2023 წლის 14 ივნისს საქართველოს პარლამენტმა მესამე მოსმენით მიიღო კანონი „პერსონალურ მონაცემთა დაცვის“ შესახებ („კანონი“ ან „ახალი კანონი“), რომლის ძირითადი ნაწილი 2024 წლის 1 მარტიდან ამოქმედდება, ხოლო გარკვეული დებულებები 2024 წლის 1 ივნისიდან და 2025 წლის 1 იანვრიდან შევა ძალაში.
კანონი აწესებს არაერთ დამატებით ვალდებულებას იმ პირებისათვის, რომლებიც ჩართულნი არიან პერსონალურ მონაცემთა დამუშავებაში. ახალი კანონის ის დებულებები, რომლებიც შეეხება კერძო სექტორს, დიდწილად ევროკავშირის პერსონალურ მონაცემთა დაცვის ზოგადი რეგულაციით, ე.წ. GDPR-ით დადგენილი წესების ანალოგია.
პერსონალური მონაცემი წარმოადგენს ნებისმიერ ინფორმაციას, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. დამუშავება კი გულისხმობს მონაცემთა მიმართ შესრულებულ ნებისმიერ მოქმედებას, მათ შორის, მათ შეგროვებას, მოპოვებას, მათზე წვდომას, შენახვასა და გამჟღავნებას. თანამედროვე რეალობაში კომპანიების უმეტესობა რაიმე ფორმით მაინც ჩართულია პერსონალურ მონაცემთა დამუშავებაში, იქნება ეს დასაქმებული პირების პერსონალური მონაცემები, თუ მომხმარებლების პერსონალური მონაცემები. გამომდინარე აქედან, ახალი კანონით დადგენილი ვალდებულებები ქართული ბიზნესსექტორის წარმომადგენლების უმეტესობაზე ვრცელდება. კომპანიებს საკმაოდ ცოტა დრო რჩებათ იმისთვის, რომ კანონის ამოქმედებამდე შესაბამისობაში მოიყვანონ პერსონალურ მონაცემთა დამუშავების მათ მიერ დანერგილი პრაქტიკა. კანონთან შესაბამისობაში მოყვანა გულისხმობს სხვადასხვა წერილობითი პოლიტიკა-პროცედურების შემუშავებას, მონაცემთა დაცვის ოფიცრის დანიშვნას, მონაცემთა დამუშავებაში ჩართული თანამშრომლებისთვის ტრენინგების ჩატარებას, მომსახურების გამწევ კონტრაქტორებთან მონაცემთა დაცვასთან დაკავშირებული შეთანხმებების გაფორმებას და ა.შ.
კანონით დადგენლი წესების დარღვევისთვის მნიშვნელოვნად მკაცრდება პასუხისმგებლობაც. დადგენილი ჯარიმების ოდენობა განსხვავდება სამართალდარღვევის ტიპების მიხედვით და ძირითადად მერყეობს 1,000 – 6,000 ლარის ფარგლებში. ჯარიმის ზუსტი ოდენობა დამოკიდებულია პირის წლიური ბუნვის ოდენობასა და ისეთი დამამძიმებელი გარემოებების არსებობაზე, როგორიცაა, სამართალდარღვევის განმეორებით ჩადენა, დისკრიმინაციული მოტივით ჩადენა და ა.შ.
ქვემოთ მოცემულია კანონით დარეგულირებული მნიშვნელოვანი საკითხები და ის ძირითადი სიახლეები, რომლებიც დამატებით ვალდებულებებს აწესებს მონაცემთა დამუშავებაში ჩართული პირებისთვის და, შესაბამისად, არსებითი გავლენა ექნება ბიზნესსექტორზე.
ვის შეეხება კანონით დადგენილი ვალდებულებები?
კანონით დადგენილი ვალდებულებები ვრცელდება (1) მონაცემთა დამუშავებისთვის პასუხისმგებელ პირზე და (2) დამუშავებაზე უფლებამოსილ პირზე.
დამუშავებისთვის პასუხისმგებელი პირი განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს და, უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას. მაგალითად, დამუშავებისთვის პასუხისმგებელი არის ნებისმიერი დამსაქმებელი (დასაქმებულების მონაცემებთან მიმართებით), კლინიკა (პაციენტების მონაცემებთან მიმართებით), სასტუმრო (სტუმრების მონაცემებთან მიმართებით), ბანკი (მომხმარებლების მონაცემებთან მიმართბით) და ა.შ.
რაც შეეხება დამუშავებაზე უფლებამოსილ პირს, იგი წარმოადგენს დამუშავებისთვის პასუხისმგებელი პირის კონტრაქტორს, რომელსაც სახელშეკრულებო ურთიერთობის ფარგლებში უწევს პერსონალური მონაცემების დამუშავება დამუშავებისთვის პასუხისმგებელი პირის სასარგებლოდ ან მისი სახელით. მაგალითისათვის, თუკი სამედიცინო დაწესებულებას ქოლ ცენტრის მომსახურებას უწევს სხვა კომპანია, პაციენტების მონაცემთან მიმართებით, დამუშავებისთვის პასუხისმგებელი პირი იქნება თავად სამედიცინო დაწესებულება, ხოლო დამუშავებაზე უფლებამოსილი პირი - ქოლ ცენტრი.
პერსონალურ მონაცემთა დაცვის ოფიცერი
ახალი კანონით ჩამოყალიბდა პერსონალურ მონაცემთა დაცვის ოფიცრის (“DPO”) პოზიცია. DPO-ს უფლება-მოვალეობებში, მათ შორის, შედის: დამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირება მონაცემთა დამუშავებასთან დაკავშირებულ საკითხებზე, მათთვის კონსულტაციების გაწევა; მონაცემთა დამუშავებასთან დაკავშირებული განცხადებებისა და საჩივრების განხილვა და ანალიზი; დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის წარმომადგენლობა პერსონალურ მონაცემთა დაცვის სამსახურის წინაშე და ა.შ.
კანონი პირდაპირ ჩამოთვლის იმ პირებს, რომლებსაც DPO-ს დანიშვნის ვალდებულება აქვთ, კერძოდ:
- სადაზღვევო ორგანიზაცია;
- კომერციული ბანკი;
- სამედიცინო დაწესებულება;
- მიკროსაფინანსო ორგანიზაცია;
- ელექტრონული კომუნიკაციის კომპანია;
- ავიაკომპანია;
- აეროპორტი;
- საკრედიტო ბიურო;
- საჯარო დაწესებულება;
- პირი, რომელიც ამუშავებს დიდი რაოდენობით (საქართველოს მოსახლეობის არანაკლებ 3 %) მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემურ და მასშტაბურ მონიტორინგს.
DPO-ს ფუნქცია შეიძლება შეასრულოს როგორც დასაქმებულმა, ასევე გარე პირმა მომსახურების ხელშეკრულების საფუძველზე. კანონი დასაშვებად მიიჩნევს რამდენიმე პირის მიერ საერთო DPO-ს დანიშვნასაც.
ინფორმაციის აღრიცხვა
ახალი კანონის თანახმად, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა, ასევე მონაცემთა დამუშავებაზე უფლებამოსილმა პირმა უნდა შეიმუშაოს წერილობითი, მათ შორის, ელექტრონული დოკუმენტი (პოლიტიკა), რომელშიც დეტალურად იქნება აღწერილი მონაცემთა დამუშავების მიზნები, მონაცემთა სუბიექტების კატეგორიები, შენახვის ვადები, ვისთვის ხდება მონაცემთა გადაცემა და ა.შ.
მონაცემთა დაცვაზე ზეგავლენის შეფასება
მნიშვნელოვან სიახლეს წარმოადგენს მონაცემთა დაცვაზე ზეგავლენის შეფასების ცნება. კანონის თანახმად, გარდა მონაცემთა დამუშავებასთან დაკავშირებული პროცესების დადოკუმენტირებისა, როგორც ეს ზემოთ არის ნახსენები, რიგ შემთხვევებში, ასევე სავალდებულოა მონაცემთა დაცვაზე ზეგავლენის შეფასებაც. აღნიშნული გულისხმობს დამუშავებისათვის პასუხისმგებელი პირის მიერ წერილობითი დოკუმენტის შემუშავებას, რომელშიც იგი დეტალურად აღწერს თუ რა მონაცემებს ამუშავებს, რა ფორმით ამუშავებს, რა საფრთხეები შეიძლება წარმოიშვას დამუშავების პროცესში და როგორ, რა ორგანიზაციულ-ტექნიკური ზომების გამოყენებით უზრუნველყოფს მონაცემთა დაცვას ამ საფრთხეებისაგან.
კანონი გვთავაზობს იმ გარემოებების ამომწურავ ჩამონათვალს, რა დროსაც მონაცემთა ზეგავლენის შეფასება სავალდებულოა, მათ შორისაა ადამიანის ძირითადი უფლებებისა და თავისუფლების შელახვის საფრთხე და პირთა დიდი რაოდენობის (მოსახლეობის 3%) განსაკუთრებული კატეგორიის მონაცემების დამუშავება, როგორიცაა, მაგალითად, ინფორმაცია პირის ნასამართლობის, ჯანმრთელობის მდგომარეობის და პოლიტიკური შეხედულებების შესახებ.
პროფაილინგი
კანონმა შემოიღო კიდევ ერთი მნიშვნელოვანი ცნება - პროფაილინგი. პროფაილინგი წარმოადგენს მონაცემთა ავტომატური დამუშავების ნებისმიერ ფორმას, რომელიც გულისხმობს მონაცემების გამოყენებას ფიზიკური პირის გარკვეული პიროვნული მახასიათებლების შესაფასებლად. პროფაილინგის საშუალებით დამუშავებისთვის პასუხისმგებელი პირი ახდენს ფიზიკური პირის იმ პიროვნული მახასიათებლების ანალიზს, რომლებიც შეეხება მის მიერ სამუშაოს შესრულების ხარისხს, ეკონომიკურ მდგომარეობას, ჯანმრთელობას, პირად ინტერესებს, სანდოობას, ქცევას, ადგილსამყოფელს ან გადაადგილებას.
კანონის თანახმად, პირს უფლება აქვს არ დაექვემდებაროს მხოლოდ ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე, მიღებულ გადაწყვეტილებას, თუკი აღნიშნული გადაწყვეტილება მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს. ასეთ შემთხვევაში, პირს უფლება აქვს გადაწყვეტილების მიღების პროცესში მოითხოვოს ადამიანური რესურსის ჩართულობაც. კანონი ასევე ითვალისწინებს ამ წესიდან გამონაკლისებს, როგორიცაა მაგალითად, პროფაილინგის საფუძველზე გადაწყვეტილების მიღება მონაცემთა სუბიექტის თანხმობით.
ინციდენტის შეტყობინება
ინციდენტი განიმარტება, როგორც მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას ან უნებართვო დამუშავებას, მათ შორის, გამჟღავნებას, განადგურებას, შეცვლას.
თუ არსებობს მაღალი ალბათობა, რომ ინციდენტი გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებას, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის შესახებ ინფორმაცია მიაწოდოს, როგორც პერსონალურ მონაცემთა დაცვის სამსახურს, ასევე მონაცემთა სუბიექტს.
აუდიომონიტორინგი და ვიდეომონიტორინგი
კანონით დარეგულირდა აუდიომონიტორინგის განხორციელების წესებიც. აუდიომონიტორინგის განხორციელება დასაშვებია მხოლოდ კანონით პირდაპირ გათვალისწინებულ შემთხვევებში, მათ შორის, მონაცემთა სუბიექტის თანხმობით ან დამუშავებიათვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად. გარდა ამისა, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი აუდიომონიტორინგის განხორციელების თაობაზე.
დამუშავებისთვის პასუხისმგებელი პირი ასევე ვალდებულია შექმნას წერილობითი დოკუმენტი (პოლიტიკა), რომელშიც განსაზღვრული იქნება ვიდეომონიტორინგის / აუდიომონიტორინგის მიზანი და მოცულობა, ხანგრძლივობა, ვიდეოჩანაწერის / აუდიოჩანაწერის შენახვის, მასზე წვდომისა და განადგურების წესები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.
პირდაპირი მარკეტინგი
პირდაპირი მარკეტინგი წარმოადგენს ტელეფონის, ელექტრონული ფოსტის ან სხვა საშუალების გამოყენებით მონაცემთა სუბიექტისთვის ინფორმაციის მიწოდებას რაიმე პროდუქტის, მომსახურების, სამუშაოს, იდეის შესახებ.
ცვლილებების თანახმად, მონაცემთა დამუშავება პირდაპირი მარკეტინგის მიზნით დასაშვები ხდება მხოლოდ მონაცემთა სუბიექტის თანხმობით. ამასთან, მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული მისამართის გარდა სხვა მონაცემების დამუშავებისთვის აუცილებელია მოპოვეული იქნეს მონაცემთა სუბიექტის წერილობითი თანხმობა.
ბიომეტრიული მონაცემები
ახალი კანონის თანახმად, იმ შემთხვევაში, თუკი პირი ამუშავებს ბიომეტრიულ მონაცემებს, როგორიცაა სახის გამოსახულება, თითის ანაბეჭდი, ხმის მახასიათებელი და ა.შ., მაშინ იგი ვალდებულია მონაცემთა დამუშავებამდე შეიმუშაოს წერილობითი დოკუმენტი (პოლიტიკა), რომელიც დაარეგულირებს ბიომეტრიული მონაცემების დამუშავებას. კერძოდ, უნდა განისაზღვროს მონაცემთა დამუშავების მიზანი და მოცულობა, მონაცემთა შენახვის ვადა, შენახვისა და განადგურების წესი და პირობები, აგრეთვე მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.
მონაცემთა დამუშავება სუბიექტის თანხმობით
პერსონალურ მონაცემთა დამუშავების ერთ-ერთ საფუძველს წარმოადგენს მონაცემთა სუბიექტის თანხმობა. ახალი კანონი მნიშვნელოვან მოთხოვნას ადგენს თანხმობის მოპოვების ფორმასთან მიმართებით. კერძოდ, თუ მონაცემთა სუბიექტის წერილობითი თანხმობა მოცემულია დოკუმენტში, რომელიც აგრეთვე სხვა საკითხებსაც შეეხება, ამ დოკუმენტში თანხმობის შესახებ ტექსტი დოკუმენტის სხვა ნაწილებისგან ცალკე უნდა იქნეს გამოყოფილი.
მონაცემთა საერთაშორისო გადაცემა
მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის საფუძვლებს დაემატა მონაცემთა სუბიექტის წერილობითი თანხმობა. კერძოდ, დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია განახორციელოს მონაცემთა საერთაშორისო გადაცემა, თუკი შესაბამის სახელმწიფოში მონაცემთა დაცვის სათანადო გარანტიების არარსებობისა და შესაძლო საფრთხეების შესახებ ინფორმაციის მიღების შემდეგ, მონაცემთა სუბიექტი განაცხადებს წერილობით თანხმობას.
გარდა ზემოაღნიშნული მნიშვნელოვანი ვალდებულებებისა, კანონი ასევე არაერთ საყურადღებო ცვლილებას ადგენს ისეთ საკითხებთან მიმართებით, როგორიცაა არასრულწლოვანის მონაცემების დამუშავება, მონაცემთა სუბიექტისათვის სავალდებულოდ მისაწოდებელი ინფორმაცია, მონაცემთა დეპერსონალიზაცია და ფსევდონიმიზაცია და ა.შ. გამომდინარე აქედან, მნიშვნელოვანია, რომ თითოეულმა კომპანიამ, რომელიც ჩართულია პერსონალურ მონაცემთა დამუშავებაში, დროულად ჩაატაროს ახალ კანონთან შესაბამისობის შემოწმება - აუდიტი, სწორად დააიდენტიფიციროს არსებული ხარვეზები და აღნიშნულის საფუძველზე, შეიმუშაოს დეტალური სამოქმედო გეგმა, რომლის იმპლემენტაციაც უზრუნველყოფს კომპანიის კანონმდებლობასთან შესაბამისობაში მოყვანას.
ნინო უშარაული
PwC-ის იურიდიული პრაქტიკა, მენეჯერი
Certified Information Privacy Professional / Europe (CIPP/E)