„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალი კანონი

პერსონალურ მონაცემთა დაცვა მუდმივი გამოწვევის წინაშე დგას. ეს გამოწვევა, ძირითადად, ტექნოლოგიური პროგრესის უკომპრომისო განვითარებასა და დახვეწას უკავშირდება. ყოველთვის, როდესაც ადამიანის ფუნდამენტური უფლების დაცვა არის საჭირო, აუცილებელია შესაბამისი საკანონმდებლო გარანტიების შექმნაც. ასეა პერსონალურ მონაცემთა დაცვის უფლებასთან მიმართებითაც.

საქართველოში, პერსონალურ მონაცემთა დაცვის შესახებ პირველი კანონი მიღებული იყო 2011 წლის მიწურულს და იმოქმედა 2024 წლის პირველ მარტამდე. ეს პერიოდი, შეიძლება შეფასდეს, როგორც ამ სფეროში პირველი ნაბიჯების გადადგმად სახელმწიფოსა და საზოგადოების მხრიდან, რამაც, ასევე, განაპირობა საქართველოში პერსონალურ მონაცემთა დაცვის კულტურის საწყისების ჩამოყალიბება ფართო გაგებით.

თუმცა, 21-ე საუკუნეში, ერთ დეკადაზე ოდნავ მეტი პერსონალურ მონაცემთა დაცვის სფეროს განვითარების მხრივ, საკმარისზე მეტი აღმოჩნდა. ტექნოლოგიების, მათ შორის, ხელოვნური ინტელექტის განვითარებამ, პერსონალურ მონაცემთა დამუშავების ახალი ჰორიზონტები გააჩინა. მიუხედავად ტექნოლოგიების არაერთი დადებითი თვისებისა, მისმა განვითარებამ დამატებითი გამოწვევები და რისკები გააჩინა მონაცემთა დაცვის კუთხით.

ამ გამოწვევებზე საპასუხოდ, მაგალითად, ევროკავშირმა 2018 წელს აამოქმედა სრულებით ახალი და საკმაოდ ეფექტიანი დოკუმენტი - მონაცემთა დაცვის საერთო რეგულაცია (GDPR), რომლის შესახებაც მოთხრობილია ჩვენს ბლოგში (https://www.dpt.ge/blog/gdpr-key-points).  საქართველოში კი, მონაცემთა დაცვის მარეგულირებელი ძირითადი საკანონმდებლო მოთხოვნები 2023 წელს განახლდა, როდესაც მიღებულ იქნა პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს რიგით მეორე კანონი. ის ამოქმედდა 2024 წლის პირველ მარტს, რითაც დასრულდა 2011 წელს მიღებული კანონის მოქმედება. ამ ბლოგში მოგითხრობთ ამ კანონზე, რომელიც მიღებული იყო საქართველოში პერსონალურ მონაცემთა დაცვის უფლების ეფექტიანი დაცვისა და ევროკავშირთან ნაკისრი ვალდებულების შესრულების მიზნით.

რა ძირითადი სიახლეები შემოგვთავაზა კანონმა? - ამ კითხვას შეგვიძლია სამი მიმართულებით ვუპასუხოთ:

1. გამჭვირვალობის ხარისხის ზრდა მონაცემთა სუბიექტებისთვის;

2. დეტალიზებული და ეფექტიანი ვალდებულებების დადგენა ორგანიზაციებისთვის; და

3. სანქცირების გაუმჯობესებული მოდელი, მათ შორის, ჯარიმის, როგორც პრევენციული ღონისძიების, ზრდის მხრივ.

დავიწყოთ მათი ანალიზი:

1. გამჭვირვალობის ხარისხის ზრდა მონაცემთა სუბიექტებისთვის.

გამჭვირვალობა კანონის ერთ-ერთი ძირითადი პრინციპია. ის გულისხმობს, რომ მონაცემთა სუბიექტს პროაქტიულად უნდა მიეწოდოს მკაფიო, ზუსტი და ადვილად გასაგები ინფორმაცია იმის შესახებ, თუ ვინ, რატომ და როგორ ამუშავებს მის მონაცემებს. თუმცა მხოლოდ ინფორმაციის მოწოდება არ არის საკმარისი — ინფორმაცია უნდა იყოს მარტივად მისაწვდომი, გასაგები და შინაარსობრივად ამომწურავი, რათა ადამიანმა შეძლოს ინფორმირებული გადაწყვეტილების მიღება. მაგალითად, კანონი დამუშავებისთვის პასუხისმგებელ პირებს ავალდებულებს, რომ მონაცემთა სუბიექტებს მიაწოდონ გასაგები და სრულყოფილი ინფორმაცია. ასეთი შეტყობინება უნდა შეიცავდეს:

• დამუშავებისთვის პასუხისმგებელი პირისა და პერსონალურ მონაცემთა დაცვის ოფიცრის (DPO) სახელწოდებას/ვინაობას და საკონტაქტო მონაცემებს;

• დამუშავების მიზანსა და სამართლებრივ საფუძველს;

• მონაცემთა კატეგორიებს, რომლებსაც ამუშავებენ;

• მიმღებებსა და მესამე პირებს, ვისთანაც მონაცემები გადაიცემა, მათ შორის, მათი საერთაშორისო გადაცემის შემთხვევაშიც;

• შენახვის ვადებს;

• მონაცემთა სუბიექტის უფლებებს (მათ შორის, წვდომის, გასწორების, წაშლისა და შეწინააღმდეგების უფლებას);

• მონაცემთა მოპოვების წყარო, თუ პირადად სუბიექტისგან არ არის მიღებული;

• ინფორმაცია ავტომატიზებული გადაწყვეტილებების მიღების შესახებ (პროფაილინგი).

ეს ინფორმაცია უნდა გადმოიცეს მარტივი ენით და ხელმისაწვდომ ფორმატში.

2. დეტალიზებული და ეფექტიანი ვალდებულებების დადგენა ორგანიზაციებისთვის.

კანონის თანახმად ორგანიზაციები ვალდებულები არიან, პრინციპების დაცვის პარალელურად, შეძლონ კანონთან თავსებადობის დემონსტრირება. ეს შეიძლება განხორციელდეს იმ დოკუმენტების შემუშავებით, რომელიც კანონის თანახმად სავალდებულოა, მაგალითად, ვიდეო და აუდიომონიტორინგის განხორციელებისას.

მნიშვნელოვანია, რომ კანონით დადგენილი წესების დანერგვის პარალელურად, ორგანიზაციამ უზრუნველყოს კონტროლის მექანიზმების ეფექტური დანერგვა, როგორც პროცესის დაწყებამდე, ისე მისი მიმდინარეობისას. მაგალითად, თუ დამუშავებისთვის პასუხისმგებელი პირი დამუშავების პროცესში რთავს დამუშავებაზე უფლებამოსილ პირს, უნდა შეირჩეს იმგვარი ორგანიზაცია, რომელიც უზრუნველყოფს კანონით დადგენილი სტანდარტების დაცვას, ასევე, აუცილებელია მათ შორის გაფორმდეს შეთანხმება მონაცემთა დამუშავების თაობაზე.

გარდა ამისა, დამუშავების ნებისმიერი პროცესი საჭიროებს მათ ახრიცხვას, სადაც ეს პროცესები უნდა იყოს ერთმანეთისგან გამიჯნული და დეტალიზებული. ამ დოკუმენტში თავს იყრის დამუშავების შესახებ ისეთი ინფორმაცია, როგორიცაა დამუშავების მიზანი, მონაცემთა სახეობები და კატეგორიები, მონაცემთა მიმღებები, შენახვის ვადები, ტექნიკური და ორგანიზაციული უსაფრთხოების ზომები, რომელიც გათვალისწინებულია დამუშავების მთელი პროცესისთვის.

3. სანქცირების გაუმჯობესებული მოდელი, მათ შორის, ჯარიმის, როგორც პრევენციული ღონისძიების, ზრდის ნაწილში.

კანონით სამართალდარღვევებისთვის დადგენილი ჯარიმები გაზრდილია. მაგალითად, თუ ადრე მოქმედი კანონით მინიმალური ჯარიმა იყო 100 ლარი, მოქმედმა კანონმა ეს ზღვარი ასწია 1,000 ლარამდე. თუმცა, ეს არ ნიშნავს, რომ ყველა სამართალდარღვევისთვის გათვალისწინებული ჯარიმების ოდენობები ათჯერ არის გაზრდილი.

ასევე, მრავალი სამართალდარღვევის არსებობისას, დაჯარიმების შემთხვევაში ნაცვლად ადრე არსებული შთანთქმის პრინციპისა, მოქმედმა კანონმა მათი შეკრებითობის პრინციპი განსაზღვრა. ეს ნიშნავს, რომ პერსონალურ მონაცემთა დაცვის სამსახურის მხრიდან შემოწმების ფარგლებში გამოვლენილი, სხვადასხვა, თვისობრივად განსხვავებული სამართალდარღვევისას დაკისრებული ჯარიმების ოდენობა შეიკრიბება და ჯამურად დაეკისრება სამართალდამრღვევს, რამაც კანონის პრევენციულ პოტენციალს მეტი პოტენციალი შესძინა.

ისიც უნდა ითქვას, რომ კანონმა სამართალდარღვევების ოდენობათა განსაზღვრისას, გარკვეული გამონაკლისების გათვალისწინებით, დიფერენცირებული მიდგომა დაადგინა. კერძოდ, ის თუ რა თანხით დაჯარიმდება ორგანიზაცია დამოკიდებულია მის წლიურ ბრუნვაზე. მაგალითად, თუ კომპანიის წლიური ბრუნვა არ აღემატება 500,000 ლარს და ის ცნობილ იქნა სამართალდამრღვევად პირდაპირი მარკეტინგის წესების დარღვევაში, მისთვის გათვალისწინებული ჯარიმის ოდენობა კანონით არის 2,000 ლარი, ხოლო წლიურად 500,000 ლარზე მეტი ბრუნვის მქონე კომპანიის შემთხვევაში - 3,000 ლარი.