პერსონალურ მონაცემთა დაცვის საკითხები საქართველოში: აქტუალური მოთხოვნები და საერთაშორისო სტანდარტები
საქართველოს კანონმდებლობის საფუძველზე, 2025 წლის 29 იანვრის მდგომარეობით
29 იანვარი 2025
ანა ბაქრაძე
1. შესავალი
საქართველო, გლობალური ტენდენციების გათვალისწინებით, აქტიურად აუმჯობესებს ეროვნულ კანონმდებლობას, რომელიც მიზნად ისახავს მონაცემთა სუბიექტების უფლებების დაცვას და ინფორმაციის გაჟონვის პრევენციას. 2023 წელს „პერსონალურ მონაცემთა დაცვის შესახებ“ კანონში შეტანილ იქნა რიგი ცვლილებები, რომლებიც ძალაში შევიდა 2024 წელს და ამჟამად, დარგი ფუნქციონირებს განახლებული სამართლებრივი ჩარჩოს ფარგლებში.
ეს მიმოხილვა დაგეხმარებათ გაიგოთ კანონის ძირითადი ნორმები, კომპანიებისთვის დაწესებული მოთხოვნები და პერსონალურ მონაცემთა დაცვის სამსახურის (შემდგომში – სამსახური) მიერ გამოქვეყნებული პერსონალურ მონაცემთა დამუშავების კანონიერების შემოწმებების 2025 წლის გეგმა. ჩვენ განვიხილავთ პრაქტიკულ ასპექტებს, შევეხებით საქართველოში მონაცემთა მოცულობითი გაჟონვების თემას და შევადარებთ ადგილობრივ რეგულაციებს ევროკავშირის, აშშ-ისა და რუსეთის პრაქტიკას.
2. პერსონალური მონაცემების დაცვის სამართლებრივი რეგულირება საქართველოში: 2025 წლის მდგომარეობა
2.1. 2023-2024 წლების ცვლილებების მოკლე მიმოხილვა
2023 წლიდან საქართველომ განახორციელა ცვლილებები „პერსონალური მონაცემების დაცვის შესახებ“ კანონში. ძირითადი დებულებები ძალაში შევიდა 2024 წლის მარტსა და ივნისში, ხოლო დღესდღეობით ისინი სრულად გამოიყენება როგორც ბიზნესში, ასევე სახელმწიფო სექტორში.
მნიშვნელოვან ცვლილებებს შორისაა:
2.2. მონაცემთა დამუშავების ძირითადი პრინციპები
ქართული კანონმდებლობა ითვალისწინებს ექვს ძირითად პრინციპს, რომელიც უნდა იყოს დაცული მონაცემთა შეგროვებისა და გამოყენების დროს:
2023 წლიდან საქართველომ განახორციელა ცვლილებები „პერსონალური მონაცემების დაცვის შესახებ“ კანონში. ძირითადი დებულებები ძალაში შევიდა 2024 წლის მარტსა და ივნისში, ხოლო დღესდღეობით ისინი სრულად გამოიყენება როგორც ბიზნესში, ასევე სახელმწიფო სექტორში.
მნიშვნელოვან ცვლილებებს შორისაა:
- პერსონალური მონაცემების დაცვის ოფიცრის (DPO) დანიშვნის ვალდებულება რიგ ორგანიზაციებში;
- რეკლამასა და მარკეტინგულ შეტყობინებებზე თანხმობის გამკაცრებული რეგულირება;
- ჯარიმების მკაფიო რეგლამენტაცია, კომპანიის ბრუნვასთან მიმართებით;
- დაზუსტებულია სამსახურის უფლებამოსილებები, რომელსაც უფლება აქვს განახორციელოს, როგორც გეგმური, ისე არაგეგმური შემოწმება, ასევე ჯარიმის დაკისრება პირველივე დარღვევის აღმოჩენისთანავე.
2.2. მონაცემთა დამუშავების ძირითადი პრინციპები
ქართული კანონმდებლობა ითვალისწინებს ექვს ძირითად პრინციპს, რომელიც უნდა იყოს დაცული მონაცემთა შეგროვებისა და გამოყენების დროს:
- კანონიერება, გამჭვირვალობა, სამართლიანობა – მონაცემთა დამუშავება ნებადართულია მხოლოდ კანონიერი საფუძვლის არსებობისას და უნდა იყოს გასაგები მონაცემთა სუბიექტისთვის.
- მიზნების შეზღუდვა – მონაცემები გროვდება მხოლოდ წინასწარ განსაზღვრული მიზნებისთვის.
- მინიმიზაცია – დამუშავებული ინფორმაციის მოცულობა უნდა იყოს მინიმალურად აუცილებელი.
- სიზუსტე და აქტუალობა – მონაცემთა დამმუშავებლებმა უნდა უზრუნველყონ მონაცემთა რეგულარული განახლება და უზუსტობების აღმოფხვრა.
- შენახვის ვადების შეზღუდვა – მიზნის მიღწევის შემდეგ მონაცემები უნდა განადგურდეს ან ანონიმიზებული იქნეს.
- უსაფრთხოება – კომპანიები და სახელმწიფო ორგანოები ვალდებულნი არიან მიიღონ ტექნიკური და ორგანიზაციული ზომები, რომლებიც ხელს შეუშლის არაუფლებამოსილ წვდომას გაჟონვასა ან მონაცემთა დაზიანებას.
2.3. პერსონალური მონაცემების დაცვის ოფიცერი (DPO)
2.3.1. ვინ არის მონაცემთა დაცვის ოფიცერი
პერსონალური მონაცემების დაცვის ოფიცერი (Data Protection Officer, DPO) — სპეციალისტია, რომელსაც ორგანიზაცია ნიშნავს იმისათვის, რომ მან უზრუნველყოს კანონმდებლობის მოთხოვნებისა და მონაცემთა სუბიექტების უფლებების დაცვა. ის ამოწმებს შიდა პოლიტიკების შესრულებას და იძლევა რეკომენდაციებს დარღვევების აღმოსაფხვრელად, უზრუნველყოფს კომუნიკაციას მარეგულირებელთან და დროულ რეაგირებას პერსონალური მონაცემების უსაფრთხოებასთან დაკავშირებულ ინციდენტებზე.
2.3.2. DPO-ს ძირითადი მოვალეობები
კანონი და კანონქვემდებარე აქტები ოფიცერს შემდეგ ძირითად ფუნქციებს აკისრებს:
2.3.3. ვის ევალება DPO-ს დანიშვნა?
კანონმდებლობაში განხორციელებული ცვლილებების თანახმად, DPO-ს დანიშვნა სავალდებულოა შემდეგ ორგანიზაციებში:
განსაკუთრებული კატეგორიის მონაცემები მოიცავს ინფორმაციას რასობრივი და ეთნიკური კუთვნილების, პოლიტიკური და რელიგიური შეხედულებების, ჯანმრთელობის მდგომარეობის, ბიომეტრიული მონაცემებისა და სხვა ისეთ მონაცემებზე, რომლებიც შესაძლოა ზეგავლენას ახდენდეს პირთა უფლებებსა და თავისუფლებებზე.
სისტემატურ და მასშტაბურ მონიტორინგად მიიჩნევა:
• ინტერნეტში აქტივობის მონიტორინგი (ტრექინგი, მომხმარებლების პროფაილების შექმნა);
• პროფაილინგი ან ქულების მინიჭება რისკების შეფასების მიზნით;
• ბავშვების (ბაგა-ბაღებში, სკოლებში, უნივერსიტეტებში) ან სხვა კატეგორიის პირების ქცევის მონიტორინგი;
• ქცევითი რეკლამა (მომხმარებლის ქმედებების შეგროვებასა და ანალიზზე დაფუძნებული რეკლამა).
2.4. თანხმობა მარკეტინგულ შეტყობინებებზე
კანონი ითვალისწინებს ვალდებულებას, რომ მონაცემთა სუბიექტისგან მიღებულ იქნას ცალსახა თანხმობა ნებისმიერ მარკეტინგულ შეტყობინებაზე (email, SMS, მესენჯერები). ასევე, უნდა არსებობდეს მარტივი და ხელმისაწვდომი უარის თქმის პროცესი. ამ ნორმების დარღვევამ შესაძლოა გამოიწვიოს ჯარიმების დაკისრება, განსაკუთრებით თუ საქმე ეხება შეტყობინებების მასიურ გაგზავნას.
2.5. პასუხისმგებლობა და ჯარიმები
მონაცემების დამუშავების რეგლამენტების დარღვევის, უსაფრთხოების მოთხოვნების დაუცველობის, DPO-ის (თუ მისი დანიშვნა სავალდებულოა) არარსებობისა და სხვა დარღვევების შემთხვევაში კანონი ითვალისწინებს ადმინისტრაციულ პასუხისმგებლობას. კანონით დადგენილია ფიქსირებული ჯარიმები სხვადასხვა დარღვევებისათვის. სერიოზული ან განმეორებული დარღვევების შემთხვევაში ჯარიმები იზრდება ბრუნვის პროპორციულად. თუმცა, ერთჯერადი შემოწმების შედეგად მაქსიმალური ჯარიმის ოდენობა ჯამურად არ შეიძლება აღემატებოდეს 20 000 ლარს.
2.6. კონტროლი პერსონალურ მონაცემთა დაცვის სამსახურის მხრიდან
სამსახური აქტიურად ახორციელებს გეგმურ და არაგეგმურ შემოწმებებს. ოფიციალური სტატისტიკის მიხედვით, 2024 წელს განხორციელდა 265 შემოწმება. მათგან 31% (83) იყო გეგმური, ხოლო 69% (182) — არაგეგმური. შემოწმების შედეგების ანალიზი მიუთითებს, რომ მარეგულირებელი იყენებს ჯარიმის დაკისრების უფლებას უკვე პირველი დარღვევის აღმოჩენისთანავე და არ შემოიფარგლება მხოლოდ გაფრთხილებით. ეს, მათ შორის, დაკავშირებულია მონაცემთა მოცულობითი გაჟონვის შემთხვევების გახშირებასთან და სამსახურის მისწრაფებასთან, რომ თავიდან აიცილოს პოტენციური რისკიც კი.
2.3.1. ვინ არის მონაცემთა დაცვის ოფიცერი
პერსონალური მონაცემების დაცვის ოფიცერი (Data Protection Officer, DPO) — სპეციალისტია, რომელსაც ორგანიზაცია ნიშნავს იმისათვის, რომ მან უზრუნველყოს კანონმდებლობის მოთხოვნებისა და მონაცემთა სუბიექტების უფლებების დაცვა. ის ამოწმებს შიდა პოლიტიკების შესრულებას და იძლევა რეკომენდაციებს დარღვევების აღმოსაფხვრელად, უზრუნველყოფს კომუნიკაციას მარეგულირებელთან და დროულ რეაგირებას პერსონალური მონაცემების უსაფრთხოებასთან დაკავშირებულ ინციდენტებზე.
2.3.2. DPO-ს ძირითადი მოვალეობები
კანონი და კანონქვემდებარე აქტები ოფიცერს შემდეგ ძირითად ფუნქციებს აკისრებს:
- კანონმდებლობისა და შიდა პოლიტიკების დაცვის მონიტორინგი. ოფიცერი აკონტროლებს, რომ მონაცემთა დამუშავების ყველა პროცესი შეესაბამებოდეს როგორც საქართველოს კანონმდებლობის ნორმებს, ასევე კორპორატიულ სტანდარტებს.
- რისკებთან დაკავშირებული დოკუმენტების მომზადებაში მონაწილეობა. DPO ეხმარება მონაცემთა დამუშავებასთან დაკავშირებული რისკების გამოვლენასა და შეფასებას, ასევე აკონტროლებს შიდა ინსტრუქციების შესრულებას.
- თანამშრომლების სწავლება და კონსულტაცია;
- სამსახურთან თანამშრომლობა; ოფიცერი ახორციელებს ტრენინგების ორგანიზებას, აძლევს განმარტებას თანამშრომლებს მონაცემთა დაცვის სფეროში არსებული უფლებებისა და მოვალეობების შესახებ;
- კომუნიკაცია სამსახურთან. მარეგულირებლის მხრიდან შემოწმებების ან მოთხოვნების შემთხვევაში DPO მოქმედებს, როგორც საკონტაქტო პირი, აწვდის განმარტებებს და უზრუნველყოფს შესაბამისი დოკუმენტაციის გადაცემას.
- სუბიექტების მოთხოვნების დამუშავება. თუ პირს სურს თავისი უფლებების რეალიზება (წვდომა, წაშლა, შესწორება და სხვა), სწორედ ოფიცერი უწევს კოორდინაციას ამ პროცესს.
2.3.3. ვის ევალება DPO-ს დანიშვნა?
კანონმდებლობაში განხორციელებული ცვლილებების თანახმად, DPO-ს დანიშვნა სავალდებულოა შემდეგ ორგანიზაციებში:
- სახელმწიფო დაწესებულებები;
- სადაზღვევო კომპანიები;
- კომერციული ბანკები;
- მიკროსაფინანსო ორგანიზაციები;
- საკრედიტო ბიუროები;
- სატელეკომუნიკაციო კომპანიები(სატელეფონო კომუნიკაციის ოპერატორები, ინტერნეტ-პროვაიდერები და სხვ.);
- ავიაკომპანიები და აეროპორტები;
- სამედიცინო დაწესებულებები;
- პირები, რომლებიც ამუშავებენ დიდი მოცულობის მონაცემებს (საქართველოს საერთო მოსახლეობის 3%-ზე მეტი ან განსაკუთრებული კატეგორიის მონაცემების 1%-ზე მეტი);
- პირები, რომლებიც ახორციელებენ სისტემურ და მასშტაბურ მონიტორინგს.
განსაკუთრებული კატეგორიის მონაცემები მოიცავს ინფორმაციას რასობრივი და ეთნიკური კუთვნილების, პოლიტიკური და რელიგიური შეხედულებების, ჯანმრთელობის მდგომარეობის, ბიომეტრიული მონაცემებისა და სხვა ისეთ მონაცემებზე, რომლებიც შესაძლოა ზეგავლენას ახდენდეს პირთა უფლებებსა და თავისუფლებებზე.
სისტემატურ და მასშტაბურ მონიტორინგად მიიჩნევა:
• ინტერნეტში აქტივობის მონიტორინგი (ტრექინგი, მომხმარებლების პროფაილების შექმნა);
• პროფაილინგი ან ქულების მინიჭება რისკების შეფასების მიზნით;
• ბავშვების (ბაგა-ბაღებში, სკოლებში, უნივერსიტეტებში) ან სხვა კატეგორიის პირების ქცევის მონიტორინგი;
• ქცევითი რეკლამა (მომხმარებლის ქმედებების შეგროვებასა და ანალიზზე დაფუძნებული რეკლამა).
2.4. თანხმობა მარკეტინგულ შეტყობინებებზე
კანონი ითვალისწინებს ვალდებულებას, რომ მონაცემთა სუბიექტისგან მიღებულ იქნას ცალსახა თანხმობა ნებისმიერ მარკეტინგულ შეტყობინებაზე (email, SMS, მესენჯერები). ასევე, უნდა არსებობდეს მარტივი და ხელმისაწვდომი უარის თქმის პროცესი. ამ ნორმების დარღვევამ შესაძლოა გამოიწვიოს ჯარიმების დაკისრება, განსაკუთრებით თუ საქმე ეხება შეტყობინებების მასიურ გაგზავნას.
2.5. პასუხისმგებლობა და ჯარიმები
მონაცემების დამუშავების რეგლამენტების დარღვევის, უსაფრთხოების მოთხოვნების დაუცველობის, DPO-ის (თუ მისი დანიშვნა სავალდებულოა) არარსებობისა და სხვა დარღვევების შემთხვევაში კანონი ითვალისწინებს ადმინისტრაციულ პასუხისმგებლობას. კანონით დადგენილია ფიქსირებული ჯარიმები სხვადასხვა დარღვევებისათვის. სერიოზული ან განმეორებული დარღვევების შემთხვევაში ჯარიმები იზრდება ბრუნვის პროპორციულად. თუმცა, ერთჯერადი შემოწმების შედეგად მაქსიმალური ჯარიმის ოდენობა ჯამურად არ შეიძლება აღემატებოდეს 20 000 ლარს.
2.6. კონტროლი პერსონალურ მონაცემთა დაცვის სამსახურის მხრიდან
სამსახური აქტიურად ახორციელებს გეგმურ და არაგეგმურ შემოწმებებს. ოფიციალური სტატისტიკის მიხედვით, 2024 წელს განხორციელდა 265 შემოწმება. მათგან 31% (83) იყო გეგმური, ხოლო 69% (182) — არაგეგმური. შემოწმების შედეგების ანალიზი მიუთითებს, რომ მარეგულირებელი იყენებს ჯარიმის დაკისრების უფლებას უკვე პირველი დარღვევის აღმოჩენისთანავე და არ შემოიფარგლება მხოლოდ გაფრთხილებით. ეს, მათ შორის, დაკავშირებულია მონაცემთა მოცულობითი გაჟონვის შემთხვევების გახშირებასთან და სამსახურის მისწრაფებასთან, რომ თავიდან აიცილოს პოტენციური რისკიც კი.
3. შედარება საერთაშორისო პრაქტიკასთან
ძირითადი ნორმატიული აქტი: მონაცემთა დაცვის ზოგადი რეგულაცია (GDPR), რომელიც ძალაში შევიდა 2018 წელს.
მნიშვნელოვანი ასპექტები:
3.2. აშშ (საშტატო და სექტორული რეგულირება)
განსაკუთრებული მახასიათებლები:
3.3. რუსეთი (ფედერალური კანონი „პერსონალურ მონაცემთა შესახებ“ და ბოლო ცვლილებები)
ძირითადი კანონი: ფედერალური კანონი № 152-ФЗ „პერსონალურ მონაცემთა შესახებ“ (მიღებული 2006 წელს, არაერთხელ შესწორებული).
მთავარი თავისებურებები:
მნიშვნელოვანი ასპექტები:
- ·პრინციპები და სუბიექტთა უფლებები. რეგულაცია განსაზღვრავს გამჭვირვალობის, მიზნების შეზღუდვის, მონაცემთა სუბიექტების ინფორმირების და მათი უფლებების დაცვას (მათ შორის: წვდომა, შესწორება, წაშლა, მონაცემთა გადატანა).
- ჯარიმები. GDPR ითვალისწინებს სანქციებს 20 მილიონ ევრომდე ან კომპანიის გლობალური ბრუნვის 4%-მდე (რომელიც უფრო მაღალია). ეს არის მსოფლიოში ერთ-ერთი ყველაზე მკაცრი სანქცია.
- ·მონაცემთა დაცვის ოფიცერი (DPO). ორგანიზაციებში, რომლებიც ამუშავებენ მნიშვნელოვანი ოდენობის მონაცემებს ან განსაკუთრებული კატეგორიის მონაცემებს, აუცილებელია DPO-ს დანიშვნა, რომელსაც ენიჭება განსაზღვრული უფლებები და დამოუკიდებელი სტატუსი.
- ექსტერიტორიულობა. GDPR ვრცელდება ევროკავშირის ფარგლებს გარეთაც იმ კომპანიებზე, რომლებიც ამუშავებენ ევროკავშირის რეზიდენტების მონაცემებს.
3.2. აშშ (საშტატო და სექტორული რეგულირება)
განსაკუთრებული მახასიათებლები:
- ფარგლოვანი კანონმდებლობა. არ არსებობს ერთიანი ფედერალური კანონი, რომელიც GDPR-ს ანალოგიურია. არსებობს ცალკეული შტატების კანონები (მაგალითად, კალიფორნიის CCPA/CPRA, კოლორადო, ვირჯინია და სხვ.), აგრეთვე სექტორული აქტები: HIPAA (ჯანმრთელობის მონაცემებისთვის), GLBA (ფინანსური სექტორი), FERPA (განათლება) და სხვა.
- ჯარიმები. განსხვავდება რეგულაციის მიხედვით. მაგალითად, კალიფორნიაში CCPA/CPRA-ს დარღვევისთვის სანქციები ხშირად მრავალმილიონიან ნიშნულს აღწევს, განსაკუთრებით კოლექტიური სარჩელების შემთხვევაში.
- მონაცემთა დაცვის ოფიცერი. ფედერალურ დონეზე სავალდებულო არ არის, თუმცა მსხვილი კომპანიები ნერგავენ CPO-ს (Chief Privacy Officer) პოზიციას საუკეთესო პრაქტიკებისა და ზოგიერთი შტატის მოთხოვნების შესაბამისად.
- ინფორმირება მონაცემთა გაჟონვის შესახებ. დიდი ყურადღება ექცევა დროული გაფრთხილების ვალდებულებას მონაცემთა გაჟონვის (data breach notification) შემთხვევაში, წინააღმდეგ შემთხვევაში, შესაძლოა სანქციები მნიშვნელოვნად გაიზარდოს.
3.3. რუსეთი (ფედერალური კანონი „პერსონალურ მონაცემთა შესახებ“ და ბოლო ცვლილებები)
ძირითადი კანონი: ფედერალური კანონი № 152-ФЗ „პერსონალურ მონაცემთა შესახებ“ (მიღებული 2006 წელს, არაერთხელ შესწორებული).
მთავარი თავისებურებები:
- სავალდებულო „პასუხისმგებელი პირი პერსონალური მონაცემების დამუშავების ორგანიზებისთვის“ – GDPR-ის DPO-ს ანალოგი, თუმცა დამოუკიდებლობისა და უფლებამოსილების მოცულობის მოთხოვნები ნაკლებად დეტალიზებულია.
- ·ჯარიმები – ადრე შედარებით დაბალი იყო, მაგრამ 2025 წლის ცვლილებების გათვალისწინებით მნიშვნელოვნად გაიზარდა.
- 1 000–10 000 ადამიანის მონაცემების უკანონო გადაცემისთვის გათვალისწინებულია ჯარიმა 400 000 რუბლამდე თანამდებობის პირებისათვის (სახელმწიფო ორგანოები და ა(ა)იპ);
- 5 000 000 რუბლამდე ინდივიდუალური მეწარმეებისა და კომპანიებისთვის. სპეციალური კატეგორიის მონაცემების უკანონო გავრცელებისთვის ჯარიმა 15 000 000 რუბლამდე შეიძლება აღწევდეს. ასევე დაწესდა მკაცრი სანქციები Roskomnadzor-ისთვის მონაცემთა გაჟონვის შესახებ ინფორმაციის შეუტყობინებლობის შემთხვევაში.
- ოპერატორების რეგისტრაცია – ყველა ორგანიზაცია, რომელიც პერსონალურ მონაცემებს ამუშავებს, ვალდებულია Roskomnadzor-ს აცნობოს, თუ არ ექვემდებარება დადგენილ გამონაკლისებს.
4. პრაქტიკული შემთხვევები: მონაცემთა გაჟონვა საქართველოში
4.1. 2025 წლის იანვრის მასშტაბური გაჟონვა
2025 წლის იანვარში გერმანულ ღრუბლოვან პროვაიდერზე აღმოჩნდა დიდი დაუცველი ბაზა, რომელიც შეიცავდა 5 მილიონზე მეტ ჩანაწერს პერსონალური მონაცემებით, მათ შორის 7,2 მილიონზე მეტი ტელეფონის ნომერი და 1,45 მილიონი ავტომობილების მფლობელის ინფორმაცია. დაახლოებით 4 მილიონი მოსახლეობის ქვეყნისთვის ეს მიუთითებს მოძველებული ბაზების და ახალი ინფორმაციის შერწყმაზე.
4.2. 2020 წლის გაჟონვა: მონაცემთა ბაზების გაერთიანება
2020 წელს გაჟონა საქართველოს ცენტრალური საარჩევნო კომისიის ბაზამ (დაახლოებით 5 მილიონამდე ჩანაწერი).
4.3. რისკები და შედეგები
1. ფინანსური თაღლითობა და პირადობის ქურდობა (სესხების გაფორმება, ყალბი დოკუმენტების შექმნა).
2. სოციალური ინჟინერია (თაღლითები რეალურ მონაცემებს იყენებენ პირების მოტყუების მიზნით).
3. პოლიტიკური მანიპულაციები (განსაკუთრებით გეოპოლიტიკური დაძაბულობის პირობებში).
4. რეპუტაციული დანაკარგები კომპანიებისთვის და სახელმწიფო ორგანოებისთვის, რომლებიც დაკავშირებული არიან მონაცემთა გაჟონვასთან ან არასაკმარისად იცავენ თავიანთ ბაზებს.
2025 წლის იანვარში გერმანულ ღრუბლოვან პროვაიდერზე აღმოჩნდა დიდი დაუცველი ბაზა, რომელიც შეიცავდა 5 მილიონზე მეტ ჩანაწერს პერსონალური მონაცემებით, მათ შორის 7,2 მილიონზე მეტი ტელეფონის ნომერი და 1,45 მილიონი ავტომობილების მფლობელის ინფორმაცია. დაახლოებით 4 მილიონი მოსახლეობის ქვეყნისთვის ეს მიუთითებს მოძველებული ბაზების და ახალი ინფორმაციის შერწყმაზე.
4.2. 2020 წლის გაჟონვა: მონაცემთა ბაზების გაერთიანება
2020 წელს გაჟონა საქართველოს ცენტრალური საარჩევნო კომისიის ბაზამ (დაახლოებით 5 მილიონამდე ჩანაწერი).
- ამ მონაცემების ახალი გაჟონვა, როგორც ჩანს, "შერწყმული" ბაზა იყო:2020 წლის მონაცემებს დაემატა ახალი ჩანაწერები ავტომობილების მფლობელების, სადაზღვევო ნომრებისა და სხვა მონაცემების შესახებ.
4.3. რისკები და შედეგები
1. ფინანსური თაღლითობა და პირადობის ქურდობა (სესხების გაფორმება, ყალბი დოკუმენტების შექმნა).
2. სოციალური ინჟინერია (თაღლითები რეალურ მონაცემებს იყენებენ პირების მოტყუების მიზნით).
3. პოლიტიკური მანიპულაციები (განსაკუთრებით გეოპოლიტიკური დაძაბულობის პირობებში).
4. რეპუტაციული დანაკარგები კომპანიებისთვის და სახელმწიფო ორგანოებისთვის, რომლებიც დაკავშირებული არიან მონაცემთა გაჟონვასთან ან არასაკმარისად იცავენ თავიანთ ბაზებს.
5. პერსონალურ მონაცემთა დაცვის სამსახურის 2025 წლის შემოწმებების გეგმა
წლის დასაწყისში პერსონალურ მონაცემთა დაცვის სამსახურმა გამოაქვეყნა პერსონალურ მონაცემთა დამუშავების კანონიერების შემოწმებების გეგმა – ოფიციალური დოკუმენტი, რომელიც განსაზღვრავს გეგმური შემოწმებების ძირითად მიმართულებებს და სპეციფიკურ სფეროებს, რომლებზეც მარეგულირებელი ამახვილებს ყურადღებას. თუმცა, გეგმური შემოწმებების გარდა, ყოველთვის არსებობს რისკი არაგეგმური შემოწმებების, რომლებიც ინიშნება მოქალაქეების განცხადებების საფუძველზე ან მსხვილი ინციდენტის შემდეგ.
5.1. შემოწმებადი ორგანიზაციების ძირითადი კატეგორიები
გეგმის მიხედვით, მიზნობრივი ჯგუფები 2025 წელს არიან: არასრულწლოვნები, ახალგაზრდები, მიგრანტები, ქალები, ხანდაზმული პირები, სოციალურად დაუცველი მოქალაქეები, შეზღუდული შესაძლებლობების მქონე პირები, ასევე ბრალდებულები.
მთავარი სფეროები, რომლებითაც განსაკუთრებით ინტერესდება სამსახური: შრომითი ურთიერთობები, დისტანციური მომსახურება, თანამედროვე ტექნოლოგიები, სამედიცინო მომსახურება, ფარული საგამოძიებო მოქმედებები.
შემოწმების თემატიკა მოიცავს:
• მონაცემთა დამუშავების მოცულობა და უსაფრთხოება;
• მუშაობა განსაკუთრებული კატეგორიის მონაცემებთან;
• სუბიექტების უფლებები (წვდომა, წაშლა, შესწორება და სხვა);
• ინფორმაციის გამჟღავნება და გადაცემა საზღვრებს გარეთ;
• მონაცემების დაცვის ოფიცერის (DPO) დანიშვნა და საქმიანობა.
5.2. შემოწმებადი ორგანიზაციების ძირითადი კატეგორიები
სამსახურის მიერ ახლახანს გამოქვეყნებულ 2025 წლის შემოწმების გეგმაში პირდაპირაა მითითებული გარკვეული სახელმწიფო ორგანიზაციები (მათ შორის: ეკონომიკის სამინისტრო, ფინანსთა სამინისტრო, ჯანდაცვის სამინისტრო, განათლების სამინისტრო), მუნიციპალიტეტები (5 მუნიციპალიტეტის მერია), სამართალდამცავი ორგანოები (მათ შორის: შსს, გენერალური პროკურატურა და თავდაცვის სამინისტრო), ასევე კომერციული ორგანიზაციები და ბიზნესის სფეროები, მათ შორის: კომპანიები ვებგვერდებითა და აპლიკაციებით, სამედიცინო დაწესებულებები, ფიტნეს-ცენტრები და აფთიაქები, სასტუმროები და რესტორნები, საგანმანათლებლო დაწესებულებები, კერძო სამართლის იურიდიული პირები.
5.3. არაგეგმიური შემოწმებების რისკები და ძირითადი დასკვნები
მარეგულირებელი არ შემოიფარგლება მხოლოდ წინასწარ გამოქვეყნებული სიით. ნებისმიერი ორგანიზაცია შეიძლება მოულოდნელი შემოწმების ობიექტი გახდეს, თუ:
წლის დასაწყისში პერსონალურ მონაცემთა დაცვის სამსახურმა გამოაქვეყნა პერსონალურ მონაცემთა დამუშავების კანონიერების შემოწმებების გეგმა – ოფიციალური დოკუმენტი, რომელიც განსაზღვრავს გეგმური შემოწმებების ძირითად მიმართულებებს და სპეციფიკურ სფეროებს, რომლებზეც მარეგულირებელი ამახვილებს ყურადღებას. თუმცა, გეგმური შემოწმებების გარდა, ყოველთვის არსებობს რისკი არაგეგმური შემოწმებების, რომლებიც ინიშნება მოქალაქეების განცხადებების საფუძველზე ან მსხვილი ინციდენტის შემდეგ.
5.1. შემოწმებადი ორგანიზაციების ძირითადი კატეგორიები
გეგმის მიხედვით, მიზნობრივი ჯგუფები 2025 წელს არიან: არასრულწლოვნები, ახალგაზრდები, მიგრანტები, ქალები, ხანდაზმული პირები, სოციალურად დაუცველი მოქალაქეები, შეზღუდული შესაძლებლობების მქონე პირები, ასევე ბრალდებულები.
მთავარი სფეროები, რომლებითაც განსაკუთრებით ინტერესდება სამსახური: შრომითი ურთიერთობები, დისტანციური მომსახურება, თანამედროვე ტექნოლოგიები, სამედიცინო მომსახურება, ფარული საგამოძიებო მოქმედებები.
შემოწმების თემატიკა მოიცავს:
• მონაცემთა დამუშავების მოცულობა და უსაფრთხოება;
• მუშაობა განსაკუთრებული კატეგორიის მონაცემებთან;
• სუბიექტების უფლებები (წვდომა, წაშლა, შესწორება და სხვა);
• ინფორმაციის გამჟღავნება და გადაცემა საზღვრებს გარეთ;
• მონაცემების დაცვის ოფიცერის (DPO) დანიშვნა და საქმიანობა.
5.2. შემოწმებადი ორგანიზაციების ძირითადი კატეგორიები
სამსახურის მიერ ახლახანს გამოქვეყნებულ 2025 წლის შემოწმების გეგმაში პირდაპირაა მითითებული გარკვეული სახელმწიფო ორგანიზაციები (მათ შორის: ეკონომიკის სამინისტრო, ფინანსთა სამინისტრო, ჯანდაცვის სამინისტრო, განათლების სამინისტრო), მუნიციპალიტეტები (5 მუნიციპალიტეტის მერია), სამართალდამცავი ორგანოები (მათ შორის: შსს, გენერალური პროკურატურა და თავდაცვის სამინისტრო), ასევე კომერციული ორგანიზაციები და ბიზნესის სფეროები, მათ შორის: კომპანიები ვებგვერდებითა და აპლიკაციებით, სამედიცინო დაწესებულებები, ფიტნეს-ცენტრები და აფთიაქები, სასტუმროები და რესტორნები, საგანმანათლებლო დაწესებულებები, კერძო სამართლის იურიდიული პირები.
5.3. არაგეგმიური შემოწმებების რისკები და ძირითადი დასკვნები
მარეგულირებელი არ შემოიფარგლება მხოლოდ წინასწარ გამოქვეყნებული სიით. ნებისმიერი ორგანიზაცია შეიძლება მოულოდნელი შემოწმების ობიექტი გახდეს, თუ:
- მონაცემთა სუბიექტმა შეიტანა საჩივარი
- დაფიქსირდა მონაცემთა გაჟონვა ან სხვა ინციდენტი, რომელიც საჯაროდ გახდა ცნობილი
- მიღებულ იქნა სიგნალები კანონმდებლობის დარღვევის შესახებ (მაგალითად, DPO-ს არარსებობა იმ ორგანიზაციებში, სადაც მისი დანიშვნა სავალდებულოა)
6. რეკომენდაციები ქართული ბიზნესისთვის
- ჩაატარეთ შიდა პროცესების აუდიტი. განსაზღვრეთ, შეესაბამება თუ არა მონაცემთა დამუშავების პრაქტიკა კანონმდებლობის ძირითად პრინციპებს და არსებობს თუ არა უსაფრთხოების მიმართულებით „სუსტი წერტილები“.
- დანიშნეთ პერსონალურ მონაცემთა დაცვის ოფიცერი (DPO) – თუ თქვენი ორგანიზაცია ვალდებულია დანიშნოს ოფიცერი (სახელმწიფო უწყებები, ბანკები, სადაზღვევო კომპანიები, მონაცემთა მსხვილი დამმუშავებლები და სხვ.), დარწმუნდით, რომ სპეციალისტს აქვს საკმარისი ცოდნა, დრო და უფლებამოსილება.
- დოკუმენტურად შეიმუშავეთ კონფიდენციალურობის და მონაცემთა დაცვის პოლიტიკები – გაწერეთ მკაფიო პროცედურები თანხმობის აღებისთვის, მონაცემების წაშლის ან შესწორების მოთხოვნებზე რეაგირების წესები, შენახვის ვადები და სხვა მსგავსი მოთხოვნები.
- უზრუნველყავით თანამშრომლების სწავლება – თანამშრომლებმა უნდა იცოდნენ არა მხოლოდ კანონი, არამედ პრაქტიკული რისკებიც (სოციალური ინჟინერია, ფიშინგი)
- გაითვალისწინეთ გეგმური შემოწმებების თავისებურებები – თუ თქვენ ეკუთვნით სამსახურის გეგმაში ჩამოთვლილ სფეროებს, მოამზადეთ დოკუმენტები, რომლებიც ადასტურებს შესაბამისობას: ხელშეკრულებები, რეგლამენტები, აუდიტების შედეგები, მომართვის ჟურნალები და სხვა.
- იყავით მზად არაგეგმური შემოწმებებისთვის – აწარმოეთ მონაცემთა დამუშავების რეესტრები, მოახდინეთ წვდომების ლოგირება, დროულად განაახლეთ ინფორმაცია და შეინახეთ ყველა მტკიცებულება კანონის დაცვის შესახებ.
7. იურიდიული მხარდაჭერის და კონსულტანტების როლი
თანამედროვე რეალობაში კომპანიები სულ უფრო ხშირად მიმართავენ პროფესიონალურ დახმარებას, რათა მინიმუმამდე დაიყვანონ ჯარიმებისა და რეპუტაციული დანაკარგების რისკები. იურიდიული სპეციალისტები პერსონალური მონაცემების დაცვის სფეროში სთავაზობენ შემდეგ სერვისებს:
• აუდიტი და შიდა დოკუმენტაციის (პოლიტიკების, ინსტრუქციების, შეთანხმებების) შემუშავება;
• DPO-ის დანიშვნასა და სწავლებაში დახმარება;
• მონაცემების საზღვრებს გარეთ გადაცემის შესახებ კონსულტაცია და უცხოელ მარეგულირებელთან ურთიერთობა (განსაკუთრებით, თუ საქმე ეხება GDPR-ს);
• სამსახურის გეგმური და არაგეგმური შემოწმებისთვის მომზადება (მკაფიო პროცედურების განსაზღვრა, რეესტრების წარმოება);
• რისკების შეფასება და კიბერუსაფრთხოების სტრატეგიის შექმნა საუკეთესო მსოფლიო პრაქტიკების შესაბამისად.
• აუდიტი და შიდა დოკუმენტაციის (პოლიტიკების, ინსტრუქციების, შეთანხმებების) შემუშავება;
• DPO-ის დანიშვნასა და სწავლებაში დახმარება;
• მონაცემების საზღვრებს გარეთ გადაცემის შესახებ კონსულტაცია და უცხოელ მარეგულირებელთან ურთიერთობა (განსაკუთრებით, თუ საქმე ეხება GDPR-ს);
• სამსახურის გეგმური და არაგეგმური შემოწმებისთვის მომზადება (მკაფიო პროცედურების განსაზღვრა, რეესტრების წარმოება);
• რისკების შეფასება და კიბერუსაფრთხოების სტრატეგიის შექმნა საუკეთესო მსოფლიო პრაქტიკების შესაბამისად.
8. დასკვნა
2025 წელს, საქართველოს პერსონალური მონაცემების დაცვის კანონმდებლობა კვლავ ეყრდნობა 2024 წელს ძალაში შესულ ცვლილებებს, მაგრამ მათი გამოყენების პრაქტიკა მკაცრდება და სამსახური უფლებამოსილია დააკისროს ჯარიმები პირველი დარღვევის აღმოჩენისას. ბოლო წლების მოცულობითი გაჟონვები (მათ შორის 2025 წლის იანვრის შემთხვევა) კიდევ უფრო ამკაცრებს მარეგულირებლის მობილიზებას და საზოგადოების მხრიდან უსაფრთხოების საკითხებზე ყურადღების გაზრდას. ევროკავშირის, აშშ-ისა და რუსეთის მაგალითზე შედარება აჩვენებს, რომ მონაცემების დამუშავების მოთხოვნების გლობალური გამკაცრების ტენდენცია გრძელდება. მონაცემების დაცვის ოფიცრის (DPO) არსებობა ხდება სავალდებულო ფართო დიაპაზონის ორგანიზაციებისთვის და შესაძლოა მნიშვნელოვნად შეამციროს სამართლებრივი რისკები. სამსახურის შემოწმების გეგმა 2025 წლისთვის მკაფიოდ აჩვენებს, რომელი უწყებები და სფეროები ხვდებიან „დაკვირვების ქვეშ“. თუმცა, ნებისმიერი კომპანია შეიძლება აღმოჩნდეს არაგეგმური შემოწმების ობიექტი, თუ საჩივრები ან დარღვევები გამოვლინდება, ამიტომ მნიშვნელოვანია ყველა პროცესის კანონთან შესაბამისობაში მოყვანა წინასწარ.
დროული სამართლებრივი მხარდაჭერა და მონაცემთა დაცვის ნორმების სწორად დანერგვა არა მხოლოდ ამცირებს ჯარიმებისა და რეპუტაციული დანაკარგების ალბათობას, არამედ ზრდის მომხმარებელთა ნდობას. საიმედო მუშაობა კონფიდენციალურ ინფორმაციასთან არის ბიზნესის მდგრადობის ერთ-ერთი მთავარი ფაქტორი ციფრულ ეპოქაში.
დროული სამართლებრივი მხარდაჭერა და მონაცემთა დაცვის ნორმების სწორად დანერგვა არა მხოლოდ ამცირებს ჯარიმებისა და რეპუტაციული დანაკარგების ალბათობას, არამედ ზრდის მომხმარებელთა ნდობას. საიმედო მუშაობა კონფიდენციალურ ინფორმაციასთან არის ბიზნესის მდგრადობის ერთ-ერთი მთავარი ფაქტორი ციფრულ ეპოქაში.
მოგეწონათ სტატია? გაგვიზიარე შენი აზრი
გაქვთ შეკითხვა?
მარია გუსეინოვა
კომერციული განყოფილების წამყვანი მენეჯერი
კომერციული განყოფილების წამყვანი მენეჯერი
