեխաների անձնական տվյալները հրապարակել միայն այն բացառիկ դեպքերում, երբ հրապարակումը խիստ կարևոր է երեխայի լավագույն շահը պաշտպանելու համար և ապանձնավորված կերպով հնարավոր չէ հասնել այդ նպատակին եւ այլն:

4. Նախագծով անհրաժեշտ է կարգավորել նաեւ անձնական տվյալները (ներառյալ՝ հեռախոսահամարը և էլեկտրոնային փոստի հասցեն) մարքեթինգային նպատակներով կիրառելու դեպքերը:

Շատ հաճախ քաղաքացիների բջջային հեռախոսահամարներին և էլեկտրոնային հաղորդակցության այլ միջոցներով ուղարկվում են հաղորդագրություններ, որոնք տարբեր ծառայությունների մատուցման կամ միջոցառումների անցկացման վերաբերյալ տեղեկություններ են պարունակում, այնինչ քաղաքացիները հնարավորություն չունեն ապաբաժանորդագրվել տվյալ ծանուցումներից: Վերլուծելով միջազգային փորձը՝ պարզ է դառնում, որ անցանկալի (չպահանջված) գովազդային հաղորդագրություններ փոխանցելը միջամտություն է մարդու անձնական կյանքին, և դրանք կարող են անհանգստություն պատճառել մարդկանց, այդ թվում՝ առաջացնելով ծախսեր ստացողների համար: Ցանկացած դեպքում մարդու անձնական տվյալները, այդ թվում՝ անձնական հեռախոսահամարը և էլեկտրոնային փոստի հասցեն պետք է օգտագործվեն բացառապես անձի համաձայնությամբ կամ օրենքով ուղղակիորեն նախատեսված դեպքում:

Միջազգային փորձի համաձայն՝ մարքեթինգ իրականացնելու համար համաձայնության երկու մեխանիզմ էր կիրառվում՝ նախնական (opt-in) և հետագա (opt-out): Opt-in մեխանիզմի դեպքում տվյալների սուբյեկտը նախապես և հստակ կերպով տալիս է իր համաձայնությունը անձնական տվյալների մշակման համար, իսկ օpt-out մեխանիզմի դեպքում՝ տվյալների սուբյեկտը հրաժարվում է իր տվյալների հետագա մշակումից:

Այսպիսով, յուրաքանչյուր ոք իրավունք ունի արգելել, ինչպես նաև ցանկացած պահի պահանջել դադարեցնել իր անձնական տվյալների օգտագործումն ուղղակի մարքեթինգի նպատակով: Եվ պետությունը պարտավորություն ունի համապատասխան կարգավորում տալ նաև այս ոլորտին՝ բացառելով մարդկանց իրավունքների ոչ իրավաչափ սահմանափակությունը և խախտումը:

5. Վերանայման կարիք ունի «Հանրամատչելի անձնական տվյալ» հասկացությունը:

Նախագծի 3-րդ հոդվածի 1-ին մասի 16-րդ կետի համաձայն՝ «Հանրամատչելի անձնական տվյալներ» հասկացությունը ներառում է այն տեղեկությունները, որոնք տվյալների սուբյեկտի համաձայնությամբ կամ իր անձնական տվյալները հանրամատչելի դարձնելուն ուղղված գիտակցված գործողությունների կատարմամբ մատչելի են դառնում որոշակի կամ անորոշ շրջանակի անձանց համար, ինչպես նաև այն տեղեկությունները, որոնք օրենքով նախատեսված են որպես հանրամատչելի տեղեկություններ: Այսինքն, նման կարգավորման դեպքում հանրամատչելի են համարվում ոչ միայն այն տվյալները, որոնք մատչելի են դառնում լայն հանրությանը, այլև՝ միայն որոշակի շրջանակի անձանց համար։ Հանրամատչելի տվյալների այսպիսի ծավալուն և անհստակ մեկնաբանությունը վտանգավոր է, քանի որ այն նեղացնում է օրենքի շրջանակները և, արդյունքում, նվազեցնում անձնական տվյալների գաղտնիության պաշտպանության մակարդակը։

6. «Սուբյեկտների նվազագույն ներգրավման» սկզբունքը ոչ իրավաչափ է եւ մարդու իրավունքների խախտման ռիսկ է պարունակում:

Նախագծի 7-րդ հոդվածի խորքում ընկած հիմնավորումը, կարծես, տվյալների սուբյեկտին ձանձրացնելուց կամ անհանգստացնելուց խուսափելու պետական մարմինների պատրաստակամությունն է։ Ըստ այդ հոդվածի իմաստի՝ պետական մարմինները չպետք է հավաքագրեն անձնական տվյալներն ուղղակիորեն տվյալների սուբյեկտից, եթե անհրաժեշտ տվյալները կարելի է ձեռք բերել մեկ այլ պետական մարմնից, որտեղ այդ տվյալներն արդեն պահվում են։ Սակայն նման կարգավորումը ռիսկային է, քանի որ վտանգում է տվյալների մշակման թափանցիկությունը: Ստեղծվում է մի իրավիճակ, որում տվյալների սուբյեկտը տեղյակ չէ այն փաստին, որ իր անձնական տվյալները փոխանցվել են մեկ այլ մարմնի։ Առաջարկում եմ վերանայել այս սկզբունքը և առնվազն նախատեսել պետական այլ մարմնից տվյալների հավաքագրման մասին տվյալների սուբյեկտին ծանուցելու մեխանիզմ։