Luật bảo vệ dữ liệu cá nhân của Armenia: Các yêu cầu chính đối với các công ty nước ngoài hoạt động tại Armenia

Đăng ký bắt buộc khi:

• Xử lý dữ liệu cá nhân sinh trắc học
• Xử lý dữ liệu danh mục đặc biệt (sức khỏe, tôn giáo, v.v.)
• PDPA đặc biệt yêu cầu thông báo
• Xử lý hệ thống quy mô lớn

Thông tin bắt buộc:

• Tên bộ xử lý và thông tin đăng ký
• Mục đích xử lý và căn cứ pháp lý
• Các loại dữ liệu và đối tượng bị ảnh hưởng
• Các biện pháp an ninh đã được thực hiện

Kiểm kê dữ liệu & lập bản đồ

• Xác định tất cả các hoạt động xử lý dữ liệu cá nhân của người Armenia
• Tài liệu nguồn dữ liệu, danh mục và người nhận
• Bản đồ luồng dữ liệu chuyển giao xuyên biên giới
• Đánh giá danh mục đặc biệt và xử lý dữ liệu sinh trắc học

Đánh giá cơ sở pháp lý

• Đánh giá các cơ chế đồng ý hiện có
• Xác định các cơ sở xử lý pháp lý thay thế
• Xem lại hợp đồng và ngôn ngữ chính sách
• Đánh giá các bài kiểm tra cân bằng lợi ích hợp pháp

Biện pháp kỹ thuật

• Triển khai các giao thức mã hóa dữ liệu
• Triển khai hệ thống kiểm soát ra vào
• Thiết lập các thủ tục sao lưu và phục hồi dữ liệu
• Cấu hình hệ thống phát hiện và ứng phó vi phạm

Tài liệu & Thủ tục

• Phát triển chính sách bảo vệ dữ liệu
• Tạo thủ tục yêu cầu dữ liệu của chủ thể
• Thiết lập lịch trình lưu giữ và xóa
• Chuẩn bị tài liệu đăng ký PDPA

Đánh giá thường xuyên

• Tiến hành kiểm toán tuân thủ hàng quý
• Xem lại và cập nhật thông báo về quyền riêng tư
• Theo dõi cập nhật hướng dẫn quản lý
• Đánh giá sự tuân thủ của bộ xử lý bên thứ ba

Đào tạo & Nhận thức

• Cung cấp đào tạo bảo vệ dữ liệu cho nhân viên
• Cập nhật quy trình ứng phó sự cố
• Duy trì tài liệu tuân thủ
• Tham gia với các chuyên gia pháp lý để cập nhật

Thách thức

Một công ty thương mại điện tử châu Âu mở rộng sang Armenia đã không đăng ký hoạt động xử lý dữ liệu của mình với PDPA và đã chuyển dữ liệu khách hàng đến các máy chủ ở một quốc gia không đủ tiêu chuẩn mà không có biện pháp bảo vệ thích hợp.

Giải pháp

• • Đã triển khai đăng ký PDPA cho dữ liệu thanh toán sinh trắc học
• • Thiết lập các thỏa thuận chuyển giao dữ liệu EU-Armenia
• • Tăng cường thu thập sự đồng ý với các tuyên bố mục đích rõ ràng
• • Triển khai lưu trữ dữ liệu cục bộ cho thông tin nhạy cảm

Các sự cố

Một công ty khởi nghiệp công nghệ tài chính xử lý dữ liệu tài chính của khách hàng Armenia đã gặp phải sự cố vi phạm khiến 10,000 hồ sơ bị lộ do mã hóa không đầy đủ và thông báo PDPA bị chậm 72 giờ.

Bài học kinh nghiệm

• • Bắt buộc phải thông báo ngay cho PDPA và cảnh sát
• • Thông báo công khai phải kèm theo phản hồi vi phạm
• • Mã hóa đầu cuối là bắt buộc đối với dữ liệu tài chính
• • Kiểm tra thâm nhập thường xuyên ngăn ngừa lỗ hổng

Thực hành tốt nhất được triển khai

• • Tư vấn và đăng ký PDPA trước khi ra mắt
• • Kiến trúc toàn diện về quyền riêng tư theo thiết kế
• • Thuê cố vấn pháp lý người Armenia địa phương
• • Đào tạo nhân viên về các yêu cầu bảo mật của Armenia

Kết quả đạt được

• • Không có vi phạm tuân thủ nào trong hơn 3 năm
• • Hoạt động hợp lý trên khắp các khu vực pháp lý
• • Tăng cường lòng tin của khách hàng và thâm nhập thị trường
• • Quản lý tuân thủ hiệu quả về mặt chi phí