საქართველოს პარლამენტმა სამი მოსმენით მხარი დაუჭირა პერსონალურ მონაცემთა დაცვის შესახებ ახალ კანონის პროექტს, რომელიც ჯერ კიდევ 2019 წელს იყო ინიცირებული. მისი განხილვები მე-10 მოწვევის პარლამენტში 2022 წლის დეკემბერში განახლდა.
საერთაშორისო გამჭვირვალობა - საქართველო აქვეყნებს პუბლიკაციას, რომლის თანახმად, კანონი პერსონალური მონაცემების დაცვის მიმართულებით ბევრ სიახლეს ითვალისწინებს, შესაბამისობაშია საუკეთესო საერთაშორისო სტანდარტებთან და მისი ამოქმედება ეტაპობრივად მოხდება.
1. სარეკლამო შეტყობინებები წინასწარი თანხმობის გარეშე აღარ გამოიგზავნება
სარეკლამო შეტყობინებებისთვის პერსონალურ მონაცემთა დამუშავება და სარეკლამო შეტყობინებების გაგზავნა (პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება) დასაშვები ხდება მხოლოდ იმ პირის თანხმობით, ვის მონაცემებსაც ამუშავებენ.
პირს, ვის მონაცემსაც ამუშავებენ, ნებისმიერ შემთხვევაში შეუძლია გამოიხმოს მიცემული თანხმობა. მოთხოვნის მიღებიდან 7 სამუშაო დღის განმავლობაში მონაცემთა დამმუშავებელი ვალდებული იქნება შეწყვიტოს პირის მონაცემთა დამუშავება.
ამოქმედდება 2024 წლის 1 მარტიდან.
2. ნებისმიერი საჯარო დაწესებულება და ასევე კერძო კომპანიათა ნაწილი ვალდებული იქნება ჰყავდეს პერსონალურ მონაცემთა დაცვის ოფიცერი
განისაზღვრა ის დაწესებულებები, რომლებშიც სავალდებულო იქნება პერსონალურ მონაცემთა დაცვის ოფიცრის (თანამშრომელი, რომელიც პასუხისმგებელი იქნება ორგანიზაციაში პერსონალური მონაცემების დამუშავებაზე) არსებობა, ესენია:
• საჯარო დაწესებულება (გარდა რელიგიური და პოლიტიკური ორგანიზაციებისა)
• სადაზღვევო ორგანიზაცია
• კომერციული ბანკი
• მიკროსაფინანსო ორგანიზაცია
• საკრედიტო ბიურო
• ელექტრონული კომუნიკაციის კომპანია
• ავიაკომპანია
• აეროპორტი
• სამედიცინო დაწესება, რომელიც მომსახურებას უწევს წელიწადში არანაკლებ 10 000 მონაცემთა სუბიექტს
• ორგანიზაცია, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს.
პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქციაც, თუ ეს არ წარმოშობს ინტერესთა კონფლიქტს. პერსონალურ მონაცეთმა ოფიცრის ფუნქციების შესასრულებლად ორგანიზაციამ შეიძლება დადოს მომსახურების ხელშეკრულება.
ცვლილება ამოქმედდება 2024 წლის 1 ივნისიდან.
3. განისაზღვრება საჯარო ან კერძო სივრცეში აუდიოჩაწერის (აუდიომონიტორინგის) წესი და პირობები
აუდიომონიტორინგი დასაშვები იქნება:
• მონაცემთა სუბიექტის თანხმობით;
• საოქმო ჩანაწერის წარმოების მიზნით;
• დისტანციური კომუნიკაციისას;
• პირის უსაფრთხოებისა და საკუთრების დაცვის, ასევე საიდუმლო ინფორმაციის დაცვის მიზნებისათვის თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია;
• კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში;
მონაცემთა დამმუშავებელი ვალდებულია წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი ამის შესახებ.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.
4. ზუსტდება საჯარო ან კერძო სივრცეში განთავსებული ვიდეოკამერების საშუალებით ჩანაწერის განხროციელების წესი (ვიდეომონიტორინგი)
• ვიდეომეთვალყურეობის განხორციელებისათვის მონაცემთა დამმუშავებელი ვალდებული ხდება წერილობით განსაზღვროს ვიდეოთვალთვალის მიზანი და მოცულობა, ვიდეოთვალთვალის ხანგრძლივობა და ჩანაწერის შენახვის ვადა, ვიდეოჩანაწერებზე წვდომის, მათი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები (გარდა იმ შემთხვევისა, როდესაც ფიზიკური პირი ვიდეომონიტორინგს ახორციელებს საცხოვრებელ შენობაში);
• სამუშაო ადგილის მიხედვით ყველა დასაქმებული პირი დამატებით უნდა იყოს ინფორმირებული ვიდეოთვალთვალის განხორციელების მიზნების შესახებ;
• მონაცემთა დამმუშავებელი/უფლებამოსილი პირი ვალდებულია ვიდეოთვალთვალის მიმდინარეობის შესახებ, თვალსაჩინოდ განთავსებულ გამაფრთხილებელი ნიშანზე დაწეროს მონაცემთა დამმუშავებლის ვინაობა და საკონტაქტო მონაცემები.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.
5. განისაზღვრა არასრულწლოვანთა პერსონალური მონაცემების დაცვის საკანონმდებლო გარანტიები
• არასრულწლოვანი პირის მონაცემთა დამუშავება მისი თანხმობის საფუძველზე დასაშვებია თუ მან მიაღწია 16 წლის ასაკს, ხოლო 16 წლამდე ასაკის არასრულწლოვანი პირის - მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის საფუძველზე;
• არასრულწლოვანი პირის მონაცემთა დამუშავებისას სავალდებულოა არასრულწლოვნის საუკეთესო ინტერესების გათვალსიწინება და დაცვა. არასრულწლოვნის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის მიერ გაცემული თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვნის საუკეთესო ინტერესებს.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.
6. დადგინდა მონაცემების უსაფრთხოების დარღვევისას ინსპექტორისათვის შეტყობინების ვალდებულება
ნებისმიერი ორგანიზაცია ან ფიზიკური პირი, რომელიც პერსონალურ მონაცემებს ამუშავებს ვალდებულია აღრიცხოს მონაცემთა უსაფრთხოების დარღვევის ყველა ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.
7. იზრდება მონაცემთა დამუშავების საფუძვლები
მონაცემთა დამუშავების (პერსონალურ მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, შენახვა გამოყენება, დაბლოკვა, წაშლა ან განადგურება, მონაცემთა გამჟღავნება და აშ) არსებულ საფუძვლებს ემატება:
• როდესაც მონაცემთა დამუშავება აუცილებელია ხელშეკრულების (ან სხვა გარიგების) დასადებად ან ხელშეკრულების მხარეთა ვალდებულებების შესასრულებლად;
• მონაცემთა დამუშავება აუცილებელია კანონმდებლობით განსაზღვრული საჯარო ინტერესის სფეროში შემავალი ამოცანების შესასრულებლად, მათ შორის, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოებისა და მართლწესრიგის დაცვის მიზნებისათვის;
• როდესაც განსაკუთრებული კატეგორიის მონაცემების (მაგ. ჯანმრთელობის მდგომარეობა, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსი სისხლის სამართლის პროცესში და აშ) დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად; სოციალური უზრუნველყოფისა და სოციალური დაცვის სფეროში კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.
8. იზრდება იმ პირის უფლებები, ვისი მონაცემებიც მუშავდება
მონაცემთა სუბიექტს (იმ პირს ვისი მონაცემებიც მუშავდება) უფლება აქვს, მოითხოვოს მის შესახებ მონაცემთა დამუშავების შეწყვეტა, წაშლა ან განადგურება არა მხოლოდ იმ შემთხვევაში, როდესაც მონაცემები უკანონოდ მუშავდება, არამედ მაშინაც:
• თუ მონაცემების დამუშავება აღარ არის საჭირო იმ მიზნისთვის, რომლისთვისაც მოხდა მათი დამუშავება;
• მონაცემთა სუბიექტი გაითხოვს თანხმობას, რომელიც წარმოადგენს მონაცემთა დამუშავების ერთადერთ საფუძველს.
მონაცემთა სუბიექტს ასევე აქვს უფლება ნებისმიერ მონაცემთა დამმუშავებელს მოთხოვოს მის მონაცემებთან დამაკავშირებელი ყველა ინტერნეტბმულის წაშლა.
ცვლილება ამოქმედდება 2024 წლის 1 მარტიდან.