ცვლილებები კანონში
2024 წლის 1-ლი მარტიდან „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონის ძირითადი დებულებები შედის ძალაშის. ცვლილებები შეეხება შემდეგ საკითხებს:
ვიდეო/აუდიო მონიტორინგი
- ვიდეო/აუდიო მონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი (პირი, რომელიც უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას) ვალდებულია, კანონით დადგენილი პრინციპების შესაბამისად წერილობით განსაზღვროს ვიდეო/აუდიო მონიტორინგის მიზანი და მოცულობა, ვიდეო/აუდიო მონიტორინგის ხანგრძლივობა და ჩანაწერის შენახვის ვადა, ჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.
- ვიდეო/აუდიო მონიტორინგის სისტემა და ჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისგან. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს ჩანაწერებზე წვდომის თითოეული შემთხვევის აღრიცხვა, მათ შორის, წვდომის დროისა და მომხმარებლის სახელის აღრიცხვა, რომელიც წვდომის განმახორციელებელი პირის იდენტიფიცირების შესაძლებლობას იძლევა.
- დამატებითი მოთხოვნები დაწესდა გამაფრთხილებელ ნიშანზე დასატან ინფორმაციასთან დაკავშირებით. კერძოდ, ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას ვიდეო/აუდიო მონიტორინგის მიმდინარეობის თაობაზე, ასევე დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს. ამასთან, დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი (პირი, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით) თავისუფლდება ახალი კანონით გათვალისწინებული ვალდებულებისგან იმ გამაფრთხილებელ ნიშნებთან მიმართებით, რომლებიც მან 2024 წლის 1 მარტამდე განათავსა.
- დასაქმებული პირის სამუშაო პროცესის/სივრცის ვიდეო მონიტორინგი დასაშვებია მხოლოდ გამონაკლის შემთხვევაში, თუ ვიდეო მონიტორინგისთვის განსაზღვრული მიზნების მიღწევა სხვა საშუალებით შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან. აღნიშნულ შემთხვევაში, დასაქმებული პირი წერილობით უნდა იქნეს გაფრთხილებული ვიდეო მონიტორინგის განხორციელების კონკრეტული მიზნის (მიზნების) შესახებ;
- აუდიო მონიტორინგის განხორციელება დასაშვებია: მონაცემთა სუბიექტის თანხმობით, საოქმო ჩანაწერის საწარმოებლად, დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად, ასევე საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში. ამასთან, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ ან აუდიო მონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი აუდიო მონიტორინგის განხორციელების შესახებ და განუმარტოს უარის თქმის თაობაზე მისი უფლება (ასეთის არსებობის შემთხვევაში).
- კანონი კრძალავს ვიდეო მონიტორინგის განხორციელებას გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და ვიდეო მონიტორინგის განხორციელება საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება.
მონაცემთა დამუშავება პირდაპირი მარკეტინგის მიზნით
- პირდაპირ მარკეტინგი განიმარტება, როგორც ტელეფონის, ფოსტის, ელექტრონული ფოსტის ან სხვა ელექტრონული საშუალებით მონაცემთა სუბიექტისთვის ინფორმაციის პირდაპირი და უშუალო მიწოდება ფიზიკური პირის ან/და იურიდიული პირის, საქონლის, იდეის, მომსახურების, სამუშაოს ან/და წამოწყების, აგრეთვე საიმიჯო და სოციალური თემატიკისადმი ინტერესის ფორმირების, შენარჩუნების, რეალიზაციის ან/და მხარდაჭერის მიზნით.
- მიუხედავად მონაცემთა შეგროვების/მოპოვების საფუძვლისა და მათი ხელმისაწვდომობისა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით. ამასთან, მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელია მონაცემთა სუბიექტის წერილობითი თანხმობა;
- მონაცემთა სუბიექტის თანხმობის მიღებამდე და პირდაპირი მარკეტინგის განხორციელებისას დამუშავებისთვის პასუხისმგებელმა პირმა/დამუშავებაზე უფლებამოსილმა პირმა მონაცემთა სუბიექტს ნათლად, მარტივ და მისთვის გასაგებ ენაზე უნდა განუმარტოს მის მიერ თანხმობის ნებისმიერ დროს გამოხმობის უფლება და ამ უფლების განხორციელების მექანიზმი/წესი. ამასთან, მონაცემთა დამუშავებაზე თანხმობის მიცემისა და თანხმობის გამოხმობის დრო და ფაქტი უნდა აღირიცხოს და შენახულ იქნას პირდაპირი მარკეტინგის განხორციელების ვადით და პირდაპირი მარკეტინგის განხორციელების შეწყვეტიდან 1 წლის განმავლობაში;
- პირდაპირი მარკეტინგის მიზნით მონაცემთა მონაცემთა დამუშავება უნდა შეწყდეს მონაცემთა სუბიექტის შესაბამისი მოთხოვნის მიღებიდან გონივრულ ვადაში, მაგრამ არაუგვიანეს 7 სამუშაო დღისა. ამასთან, მონაცემთა სუბიექტს შესაძლებლობა უნდა ჰქონდეს, მოითხოვოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტა იმავე ფორმით, რომლითაც პირდაპირი მარკეტინგი ხორციელდება, ან უნდა განისაზღვროს სხვა ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის;
- დაუშვებელია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის უფლების განსახორციელებლად რაიმე საფასურის ან სხვა შეზღუდვის დაწესება.
მონაცემთა უსაფრთხოება და ინფორმაციის აღრიცხვა
- დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები მონაცემთა კანონის შესაბამისად დამუშავების უზრუნველსაყოფად და შეძლოს მონაცემთა დამუშავების კანონთან შესაბამისობის დადასტურება; ამასთან, პერიოდულად უნდა შეფასდეს მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ტექნიკური და ორგანიზაციული ზომების ეფექტიანობა და, საჭიროების შემთხვევაში, უზრუნველყოფილი უნდა იქნეს მონაცემთა უსაფრთხოების დასაცავად ადეკვატური ზომების მიღება ან/და არსებულის განახლება;
- დამუშავებისთვის პასუხისმგებელი პირსა და დამუშავებაზე უფლებამოსილ პირს ეკისრებათ ვალდებულება, განახორციელონ მონაცემთა ფსევდონიმიზაცია, მონაცემებზე წვდომის აღრიცხვა, ინფორმაციული უსაფრთხოების მექანიზმები (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა) და სხვა, რომლებიც უზრუნველყოფს მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის, განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან. აღნიშნული ვალდებულებების შესრულებისას კი გათვალისწინებული უნდა იქნეს მონაცემთა კატეგორიები, მოცულობა, მონაცემთა დამუშავების მიზანი, ფორმა, საშუალებები და მონაცემთა სუბიექტის უფლებების დარღვევის შესაძლო საფრთხეები.
- უნდა განისაზღვროს დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ნებისმიერი თანამშრომლის მონაცემებზე წვდომის ფარგლები, ასევე ადეკვატური ღონისძიებები თანამშრომელთა მიერ მონაცემთა უკანონო დამუშავების ფაქტების თავიდან ასაცილებლად, გამოსავლენად და აღსაკვეთად, მათ შორის, მნიშვნელოვანია თანამშრომელთა ინფორმირება მონაცემთა უსაფრთხოების დაცვის საკითხების შესახებ, რათა თანამშრომელი არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს, დაიცვას მონაცემთა საიდუმლოება და კონფიდენციალურობა, მათ შორის, სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.
- დამუშავებისთვის პასუხისმგებელი პირსა და დამუშავებაზე უფლებამოსილი პირს ეკისრებათ ვალდებულება, უზრუნველყონ ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების (მათ შორის, ინციდენტების (მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას), შესახებ, მონაცემთა შეგროვების, შეცვლის, მათზე წვდომის, მათი გამჟღავნების (გადაცემის), დაკავშირებისა და წაშლის თაობაზე ინფორმაციის) აღრიცხვა. ხოლო არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას ვალდებული არიან, უზრუნველყონ მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ ინფორმაციის) აღრიცხვა.
- დამუშავებისთვის პასუხისმგებელი პირს ეკისრება ვალდებულება, აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, ხოლო კანონით გათვალისწინებულ შემთხვევებში მონაცემთა სუბიექტსაც.
- დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, წერილობით ან ელექტრონულად აღრიცხოს, და შესაბამისი მოთხოვნისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, მიაწოდოს პერსონალურ მონაცემთა დაცვის სამსახურს მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაცია:
- დამუშავებისთვის პასუხისმგებელი პირის, სპეციალური წარმომადგენლის, პერსონალურ მონაცემთა დაცვის ოფიცრის, დამუშავებაზე უფლებამოსილი პირის ვინაობის/სახელწოდება და საკონტაქტო ინფორმაციის შესახებ;
- მონაცემთა დამუშავების მიზნების შესახებ;
- მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიების შესახებ;
- მონაცემთა მიმღების (მათ შორის, სხვა სახელმწიფოში არსებული მონაცემთა მიმღების ან საერთაშორისო ორგანიზაციის) კატეგორიების შესახებ;
- სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების თაობაზე, მათ შორის, პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის შესახებ (ასეთის არსებობის შემთხვევაში);
- მონაცემთა შენახვის ვადების შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმების თაობაზე;
- მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერის შესახებ;
- ინციდენტების შესახებ (ასეთის არსებობის შემთხვევაში).
კანონის სრულად გაცნობა შესაძლებელია შემდეგ ბმულზე: https://shorturl.at/fhsz7