2023 წლის 14 ივნისს საქართველოს პარლამენტმა მესამე მოსმენით მიიღო კანონი „პერსონალურ მონაცემთა დაცვის“ შესახებ („კანონი“ ან „ახალი კანონი“), რომლის ძირითადი ნაწილი 2024 წლის 1 მარტიდან ამოქმედდება. ახალი კანონის თანახმად, 2024 წლის 1 ივნისიდან არაერთი კომპანიისათვის სავალდებულო ხდება პერსონალურ მონაცემთა დაცვის ოფიცრის (შემდეგში აგრეთვე „ოფიცერი“) ყოლა.
კანონი არეგულირებს საქართველოს ტერიტორიაზე ფიზიკურ პირთა შესახებ მონაცემების დამუშავებას და მისი მთავარი მიზანია დამუშავებისას ადამიანის ძირითადი უფლებებისა და თავისუფლებების, მათ შორის , პირადი და ოჯახური ცხოვრების დაცვა. ახალი კანონით დადგენილ მნიშვნელოვან ცვლილებებს შეგიძლიათ გაეცნოთ ჩვენს წინა ბლოგში.
რა ფუნქცია აქვს ოფიცერს?
ოფიცრის ძირითადი ფუნქციაა დაეხმაროს ორგანიზაციას პერსონალურ მონაცემთა დაცვის კანონმდებლობასთან შესაბამისობის უზრუნველყოფაში. კანონთან შესაბამისობა, მათ შორის, გულისხმობს ორგანიზაციის ვალდებულებას მონაცემები დაამუშავოს მხოლოდ კანონით გათვალისწინებული საფუძვლებით; ფიზიკურ პირებს, რომელთა მონაცემებიც მუშავდება, მიაწოდოს ინფორმაცია დამუშავების შესახებ; აღრიცხოს მონაცემთა დამუშავებასთან დაკავშირებული სავალდებულო ინფორმაცია და ა.შ. ზემოაღნიშნული ფუნქციის შესრულებას ოფიცერი, მათ შორის, უზრუნველყოფს მონაცემთა დამუშავებაში ჩართული პირებისათვის რჩევებისა და რეკომენდაციების მიცემით, ტრენინგების ჩატარებით, წერილობითი პოლიტიკების შემუშავებითა და აღნიშნული პოლიტიკების აღსრულების მონიტორინგის გზით.
მნიშვნელოვანია აღინიშნოს, რომ ოფიცერი არ წარმოადგენს პერსონალურ მონაცემთა დამუშავებასთან მიმართებით გადაწყვეტილების მიმღებ პირს. იგი მხოლოდ და მხოლოდ აანალიზებს მონაცემთა დაგეგმილ დამუშავებას, აიდენტიფიცირებს შესაძლო რისკებს, და აღნიშნულ რისკებსა და მათი დაზღვევის სავარაუდო მეთოდებს აცნობს შესაბამისი მიმართულებების ხელმძღვანელ პირებს. საბოლოო გადაწყვეტილება, ოფიცრის რეკომენდაციების გათვალისწინებით ან გაუთვალისწინებლად, მიიღება სწორედ ორგანიზაციის (წარმოდგენილი დირექტორის ან შესაბამისი მიმართულების ხელმძღვანელი პირის) მიერ.
კანონი ერთმნიშვნელოვნად ადგენს, რომ კონკრეტული ვითარების გათვალისწინებით, ოფიცერი ანგარიშვალდებული უნდა იყოს მაქსიმალურად მაღალი დონის მმართველობითი სტრუქტურული ერთეულის წინაშე. აღნიშნული ჩანაწერიდან შევიძლია დავასკვნათ, რომ ოფიცერს ორგანიზაციაში აქვს იერარქიულად მაღალი პოზიცია და მას, საჭიროებისამებრ, პირდაპირი წვდომა უნდა ჰქონდეს კომპანიის დირექტორებთან ან/და სამეთვალყურეო საბჭოსთან.
ვისთვის არის სავალდებულო ოფიცრის დანიშვნა?
(1) საქმიანობის სფერო
კანონი სავალდებულო წესით ოფიცრის ყოლას, პირველ რიგში, უკავშირებს პირის საქმიანობის სპეციფიკას. იმ შემთხვევაში, თუკი პირი ახორციელებს კანონით ჩამოთვლილ რომელიმე საქმიანობას, მან აუცილებლად უნდა დანიშნოს მონაცემთა დაცვის ოფიცერი. ამ შემთხვევაში ოფიცრის დანიშვნის ვალდებულებაზე არავითარი გავლენა არ აქვს ისეთ ფაქტორებს, როგორიცაა, მაგალითად, კომპანიის ბრუნვის ოდენობა, დასაქმებულთა რაოდენობა, მომხმარებელთა რაოდენობა და ა.შ. კანონის თანახმად, ოფიცრის ყოლა აუცილებელია შემდეგი პირებისათვის:
სადაზღვევო ორგანიზაცია;
კომერციული ბანკი;
სამედიცინო დაწესებულება;
მიკროსაფინანსო ორგანიზაცია;
ელექტრონული კომუნიკაციის კომპანია;
ავიაკომპანია;
აეროპორტი;
საკრედიტო ბიურო;
საჯარო დაწესებულება.
(2) დიდი რაოდენობით მონაცემების დამუშავება
მონაცემთა დაცვის ოფიცერი უნდა დანიშნოს ყველა იმ პირმა, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს. კანონის თანახმად, დიდი რაოდენობა გულისხმობს საქართველოს მოსახლეობის არანაკლებ 3 %-ს. საქართველოს სტატისტიკის ეროვნული სამსახურის მიერ გამოქვეყნებული ინფორმაციის თანახმად, მოსახლეობის აღწერის ბოლო შედეგების მიხედვით, საქართველოს მოსახლეობა შეადგენს 3,736,400 ადამიანს.
გამომდინარე აქედან, თუკი რომელიმე ორგანიზაცია რაიმე ფორმით ამუშავებს, მათ შორის - ინახავს, საქართველოს მოსახლეობის 3%-ის, ანუ 112,092 ადამიანის პერსონალურ მონაცემს, ასეთმა პირმა აუცილებლად უნდა დანიშნოს ოფიცერი.
ფიზიკურ პირთა ქცევის სისტემატური და მასშტაბური მონიტორინგი
კანონის თანახმად, ყველა პირი, რომელიც ახორციელებს ფიზიკურ პირთა, ანუ მონაცემთა სუბიექტთა ქცევის სისტემატურ და მასშტაბურ მონიტოინგს, ასევე ვალდებულია დანიშნოს ოფიცერი. კანონმდებლობა არ აკონკრეტებს ზუსტად რა მოიაზრება „ქცევის მონიტორინგში“. უნდა ვივარაუდოთ, რომ მონიტორინგი გულისხმობს როგორც ინტერნეტ სივრცეში ფიზიკური პირის მიმართ განხორციელებულ ნებისმიერი ტიპის ე.წ. „თრექინგსა“ და პროფილირებას, ასევე, რეალურ ცხოვრებაში, ინტერნეტს მიღმა განხორციელებულ სუბიექტებზე დაკვირვებას. კანონში ასევე არ არის დაკონკრეტებული, თუ რა იგულისხმება „სისტემატურ“ და „მასშტაბურ“ მონიტორინგში. ლოგიკური იქნება, ტერმინ „სისტემატურში“ მოვიაზროთ როგორც პერიოდული, განმეორებითი, ასევე რეგულარული, მუდმივად მიმდინარე მონიტორინგი. რაც შეეხება „მასშტაბურ“ მონიტორიგნს, რეკომენდებულია, პერსონალურ მონაცემთა დაცვის სამსახურმა განსაზღვროს კონკრეტული კრიტერიუმები, რომლებიც მხედველობაში უნდა იქნეს მიღებული მონიტორინგის „მასშტაბურობის“ დადგენის მიზნებისათვის. ასეთი გაიდლაინის არარსებობის პირობებში კი მხოლოდ და მხოლოდ შეგვიძლია ვივარაუდოთ, რომ „მასშტაბურობის“ დადგენისას მხედველობაში უნდა იქნეს მიღებული ისეთი გარემოებები, როგორიცაა, მაგალითად, მონაცემთა სუბიექტების რაოდენობა; დამუშავებულ მონაცემთა ოდენობა; დამუშავების ტერიტორიული არეალი და ა.შ.
რა კვალიფიკაცია უნდა ჰქონდეს ოფიცერს?
ახალი კანონის თანახმად, პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში. კანონი არ განსაზღვრავს რა იგულისხმება „სათანადო“ ცოდნაში, ასევე არ აწესებს რაიმე ტიპის სავალდებულო საკვალიფიკაციო მოთხოვნებს.
მიუხედავად ამისა, გონივრული იქნება დავასკვნათ, რომ ნებისმიერ შემთხვევაში, ოფიცერს უნდა ჰქონდეს პერსონალურ მონაცემთა დაცვის კანონმდებლობისა და არსებული მოწინავე პრაქტიკის სიღრმისეული ცოდნა. გამომდინარე იქიდან, რომ დღევანდელ რეალობაში მონაცემები ხშირ შემთხვევაში მუშავდება სხვადასხვა სოფტებისა და პროგრამების გამოყენებით, სასურველი იქნება, ოფიცერს ასევე ესმოდეს ორგანიზაციაში დანერგილი ტექნოლოგიები, სისტემები და ამ სისტემებში მონაცემთა დამუშავების თავისებურებები.
შესაძლებელია თუ არა ოფიცერმა შეითავსოს სხვა ფუნქციაც?
კანონის თანახმად, პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს ამავე ორგანიზაციაში შეასრულოს სხვა ფუნქციაც, იმ დაშვებით, რომ ეს არ წარმოშობს ინტერესთა კონფლიქტს. გამოიწვევს თუ არა ინტერესთა კონფლიქტს ყველა ის შემთხვევა, როდესაც ოფიცერი თავადაც არის მონაცემთა დამუშავებაში ჩართული, ბუნდოვანია. აღნიშნული საკითხი უნდა შეფასდეს ყოველ ჯერზე დამოუკიდებლად, კონკრეტული გარემოებების გათვალისწინებით. ასევე აღსანიშნავია, რომ ოფიცრის მიერ საკუთარი ფუნქციის შესრულებისას მნიშვნელოვანია მისი დამოუკიდებლობის ელემენტი. ვალდებულებების შესრულებისას, ოფიცერი არ უნდა მოექცეს რომელიმე სხვა პირის, თუნდაც კომპანიის ხელმძღვანელი ორგანოს ზეგავლენის ქვეშ.
შესაძლებელია თუ არა ოფიცრად განისაზღვროს გარე პირი?
პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქცია შეიძლება შეასრულოს როგორც ორგანიზაციაში დასაქმებულმა პირმა, ასევე გარე პირმა მომსახურების ხელშეკრულების საფუძველზე. კანონის ტერმინოლოგიიდან გამომდინარე, ოფიცერი უნდა იყოს ფიზიკური პირი. მიუხედავად ამისა, უნდა ვივარაუროთ, რომ მონაცემთა ოფიცრის ვალდებულებების შესრულებაზე მომსახურების ხელშეკრულების გაფორმება შესაძლებელია იურიდიულ პირთანაც, მაგალითად, იურიდიულ ფირმასთან. ასეთ შემთხვევაში, აუცილებელი იქნება ხელშეკრულებით განისაზღვროს, თუ კონკრეტულად რომელი ფიზიკური პირები შეასრულებენ ოფიცრის ფუნქციას მომსახურების გამწევი კომპანიიდან.
შესაძლებელია თუ არა რამდენიმე პირის მიერ საერთო ოფიცრის დანიშვნა?
კანონი დასაშვებად მიიჩნევს რამდენიმე ორგანიზაციის მიერ საერთო ოფიცრის დანიშვნის შესაძლებლობასაც. ასეთ შემთხვევაში აუცილებელია უზრუნველყოფილი იქნეს ოფიცრის მიერ თავისი ფუნქციების სრულფასოვანი შესრულება ყველა ორგანიზაციაში. უნდა ვივარაუდოთ, რომ ისეთ ორგანიზაციაში, სადაც ადგილი აქვს დიდი რაოდენობით მონაცემთა სისტემურ, რეგულარულ დამუშავებას, შესაძლოა აუცილებელი გახდეს ინდივიდუალური ოფიცრის დანიშვნა, რომელიც თავის სრულ სამუშაო დროს დაუთმობს მხოლოდ აღნიშულ ორგანიზაციას.
საპირისპიროდ, თუკი ორგანიზაციაში მონაცემთა დამუშავების ინტენსივობა და ფარგლები არ მოითხოვს ოფიცრის ყოველდღიურ აქტიურ ჩართულობას, შესაძლოა ოფიცერი აყვანილი იქნეს არასრულ სამუშაო განაკვეთზე ან სამუშაო დროზე სხვაგვარი შეთანხმებით, მაგალითად, თვის განმავლობაში კონკრეტულ დღეებზე/საათებზე შეთანხმებით.
აუცილებელია თუ არა ოფიცრის შესახებ ინფორმაციის გასაჯაროება?
მონაცემთა სუბიექტებს, ისევე როგორც პერსონალურ მონაცემთა დაცვის სამსახურს, ადვილად უნდა შეეძლოთ ოფიცერთან დაკავშირება. გამომდინარე აქედან, ორგანიზაციამ ოფიცრის ვინაობა და მისი საკონტაქტო ინფორმაცია (მაგ. სამსახურებრივი მისამართი, ელ. ფოსტის მისამართი, ტელეფონის ნომერი) უნდა გაასაჯაროოს.
კანონი ითვალისწინებს ინფორმაციის გასაჯაროების შემდეგ ძირითად გზებს:
პროაქტიული გამოქვეყნება - ინფორმაციის ორგანიზაციის ვებგვერდზე (ასეთის არსებობის შემთხვევაში) ან სხვა ხელმისაწვდომი გზით გამოქვეყნება. კანონი არ აკონკრეტებს, თუ რა იგულისხმება „სხვა ხელმისაწვდომი გზით“ გამოქვეყნებაში. უნდა ვივარაუდოთ, რომ აღნიშნული გულისხმობს მასობრივად ხელმისაწვდომი საშუალებებით გამოქვეყნებას, როგორიცაა, მაგალითად, სოციალურ ქსელებში ინფორმაციის განთავსება.
მონაცემთა სუბიექტებისთვის შეტყობინება - ინფორმაციის მონაცემთა სუბიექტებისათვის, მათ შორის, დასაქმებულებისა და მომხმარებლებისათვის შეტყობინება.
პერსონალურ მონაცემთა დაცვის სამსახურისათვის შეტყობინება - ოფიცრის დანიშვნიდან
10 სამუშაო დღის ვადაში, ოფიცრის შესახებ ინფორმაცია უნდა ეცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს, რომელიც შემდგომ თავადაც გამოაქვეყნებს აღნიშნულ ინფორმაციას.
ეკისრება თუ არა ოფიცერს პერსონალური პასუხისმგებლობა?
კანონი ერთმნიშვნელოვნად ადგენს, რომ კანონდებლობასთან შესაბამისობის უზრუნველყოფა წარმოადგენს ორგანიზაციის ვალდებულებას, იქნება ეს მონაცემთა დამუშავებისათვის პასუხისმგებელი პირი თუ მონაცემთა დამუშავებაზე უფლებამოსილი პირი. შესაბამისად, კანონით დადგენილი ვალდებულებების შეუსრულებლობას ან არაჯეროვან შესრულებაზე პასუხისმგებლობა ეკისრება თავად ორგანიზაციას და არა ოფიცერს. როგორც ზემოთ აღვნიშნეთ, ოფიცერი არ წარმოადგენს გადაწყვეტილების მიმღებ პირს - იგი გასცემს რჩევებსა და რეკომენდაციებს, მიუთითებს კონკრეტულ რისკებზე და აღნიშნული რისკების შემცირების გზებზე, თუმცა საბოლოო გადაწყვეტილებას მონაცემთა დამუშავებასთან დაკავშირებით და შესაბამისად, პასუხისმგებლობას აღნიშნულ გადაწყვეტილებაზე, იღებს ორგანიზაცია და არა ოფიცერი.
ავტორი: ნინო უშარაული
PwC საქართველოს იურიდიული პრაქტიკა, მენეჯერი
Certified Information Privacy Professional / Europe