Sunday, October 20, 2019

პერსონალური მონაცემების დაცვის კანონი და ევროკავშირის GDPR


სახელმწიფო ინსპექტორის სამსახური (ყოფილი პერსონალურ მონაცემთა დაცვის ინსპექტორი) ავტორობით პარლამენტში წარდგენილია ახალი კანონის პროექტი, რომელიც მოქმედ პერსონალური მონაცემების შესახებ კანონს აუქმებს. ახალი კანონი მოქმედ კანონზე 2-ჯერ მეტად გაზრდილია და ახალ მკაცრ მოთხოვნებს აწესებს.


განმარტებითი ბარათის მიხედვით კანონისპროექტი შესაბამისობაშია ევროკავშირის სფეროში მოქმედ რეკომენდაციებთან და ყველაზე უმთავრესი - 2016 წლის 27 აპრილის მონაცემთა დაცვის შესახებ ევროკავშირის 2016/676 რეგულაციასთან (GDPR).

21-ე საუკუნეში ტექნოლოგიური პროგრესის გამო პერსონალური მონაცემები ერთ-ერთ ყველაზე ღირებულ პროდუქტად აღიქმება. განსაკუთრებით ევროკავშირის წევრ ქვეყნებში პერსონალურ მონაცემების დაცვა ერთ-ერთ მნიშვნელოვანი ფაქტორია საზოგადოებაში და მისი დარღვევებზე პერიოდულად სახელმწიფო პერსონალური მონაცემების დაცვის ინსპექტორების სანქციის სახით რეაგირება სხვადასხვა ბიზნეს კომპანიებს ათეულ და ასეულ მილიონობით ჯარიმა უჯდება. ანალოგიურად საქართველოს ახალი კანონი პერსონალურ მონაცემთა დაცვის შესახებ მკვეთრად ამკაცრებს სანქციებს.   


ძირითადი და საყურადღებო ცვლილებებია შემდეგში:

ვიდეოთვალთვალი
ü  გამაფრთხილებელ თვალსაჩინო ნიშანზე ასევე ასახული უნდა იყოს მონაცემთა დამმუშავებლის ვინაობა და საკონტაქტო მონაცემები.
ü  სავალდებულოა დასაქმებული პირების წერილობითი (ელექტრონული ფორმაც შეიძლება იყოს) ინფორმირება ვიდეოთვალთვალის კონკრეტული მიზნ(ებ)ის შესახებ.
ü  სავალდებულოა დამატებით წერილობით განისაზღვროს ვიდეოთვალთვალის მიზანი და მოცულობა, ვიდეოთვალთვალის ხანგრძლივობა და ჩანაწერის შენახვის ვადა, ვიდეოჩანაწერებზე წდომის, მათი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.
აუდიომონიტორინგი მისტიურ კვლევებთან დაკავშირებითაც აქტუალური იქნება თუ კომპანია ახორციელებს აუდიო ჩაწერას.
ü  ცალკე მუხლია აუდიომონიტორინგის განხორციელებასთან დაკავშირებით, რომელიც დასაშვებია:
ა) მონაცემთა სუბიექტის თანხმობით;
ბ) საოქმო ჩანაწერის წარმოების მიზნით;
გ) დისტანციური მომსახურების გაწევისას;
დ) მონაცემთა დამმუშავებლის აშკარად აღმატებული კანონიერი ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად;
ე) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.
ü  სავალდებულოა დამატებით წერილობით განისაზღვროს აუდიომონიტორინგის ხანგრძლივობა, აუდიოჩანაწერებზე წდომის, მათი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.
მარკეტინგი
ü  მონაცემების დამუშავება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით.
ü  სახელის, გვარის, მისამართის, ტელეფონის ნომრის და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელია მონაცემთა სუბიექტის წერილობითი თანხმობა.
ü  მოთხოვნის შემთხვევაში შეწყვეტა უნდა მოხდეს არაუგვიანეს 3 სამუშაო დღისა.
ü  შეწყვეტის მოთხოვნისთვის გათვალისწინებული საშუალება უნდა იყოს მარტივი. ამასთან, მონაცემთა სუბიექტს უნდა მიეცეს  მკაფიო და მარტივად აღსაქმელი მითითება ამ საშუალების გამოყენების შესახებ.
ü  თანხმობის შენახვა უნდა მოხდეს მარკეტინგის განხორციელების შეწყვეტიდან 1 წლის განმავლობაში.
თანხმობების ფორმატი
ü  თუ მონაცემთა სუბიექტი გამოხატავს თანხმობას წერილობითი დოკუმენტის ფარგლებშირომელიც სხვა საკითხებსაც არეგულირებსთხოვნა თანხმობის გამოხატვაზე იმგვარი ფორმით უნდა იყოს წარმოდგენილირომ აშკარად იმიჯნებოდეს სხვა საკითხებისაგანიყოს გასაგები და ადვილად აღქმადიდაწერილი ნათელი და მარტივი ენით.
ü  წერილობითი დოკუმენტის ნებისმიერ იმ ნაწილსრომელიც არღვევს ამ წესსარ ქვს სავალდებულო ძალა.

ზეგავლენის დოკუმენტი
ü  გარკვეულწილად კანონისპროექტით კომპანიებს ევალებათ მონაცემთა დამუშავების ზეგავლენის შეფასების მექანიზმი.
ü  რას შეიცავს ზეგავლენის დოკუმენტი:
ა) მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;
ბ) ადამიანის ძირითადი უფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.
ü  ცვლილების შემთხევაში, კომპანია (იგივე „დამმუშავებელი“) ვალდებულია, განაახლოს მონაცემთა დამუშავების ზეგავლენის შეფასების დოკუმენტი.
ü  ზეგავლენის შეფასების დოკუმენტი შენახული უნდა იყოს მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში - არანაკლებ 1 წლის ვადით.

ინფორმაციის მიღების უფლება და პროფილირება
ü    სუბიექტს უფლება აქვს, მონაცემთა დამმუშავებლისაგან უსასყიდლოდ მოითხოვოს დადასტურება, მუშავდება თუ არა მის შესახებ მონაცემები ან/და მოთხოვნის შესაბამისად უსასყიდლოდ მიიღოს შემდეგი ინფორმაცია:
მაგალითად თუ მის მიმართ გადაწყვეტილება მიიღება პროფილირების საფუძველზე, პროფილირების კრიტერიუმებისა და მონაცემთა სუბიექტისთვის შესაძლო შედეგების შესახებ;
პროფილირება - მონაცემთა ავტომატური დამუშავების ფორმა, რომელიც გულისხმობს მონაცემების გამოყენებას ფიზიკურ პირთან დაკავშირებული ისეთი გარემოების წინასწარი განსაზღვრის, ანალიზის ან/და შეფასებისათვის, როგორიცაა მაგალითად, პირის შრომითი უნარი, ეკონომიკური მდგომარეობა, ჯანმრთელობა, ინტერესი, ქცევა, გადაადგილება.

არასრულწლოვანი პირი
ü  14 წლამდე ასაკის არასრულწლოვანის მონაცემების დამუშავება - მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის საფუძველზეა დასაშვები.

ინფორმირება
ü  მონაცემების უშუალოდ მონაცემთა სუბიექტისგან შეგროვებისას, მონაცემთა შეგროვებამდე ან შეგროვების დაწყებისთანავე მონაცემთა სუბიექტს უნდა მიეწოდოს მათ შორის ინფორმაცია:
- პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) საკონტაქტო ინფორმაცია;
მონაცემთა მიმღების ვინაობა ან მიმღებთა კატეგორიები (ასეთის არსებობის შემთხვევაში);
- თუ მონაცემთა დამმუშავებელი გეგმავს მონაცემთა გადაცემას სხვა სახელმწიფოში ან საერთაშორისო ორგანიზაციაში, ინფორმაცია დაგეგმილი გადაცემისა და მონაცემთა დაცვის სათანადო გარანტიების არსებობის შესახებ, მათ შორის სახელმწიფო ინსპექტორის ნებართვის შესახებ, ასეთის არსებობის შემთხვევაში;
- მონაცემთა შენახვის ვადა, ან თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმები;
მონაცემთა სუბიექტის ამ კანონის ამ თავით  გათვალისწინებული უფლებების შესახებ.

უფლებების შეზღუდვა
ü  მონაცემთა სუბიექტის უფლებების შეზღუდვა დასაშვებია სახელმწიფო, კომერციული, პროფესიული და კანონით გათვალისწინებული სხვა სახის საიდუმლოებების დაცვისას.
ü  მონაცემთა სუბიექტის მოთხოვნის არაგონივრული სიხშირით წარდგენის შემთხვევაში, მონაცემთა დამმუშავებელი უფლებამოსილია, უარი განაცხადოს მათ შესრულებაზე, რის შესახებაც ვალდებულია დაუყონებლივ წერილობით აცნობოს მონაცემთა სუბიექტს და განუმარტოს გასაჩივრების უფლების შესახებ.
მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა
ü  გარკვეული კომპანიების კატეგორია ვალდებულია, წერილობითი ან ელექტრონული ფორმით უზრუნველყოს მონაცემთა დამუშავებასთან დაკავშირებული მათ შორის შემდეგი ინფორმაციის აღრიცხვა:
- მონაცემთა მიმღების კატეგორიები (მათ შორის, სხვა სახელმწიფოში არსებული ან საერთაშორისო ორგანიზაციები);
- ინფორმაცია მონაცემთა სხვა სახელმწიფოს ან საერთაშორისო ორგანიზაციისთვის გადაცემის თაობაზე, ასევე მონაცემთა დაცვის სათანადო გარანტიების, მათ შორის, სახელმწიფო ინსპექტორის ნებართვის შესახებ, ასეთის არსებობის შემთხვევაში;
- მონაცემთა შენახვის ვადები ან მათი შენახვის ვადის განსაზღვრის კრიტერიუმები;
- მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური  ზომების ზოგადი აღწერა;
- ინციდენტების შესახებ ინფორმაცია, ასეთის არსებობის შემთხვევაში.
ინციდენტის სახელმწიფო ინსპექტორის სამსახურისათვის შეტყობინება
ü  მონაცემთა დამმუშავებელი/უფლებამოსილი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა, მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს სახელმწიფო ინსპექტორის სამსახურს სახელმწიფო ინსპექტორის მიერ განსაზღვრული წესით, გარდა იმ შემთხვევისა, როდესაც ნაკლებ სავარაუდოა, რომ ინციდენტმა გამოიწვიოს ფიზიკურ პირთა უფლებებისა და თავისუფლებების შელახვის რისკი.
(ინციდენტი - მონაცემთა უსაფრთხოების რეალური დარღვევა, რომელიც ხორციელდება ინფორმაციული ტექნოლოგიის გამოყენებით და იწვევს ან შეიძლება გამოიწვიოს მონაცემების უნებართვო გამჟღავნება, დაზიანება, განადგურება, დაკარგვა, შეცვლა, მათზე უნებართვო წვდომა, შეგროვება/მოპოვება და რომელიც ლახავს ან საფრთხეს უქმნის მონაცემთა სუბიექტის უფლებას ან/და ინტერესს).
 თანხმობის გამოხმობის უფლება
ü   მონაცემთა სუბიექტისგან თანხმობის მიღებამდე, მონაცემთა დამმუშავებელმა უნდა უზრუნველყოს თანხმობის გამოხმობის უფლების შესახებ მონაცემთა სუბიექტის ინფორმირება. 
ü  მონაცემთა დამმუშავებელი ვალდებულია, მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შემთხვევაში, მოთხოვნიდან არაუგვიანეს 10 (ათი) სამუშაო დღისა, შეწყვიტოს მონაცემთა დამუშავება და დამუშავებული მონაცემები წაშალოს ან გაანადგუროს, თუ არ არსებობს მონაცემთა დამუშავების სხვა საფუძველი.
პერსონალურ მონაცემთა დაცვის ოფიცერი და ინფორმაციის გამოქვეყნება
საჯარო დაწესებულება (გარდა რელიგიური და პოლიტიკური ორგანიზაციებისა), სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი და ის სამედიცინო დაწესებულება, რომელიც მომსახურებას უწევს წელიწადში არანაკლებ 10000 მონაცემთა სუბიექტს, ასევე, ის მონაცემთა დამმუშავებელი/უფლებამოსილი პირი, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს, ვალდებულნი არიან დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი.
ü  პერსონალურ მონაცემთა დაცვის ოფიცერი უზრუნველყოფს:
ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, მათ შორის, მარეგულირებელი სამართლებრივი ნორმების მიღების ან შეცვლის შესახებ, მონაცემთა დამმუშავებლის, უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას;
ბ) მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვის ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობას, ასევე მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ  კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგს;
გ) მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზსა და უფლებამოსილების ფარგლებში - მათზე რეაგირებას;
დ) სახელმწიფო ინსპექტორის სამსახურისგან კონსულტაციების მიღებას, მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის წარმომადგენლობას სახელმწიფო ინსპექტორის სამსახურთან ურთიერთობაში, მისი მოთხოვნით ინფორმაციისა და დოკუმენტების წარდგენის უზრუნველყოფასა და მისი დავალებებისა და რეკომენდაციების შესრულების კოორდინაციასა და მონიტორინგს;
ე) მონაცემთა სუბიექტის მიმართვის შემთხვევაში მისთვის ინფორმაციის მიწოდებას მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ.
ვ) მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ მონაცემთა დამუშავების სტანდარტების  ამაღლების მიზნით სხვა ფუნქციების შესრულებას.
ü  მონაცემთა დამმუშავებელმა და უფლებამოსილმა პირმა უნდა უზრუნველყოს პერსონალურ მონაცემთა დაცვის ოფიცრის სათანადო ჩართულობა მონაცემთა დამუშავებასთან დაკავშირებით მნიშვნელოვანი გადაწყვეტილების მიღების პროცესში და მისი დამოუკიდებლობა საქმიანობის განხორციელებისას.
ü  მონაცემთა დამმუშავებელი/უფლებამოსილი პირი ვალდებულია, პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნიდან ან განსაზღვრიდან 10 (ათი) სამუშაო დღის ვადაში აცნობოს მისი ვინაობა და საკონტაქტო ინფორმაცია სახელმწიფო ინსპექტორის სამსახურს და ასევე გამოაქვეყნოს პროაქტიულად.
კანონისპროექტი ასევე შეიცავს იმ მნიშვნელოვან დეტალებს, რომლის დაცვა და კანონშესაბამისობის უზრუნველყოფა კომპანიის მხრიდან აუცილებელი ფაქტორია.