„პერსონალურ მონაცემთა დაცვის შესახებ“ ახალი კანონი ამოქმედდა - დღეიდან, მონაცემთა სუბიექტებს მონაცემების „პორტირების“ უფლება აქვთ, საჯარო და რიგ კერძო დაწესებულებებში კი პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულება გაჩნდა. კანონმა პრინციპების დონეზე განსაზღვრა მონაცემთა დამუშავების „გამჭვირვალობის“ უზრუნველყოფის აუცილებლობაც.
კიდევ რა სიახლეები ამოქმედდა პერსონალურ მონაცემთა დაცვის სფეროში, როგორ აისახება ისინი პერსონალურ მონაცემთა დამუშავების პროცესზე და რა სირთულეებს შეიძლება წააწყდნენ საჯარო და კერძო დაწესებულებები ცვლილებების განხორციელების დროს, ამ საკითხებზე „ინტერპრესნიუსი“ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს, ლელა ჯანაშვილს ესაუბრა:
- უპირველესად, გვაინტერესებს, რატომ გახდა „პერსონალურ მონაცემთა დაცვის შესახებ“ ახალი კანონის შემუშავება საჭირო და რა მნიშვნელობისაა ცვლილებები, რომელიც უკვე ამოქმედდა?
- როგორც მოგეხსენებათ, ევროპის კავშირთან ასოცირების შეთანხმებითა და ასოცირების დღის წესრიგით საქართველოს მიერ ნაკისრი ერთ-ერთი ვალდებულებაა პერსონალურ მონაცემთა დაცვის ეროვნული საკანონმდებლო ბაზის ევროპულ კანონმდებლობასთან ჰარმონიზაცია.
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონის მიღება სწორედ აღნიშნული ვალდებულების ეფექტიანად შესრულებისკენ გადადგმული მნიშვნელოვანი ნაბიჯია. ახალი კანონის მიღებით, პერსონალურ მონაცემთა დაცვის სფეროს მარეგულირებელი ქართული კანონმდებლობა არსებითად დაუახლოვდა ევროპულ სტანდარტს, რაც, თავის მხრივ, ქვეყანაში მონაცემთა დაცვის მიმართულებით საერთაშორისოდ აღიარებული პრინციპებისა და საუკეთესო პრაქტიკის დამკვიდრებას უზრუნველყოფს. ახალი კანონი არაერთ მნიშვნელოვან ცვლილებას და სიახლეს ითვალისწინებს, მათ შორის, აფართოებს მონაცემთა სუბიექტების უფლებებს და ზრდის მათი დაცულობის ხარისხს. აღნიშნული ცვლილებების იმპლემენტაციის შედეგად ქვეყანაში მნიშვნელოვნად ამაღლდება პერსონალურ მონაცემთა დაცვის სტანდარტი და განმტკიცდება ადამიანის პირადი ცხოვრების ხელშეუხებლობის უმნიშვნელოვანესი კონსტიტუციური უფლება.
- ეს სიახლეები საინტერესოა ორივე მიმართულებით: ძირითადად რა იცვლება რიგითი მოქალაქეებისთვის და რა იცვლება მონაცემთა დამმუშავებლებისთვის?
- „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონით გათვალისწინებული ცვლილებები ეხება როგორც მონაცემთა სუბიექტების უფლებებს, ისე დამუშავებისთვის პასუხისმგებელი/დამუშავებაზე უფლებამოსილი პირებისთვის დაკისრებულ თანმხვედრ ვალდებულებებს.
რედაქციული და ტერმინოლოგიური ხასიათის ცვლილებებთან ერთად, ახალი კანონით გათვალისწინებულია არაერთი სრულიად ახალი ცნება, რომელიც მონაცემთა დაცვის ქართული კანონმდებლობისთვის ნოვაციას წარმოადგენს.
მონაცემთა სუბიექტების უფლებების კუთხით ერთ-ერთი მნიშვნელოვანი სიახლეა მონაცემთა გადატანის, ე.წ. „პორტირების“ უფლება, რომელიც მონაცემთა სუბიექტებს გაუმარტივებს გარკვეული სერვისებით სარგებლობას. თავის მხრივ, მნიშვნელოვანია, კომპანიებმა უზრუნველყონ შესაბამისი ტექნიკური საშუალებების დანერგვა, რათა შესაძლებელი გახადონ პერსონალურ მონაცემთა გადატანა ინფორმაციული ტექნოლოგიების ერთი გარემოდან მეორეში და რაც ყველაზე მთავარია, აღნიშნულის განხორციელებისას გაატარონ შესაბამისი უსაფრთხოების ზომები.
გარდა ამისა, ახალმა კანონმა ძირითადი პრინციპების დონეზე განსაზღვრა მონაცემთა დამუშავების „გამჭვირვალობის“ უზრუნველყოფის აუცილებლობა. აღნიშნულ პრინციპს მონაცემთა სუბიექტის უფლებების დაცვისთვის უდიდესი მნიშვნელობა აქვს, რამდენადაც, მისი მიხედვით, ფიზიკური პირისთვის ნათელი და გამჭვირვალე უნდა იყოს, რომ მუშავდება ან იგეგმება მისი მონაცემების დამუშავება. გამჭვირვალობის პრინციპი მოითხოვს, რომ მონაცემთა სუბიექტებისათვის ხელმისაწვდომი იყოს ინფორმაცია მათი პერსონალური მონაცემების დამუშავების შესახებ.
რაც შეეხებათ მონაცემთა დამმუშავებლებს, ახალი კანონით გათვალისწინებული სიახლეებიდან ერთ-ერთი მნიშვნელოვანია საჯარო და რიგ კერძო დაწესებულებებში პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულება.
ასევე აღსანიშნავია დამუშავებისთვის პასუხისმგებელი პირების მიერ მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელების და მონაცემთა მეტად დაფარვის პრიორიტეტის (ე.წ. Privacy by Design/Default) გათვალისწინების ვალდებულება, რაც პერსონალურ მონაცემთა დაცვის ქართული კანონმდებლობისთვის სიახლეს წარმოადგენს და ახალი ტექნოლოგიების უსწრაფესი ტემპით განვითარების პირობებში, ადამიანის უფლებების დარღვევის მომეტებული საფრთხეების წინსწრებით შეფასებას და მათ შემცირებას ისახავს მიზნად.
ახალმა კანონმა ასევე განსაზღვრა პერსონალურ მონაცემებთან დაკავშირებული ინციდენტის ცნება და დამუშავებისთვის პასუხისმგებელი/დამუშავებაზე უფლებამოსილი პირების შესაბამისი ვალდებულებები, რაც მონაცემთა უსაფრთხოების დარღვევის შემთხვევებში მოქალაქეების უფლებებისადმი მომდინარე რისკების პრევენციას შეუწყობს ხელს.
გარდა ამისა, კანონმა ახლებურად განმარტა მონაცემთა სუბიექტის თანხმობის ცნება, ფართოდ ჩამოაყალიბა „პირდაპირი მარკეტინგის“ განმარტება და შეცვალა პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების წესი, დაამკვიდრა და განმარტა ისეთი მნიშვნელოვანი ახალი ტერმინი, როგორიცაა „პროფაილინგი“.
ზემოაღნიშნული ცვლილებების გარდა, ახალი კანონი ბევრ სხვა მნიშვნელოვან სიახლეს მოიცავს.
- როგორ ფიქრობთ, არიან თუ არა მზად კომპანიები, საჯარო და კერძო დაწესებულებები ცვლილებებისთვის, რა სირთულეებს შესაძლოა წავაწყდეთ განსაკუთრებით პირველ ეტაპზე?
- როგორც აღინიშნა, ახალი კანონი პერსონალურ მონაცემთა დაცვის სტანდარტის დახვეწას და ამ თვალსაზრისით მოქალაქეთა უფლებების დაცვის ხარისხის მნიშვნელოვნად ამაღლებას ისახავს მიზნად. აღნიშნული კი თავისთავად გულისხმობს დამუშავებისთვის პასუხისმგებელი პირებისთვის გარკვეული ახალი ვალდებულებების დაწესებას.
საწყის ეტაპზე, კანონის ეფექტიანი იმპლემენტაციისთვის ერთ-ერთ მთავარ გამოწვევად, სიახლეების შესახებ მონაცემთა დამუშავების პროცესებში ჩართული შესაბამისი პასუხისმგებელი პირების ცნობიერების ამაღლების საჭიროება გვესახება. მაგალითების სახით შესაძლებელია დავასახელოთ პირდაპირი მარკეტინგის მიზნით მონაცემების დამუშავებასთან და პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული საკითხები.
იმისთვის, რომ ახალი კანონის მიზანი შესრულდეს, აუცილებელია, მონაცემთა დამუშავებაში მონაწილე სუბიექტებს, საჯარო თუ კერძო დაწესებულებებს, სათანადოდ ესმოდეთ კანონით დაწესებული სიახლეების არსი და ჰქონდეთ სრული წარმოდგენა, თუ რაში მდგომარეობს ის კონკრეტული ვალდებულებები, რომელთა შესრულებასაც მათგან კანონი მოითხოვს.
სწორედ ამიტომ, ახალი კანონის მიღებიდან მის ძალაში შესვლამდე არსებული რვათვიანი გარდამავალი პერიოდის განმავლობაში, პერსონალურ მონაცემთა დაცვის სამსახური აქტიურ რეჟიმში ახორციელებდა დაინტერესებული საზოგადოებისთვის კანონით გათვალისწინებული სიახლეების შესახებ ინფორმაციის მიწოდებას. აღნიშნული მიზნით, სამსახურმა სხვადასხვა საჯარო თუ კერძო დაწესებულებასთან, დაინტერესებულ პირებთან არაერთი შეხვედრა გამართა, სისტემატურად ტარდებოდა სხვადასხვა ფორმატის საჯარო ლექციები და ტრენინგები, რომელთა ფარგლებშიც, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლები დამსწრე პირებს უშუალოდ განუმარტავდნენ ახალი კანონით დაწესებულ ვალდებულებებს. გარდა ამისა, სამსახური, კანონით გათვალისწინებულ სიახლეებთან დაკავშირებით, უწყვეტ რეჟიმში გასცემს წერილობით და სატელეფონო კონსულტაციებს.
ასევე, პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შეიქმნა და გასაჯაროვდა არაერთი სახელმძღვანელო რეკომენდაცია და ვიდეო ლექცია, რომელიც მონაცემთა დამუშავებისთვის პასუხისმგებელ პირებს მნიშვნელოვნად გაუმარტივებს კანონით გათვალისწინებული ცნებების სათანადოდ აღქმას და ხელს შეუწყობს კანონის დანაწესის სწორ ინტერპრეტაციას.
მნიშვნელოვანია აღინიშნოს პერსონალურ მონაცემთა დაცვის სამსახურის მიერ განხორციელებული ზემოაღნიშნული აქტივობების მიმართ საზოგადოების მაღალი ინტერესი და მონაცემთა დამმუშავებლების აქტიური ჩართულობა. აღნიშნული გვაძლევს იმის ვარაუდის საფუძველს, რომ დამუშავებისთვის პასუხისმგებელმა არაერთმა ორგანიზაციამ დაიწყო ახალი კანონით გათვალისწინებულ რეგულაციებთან თავსებადობის უზრუნველსაყოფად მნიშვნელოვანი ღონისძიებების გატარება. თუმცა, ცხადია, ამ მიმართულებით მუშაობა კვლავ უნდა გაგრძელდეს, რათა საჯარო თუ კერძო სექტორი სრულად და რაც შეიძლება დროულად მოერგოს ახალი კანონით დაწესებულ მაღალ სტანდარტს.
- დეტალურად განვიხილოთ რამდენიმე მნიშვნელოვანი სიახლე. კანონის თანახმად, მონაცემთა დამუშავების ზეგავლენის შეფასების ვალდებულება ჩნდება. რას გულისხმობს აღნიშნული ცვლილება?
- ახალი კანონის მიხედვით, თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.
ისეთ შემთხვევებში, როდესაც ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად. ასევე, საჭიროების შემთხვევაში, იგი უფლებამოსილია კონსულტაციის მიზნით მომართოს პერსონალურ მონაცემთა დაცვის სამსახურს. იმ შემთხვევაში, თუ გამოვლინდება, რომ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.
- სიახლეა პერსონალურ მონაცემთა დაცვის სამსახურისთვის მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ ინციდენტის შეტყობინების ვალდებულების შემოღებაც - რატომ გაჩნდა ამ ცვლილების განხორციელების აუცილებლობა და კონკრეტულად, რას ითვალისწინებს ის?
- ახალი კანონის თანახმად, ინციდენტი არის მონაცემთა უსაფრთხოების დარღვევა, რომელმაც პერსონალური მონაცემების უკანონო დამუშავება შეიძლება გამოიწვიოს.
ინციდენტის შედეგად მოქალაქეთა უფლებების მიმართ მნიშვნელოვანი ზიანის დადგომის გარკვეული ალბათობის არსებობის შემთხვევაში, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, ამის შესახებ შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა. კანონი და შესაბამისი კანონქვემდებარე აქტი ამომწურავად განსაზღვრავს იმ ინფორმაციის ჩამონათვალს, რომელსაც სამსახურისთვის წარმოდგენილი ასეთი შეტყობინება უნდა მოიცავდეს.
ინციდენტის შეტყობინების მექანიზმი უზრუნველყოფს, რომ პერსონალურ მონაცემთა დაცვის სამსახური თავიდანვე ფლობდეს ინფორმაციას პერსონალური მონაცემების უსაფრთხოების დარღვევის ისეთი შემთხვევების შესახებ, რომლებმაც შესაძლოა მოქალაქეთა უფლებების მიმართ მნიშვნელოვანი უარყოფითი გავლენა იქონიონ. ამავდროულად, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ცნობების ვალდებულება ერთგვარად უბიძგებს მონაცემთა დამმუშავებლებს, დროულად მიიღონ ეფექტიანი ზომები ინციდენტის შედეგად მოსალოდნელი ზიანის შესამცირებლად.
ისეთ შემთხვევებში, როდესაც ინციდენტის შედეგად მონაცემთა სუბიექტების უფლებებისადმი მნიშვნელოვანი ზიანის დადგომის მაღალი ალბათობა იკვეთება, ახალი კანონი დამუშავებისთვის პასუხისმგებელ პირებს ავალდებულებს, გარკვეული ინფორმაცია უშუალოდ მონაცემთა სუბიექტებსაც მიაწოდონ.
- ერთ-ერთი მნიშვნელოვანი სიახლე, რომელსაც კანონი ითვალისწინებს და რომელიც დღეიდან არა, თუმცა 1-ელი ივნისიდან შედის ძალაში, პერსონალურ მონაცემთა დაცვის ოფიცერია. საინტერესოა, რა ვალდებულებები ექნებათ ოფიცრებს ?
- ახალი კანონის თანახმად, ოფიცრის დანიშვნის ან განსაზღვრის ვალდებულება ეკისრება ყველა საჯარო დაწესებულებას, სადაზღვევო ორგანიზაციას, კომერციულ ბანკს, მიკროსაფინანსო ორგანიზაციას, საკრედიტო ბიუროს, ელექტრონული კომუნიკაციის კომპანიას, ავიაკომპანიას, აეროპორტს და სამედიცინო დაწესებულებას. ამასთან, აღნიშნული ჩამონათვალი არ არის ამომწურავი და კანონის თანახმად, მსგავსი ვალდებულება ასევე აქვთ დამუშავებისთვის პასუხისმგებელ და დამუშავებაზე უფლებამოსილ იმ პირებს, რომლებიც ამუშავებენ დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს ახორციელებენ.
კანონის თანახმად, პერსონალურ მონაცემთა დაცვის ოფიცრის ვალდებულებაა ისეთი მნიშვნელოვანი ფუნქციების განხორციელება, როგორებიცაა:
მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, დაწესებულების და მისი თანამშრომლების ინფორმირება, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევა;
მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობა, აგრეთვე, დაწესებულების მიერ საქართველოს კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგი;
მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზი და შესაბამისი რეკომენდაციების გაცემა;
პერსონალურ მონაცემთა დაცვის სამსახურისგან კონსულტაციების მიღება, დაწესებულების წარმომადგენლობა სამსახურთან ურთიერთობაში;
მონაცემთა სუბიექტის მიმართვის შემთხვევაში, მისთვის მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ ინფორმაციის მიწოდება;
დაწესებულებისმიერ მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულება.
პერსონალურ მონაცემთა დაცვის ოფიცრის ინსტიტუტის შემოღება მნიშვნელოვნად შეუწყობს ხელს მონაცემთა დამუშავების პროცესების კანონთან შესაბამისობას როგორც კერძო, ისე საჯარო დაწესებულებებში.
- საინტერესოა და ხშირად ჩნდება ეს კითხვა, საჭიროა თუ არა ოფიცრებმა გაიარონ თქვენს უწყებაში სერტიფიცირება?
- ახალი კანონის თანახმად, პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში. ამდენად, კანონმა გარკვეული თავისუფლება მიანიჭა დამუშავებისთვის პასუხისმგებელ/დამუშავებაზე უფლებამოსილ პირებს, თავად განსაზღვრონ, რა კრიტერიუმით შეაფასებენ ოფიცრის ცოდნას. კანონი პერსონალურ მონაცემთა დაცვის ოფიცრის კვალიფიკაციის დასადასტურებლად მათი სერტიფიცირების სავალდებულოობას არ ითვალისწინებს.
შესაბამისად, პერსონალურ მონაცემთა დაცვის სამსახური პერსონალურ მონაცემთა დაცვის ოფიცრების სავალდებულო გადამზადებას და მათ სერტიფიცირებას არ ახორციელებს.
- როგორც აღნიშნეთ, პერსონალურ მონაცემთა დაცვის სამსახური, კანონის იმპლემენტაციის პროცესში კონსულტაციებისა და ტრენინგების რამდენიმე ფორმატს სთავაზობდა დაინტერესებულ პირებს, შენარჩუნდება თუ არა ეს რეჟიმი?
- პერსონალურ მონაცემთა დაცვის საკითხებთან დაკავშირებით საზოგადოების ცნობიერების ამაღლება და შესაბამისი სამართლებრივი კონსულტაციის გაწევა პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ერთ-ერთი ძირითადი მიმართულებაა.
როგორც აღინიშნა, ახალი კანონით დასახული მიზნების მისაღწევად აუცილებელია, გაგრძელდეს მისი ეფექტიანი იმპლემენტაცია. ამისთვის კი მნიშვნელოვანია, კანონით გათვალისწინებული რეგულაციების შესახებ ამომწურავი ინფორმაცია რაც შეიძლება მეტმა სუბიექტმა მიიღოს.
აღნიშნულის ხელშესაწყობად, პერსონალურ მონაცემთა დაცვის სამსახური დაინტერესებულ პირებთან კომუნიკაციას აქტიურად გააგრძელებს სხვადასხვა ფორმატის მეშვეობით, მათ შორის, ტრენინგების/საინფორმაციო ხასიათის შეხვედრების, წერილობითი თუ ზეპირი კონსულტაციების გზით.