პერსონალურ მონაცემთა დაცვის სფეროში მონაცემთა სუბიექტის უფლებები იზრდება, ამ უფლებათა დაცვის გარანტიები მყარდება და იხვეწება არსებული ტერმინოლოგია - იზრდება „პერსონალურ მონაცემთა დაცვის შესახებ“ კანონის დარღვევისთვის ჯარიმების ოდენობაც. აღნიშნულ სიახლეებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონი ითვალისწინებს, რომლის ძირითადი ნაწილიც ძალაში 2024 წლის მარტიდან შევა.

უფრო კონკრეტულად, რა სიახლეები ინერგება პერსონალურ მონაცემთა დაცვის სფეროში და როგორ აისახება ეს ცვლილებები პერსონალურ მონაცემთა დამუშავების პროცესზე, „ინტერპრესნიუსი“ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს, ლელა ჯანაშვილს ესაუბრა:

- პარლამენტმა „პერსონალურ მონაცემთა დაცვის შესახებ“ კანონპროექტი მიიღო. უპირველესად, გვითხარით, რატომ გაჩნდა აღნიშნული კანონპროექტის შემუშავება საჭირო და რა მნიშვნელობისაა ცვლილებები, რომელიც პარლამენტმა უკვე დაამტკიცა?

- უნდა აღინიშნოს, რომ პერსონალურ მონაცემთა დაცვის საკანონმდებლო ბაზის ჰარმონიზაცია საქართველოს მიერ ევროპის კავშირთან ასოცირების შეთანხმებითა და ასოცირების დღის წესრიგით ნაკისრ ვალდებულებას წარმოადგენს. „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონის მიღება ძალზედ მნიშვნელოვანია პერსონალურ მონაცემთა დაცვის, ადამიანის პირადი ცხოვრების ხელშეუხებლობის უმნიშვნელოვანესი კონსტიტუციური უფლების განმტკიცების, პერსონალურ მონაცემთა დაცვის სფეროში არსებული კანონმდებლობის ევროპულ სტანდარტებთან დაახლოების, საქართველოს მიერ ნაკისრი საერთაშორისო ვალდებულებების შესრულებისა და საერთაშორისოდ აღიარებული პრინციპებისა და საუკეთესო პრაქტიკის დამკვიდრებისათვის.

ახალი კანონის იმპლემენტაციის შედეგად გაიზრდება მონაცემთა სუბიექტის უფლებების დაცვის სტანდარტი, დაიხვეწება კანონმდებლობა პერსონალურ მონაცემთა დაცვის სფეროში და შეიქმნება ადამიანის უფლებათა დაცვაზე ორიენტირებული პერსონალურ მონაცემთა დაცვის მდგრადი და ეფექტიანი მექანიზმები.

- რაც შეეხება უშუალოდ კანონის შინაარსს, რა წერია „პერსონალურ მონაცემთა დაცვის შესახებ“ ახალ კანონში - დაგვისახელეთ მნიშვნელოვანი პუნქტები, რასაც აღნიშნული კანონი ითვალისწინებს.

- „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონით შემოთავაზებულია ისეთი მნიშვნელოვანი ცვლილებები, რომლებშიც გათვალისწინებულია არსებული ტერმინოლოგიის დახვეწა ან/და სრულიად ახალი ცნებების დამკვიდრება პერსონალურ მონაცემთა დაცვის სფეროში. მაგალითად, მოქმედი კანონისგან განსხვავებით, ტერმინები - მონაცემთა დამმუშავებელი და უფლებამოსილი პირი, განისაზღვრება შემდეგნაირად: დამუშავებისათვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი.

კანონი ახლებურად განმარტავს ტერმინს „მონაცემთა სუბიექტის თანხმობა“, „აუდიომონიტორინგი,“ ფართოდ ყალიბდება „პირდაპირი მარკეტინგის“ განმარტება, ამასთან მნიშვნელოვანია ისეთი ახალი საკითხები, როგორიც არის „პროფაილინგი“. „ფსევდონიმიზაცია“ და ა.შ.

გარდა ტერმინოლოგიური სიახლეებისა, ახალი კანონი პრინციპის დონეზე განსაზღვრავს მონაცემთა დამუშავების „გამჭვირვალობას“. აღნიშნულ პრინციპს უდიდესი მნიშვნელობა აქვს უფლების დაცვისა და რეალიზაციის თვალსაზრისით მონაცემთა სუბიექტისთვის. ფიზიკური პირისთვის ნათელი და გამჭვირვალე უნდა იყოს, რომ მუშავდება ან იგეგმება მისი მონაცემების დამუშავება. გამჭვირვალობის პრინციპი მოითხოვს, რომ მონაცემთა სუბიექტებისათვის ხელმისაწვდომი იყოს ინფორმაცია მათი პერსონალური მონაცემების დამუშავების შესახებ.

ახალი კანონი ასევე აფართოებს მონაცემთა სუბიექტის უფლებებს და ამყარებს ამ უფლებათა დაცვის გარანტიებს. ერთ-ერთი ახალი უფლება, რასაც ახალი კანონი მონაცემთა სუბიექტებს ანიჭებს, მონაცემთა გადატანის, ე.წ. „პორტირების“ უფლებაა. მონაცემთა გადატანის უფლება მონაცემთა სუბიექტებს გაუმარტივებს გარკვეული სერვისებით სარგებლობას. თავის მხრივ, მნიშვნელოვანია, კომპანიებმა უზრუნველყონ შესაბამისი ტექნიკური საშუალებების დანერგვა, რათა შესაძლებელი გახადონ პერსონალურ მონაცემთა გადატანა ინფორმაციული ტექნოლოგიების ერთი გარემოდან მეორეში და რაც ყველაზე მთავარია, აღნიშნულის განხორციელებისას გაატარონ შესაბამისი უსაფრთხოების ზომები.

ახალი კანონით გათვალისწინებული სიახლეებიდან ერთერთი მნიშვნელოვანია საჯარო და რიგ კერძო დაწესებულებებში პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულება.

უმნიშვნელოვანესია ასევე ახალი კანონით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების მექანიზმიც, რაც პერსონალურ მონაცემთა დაცვის ქართული კანონმდებლობისთვის სიახლეს წარმოადგენს და ახალი ტექნოლოგიების უსწრაფესი ტემპით განვითარების პირობებში, ადამიანის უფლებების დარღვევის მომეტებული საფრთხეების შემცირებას ისახავს მიზნად.

გარდა აღნიშნულისა, ახალი კანონი სხვა ბევრ მნიშვნელოვან სიახლეს მოიცავს.

- გადავიდეთ ცალკეულ სიახლეებზე - ახალი კანონით, ცვლილებები ეხება მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების წესებს. თავდაპირველად გვითხარით, რა პრობლემებს აწყდებით აღნიშნულ საკითხთან მიმართებით; ამასთან უფრო კონკრეტულად, მოგვიყევით, რას ითვალისწინებს ახალი მიდგომა?

- როგორც უკვე აღვნიშნე, ახალი კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ ახლებურად აყალიბებს პირდაპირ მარკეტინგთან დაკავშირებულ საკითხებს. საყურადღებოა, რომ ახალი კანონის მიხედვით, მიუხედავად მონაცემთა შეგროვების/მოპოვების საფუძვლისა და მათი ხელმისაწვდომობისა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება შესაძლებელი იქნება მხოლოდ მონაცემთა სუბიექტის თანხმობით, განსხვავებით დღეს მოქმედი ნორმისგან. ამასთან, მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელი იქნება მონაცემთა სუბიექტის წერილობითი თანხმობა. აღსანიშნავია ისიც, რომ მონაცემთა სუბიექტის თანხმობის მიღებამდე და პირდაპირი მარკეტინგის განხორციელებისას დამუშავებისთვის პასუხისმგებელმა პირმა/დამუშავებაზე უფლებამოსილმა პირმა მონაცემთა სუბიექტს ნათლად, მარტივ და მისთვის გასაგებ ენაზე უნდა განუმარტოს მის მიერ თანხმობის ნებისმიერ დროს გამოხმობის უფლება და ამ უფლების განხორციელების მექანიზმი/წესი.

- მნიშვნელოვანი სიახლეა პერსონალურ მონაცემთა დაცვის ოფიცრის ინსტიტუტის შემოღებაც - უფრო ზუსტად, რა ფუნქციებით იქნება აღჭურვილი პერსონალურ მონაცემთა დაცვის ოფიცერი? როგორ ფიქრობთ, რამდენად შედეგიანი იქნება აღნიშნული ინსტიტუციის ფუნქციონირება ამა თუ იმ სამსახურის მიერ პერსონალური მონაცემების დამუშავების არაკანონიერების პრევენციისთვის?

- როგორც ზემოთ აღინიშნა, მონაცემთა დაცვის ოფიცრის ინსტიტუტის შემოღება მნიშვნელოვანი სიახლეა. კანონის მიხედვით, მონაცემთა დაცვის ოფიცერი უზრუნველყოფს:

მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, დამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას;

მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობას, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოს კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგს;

მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზსა და შესაბამისი რეკომენდაციების გაცემას;

პერსონალურ მონაცემთა დაცვის სამსახურისგან კონსულტაციების მიღებას, დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის წარმომადგენლობას სამსახურთან ურთიერთობაში;

მონაცემთა სუბიექტის მიმართვის შემთხვევაში, მისთვის მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ ინფორმაციის მიწოდებას;

ასევე, პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულებას.

ოფიცრის დანიშვნის ან განსაზღვრის ვალდებულება ეკისრებათ საჯარო დაწესებულებებს, სადაზღვევო ორგანიზაციებს, კომერციულ ბანკებს, მიკროსაფინანსო ორგანიზაციებს, საკრედიტო ბიუროებს, ელექტრონული კომუნიკაციის კომპანიებს, ავიაკომპანიებს, აეროპორტებს, სამედიცინო დაწესებულებებს, აგრეთვე დამუშავებისთვის პასუხისმგებელ და დამუშავებაზე უფლებამოსილ იმ პირებს, რომელიც ამუშავებენ დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებენ მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს. ამასთან, პირთა წრე, რომლებსაც არ აქვთ ვალდებულება, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

საყურადღებოა ისიც, რომ, მართალია, კანონი ოფიცრის დანიშვნის ვალდებულებას მხოლოდ ზემოთ ჩამოთვლილ სუბიექტებს აკისრებს, თუმცა დამუშავებისთვის პასუხისმგებელ სხვა პირებს, საკუთარი შეხედულებისამებრ, უფლება აქვთ, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი.

კანონის თანახმად, პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში. ამასთან, დამუშავებისთვის პასუხისმგებელ პირსა და დამუშავებაზე უფლებამოსილ პირს მოეთხოვებათ, უზრუნველყონ ოფიცერი შესაბამისი რესურსებითა და დამოუკიდებლობით საქმიანობის განხორციელების პროცესში. გარდა ამისა, მათ ეკისრებათ ვალდებულება, ოფიცრის ვინაობა და საკონტაქტო ინფორმაცია პროაქტიულად გამოაქვეყნონ ვებგვერდზე (ასეთის არსებობის შემთხვევაში) ან სხვა ხელმისაწვდომი საშუალებით.

მონაცემთა დაცვის ოფიცრის ინსტიტუტის შემოღება განსაკუთრებით მნიშვნელოვანია, ვინაიდან იგი პერსონალურ მონაცემთა დაცვის ქართულ კანონმდებლობას აახლოებს ევროპულ სტანდარტებთან და მნიშვნელოვნად აძლიერებს მონაცემთა სუბიექტების უფლებების დაცვის გარანტიებს. დანამდვილებით შეიძლება ითქვას, რომ მონაცემთა დაცვის ოფიცრის ინსტიტუტის რეალური იმპლემენტაცია მნიშვნელოვან პრევენციულ ეფექტს გამოიწვევს და თვისობრივად შეუწყობს ხელს მონაცემთა დამუშავების პროცესის კანონიერების განმტკიცებას.

- ცვლილებები შევიდა ადმინისტრაციული ჯარიმების ნაწილშიც - რომელი სამართალდარღვევა დაექვემდებარება ადმინისტრაციული სახდელის დაკისრებას?

- ერთ-ერთი საკითხი, რომელიც მნიშვნელოვნად იცვლება, სწორედ ადმინისტრაციული სახდელებია. ახალი კანონი აწესებს გაფრთხილებას ან ჯარიმას „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონით განსაზღვრული ნებისმიერი ვალდებულების ან წესის დარღვევისათვის. მაგალითისთვის, მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს შესაძლოა, პასუხისმგებლობა დაეკისროს მონაცემთა დამუშავების პრინციპების ან საფუძვლების დარღვევისთვის, პირდაპირი მარკეტინგის კანონის მოთხოვნების გვერდის ავლით განხორციელებისთვის, აუდიომონიტორინგის ან ვიდეომონიტორინგის კანონშეუსაბამოდ განხორციელებისთვის, მონაცემთა დაცვის ოფიცრის არყოლისათვის, მაშინ, როდესაც კანონის ამას ავალდებულებს და ა.შ.

ახალი კანონი ასევე აფართოებს ადმინისტრაციული სამართალდარღვევებისთვის გათვალისწინებულ ადმინისტრაციული პასუხისმგებლობის მასშტაბს და ზრდის პასუხისმგებლობის ზომებს.

მოქმედი კანონის მსგავსად, ახალი კანონი კვლავ ფიქსირებული ჯარიმის ოდენობებს განსაზღვრავს, თუმცა საგრძნობლად გაზრდილია მათი ოდენობა. კერძოდ, ჯარიმის ოდენობა დაუკავშირდა სამართალდამრღვევის ორგანიზაციულ ფორმასა და მის წლიურ ბრუნვას. მაგ: კანონით გათვალისწინებული მონაცემთა დამუშავების რომელიმე პრინციპის დარღვევა გამოიწვევს ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო(არაკომერციული იურიდიული პირის, აგრეთვე იურიდიული პირის)უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით. ხოლო იგივე ქმედების ჩადენა იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გამოიწვევს მათ გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

სიახლეა პასუხისმგებლობის შემამსუბუქებელი და დამამძიმებელი გარემოებების განსაზღვრაც. ასევე, პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის შეუსრულებლობის ადმინისტრაციულ სამართალდარღვევად მიჩნევა, რისთვისაც გათვალისწინებული ჯარიმის ოდენობა შეადგენს 1000 – 2000 ლარს. აღნიშნული ცვლილება ხელს შეუწყობს პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მიღებული გადაწყვეტილებების ეფექტიან აღსრულებას და მნიშვნელოვან გავლენას იქონიებს ქვეყანაში პერსონალურ მონაცემთა დაცვის საერთო მდგომარეობის გაუმჯობესებაზე.

აქვე, მნიშვნელოვანია აღინიშნოს, რომ ახალი კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევებისთვის პასუხისმგებლობის ხანდაზმულობის ვადა 4 თვემდეა გაზრდილი ნაცვლად არსებული 3 თვისა, რაც ასევე მნიშვნელოვან პრევენციულ და სრულყოფილი ზედამხედველობის ხელშემწყობ ზომად შეიძლება მივიჩნიოთ.

- კანონის თანახმად, მონაცემთა დამუშავების ზეგავლენის შეფასების ვალდებულება ჩნდება. რომ განმარტოთ, რას გულისხმობს აღნიშნული სიახლე?

- ახალი კანონის მიხედვით, თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.

ისეთ შემთხვევებში, როცა ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად. ასევე, საჭიროების შემთხვევაში, იგი უფლებამოსილია კონსულტაციის მიზნით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს. აღსანიშნავია, რომ თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.

- ასევე, სიახლეა პერსონალურ მონაცემთა დაცვის სამსახურისთვის მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ ინციდენტის შეტყობინების ვალდებულების შემოღებაც - რატომ გაჩნდა ამ ცვლილების განხორციელების აუცილებლობა და კონკრეტულად რას ითვალისწინებს ის?

- პერსონალურ მონაცემთა დაცვის სამსახური, როგორც მონაცემთა დაცვაზე ზედამხედველი დამოუკიდებელი სახელმწიფო ორგანო მნიშვნელოვანია, ფლობდეს ინფორმაციას იმ შემთხვევების შესახებ, როდესაც მონაცემთა სუბიექტების პერსონალური მონაცემები საფრთხის ქვეშ იმყოფება. ახალი კანონი საზედამხედველო ორგანოსთვის ინციდენტის შეტყობინების ვალდებულებას ითვალისწინებს, როდესაც ინციდენტი მნიშვნელოვან საფრთხეს უქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

დამატებით უნდა აღვნიშნო, რომ ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ამ ინციდენტის შეტყობინების წესი, ახალი კანონის მიხედვით, უნდა დადგინდეს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

უფრო მეტიც, ახალი კანონი ითვალისწინებს ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულებას.

- და ბოლოს, გვითხარით, როდიდან ამოქმედდება კანონით გათვალისწინებული ცვლილებები? ამასთან, როგორ ფიქრობთ, რამდენად პოზიტიური როლი ექნება დანერგილ სიახლეებს პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის და ზოგადად, პერსონალური მონაცემების დამუშავების კანონიერების მიმართულებით?

- „პერსონალურ მონაცემთა დაცვის შესახებ“ ახალი კანონის ძირითადი ნაწილი ამოქმედდება 2024 წლის 1-ელი მარტიდან, ხოლო მონაცემთა დაცვის ოფიცრის ინსტიტუტი, მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულება და მათთან დაკავშირებული ადმინისტრაციული სამართალდარღვევების მარეგულირებელი ნორმები ძალაში შევა 2024 წლის 1-ელი ივნისიდან.

რაც შეეხება თქვენი კითხვის მეორე ნაწილს, ცალსახად შეიძლება ითქვას, რომ ახალი კანონის იმპლემენტაცია არსებითად გააუმჯობესებს პერსონალურ მონაცემთა დამუშავების პროცესს. იგი ერთის მხრივ, შეამცირებს კანონის დარღვევის შემთხვევებს და შესაბამისად გაძლიერდება პრევენციული ეფექტი, ხოლო მეორეს მხრივ, პერსონალურ მონაცემთა დაცვის სამსახურს უფრო ეფექტიანი ზედამხედველობისა და რეაგირების შესაძლებლობას მისცემს.

ლიკა რუაძე

„ინტერპრესნიუსი“