Нужно ли регистрироваться в PDPA, если компания обрабатывает только данные сотрудников?

Да. ZR-49 не содержит полноценного исключения для обработки данных сотрудников. Обработка данных сотрудников — кадровый учёт, страховые данные — требует регистрации в реестре PDPA.

Что нужно добавить в Privacy Policy для армянского рынка?

Для ZR-49 Privacy Policy должна содержать: регистрационный номер в реестре PDPA, наименование PDPA как надзорного органа, права субъектов по ZR-49, порядок ответа на запросы (30 дней), сведения о разрешении PDPA на трансграничную передачу.

Нужно ли разрешение PDPA для передачи данных в Google Analytics или AWS?

Да. США не входят в Конвенцию 108, поэтому передача данных в Google Analytics, AWS, Mailchimp, Stripe и другие US-сервисы требует разрешения PDPA. На практике PDPA принимает стандартные DPA крупных провайдеров как достаточное подтверждение защиты при правильно оформленном заявлении.

Почему Privacy Policy важна для CASP-лицензии в Армении?

ЦБА при рассмотрении CASP-заявки проверяет наличие Privacy Policy, AML/KYC Policy и документации по обработке ПДн. Отсутствие корректной Privacy Policy по ZR-49 — основание для отказа в лицензии. Дополнительно требуется разрешение PDPA на трансграничную передачу данных в KYC-провайдеры (SumSub, Onfido — все зарубежные).

Как компания-релокант из России должна организовать compliance в Армении?

Компании-релоканты с российскими клиентами работают под тремя режимами одновременно: ZR-49 (Армения), 152-ФЗ (Россия — если обрабатывают данные граждан РФ), GDPR (если работают с EU-аудиторией). Требуется мультиюрисдикционная Privacy Policy и решение вопроса локализации данных граждан РФ.

🇦🇲 Армения · ZR-49 · PDPA · 2026

Защита персональных данных в Армении: что изменилось и что нужно бизнесу

Q: Применяется ли GDPR к компании, зарегистрированной в Армении?

Армения не является членом ЕС, и GDPR не применяется к ней как к государству-члену. Однако если армянская компания обрабатывает данные лиц, находящихся на территории ЕС (предлагает услуги или отслеживает их поведение), — GDPR применяется к ней как к контроллеру данных.

Армения активно усиливает enforcement по закону ZR-49 с 2023 года. Для IT-релокантов, CASP-проектов и компаний с клиентами из РФ и ЕС это означает тройной compliance-слой. Разбираем регулятора, реестр, согласие, трансграничные передачи и крипто-специфику.

ZR-49 · PDPA · Минюст
Реестр · Трансграничная передача
CASP · ЦБА · Крипто-лицензия
Релоканты · GDPR · 152-ФЗ

1Закон ZR-49: основа и отличия от GDPR / 152-ФЗ
2PDPA: регулятор, проверки, штрафы с 2023
3Реестр обработчиков: обязательная регистрация
4Согласие как lawful basis: форма и электронный формат
5Трансграничная передача: Конвенция 108 vs разрешение
6Специальные категории данных
7CASP и ЦБА: крипто + data protection
8Армения как IT-хаб: тройной compliance
9Штрафы и санкции
10Чек-лист: 8 пунктов compliance
?FAQ

1Закон ZR-49 (2015): основа, принципы и отличия от GDPR и 152-ФЗ

Армения регулирует обработку персональных данных законом «О защите персональных данных» (ЗР-49), принятым 8 июня 2015 года. Его архитектура основана на Конвенции Совета Европы № 108 — «О защите физических лиц при автоматизированной обработке персональных данных» 1981 года (Convention 108). Это ключевое отличие от GDPR (собственный регламент ЕС) и от 152-ФЗ (российский национальный закон с локализацией данных). Армения — член Совета Европы, но не ЕС, поэтому GDPR здесь напрямую не применяется.

ZR-49 закрепляет семь ключевых принципов обработки ПДн. Они должны соблюдаться всеми операторами, работающими с данными резидентов Армении.

⚖️

Законность

Обработка только при наличии правового основания

🎯

Целевое использование

Только в рамках заявленных целей

📏

Минимизация

Только необходимые данные, не избыточные

✏️

Актуальность

Данные должны быть точными и актуальными

⏱️

Ограничение хранения

Не дольше, чем нужно для целей обработки

🔒

Безопасность

Технические и организационные меры защиты

📋

Подотчётность

Оператор несёт ответственность за соответствие

🌐

Прозрачность

Субъект информируется об обработке его данных

Параметр	ZR-49 (Армения)	GDPR (ЕС)	152-ФЗ (Россия)
Правовая база	Конвенция 108 СЕ	Собственный регламент ЕС	Национальный закон РФ
Локализация данных	Нет требования	Нет требования	Обязательно для граждан РФ (серверы в РФ)
Регулятор	PDPA при Минюсте	DPA каждого государства	Роскомнадзор (РКН)
Регистрация операторов	Обязательна в реестре PDPA	Не требуется (кроме ряда стран)	Обязательна в реестре РКН
Макс. штраф	500 000 AMD (~$1 300)	€20M или 4% оборота	500 млн ₽ (оборотный)
Трансграничная передача	Конвенция 108 — свободно; иные страны — разрешение PDPA	Adequacy decision / SCCs / BCRs	Только в страны из перечня ПП-1665 + согласие
DPO / ответственный	Ответственное лицо (не обязательно DPO)	DPO обязателен при ряде условий	Ответственный обязателен (ст. 18.1 152-ФЗ)

💡 Ключевое для бизнеса

ZR-49 — один из наименее бюрократичных режимов в регионе: нет требования локализации данных, нет необходимости в DPO по умолчанию, штрафы относительно невысокие. Однако с 2023 года PDPA усилил enforcement, а для крипто-компаний появился второй регуляторный слой через ЦБА. Юридическая упаковка для Армении — это не формальность, а реальное требование.

2PDPA при Минюсте: регулятор, усиление enforcement с 2023 года

Уполномоченный орган по защите персональных данных в Армении — Агентство защиты персональных данных (PDPA), действующее при Министерстве юстиции Республики Армения. Сайт агентства: pdpd.am. PDPA выполняет функции регулятора, регистрирующего органа и надзорного органа одновременно.

2015

Год принятия ZR-49

2023

Старт активного enforcement

500K AMD

Макс. адм. штраф

pdpd.am

Реестр и подача уведомлений

До 2023 года PDPA действовал преимущественно в рекомендательном режиме: проводил методологическую работу, публиковал разъяснения, регистрировал операторов. С 2023 года агентство перешло к активному надзору: начали применяться первые административные санкции, усилилась проверочная деятельность, появились предписания об устранении нарушений с контролем исполнения. Для IT-компаний, переехавших в Армению после 2022 года, это означает, что «мягкий» период закончился.

🔍 Проверочная деятельность

PDPA вправе проводить плановые и внеплановые проверки операторов. Инициатором внеплановой проверки может быть жалоба субъекта ПДн. С 2023 года — первые документально подтверждённые штрафные постановления.

📋 Регистрация и реестр

Ведёт Реестр обработчиков персональных данных. Регистрация обязательна до начала обработки. Сведения в реестре — публичны, их проверяет суд и контрагенты при due diligence.

⚠️ Предписания

Вправе выдавать обязательные предписания об устранении нарушений, в том числе о приостановлении обработки ПДн до устранения нарушений — это более болезненно, чем штраф.

🗣️ Жалобы субъектов

Любой субъект ПДн вправе обратиться в PDPA с жалобой. PDPA обязано её рассмотреть и в случае обоснованности — возбудить дело об административном правонарушении.

📌 Приостановление обработки — главный риск

Для IT-компаний и SaaS-платформ штраф в 500 000 AMD (~$1 300) — не катастрофа. Куда серьёзнее предписание о приостановлении обработки персональных данных до устранения нарушений: это означает остановку сервиса, удаление пользовательских данных из системы или блокировку регистрации новых пользователей. PDPA вправе выдать такое предписание при грубых нарушениях ZR-49.

3Реестр обработчиков: обязательная регистрация до начала обработки

Статья 9 закона ZR-49 обязывает всех операторов персональных данных зарегистрироваться в Реестре обработчиков ПДн до начала обработки. Это прямой аналог уведомления Роскомнадзора в России: регулятор хочет знать, кто обрабатывает данные и с какими целями. Реестр публичен, данные из него может проверить суд, партнёр, инвестор или сам субъект ПДн.

1
Подготовить сведения для регистрации
Собрать полный перечень: наименование и адрес оператора, цели обработки, категории данных и субъектов, правовые основания, перечень действий, меры безопасности, сведения о трансграничной передаче.
2
Подать заявление через pdpd.am или лично
Регистрация осуществляется через портал PDPA (pdpd.am) в электронном виде или путём личной подачи в агентство. Для иностранных юрлиц — через местного представителя или юридического советника, имеющего армянский адрес.
3
Дождаться внесения в реестр
PDPA рассматривает заявку и вносит оператора в публичный реестр. После внесения присваивается регистрационный номер. Срок рассмотрения — не более 30 дней.
4
Обновлять сведения при изменениях
При любом существенном изменении (смена адреса, новые цели, новые категории данных) — подать уведомление об изменениях в PDPA. Срок — в течение 10 дней с момента изменений.

Что указывается при регистрации (12 обязательных сведений):

Полное наименование и юридический адрес оператора

Цели обработки персональных данных (конкретно)

Категории субъектов (клиенты, сотрудники, посетители)

Категории персональных данных

Правовые основания обработки по ZR-49

Перечень действий с ПДн (сбор, хранение, передача…)

Срок или условие прекращения обработки

Меры по обеспечению безопасности ПДн

Сведения о трансграничной передаче (страны, получатели)

ФИО и контакты ответственного за обработку ПДн

Адрес расположения информационной системы

Перечень третьих лиц, которым передаются ПДн

4Согласие как основной lawful basis: форма, содержание, электронный формат

В отличие от GDPR, который предусматривает шесть оснований обработки ПДн, ZR-49 ориентирован прежде всего на согласие субъекта как основной lawful basis. Прочие основания (исполнение договора, исполнение закона, защита жизненно важных интересов) применяются в более узких случаях. Это означает, что для большинства коммерческих операций с ПДн армянского пользователя — в первую очередь нужно согласие.

✅

Согласие субъекта

Основной basis. Нужно для маркетинга, аналитики, большинства коммерческих операций

📄

Исполнение договора

Обработка, необходимая для выполнения договора с субъектом

⚖️

Исполнение закона

Обработка, требуемая законодательством Армении

🏥

Жизненно важные интересы

Защита здоровья или жизни субъекта — исключительные ситуации

📢

Публичный интерес

Для государственных органов и публичных функций

🏛️

Законный интерес

Ограниченное применение; не подменяет согласие в коммерческих целях

⚡ Практика для SaaS и веб-сервисов

Для онлайн-сервисов с армянской аудиторией электронное согласие работает при соблюдении двух условий: (1) чекбокс не должен быть предварительно заполнен — пользователь сам ставит галочку; (2) система логирует дату, время и конкретную версию условий, с которыми согласился пользователь. Всплывающий cookie-баннер с кнопкой «Принять» для целей, выходящих за рамки технически необходимых cookie — обязателен. Это отражается в юридической упаковке для армянского сегмента.

5Трансграничная передача: Конвенция 108 — свободно, остальные — через PDPA

Один из самых практически важных аспектов для IT-компаний — трансграничная передача персональных данных. ZR-49 делит получателей данных на три категории с разными режимами передачи.

Категория получателя	Режим передачи	Примеры стран	Что требуется
Страны — члены Конвенции 108	Свободно	Все 46 стран СЕ: ЕС, UK, Грузия, Сербия, Армения, Турция и др.	Уведомить PDPA в реестре. Отдельного разрешения не нужно
Страны с адекватным уровнем защиты (по решению PDPA)	Упрощённый	Зависит от актуального перечня PDPA	Упрощённая процедура согласования, стандартные договорные условия
Иные страны (не в Конвенции 108 и не в перечне)	Разрешение PDPA	США, ОАЭ, Сингапур, Китай и большинство non-CoE стран	Предварительное разрешение PDPA + Data Transfer Agreement

Для большинства IT-продуктов трансграничная передача — реальность: AWS (США), Google Cloud (США), Cloudflare (США), Mailchimp (США), Stripe (США), Intercom (США). Все они требуют либо разрешения PDPA, либо заключения Data Transfer Agreement, соответствующего требованиям ZR-49.

Как получить разрешение PDPA на практике:

Подготовить заявление в PDPA с описанием: какие данные передаются, кому (наименование получателя, страна, адрес), с какой целью, на каком правовом основании
Приложить проект Data Transfer Agreement между оператором (армянская компания) и получателем — с описанием мер защиты, прав субъектов и ответственности
Приложить доказательства того, что получатель обеспечивает надлежащий уровень защиты: сертификация ISO 27001, Privacy Policy получателя, стандартные договорные условия по GDPR (если получатель — EU-процессор)
PDPA рассматривает заявление в срок до 30 дней; разрешение действует на срок, указанный в решении
Для крупных SaaS-провайдеров (AWS, Google, Microsoft) PDPA на практике принимает их стандартные DPA как достаточное основание — при правильном оформлении в заявлении

💡 Практический совет

Если компания уже имеет GDPR-комплаентную документацию (DPA с субпроцессорами по Статье 28 GDPR, SCCs) — значительную часть материалов для заявления в PDPA можно использовать повторно. Это существенно упрощает получение разрешения для компаний, уже работавших с EU-клиентами до релокации в Армению.

6Специальные категории данных: повышенная защита

ZR-49 выделяет особые (специальные) категории персональных данных, обработка которых требует повышенного уровня защиты и, как правило, явного согласия субъекта. Обрабатывать их без специального основания — прямое нарушение закона, влекущее административную и уголовную ответственность.

🏥

Данные о здоровье

Медицинские диагнозы, история болезни, рецепты, данные о нетрудоспособности. Актуально для MedTech, телемедицины, HR-систем

🧬

Биометрические данные

Отпечатки пальцев, распознавание лица, голосовые данные для идентификации. Требования к хранению — особые

🌍

Этническое происхождение

Данные о расовой и этнической принадлежности. Особенно чувствительно в армянском контексте

⛪

Религиозные убеждения

Вероисповедание, религиозные взгляды, членство в религиозных организациях

🗳️

Политические взгляды

Политические убеждения, членство в партиях. Актуально для civic tech, CRM политических структур

⚖️

Судимости

Данные о судимостях и уголовном преследовании. Фоновые проверки в HR — требуют специального основания

Для обработки специальных категорий нужно соблюсти все следующие условия: (1) явное согласие субъекта (не достаточно общего согласия); (2) наличие конкретной законной цели; (3) применение усиленных мер безопасности — шифрование, псевдонимизация, минимизация доступа; (4) ограниченное хранение — только на период, необходимый для цели.

⚠️ Медицинские и HR-платформы — в зоне особого риска

IT-компании, создающие в Армении медицинские приложения, системы мониторинга здоровья сотрудников, HR-платформы с данными о состоянии здоровья или фоновыми проверками — автоматически работают со специальными категориями ПДн. Неправомерная обработка этих данных — основание для уголовного преследования (до 5 лет лишения свободы), а не только административного штрафа. Необходима DPIA (оценка воздействия на защиту данных) даже при отсутствии прямого требования ZR-49 — как стандарт управления рисками.

7CASP и ЦБА: крипто-лицензия требует Privacy Policy

Для криптовалютных и Web3 компаний Армения — двойная регуляторная среда. Помимо общего режима ZR-49 и надзора PDPA, Crypto Asset Service Providers (CASP) подпадают под юрисдикцию Центрального банка Армении (ЦБА / CBA). ЦБА лицензирует CASP-деятельность и устанавливает требования к AML/KYC — а с ними и требования к обработке персональных данных как элементу получения и сохранения лицензии.

🟠 Слой 1: PDPA (ZR-49)

Регистрация в реестре обработчиков ПДн
Privacy Policy для пользователей CASP-платформы
Согласие субъектов на обработку KYC-данных
Правовые основания для специальных категорий (документы, удостоверяющие личность)
Требования к трансграничной передаче (KYC-провайдеры, как правило, зарубежные)
Механизм реализации прав субъектов ПДн

🔵 Слой 2: ЦБА (лицензирование CASP)

AML/KYC Policy — обязательна как условие лицензии
Customer Due Diligence (CDD) процедуры с хранением данных
Transaction monitoring — данные о транзакциях пользователей
FATF Travel Rule — для переводов выше порога: данные отправителя/получателя
Запись и хранение KYC-данных (обычно 5 лет)
Документированные процедуры реагирования на запросы регуляторов

На практике это означает, что Privacy Policy CASP-платформы в Армении должна описывать: (1) обработку KYC-данных (паспорт, адрес, фото) — как специальную категорию с явным согласием; (2) передачу данных в KYC-провайдеры (SumSub, Onfido, Jumio — все зарубежные, требуют разрешения PDPA); (3) хранение транзакционных данных в рамках AML-обязательств; (4) взаимодействие с ЦБА и правоохранительными органами как законное основание для обработки без согласия.

📌 Privacy Policy — часть CASP-заявки в ЦБА

ЦБА при рассмотрении заявки на лицензию CASP фактически проверяет наличие и корректность Privacy Policy, AML/KYC Policy и документации по обработке ПДн. Отсутствие корректной Privacy Policy или её несоответствие ZR-49 — основание для отказа в лицензии или выдачи предписания об устранении нарушений после лицензирования. Подробнее о юридической упаковке для крипто-проектов.

8Армения как IT-хаб для релокантов: тройной compliance

После 2022 года Армения стала одним из главных направлений для релокации IT-компаний из России: простая регистрация юрлица, лояльный налоговый режим, армянские IT-аккредитации. Но для компаний, которые сохранили клиентскую базу из РФ и/или работают с EU-аудиторией, ситуация сложнее: они обязаны соблюдать три независимых правовых режима одновременно.

🇦🇲

Армения

ZR-49 · PDPA

Регистрация в реестре PDPA
Privacy Policy по ZR-49
Согласие армянских пользователей
Разрешение на трансграничную передачу в США/etc.
Ответственное лицо за обработку ПДн

🇷🇺

Россия

152-ФЗ · РКН

Уведомление РКН (оператор по-прежнему обрабатывает данные граждан РФ)
Локализация данных граждан РФ на серверах в РФ
ЛНА по 152-ФЗ (Политика ПДн, Приказ)
Оборотные штрафы до 500 млн ₽

🇪🇺

ЕС

GDPR · ePrivacy

Privacy Notice по Art. 13–14 GDPR
DPA с субпроцессорами (Art. 28)
Cookie opt-in (ePrivacy)
DPO при определённых условиях
DPIA для high-risk операций

Тройной compliance означает, что Privacy Policy должна быть мультиюрисдикционной: описывать обработку с учётом требований всех трёх режимов. Это не три отдельных документа (хотя такой подход возможен), а единый структурированный документ с разделами по каждой аудитории. Ключевые конфликты, с которыми сталкиваются компании-релоканты:

Конфликт 1: Локализация (152-ФЗ) vs свобода передачи (ZR-49). 152-ФЗ требует хранить данные граждан РФ на серверах в России. ZR-49 не имеет требований к локализации. Если компания переехала в Армению и перенесла все данные на армянский/европейский хостинг — она нарушает 152-ФЗ в отношении данных граждан РФ, если те продолжают пользоваться сервисом. Решение: либо dual-infrastructure (отдельный RU-сегмент), либо прекращение обработки данных РФ-граждан на армянской инфраструктуре.

Конфликт 2: Согласие (ZR-49, 152-ФЗ) vs GDPR-основания. ZR-49 акцентирует согласие как основной basis, но GDPR допускает «законный интерес» для ряда случаев, где 152-ФЗ требует явного согласия. Мультиюрисдикционная Privacy Policy должна разграничивать обработку по аудиториям и правовым основаниям.

📌 Стратегия для релокантов

Рекомендуемый подход: единая мультиюрисдикционная Privacy Policy с разделами «Для пользователей из Армении», «Для пользователей из России», «Для пользователей из ЕС». Это упрощает поддержку, но требует аккуратного юридического структурирования. Пакет для РФ и пакет для ЕС разрабатываются параллельно и интегрируются в общую документацию. Подробнее — в разделе юридической упаковки сайта.

9Штрафы и санкции: цифры небольшие, последствия серьёзные

Административные штрафы по ZR-49 невелики по международным меркам — на фоне GDPR (€20M) или российских оборотных штрафов (500 млн ₽). Однако это не означает, что нарушения безопасны. Кроме штрафов PDPA располагает инструментом приостановления обработки ПДн — и это куда более болезненное последствие для работающего бизнеса.

50 000–500 000 AMD

Административный штраф

Нарушение требований ZR-49: отсутствие регистрации, ненадлежащая Privacy Policy, нарушение принципов обработки. ≈ $130–$1 300 USD

КоАП Армении (ст. 159–163)

До 5 лет

Уголовная ответственность

Незаконный сбор, хранение, распространение ПДн; особо злостные нарушения, утечки с умыслом или халатностью. УК Армении (ст. 145–148)

Уголовный кодекс Армении

Приостановление

Операционный запрет

PDPA вправе вынести предписание о приостановлении обработки ПДн до устранения нарушений. Для SaaS — фактическая остановка сервиса

Ст. 28 ZR-49 · Полномочия PDPA

Важно понимать, что административный штраф и уголовная ответственность — не альтернативы, а разные инструменты. PDPA налагает административный штраф. Уголовное преследование возбуждается прокуратурой при наличии умысла или грубой халатности — особенно при утечке специальных категорий данных (здоровье, биометрия) или при повторных нарушениях. Для CASP дополнительный риск — отзыв лицензии ЦБА при систематических нарушениях требований к обработке KYC-данных.

📌 Тренд: PDPA усиливает надзор

С 2023 года PDPA значительно активизировало надзорную деятельность на фоне общего роста числа зарегистрированных операторов (IT-релоканты). Проверки стали регулярными, а административные предписания — реальным инструментом, а не формальностью. Для новых компаний, регистрирующихся в Армении, полная compliance-готовность с первого дня — не опциональна.

10Чек-лист: 8 пунктов для compliance в Армении

Минимальный набор действий для IT-компании, работающей в Армении или с армянскими пользователями. Выполнение этих пунктов закрывает основные риски по ZR-49.

Зарегистрироваться в реестре PDPA — до начала любой обработки персональных данных. Портал pdpd.am. Срок рассмотрения — до 30 дней, план регистрацию заблаговременно
Разработать Privacy Policy по ZR-49 — с указанием правовых оснований, перечня субпроцессоров, прав субъектов, механизма отзыва согласия и сведений о трансграничной передаче
Внедрить механизм получения согласия — чекбокс при регистрации (не pre-checked), cookie banner с opt-in до установки нетехнических cookie, логирование факта и даты согласия
Получить разрешение PDPA на трансграничную передачу — если используете зарубежные SaaS (AWS, Google, Mailchimp, Stripe, KYC-провайдеры), оформить Data Transfer Agreement и подать заявление в PDPA
Назначить ответственное лицо за обработку ПДн — ФИО, должность, контакты; указать в реестре PDPA и в Privacy Policy. Это контактное лицо для субъектов и регулятора
Обеспечить механизм реализации прав субъектов — право на доступ, исправление, удаление, ограничение обработки. Срок ответа — 30 дней. Адрес для запросов — в Privacy Policy
Для специальных категорий данных — усиленные меры: явное согласие отдельно по каждой категории, шифрование при хранении и передаче, ограниченный доступ, документированная DPIA
Для компаний с RF/EU-клиентами — мультиюрисдикционная структура: отдельные разделы Privacy Policy под 152-ФЗ и GDPR; решить вопрос локализации данных граждан РФ до запуска сервиса

?Частые вопросы

Применяется ли GDPR к компании, зарегистрированной в Армении?

Армения не является членом ЕС, поэтому GDPR не применяется к ней как к государству-члену. Однако если армянская компания обрабатывает данные физических лиц, находящихся на территории ЕС (предлагает им товары или услуги, или отслеживает их поведение), — GDPR применяется к ней как к контроллеру данных вне зависимости от места регистрации. Это типичная ситуация для IT-продуктов с EU-аудиторией.

Нужно ли регистрироваться в PDPA, если компания только обрабатывает данные сотрудников?

Да. ZR-49 не содержит аналога исключения «только трудовые отношения» в объёме, сравнимом с российским 152-ФЗ. Обработка данных сотрудников — кадровый учёт, ведомости, страховые данные — является обработкой ПДн и требует регистрации в PDPA. На практике регистрация для HR-оператора — достаточно стандартная процедура, не вызывающая затруднений.

Армения входит в Конвенцию 108 — означает ли это, что данные можно свободно передавать в Россию?

Россия подписала Конвенцию 108, однако с учётом международно-правовой ситуации после 2022 года следует отдельно учитывать: Совет Европы приостановил членство России в марте 2022 года. Правовой статус России в части Convention 108 требует уточнения у PDPA в каждом конкретном случае. Для передачи данных клиентов из России в российские системы (и обратно) рекомендуется запросить позицию PDPA или оформить передачу через механизм согласия субъекта.

Может ли иностранная компания (без армянского юрлица) быть обязана регистрироваться в PDPA?

ZR-49 распространяется на операторов, обрабатывающих данные граждан Армении, вне зависимости от места регистрации компании — аналогично экстерриториальному принципу GDPR. На практике принуждение к регистрации иностранных компаний без армянского присутствия сложно, но возможно через механизмы международного сотрудничества. Для компаний с реальной армянской аудиторией и без армянского юрлица — наличие Privacy Policy, соответствующей ZR-49, снижает регуляторный риск.

Насколько сложно получить разрешение PDPA на передачу данных в США?

На практике — умеренно сложно, но выполнимо. PDPA принимает стандартные DPA крупных провайдеров (AWS DPA, Google Cloud DPA, Microsoft DPA) как достаточное подтверждение надлежащей защиты. Ключевое требование — правильно оформленное заявление с описанием целей передачи, получателей и мер защиты. Компании, уже имеющие GDPR-документацию, значительно упрощают процедуру, используя те же DPA и SCCs. Срок рассмотрения — до 30 дней.

Что нужно добавить в Privacy Policy специально для армянского рынка?

Для соответствия ZR-49 Privacy Policy должна дополнительно содержать: (1) ссылку на регистрационный номер в реестре PDPA; (2) наименование PDPA (Агентство защиты персональных данных) как надзорного органа и адрес для жалоб; (3) права субъектов по ZR-49 (доступ, исправление, удаление, ограничение — формулировки ZR-49 немного отличаются от GDPR); (4) порядок и срок ответа на запросы субъектов (30 дней); (5) сведения о разрешении PDPA на трансграничную передачу (если применимо).

🇦🇲 ZR-49 + PDPA

Регистрация в реестре обязательна до начала обработки. С 2023 года PDPA активно применяет санкции — приостановление обработки страшнее штрафа.

🌐 Тройной compliance

Релоканты из РФ с EU-клиентами работают под ZR-49 + 152-ФЗ + GDPR одновременно. Мультиюрисдикционная Privacy Policy — необходима.

₿ CASP = два регулятора

Крипто-лицензия в Армении требует Privacy Policy, AML/KYC Policy и разрешения PDPA на трансграничную передачу в KYC-провайдеры.

Заказать юридическую упаковку для Армении

Подготовим полный пакет под ZR-49: регистрация в PDPA, Privacy Policy, согласия, разрешение на трансграничную передачу. Для релокантов — мультиюрисдикционная упаковка под ZR-49 + 152-ФЗ + GDPR.

📋Регистрация в реестре PDPA — подготовка заявки, сопровождение

🔒Privacy Policy по ZR-49 — с учётом типа продукта и аудитории

🌍Разрешение на трансграничную передачу — Data Transfer Agreement и заявление в PDPA

⚡Пакет для релокантов — ZR-49 + 152-ФЗ + GDPR в одном проекте

Заказать юридическую упаковку → Армения · Подробнее → Все юрисдикции →