პერსონალური მონაცემების დაცვის ახალი წესები საქართველოში: რა შეიცვლები იგეგმება 2024 წელს
რეკლამის გაგზავნა წინასწარი თანხმობის გარეშე აიკრძალება, რომლის დარღვევის შემთხვევაში გათვალისწინებული იქნება ჯარიმები, როგორც კომპანიებისთვის ისე ინდ. მეწარმეებისთვის
6 დეკემბერი 2023
მარინა ფიდუაშვილი, ადვოკატი JUST Advisors
2024 წლის 1 მარტს და 1 ივნისს „პერსონალური მონაცემების დაცვის შესახებ“ კანონში ცვლილებები ამოქმედდება, რომელიც ითვალისწინებს საერთაშორისო სტანდარტების მოთხოვნებს: მაგალითად, ცვლილებებით აიკრძალება სარეკლამო შეტყობინების გაგზავნა მომხმარებლისთვის, მისი წინასწარი თანხმობის გარეშე და ზოგიერთ ორგანიზაციას დაეკისრებათ დაიქირაონ მონაცემთა დაცვის ოფიცერი. თუ ახალი მოთხოვნები არ დაკმაყოფილდება, კომპანიებსა და ინდ. მეწარმეებს დიდი ჯარიმები ემუქრებათ.
რა მოიაზრება პერსონალურ მონაცემებში და როგორ რეგულირდება საქართველოში, ამის შესახებ ჩვენ ცალკე სტატიაში გვაქვს მოთხრობილი. ამ სტატიაში კი ყურადღებას გავამახვილებთ პუნქტებზე, რომლებიც უშუალოდ შეიცვლება 2024 წლიდან.
1. პერსონალურ მონაცემთა დამუშავების პრინციპები
- 1მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, მონაცემთა სუბიექტისთვის გამჭვირვალედ და მისი ღირსების შეულახავად. მონაცემთა დამუშავების გამჭვირვალობის ვალდებულება არ ვრცელდება ამ კანონითდადგენილ გამონაკლის შემთხვევებზე;
- 2მონაცემები უნდა შეგროვდეს /მოპოვებული უნდა იქნეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული დალეგიტიმური მიზნებისთვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებელი მიზნით;
- 3მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნისმისაღწევად. მონაცემები იმ მიზნის თანაზომიერი უნდა იყოს, რომლის მისაღწევადაც ისინი მუშავდება;
- 4მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული. მონაცემთა დამუშავებისმიზნების გათვალისწინებით, არაზუსტი მონაცემები უნდა გასწორდეს, წაიშალოს ან განადგურდეს გაუმართლებელი დაყოვნების გარეშე;
- 5მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავებისშესაბამისი ლეგიტიმური მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა წაიშალოს, განადგურდეს ან შენახული უნდა იქნეს დეპერსონალიზებული ფორმით, გარდა იმ შემთხვევისა, თუ მონაცემთა დამუშავება განსაზღვრულია კანონით ან /და კანონის შესაბამისად გამოცემული კანონქვემდებარენორმატიული აქტით და მონაცემთა შენახვა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაშიაღმატებული ინტერესების დასაცავად;
- 6მონაცემების უსაფრთხოების დაცვის მიზნით მონაცემთა დამუშავებისას მიღებული უნდა იქნეს ისეთი ტექნიკური დაორგანიზაციული ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ანუკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან /და დაზიანებისგან.
2. მონაცემთა დაცვის ოფიცრის დანიშვნის სავალდებულო მოთხოვნა
განისაზღვრა დაწესებულებების ჩამონათვალი, რომლებშიც სავალდებულო იქნება პერსონალურ მონაცემთა დაცვის ოფიცრის (თანამშრომელი, რომელიც პასუხისმგებელი იქნება ორგანიზაციაში პერსონალური მონაცემების დამუშავებაზე) არსებობა, ესენია:
· საჯარო დაწესებულება (გარდა რელიგიური და პოლიტიკური ორგანიზაციებისა)
· სადაზღვევო ორგანიზაცია
· კომერციული ბანკი
· მიკროსაფინანსო ორგანიზაცია
· საკრედიტო ბიურო
· ელექტრონული კომუნიკაციის კომპანია
· ავიაკომპანია
· აეროპორტი
· სამედიცინო დაწესება, რომელიც მომსახურებას უწევს წელიწადში არანაკლებ 10 000 მონაცემთა სუბიექტს
· ორგანიზაცია, რომელიც ამუშავებს დიდი რაოდენობით, მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს.
პერსონალურ მონაცემთა დაცვის ოფიცერი შეიძლება იყოს ნებისმიერი პირი ორგანიზაციის აპარატში ან მომსახურების გაწევის ხელშეკრულებით მომუშავე პირი. საქმიანობის განსახორციელებლად პირს არ მოეთხოვება სპეციალური განათლების ან სერთიფიკატის ქონის ვალდებულება. ოფიცერს შეუძლია შეასრულოს მონაცემთა დაცვის ფუნქციები ერთდროულად რამდენიმე კომპანიაში, ხოლო კონკრეტულ კომპანიაში მას შეუძლია შეასრულოს სხვა სამუშაო ფუნქციებიც.
· საჯარო დაწესებულება (გარდა რელიგიური და პოლიტიკური ორგანიზაციებისა)
· სადაზღვევო ორგანიზაცია
· კომერციული ბანკი
· მიკროსაფინანსო ორგანიზაცია
· საკრედიტო ბიურო
· ელექტრონული კომუნიკაციის კომპანია
· ავიაკომპანია
· აეროპორტი
· სამედიცინო დაწესება, რომელიც მომსახურებას უწევს წელიწადში არანაკლებ 10 000 მონაცემთა სუბიექტს
· ორგანიზაცია, რომელიც ამუშავებს დიდი რაოდენობით, მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს.
პერსონალურ მონაცემთა დაცვის ოფიცერი შეიძლება იყოს ნებისმიერი პირი ორგანიზაციის აპარატში ან მომსახურების გაწევის ხელშეკრულებით მომუშავე პირი. საქმიანობის განსახორციელებლად პირს არ მოეთხოვება სპეციალური განათლების ან სერთიფიკატის ქონის ვალდებულება. ოფიცერს შეუძლია შეასრულოს მონაცემთა დაცვის ფუნქციები ერთდროულად რამდენიმე კომპანიაში, ხოლო კონკრეტულ კომპანიაში მას შეუძლია შეასრულოს სხვა სამუშაო ფუნქციებიც.
პერსონალური მონაცემების დაცვის ოფიცრის პირადი პასუხისმგებლობა რეგულირდება დამსაქმებელთან ან დამკვეთთან დადებული ხელშეკრულების ფარგლებში. კანონით პასუხისმგებლობა განსაზღვრული არ არის.
3. გაიზარდა პერსონალურ მონაცემთა დამუშავების საფუძვლები
კანონით დამატებით განისაზღვრა მონაცემთა დამუშავების საფუძვლები, რომელიც აუცილებელია ხელშეკრულების დასადებად ან ხელშეკრულების მხარეთა ვალდებულების შესასრულებლად. ასევე საზოგადოებრივი უსაფრთხოებისა და მართლწესრიგის დაცვის მიზნებისთვის, მათ შორის დანაშაულის თავიდან აცილების და გამოძიების განხორციელებისას.
4. გაიზარდა მონაცემთა სუბიქტის უფლებები
მონაცემთა სუბიექტს, რომლის მონაცემებიც მუშავდება, უფლება აქვს მოითხოვოს მის შესახებ მონაცემთა დამუშავების შეწყვეტა, წაშლა ან განადგურება (მათ შორის ინტერნეტბმულის წაშლა), განსაკუთრებით იმ შემთხვევაში, როდესაც მონაცემთა დამუშავება აღარ არის საჭირო იმ მიზნისთვის, რომლისთვისაც მოხდა მათი დამუშავება.
5. განისაზღრა ინციდენტის შეტყობინების წესი
ნებისმიერი ორგანიზაცია ან ფიზიკური პირი, რომელიც პერსონალურ მონაცემებს ამუშავებს ვალდებულია აღრიცხოს მონაცემთა უსაფრთხოების დარღვევის ყველა ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა და მის შესახებ შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს. გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტიმნიშვნელოვან ზიანს გამოიწვევს ან /და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა დათავისუფლებებს.
6. დადგინდა რეკლამის გაგზავნაზე წინასწარ უარის დაფიქსირების შესაძლებლობა
2024 წლის განხორციელებული ცვლილებებით, პერსონალური მონაცემების დამუშავება და სარეკლამო შეტყობინებების გაგზავნა დასაშვები ხდება მხოლოდ იმ პირთა წინასწარი თანხმობით, ვისი მონაცემებიც მუშავდება. ნებისმიერი სარეკლამო შეტყობინების გაგზავნა მაღაზიებიდან, რესტორნებიდან და სხვა დაწესებულებებიდან უკანონო გახდება, თუ პირმა პირდაპირ არ განაცხადა თანხმობა ასეთ შეტყობინების გაგზავნაზე.
პუნქტი 1, ისევე როგორც ზემოთ აღნიშნული 3-დან 6-მდე პუნქტები, ამოქმედდება 2024 წლის 1 მარტიდან. მე-2 პუნქტი ამოქმედდება ოდნავ მოგვიანებით, 2024 წლის 1 ივნისიდან. ეს ცვლილებები მნიშვნელოვანი ნაბიჯია საქართველოს მოქალაქეების პერსონალური მონაცემების კონფიდენციალურობის უფლების განმტკიცებისთვის.
პასუხისმგებლობა კანონის დარღვევისთვის
პერსონალური მონაცემების დამუშავების კანონთან შესაბამისობას აკონტროლებს პერსონალურ მონაცემთა დაცვის სამსახური https://personaldata.ge/ka/contact. დარღვევის გამოვლენის შემთვევაში, სამსახურს შეუძლია გაფრთხილებით შემოიფარგლოს ან დააჯარიმოს პირი/ორგანიზაცია. 500 000 ლარამდე ბრუნვის მქონე კომპანიებსა და ინდ. მეწარმეებზე ჯარიმა დადგენილია შემდეგი ოდენობით:
- 1000 ლარი - პერსონალური მონაცემების დამუშავების რომელიმე პრინციპის დარღვევისთვის.
- 2000 ლარი - პერსონალური მონაცემების დამუშავების ორი ან ორზე მეტის პრინციპის დარღვევისთვის.
- 2000 ლარი - პირდაპირი მარკეტინგის მიზნით მონაცემების დამუშავების დარღვევისთვის.
JUST Advisors-ის სპეციალისტები სრულ იურიდიულ მომსახურებას უწევენ კომპანიებს საქართველოში. ჩაეწერეთ კონსულტაციაზე: ჩვენ გიამბობთ, რა სახის მონაცემები და როგორ უნდა დამუშავდეს თქვენი საქმიანობის სფეროში, რათა შეასრულოთ „პერსონალური მონაცემების დაცვის შესახებ“ კანონის მოთხოვნები.
მოგეწონათ სტატია? გაგვიზიარე შენი აზრი
გაქვთ შეკითხვა?
მარია გუსეინოვა
კომერციული განყოფილების წამყვანი მენეჯერი
კომერციული განყოფილების წამყვანი მენეჯერი