საქართველოს პერსონალურ მონაცემთა დაცვის ახალი კანონის ამოქმედების შედეგები კერძო სექტორისთვის

2024 წლის 1 მარტს ძალაში შევიდა საქართველოს პერსონალურ მონაცემთა დაცვის ახალი კანონი. ერთი წლის თავზე მნიშვნელოვანია კანონის პრაქტიკული განხორციელების პირველი ეტაპის შეფასება: როგორ ინტეგრირდა კანონით გათვალისწინებული მოთხოვნები კერძო სექტორში, რა სირთულეებს წააწყდა ბიზნესი რეგულაციების დანერგვის პროცესში, რამდენად ეფექტიანად ამოქმედდა ზედამხედველობის მექანიზმი და რა ტენდენციები გამოიკვეთა კანონმდებლობის აღსრულების კუთხით.

ზურაბ ახალაძე, აუდიტორული და ბიზნეს საკონსულტაციო კომპანიის „გრანთ თორნთონ საქართველოს“ უფროსი იურისტი:

– შევეცდები მოგიყვეთ იმ პრაქტიკის შესახებ, რასაც ჩვენი კომპანია გადააწყდა ყოველდღიურ ცხოვრებაში ჩვენს კლიენტებთან, მონაცემთა სუბიექტებთან, ჩვეულებრივ ფიზიკურ პირებთან ურთიერთობის კუთხით.

2024 წლის 1 მარტი გახდა ერთგვარი წყალგამყოფი, რომელმაც ნათლად დაგვანახა ის ცვლილებები, რომლებიც საქართველოს პერსონალურ მონაცემთა დაცვის ახალი კანონის ამოქმედებამ მოიტანა. კერძოდ:

• სარეკლამო შეტყობინებები წინასწარი თანხმობის გარეშე აღარ იგზავნება

თუკი კანონის ამოქმედებამდე ტელეფონზე უამრავ სარეკლამო შეტყობინებას ვიღებდით, კანონის ძალაში შესვლის შემდეგ ჩვენი ტელეფონები, ფაქტობრივად, დადუმდა, რადგან კანონი სარეკლამო შეტყობინებების გაგზავნის კუთხით არის საკმაოდ მკაცრი. ის ბიზნესს ავალდებულებს, რომ თუ მას პირდაპირი მარკეტინგის მიზნით სურს სარეკლამო ან ნებისმიერი სხვა სახის შეტყობინების გაგზავნა, საჭიროა მონაცემთა სუბიექტის წინასწარი ინფორმირებული თანხმობა.

• ნებისმიერი საჯარო დაწესებულება და ასევე კერძო კომპანიათა ნაწილი ვალდებულია, ჰყავდეს პერსონალურ მონაცემთა დაცვის ოფიცერი

ეს ადამიანი არის შესაბამისი ცოდნისა და გამოცდილების მქონე პირი, რომელიც პერსონალურ მონაცემთა დაცვის კანონმდებლობასთან კომპანიის შესაბამისობას უზრუნველყოფს. მას არ სჭირდება სპეციალური სერტიფიკატი იმისთვის, რომ პასუხისმგებელი იყოს ორგანიზაციაში პერსონალური მონაცემების დამუშავებაზე.

• განისაზღვრა საჯარო ან კერძო სივრცეში აუდიოჩაწერის (აუდიომონიტორინგის)  წესი და პირობები

მონაცემთა დამმუშავებელი ვალდებულია, წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი ამის შესახებ. აუდიომონიტორინგი დასაშვებია: მონაცემთა სუბიექტის თანხმობით; საოქმო ჩანაწერის წარმოების მიზნით; დისტანციური კომუნიკაციისას; პირის უსაფრთხოებისა და საკუთრების დაცვის, ასევე საიდუმლო ინფორმაციის დაცვის მიზნებისათვის, თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია; კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

• დაზუსტდა საჯარო ან კერძო სივრცეში განთავსებული ვიდეოკამერების საშუალებით ჩანაწერის განხორციელების წესი (ვიდეომონიტორინგი)

ვიდეომეთვალყურეობის განხორციელებისათვის მონაცემთა დამმუშავებელი ვალდებულია, წერილობით განსაზღვროს ვიდეოთვალთვალის მიზანი და მოცულობა, ვიდეოთვალთვალის ხანგრძლივობა და ჩანაწერის შენახვის ვადა, ვიდეოჩანაწერებზე წვდომის, მათი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები (გარდა იმ შემთხვევისა, როდესაც ფიზიკური პირი ვიდეომონიტორინგს ახორციელებს საცხოვრებელ შენობაში).

ყველა დასაქმებული პირი დამატებით უნდა იყოს ინფორმირებული ვიდეოთვალთვალის განხორციელების მიზნების შესახებ.

მონაცემთა დამმუშავებელი/უფლებამოსილი პირი ვალდებულია, ვიდეოთვალთვალის მიმდინარეობის შესახებ თვალსაჩინოდ განთავსებულ გამაფრთხილებელი ნიშანზე დაწეროს მონაცემთა დამმუშავებლის ვინაობა და საკონტაქტო მონაცემები.

რაც მთავარია, ვიდეოსთან ერთად აღარ არის დასაშვები ხმის ჩაწერა. ცხადია, არსებობს რამდენიმე საგამონაკლისო შემთხვევა, ვთქვათ, თუ ადმინისტრაციული წესით საოქმო ჩანაწერი კეთდება ან ცხელ ხაზზე ვრეკავთ.

• განისაზღვრა არასრულწლოვანთა პერსონალური მონაცემების დაცვის საკანონმდებლო გარანტიები

არასრულწლოვანი პირის მონაცემთა დამუშავება მისი თანხმობის საფუძველზე დასაშვებია, თუ მან მიაღწია 16 წლის ასაკს, 16 წლამდე კი მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის საფუძველზე. არასრულწლოვანი პირის მონაცემთა დამუშავებისას სავალდებულოა არასრულწლოვნის საუკეთესო ინტერესების გათვალისწინება და დაცვა. არასრულწლოვნის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის მიერ გაცემული თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვნის საუკეთესო ინტერესებს.

• დადგინდა მონაცემების უსაფრთხოების დარღვევისას ინსპექტორისთვის შეტყობინების ვალდებულება

ნებისმიერი ორგანიზაცია ან ფიზიკური პირი, რომელიც პერსონალურ მონაცემებს ამუშავებს, ვალდებულია, აღრიცხოს მონაცემთა უსაფრთხოების დარღვევის ყველა ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის შესახებ მისი აღმოჩენიდან, არაუგვიანეს 72 საათისა, შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს. სხვათა შორის, ინციდენტი ბოლო ერთი წლის განმავლობაში იყო ერთ-ერთი ყველაზე მეტად შემოწმებადი მუხლი პერსონალურ მონაცემთა დაცვის სამსახურის მიერ და ჩვენც გადავაწყდით იმას, რომ კლიენტებმა არ იცოდნენ, რას წარმოადგენდა ის.

– კანონის ამოქმედების შემდეგ რა სირთულეებს წააწყდნენ კომპანიები?

– კომპანიებს ახალი კანონის მოთხოვნების შესწავლა და მათთან ადაპტირება მოუწიათ, თუმცა ეს ყველამ წარმატებით ვერ მოახერხა კანონის მკაცრი მოთხოვნების და ბიზნესის გადაწყვეტილების შეპირისპირების მიზეზით. მაგალითად, შრომითი კანონმდებლობა გვავალდებულებს, რომ თანამშრომელთა სამსახურში გამოცხადება აღირიცხოს. საქართველოში ამისთვის ყველაზე გავრცელებული ფორმა არის ბარათი, რადგან კანონით აღარ არის რეკომენდებული ბიომეტრიული მონაცემების (თითი, თვალი, სახე) გამოყენება. თუმცა დიდ კომპანიებში, სადაც ყოველდღიურად რამდენიმე ასეული ან ათასი ადამიანი მუშაობს, მხოლოდ ბარათის გამოყენება არ არის საკმარისი და ბიზნესის ფინანსების დაცვისთვის შესაძლებელია უკეთესი ფორმა იყოს ბიომეტრიული მონაცემების დამუშავება, რაც, ცხადია, შესაძლებელია, თუმცა დასაბუთებისთვის საკმაოდ დიდ ძალისხმევას საჭიროებს.

– რა ძირითადი დარღვევები გამოიკვეთა კანონის ამოქმედებიდან ამ დრომდე?

– პერსონალური მონაცემების დაცვის სამსახურმა გამოაქვეყნა 2024 წლის სტატისტიკა, რომლის თანახმადაც, ყველაზე ხშირად დაირღვა: მონაცემთა დამუშავების პრინციპები; მონაცემთა უსაფრთხოების დაცვის მოთხოვნები (ყველაზე ხშირად ვაწყდებით წინააღმდეგობას იმაზე, თუ სად და როგორ ინახება პერსონალური მონაცემები. მაგალითად, კომპიუტერი, რომელშიც მონაცემები ინახება, უნდა ჰქონდეს პაროლი, მასზე ხელმისაწვდომობა მხოლოდ უფლებამოსილ პირს უნდა გააჩნდეს, მონაცემები სერვერზე იმგვარად უნდა იყოს განთავსებული, რომ მარტივი არ იყოს შესაძლებელი მათი წაშლა, მათზე სხვა პირის წვდომა და ა.შ.); ვიდეოთვალთვალის წესები; არასრულწლოვანთა მონაცემების დამუშავების წესები.

– უფლებებზეც გავამახვილოთ ყურადღება, კანონით გარანტირებული რა უფლებები აქვს ფიზიკურ პირს და რა შეუძლია გააკეთოს, თუ ისინი დაირღვა?

– ეს უფლებებია: მონაცემთა დამუშავების შესახებ ინფორმაციის მიღება, მონაცემთა გაცნობისა და ასლის მიღება, მონაცემთა გასწორების/განახლების/შევსების/დამუშავების/შეწყვეტის/წაშლის ან განადგურების მოთხოვნა, მონაცემთა დაბლოკვის/გადატანის მოთხოვნა, ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღებასთან დაკავშირებული უფლებები, თანხმობის გამოთხოვა, გასაჩივრების უფლება. დარღვევის შემთხვევაში უნდა მიმართოთ პერსონალურ მონაცემთა დაცვის სამსახურს ელექტრონულად, წერილის მეშვეობით ან სატელეფონო ზარით.  

– რას უნდა ველოდოთ 2025 წელს პერსონალურ მონაცემთა დაცვის სამსახურისგან?

– ცხადია, 2024 წლის ტენდენციები გრძელდება, თუმცა პერსონალურ მონაცემთა დაცვის სამსახურს გამოქვეყნებული აქვს მიმდინარე წლის გეგმა, რომელ საჯარო და კერძო დაწესებულებებს შეამოწმებს. თუმცა ეს იმას არ ნიშნავს, რომ არაგეგმური შემოწმებებიც არ განხორციელდება.

2025 წლის გეგმური შემოწმებების ძირითადი მიმართულებებია:

• მიზნობრივი ჯგუფები: არასრულწლოვნები, ახალგაზრდები, მიგრანტები, ქალები, ხანდაზმულები, სოციალურად დაუცველი პირები, შეზღუდული შესაძლებლობის მქონე პირები, ბრალდებული/მსჯავრდებული პირები.
• სფეროები: შრომითი ურთიერთობები, დისტანციური მომსახურება, თანამედროვე ტექნოლოგიები, სამედიცინო მომსახურება, ფარული საგამოძიებო მოქმედებები.
• თემატიკა: მონაცემთა მოცულობა, განსაკუთრებული კატეგორიის მონაცემთა დამუშავება, მონაცემთა სუბიექტის უფლებები, მონაცემების გასაჯაროება, მონაცემთა უსაფრთხოება, საერთაშორისო გადაცემა, მონაცემებზე წვდომის უფლების მქონე სუბიექტების სიმრავლე, პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულების შესრულება.