2024-08-27

ევროკომისიის მე-2 ანგარიში ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ ამოქმედების შემდგომ მიღწეული შედეგებისა და გამოწვევების შესახებ

---

ანგარიშის მოკლე ანოტაცია

2024 წლის 25 ივლისს, ევროკომისიამ გამოაქვეყნა რიგით მეორე შემაჯამებელი ანგარიში ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ ამოქმედების შემდგომ მიღწეულ შედეგებისა და გამოწვევების შესახებ.[1]

ანგარიშში აღნიშნულია ის ძირითადი ტენდენციები და მიღწევები, რაც ევროკავშირის მასშტაბით „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოქმედების შედეგად,  საკანონმდებლო ჩარჩოს, პრაქტიკისა და თანამშრომლობის განვითარებაში იქნა გამოხატული.    

ანგარიშში წარმოდგენილია პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოების მიერ საანგარიშო პერიოდში მიღწეული შედეგები:

• საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოებმა საკუთარი ინიციატივით შეისწავლეს 20 000 საქმე;
• შესწავლილი საქმეებიდან 2 400 შემთხვევა განხილული იქნა საზედამხედველო ორგანოთა შორის საერთო თანამშრომლობის ფარგლებში;
• თითოეული წლის განმავლობაში საზედამხედველო ორგანოებმა მიიღეს დაახლოებით 100 000 განცხადება;
• საქმის განხილვის ვადები მერყეობდა ერთიდან 12 თვემდე ვადით. მხოლოდ დანიაში, ესპანეთში, ესტონეთში, საბერძნეთსა და ირლანდიაში საქმის განხილვის ვადა შეადგენდა  3 თვეს ან უფრო ნაკლებს;
• დავის ალტერნატიული გადაწყვეტის საშუალებით გადაწყდა მიღებული განაცხადების საერთო რაოდენობიდან 20 000 შემთხვევა. აღნიშნული მექანიზმი აქტიურად გამოიყენება ავსტრიაში, უნგრეთში, ლუქსემბურგსა და ირლანდიაში;
• საზედამხედველო ორგანოების მიერ დაკისრებული 6 680 ჯარიმის საერთო ფულადმა ოდენობამ შეადგინა 4.2 მილიარდი ევრო. საერთო ოდენობიდან, ყველაზე მეტი 2.8 მილიარდი ევრო იქნა დაკისრებული ირლანდიის საზედამხედველო ორგანოს მიერ, 746 მილიონი ევრო დამუშავებისთვის პასუხისმგებელ პირებს განესაზღვრათ ლუქსემბურგის, 197 მილიონი ევრო ― იტალიის, 131 მილიონი ევრო კი ― საფრანგეთის საზედამხედველო ორგანოების მიერ. შედარებით, ნაკლები ფულადი ოდენობა დაეკისრათ ლიხტენშტაინში 9 600 ევროს ოდენობით, ესტონეთში 201 000 ევროს ოდენობით და ლიეტუვაში 435 000 ევროს ოდენობით;
• ევროკავშირის წევრი ქვეყნების 25%-ში შეინიშნება პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა თანამშრომლების რაოდენობის, ხოლო 50%-ში საზედამხედველო ორგანოს ბიუჯეტური დაფინანსების ზრდა.
• ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მიმართ საზოგადოებრივი ცნობიერების დასადგენად ჩატარებული კვლევის შედეგი აჩვენებს, რომ ევროკავშირში მცხოვრებთა 72%-მა იცის, თუ რას აწესრიგებს ძირითადი რეგულაცია. საზოგადოებრივი ცნობიერების ყველაზე მაღალი მაჩვენებელი დაფიქსირდა შვედეთში, ნიდერლანდში, დანიასა და მალტაში.

ანგარიშში ხაზგასმულია, საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა მიერ დიდი ოდენობით ჯარიმების დაკისრების მზარდი მაჩვენებელი, შემდეგი მიმართულებით:

• მონაცემთა დამუშავების კანონიერების და უსაფრთხოების დარღვევა;
• განსაკუთრებული კატეგორიის მონაცემთა დამუშავების წესის დარღვევა;
• მონაცემთა სუბიექტების უფლებათა დარღვევები.

2. ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ აღსრულება და თანამშრომლობისა და თანამიმდევრულობის მექანიზმების ფუნქციონირება

მონაცემთა დაცვის ძირითადი რეგულაციის ერთიანი აღსრულების სისტემა მიზნად ისახავს მონაცემთა დაცვის საზედამხედველო ორგანოების მიერ გადაწყვეტილებათა ერთგვაროვანი ინტერპრეტაციის პრაქტიკის დანერგვას და გადაწყვეტილებების მიღების ერთგვაროვან ინტერპრეტაციაზე დაფუძნებას.

ერთიანი აღსრულების სისტემა მოითხოვს მონაცემთა დაცვის საზედამხედველო ორგანოებს შორის თანამშრომლობას. საზედამხედველო ორგანოებმა უნდა ითანამშრომლონ მონაცემთა საერთაშორისო გადაცემისა და მონაცემთა დამუშავების შემთხვევებში, როდესაც მონაცემთა გადაცემა გავლენას ახდენს მონაცემთა სუბიექტებზე სხვადასხვა ქვეყნის მასშტაბით.

მონაცემთა დაცვის საზედამხედველო ორგანოებს შორის წარმოშობილ დავებს განიხილავს მონაცემთა დაცვის საბჭო.

2.1. ტრანსსასაზღვრო საქმეების ეფექტიანი განხილვა: ინიცირებული პროცედურული წესები

2023 წლის ივლისში ევროკომისიამ შეიმუშავა წინადადება საპროცესო წესების რეგულირების შესახებ. [2] წინადადება შეიცავს დეტალურ წესებს ტრანსსასაზღვრო საჩივრების განხილვისას, მოსარჩელის ჩართულობის, მხარეების უფლებებს, მათ შორის, თანასწორი საპროცესო გარჩევის უფლებებისა და მონაცემთა დაცვის საზედამხედველო ორგანოებს შორის თანამშრომლობის შესახებ.

2021 წელს მონაცემთა დაცვის საბჭომ შეიმუშავა გზამკვლევი დოკუმენტი[3] თანამშრომლობის მექანიზმის შესახებ, თუმცა, მონაცემთა დაცვის საზედამხედველო ორგანოები ხშირად არ იყენებენ ამ რესურსს, ვინაიდან, ქვეყნის შიგნით არსებული საკანონმდებლო ჩარჩო და წესები განსხვავებულ მიდგომებს მოითხოვს. წინამდებარე განსხვავებებიდან გამომდინარე საზედამხედველო ორგანოები ნაკლებად იყენებენ ამ გზამკვლევს.

მონაცემთა დაცვის ძირითადი რეგულაცია მონაცემთა დაცვის საზედამხედველო ორგანოებს აძლევს შესაძლებლობას გარკვეულ საკითხებზე დასაბუთებული წინააღმდეგობა გამოთქვან ტრანსსასაზღვრო დავებთან მიმართებით და არ დაეთანხმონ მთავარი (გადაწყვეტილების მიმღები) მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებას.

როდესაც მონაცემთა დაცვის საზედამხედველო ორგანოები ვერ აღწევენ შეთანხმებას ტრანსსასაზღვრო საკითხებზე, დავის გადაწყვეტაში ერთვება მონაცემთა დაცვის საბჭო. მონაცემთა დაცვის საზედამხედველო ორგანოებს შორის სადავო საკითხებია: მონაცემთა დამუშავების კანონიერი საფუძვლები, გამჭვირვალობა, მონაცემთა სუბიექტების ინფორმირება, მონაცემთა სუბიექტების უფლებები, მონაცემთა გადაცემის შესახებ გამონაკლისი შემთხვევები, მაკორექტირებელი ზომები და ადმინისტრაციული ჯარიმის რაოდენობა.

მონაცემთა დაცვის საზედამხედველო ორგანოები უფრო და უფრო ხშირად იყენებენ მონაცემთა დაცვის ძირითადი რეგულაციის მიერ შემოთავაზებულ თანამიმდევრულობის მექანიზმს, რომელიც აერთიანებს სამ ეტაპს: საბჭოს მიერ მოსაზრებების მომზადებას, დავის გადაწყვეტის პროცედურას და გადაუდებელ პროცედურას, რაც განხილვის დაჩქარებულ რეჟიმს გულისხმობს.[4]  საბჭოს მიერ მიღებული გადაწყვეტილება შესაძლოა გასაჩივრდეს სასამართლოში.

2.2. პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა შორის თანამშრომლობის გაძლიერება და თანმიმდევრულობის მექანიზმის გამოყენება

ანგარიშში აღნიშნულია, რომ ტრანსსასაზღვრო საქმეების რაოდენობა მნიშვნელოვნად გაიზარდა. მონაცემთა დაცვის საზედამხედველო ორგანოებმა გამოავლინეს თანამშრომლობის მზარდი სურვილი. ისინი მიმართავენ მონაცემთა დაცვის ძირითადი რეგულაციის მიერ შეთავაზებული თანამშრომლობის ოფიციალურ მექანიზმებს, ისევე როგორც, მოხალისეობრივ, ფორმალურ და არაფორმალურ ურთიერთდახმარების მეთოდებსაც.  მონაცემთა დაცვის საზედამხედველო ორგანოები უპირატესობას ანიჭებენ არაფორმალურ კომუნიკაციის მეთოდებს, რომლებიც არ მოითხოვენ  პასუხის გაცემის ვადის მკაცრად დაცვას.

2.3. გაძლიერებული აღსრულება

მნიშვნელოვნად გაზრდილია მონაცემთა დაცვის საზედამხედველო ორგანოების მიერ მიღებულ გადაწყვეტილებათა აღსრულება, მათ შორის, დიდი ზომის ტექნოლოგიური კომპანიების მისამართით დაკისრებული ჯარიმების კუთხითაც. გარდა ჯარიმებისა, საზედამხედველო ორგანოებმა მიმართეს ისეთ ზომებს როგორიცაა: გაფრთხილება და საპროცესო მოქმედებების მონაცემთა დაცვის ძირითად რეგულაციასთან შესაბამისობაში მოყვანის შესახებ ბრძანებების გაცემა.

2.4. საბჭო

საბჭო შედგება ევროკავშირის წევრი ქვეყნების მონაცემთა დაცვის საზედამხედველო ორგანოების ხელმძღვანელებისა და ევროპის მონაცემთა დაცვის ზედამხედველისაგან, ასევე, ევროკომისიისაგან, რომელიც ხმის მიცემის უფლების გარეშე ერთვება საბჭოს მიერ განხორციელებულ აქტივობებში. საბჭოს მიზანია უზრუნველყოს მონაცემთა დაცვის რეგულაციის თანმიმდევრული აღსრულება. 2024-2027 წლების სტრატეგიის თანახმად, საბჭოს მიზანია პრაქტიკული სახელმძღვანელოების შემუშავება შემდეგ აქტუალურ საკითხებზე: მონაცემთა ფსევდონიმიზაცია, მონაცემთა დეპერსონალიზაცია, კანონიერი ინტერესები და სამეცნიერო კვლევების საკითხები.

2.5. პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოები

2.5.1. დამოუკიდებლობა და რესურსები

მონაცემთა დაცვის ძირითადი რეგულაციის საფუძველზე, მონაცემთა დაცვის საზედამხედველო ორგანოები „სრულიად დამოუკიდებელი“ ორგანოების სტატუსით სარგებლობენ.

მონაცემთა დაცვის საზედამხედველო ორგანოებს სჭირდებათ ადამიანური, ტექნიკური და ფინანსური რესურსები, რათა ეფექტურად და დამოუკიდებლად გაართვან თავი მონაცემთა დაცვის ძირითადი რეგულაციის მიერ დაკისრებულ ვალდებულებებს. მონაცემთა დაცვის საზედამხედველო ორგანოები აღნიშნავენ პროგრესს საზედამხედველო ორგანოთა მიერ რესურსებზე წვდომის კუთხით, თუმცა პრობლემად ასახელებენ მონაცემთა დაცვის სფეროში შესაბამისი იურიდიული და ტექნიკური ცოდნის მქონე ადამიანური რესურსების მოზიდვას და შენარჩუნებას, ასევე, ფინანსური რესურსების ნაკლებობას საზედამხედველო ორგანოთა შიგნით ტექნიკური პროგრესის მისაღწევად.

2.5.2. დიდი რაოდენობის განცხადებების განხილვასთან დაკავშირებული სირთულეები

მონაცემთა დაცვის საზედამხედველო ორგანოები მიუთითებენ რესურსების დიდი ნაწილის გახარჯვაზე დაუსაბუთებელი საჩივრების განხილვის პროცესზე. მონაცემთა დაცვის ძირითადი რეგულაცია  ავალდებულებს მონაცემთა დაცვის საზედამხედველო ორგანოებს განიხილონ ყველა საჩივარი. მონაცემთა დაცვის ზოგიერთმა საზედამხედველო ორგანომ, აღნიშნული პრაქტიკის გამო, საჩივრების უფრო ეფექტურად და დროულად განხილვის მიზნით დაიწყო ისეთი მეთოდების შემუშავება როგორიცაა „ავტომატიზაცია“, დავების გადაწყვეტა მოლაპარაკების გზით, ერთგვარ საკითხებთან დაკავშირებული საჩივრების დაჯგუფება და სხვა.

2.5.3. ეროვნული პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოების მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ განმარტების საკითხი

ევროკომისია რეკომენდაციას უწევს სხვადასხვა ქვეყნის საზედამხედველო ორგანოს მიერ კანონმდებლობის ერთგვაროვან ინტერპრეტაციას, რათა თავიდან იქნას აცილებული წინააღმდეგობრივი გადაწყვეტილებები. ანგარიშში აღწერილია ისეთი შემთხვევები, როდესაც მონაცემთა საერთაშორისო გადაცემის გარშემო არსებული ან სხვა გარემოებებიდან გამომდინარე, მონაცემთა დაცვის სფეროში დარღვევების საკითხის განხილვაში ჩართულია არა ერთი, არამედ რამდენიმე საზედამხედველო ორგანო. ანგარიშში აღნიშნულია, რომ 2400 საერთაშორისო შემთხვევა დაფიქსირდა მონაცემთა დამუშავების დარღვევების თვალსაზრისით, რომლის განხილვაშიც რამდენიმე საზედამხედველო მონაწილეობდა.

2.5.4. მონაცემთა დამუშავებისთვის პასუხისმგებელ და დამუშავებაზე უფლებამოსილ პირებთან ჩართულობა

სხვადასხვა სფეროში პროექტების შემუშავებისას, მონაცემთა დაცვის საზედამხედველო ორგანოს ჩართულობა ორგანიზაციებისათვის საჭირო რეკომენდაციების გაცემის კუთხით მნიშვნელოვნად და დადებითად შეფასდა.

მონაცემთა დამუშავებაზე უფლებამოსილი პირები აღნიშნავენ, რომ ზოგიერთი მონაცემთა დაცვის საზედამხედველო ორგანო აქტიურად თანამშრომლობს მათთან, ზოგიერთ შემთხვევაში კი ფიქსირდება პრობლემები, მაგალითად, პასუხის მიღება მონაცემთა დაცვის საზედამხედველო ორგანოდან დიდ დროსთან არის დაკავშირებული, პასუხი ბუნდოვანია ან საზედამხედველო ორგანო არ სცემს პასუხს კონკრეტულ შეკითხვებზე.

3. წევრი სახელმწიფოების მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ იმპლემენტაციის საკითხი

3.1. ფრაგმენტაცია ეროვნულ დონეზე მოქმედებაში

ვინაიდან მონაცემთა დაცვის ძირითადი რეგულაცია, პირდაპირ აღსრულებადია, წევრ სახელმწიფოებს გარკვეულ სფეროებში უწევთ ადგილობრივ დონეზე განსხვავებულად დაარეგულირონ საკითხთა გარკვეული ნაწილი.

შემდეგი საკითხების შესახებ,  სხვადასხვა ქვეყნის შიგნით სხვადასხვა წესები ვრცელდება და მოქმედებს მონაცემთა დაცვის ძირითად რეგულაციასთან ერთად:

• ბავშვთა მიერ თანხმობის მიცემის მინიმალური ასაკის განსაზღვრა, ბავშვებისათვის მომსახურების მიღების თაობაზე;
• სახელმწიფოების მიერ დამატებითი წესების შემუშავება გენეტიკურ, ბიომეტრიულ და ჯანმრთელობასთან დაკავშირებულ მონაცემთა დაცვის საკითხებზე;
• მონაცემთა დამუშავება ნასამართლობის საკითხზე.

მონაცემთა დაცვის ძირითადი რეგულაცია ავალდებულებს წევრ სახელმწიფოებს, ახალი კანონმდებლობის შემუშავების პროცესში გაიარონ კონსულტაცია ქვეყნის შიგნით მონაცემთა დაცვის საზედამხედველო ორგანოსთან, თუ კანონი რომლის მიღებაც იგეგმება მოიცავს წესებს პერსონალური მონაცემების დამუშავების საკითხზე.

3.2. საბჭოს მიერ ზედამხედველობის განხორციელება

საბჭო ახდენს მონაცემთა დაცვის ძირითადი რეგულაციის აღსრულების მონიტორინგს, შესაბამისად, მის მიერ გამოვლენილი ისეთი დარღვევები, როგორიცაა მონაცემთა დაცვის საზედამხედველო ორგანოს დამოუკიდებლობის დარღვევა. საბჭო იყენებს მონაცემთა დაცვის ძირითადი რეგულაციის ექსპერტთა ჯგუფს ინფორმაციის გაცვლისა და გაზიარების მიზნებით.

4. მონაცემთა სუბიექტების უფლებები

ანგარიშის თანახმად, პერსონალურ მონაცემებზე ხელმისაწვდომობის უფლება მონაცემთა სუბიექტებისათვის ყველაზე აქტუალური და ხშირად მოთხოვნადია. კვლავ გამოწვევას წარმოადგენს ინფორმაციის ხელმისაწვდომობაზე მონაცემთა სუბიექტის მოთხოვნის ზღვარგადასულად მიჩნევის საკითხი.

ანგარიშის თანახმად, გაზრდილია მონაცემთა პორტირების უფლებით სარგებლობა, ასევე, საზედამხედველო ორგანოებისთვის მონაცემთა სუბიექტების მიმართვიანობა, რაც ცხადყოფს იმ ფაქტს, რომ ამაღლებულია მონაცემთა სუბიექტების ცნობიერება პერსონალურ მონაცემების დაცვის საკითხებზე. არასრულწლოვანთა უფლებების თაობაზე ანგარიშში აღნიშნულია, რომ ბავშვები სრულად არ ფლობენ  ინფორმაციას საკუთარი უფლებების შესახებ მონაცემთა დაცვის მიმართულებით.

4.1. მონაცემებზე წვდომის უფლება

მონაცემთა სუბიექტები ყველაზე ხშირად მიმართავენ ორგანიზაციებს პერსონალურ მონაცემებზე წვდომის უფლების საკითხებზე.

საბჭოს მიერ 2022 წელს წინამდებარე საკითხზე გამოქვეყნებული სახელმძღვანელო დოკუმენტის არსებობის მიუხედავად, მონაცემთა დამუშავებაზე უფლებამოსილი პირები კვლავ აწყდებიან პრობლემებს, მაგალითად:

• განმარტებისას, თუ რა ითვლება გადაჭარბებულად დიდ ინფორმაციაზე წვდომის მოთხოვნად;
•  როდესაც მოთხოვნა არ შეეხება პერსონალურ მონაცემებს, არამედ მოთხოვნა ინფორმაციის შეგროვების მიზანს უკავშირდება სასამართლო პროცესზე წარსადგენად;
• მიღებული ინფორმაციის წაკითხვად ფორმატთან დაკავშირებითაც;
• ინფორმაციის სისრულესთან და ინფორმაციის დაყოვნებით მიღებასთან დაკავშირებით.

 2024 წლის თებერვალში, მონაცემთა დაცვის საბჭომ შეიმუშავა კოორდინირებული აღსრულების ჩარჩო მონაცემებზე წვდომის უფლებასთან მიმართებაში.

4.2. პორტირების უფლება

2020 წლიდან  საბჭო აქტიურად მუშაობს პრაქტიკული საშუალებების დანერგვის კუთხით, რათა ხელი შეუწყოს პორტირების უფლების[5] აქტიურად გამოყენებას მონაცემთა სუბიექტების მიერ. საბჭოს მიზანია, რომ ადამიანებმა მიიღონ სარგებელი თავიანთი პერსონალური მონაცემების მეშვეობით.

საბჭოს საკანონმდებლო ინიციატივების საფუძველზე[6] მონაცემთა სუბიექტები ისარგებლებენ სხვადასხვა ფორმით პერსონალურ მონაცემებზე წვდომის უფლებით, მათ შორის, „პირდაპირ“ (live) რეჟიმში მიიღებენ ინფორმაციას სასურველი მეთოდით სხვადასხვა სფეროებთან მიმართებით, როგორიცაა, მაგალითად, ჯანდაცვის, შრომითი და ფინანსური სფეროები.

4.3. განცხადების პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოში წარდგენის უფლება

გაზრდილია მონაცემთა სუბიექტების მიერ პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოში წარდგენილი საჩივრები.

წევრი ქვეყნების ნაწილი მონაცემთა დაცვის საზედამხედველო ორგანოში დასაშვებად მიიჩნევს ინდივიდთა ჯგუფის მიერ კოლექტიურად საჩივრის წარდგენას ან არაკომერციული ორგანიზაციის მიერ მონაცემთა სუბიექტების სახელით განცხადების წარდგენის შესაძლებლობას.

 

4.4. არასრულწლოვანთა პერსონალური მონაცემების დაცვა

არასრულწლოვანთა მონაცემების დამუშავება განსაკუთრებულ სიფრთხილეს მოითხოვს. მონაცემთა დაცვის ძირითადი რეგულაცია იცავს ბავშვების კონფიდენციალურობის უფლებას როგორც ინტერნეტ სივრცეში, ასევე მის გარეთ.

ვინაიდან ბავშვები ინტერნეტის აქტიური მომხმარებლები არიან, ინტერნეტ სივრცეში მათი დაცვა პრიორიტეტულია, რის გამოც, მონაცემთა დაცვის საზედამხედველო ორგანოებმა დააჯარიმეს სოციალური მედიის სფეროში მოღვაწე კომპანიები, რომლებიც მონაცემთა დაცვის რეგულაციასთან შეუსაბამოდ ამუშავებდნენ ბავშვების პერსონალურ მონაცემებს.

გამოწვევად რჩება ბავშვებში ინფორმაციის ნაკლებობა მათი უფლებების შესახებ პერსონალური მონაცემების დამუშავების თაობაზე ინიციატივების ფარგლებში, როგორიცაა, უკეთესი ინტერნეტი ბავშვებისათვის “Better Internet for Kids”, მონაცემთა დაცვის სფეროში მათი უფლებების შესახებ კომისია ბავშვებს აწვდის ინფორმაციას, მონაცემთა დამუშავებაზე თანხმობის შესახებ, და ასაკობრივი გადამოწმების, “verification” სისტემების თაობაზე.

5. ორგანიზაციების, განსაკუთრებით კი მცირე და საშუალო საწარმოების შესაძლებლობები და გამოწვევები

მონაცემთა დაცვის ძირითადი რეგულაცია ინოვაციის წახალისებას ისახავს მიზნად და აძლევს საშუალებას ბიზნესს ისარგებლონ მომხმარებელთა ნდობის მაღალი ხარისხით. ბევრმა ბიზნესმა უკვე განავითარა  მონაცემთა დაცვის ორგანიზაციული კულტურა და არა ერთჯერადად, არამედ განგრძობითად ინტერესდება შესაბამისობის საკითხებით.

 

5.1. „ინსტრუმენტი“ ბიზნესისთვის

მონაცემთა დაცვის ძირითადი რეგულაცია მოიცავს „ინსტრუმენტებს“ ორგანიზაციებისათვის, მათი შესაბამისობის საჩვენებლად მონაცემთა დაცვის კანონმდებლობის და საუკეთესო პრაქტიკის კუთხით.

მაგალითად, არსებობს ხელშეკრულების სტანდარტული პირობები „Standard Contractual Clauses” მონაცემთა დამუშავებაზე უფლებამოსილ და მონაცემთა დამუშავებაზე პასუხისმგებელ პირთა შორის ურთიერთობის მოსაწესრიგებლად. ასევე, ორგანიზაციების დამხმარე ინსტრუმენტის მაგალითად გამოდგება სერტიფიკაციის მექანიზმები, რომლებიც გაიცემა ორგანიზაციებზე და აჩვენებს მათ შესაბამისობას მონაცემთა დაცვის კუთხით.

ხელშეკრულების სტანდარტული პირობები („Standard Contractual Clauses”), შესაძლოა გამოადგეთ პატარა ორგანიზაციებს, რომელთაც არ გააჩნიათ რესურსები ინდივიდუალური ხელშეკრულებების შესადგენად.

5.2. მცირე და საშუალო საწარმოებისა და მცირე ოპერატორების გამოწვევები

საბჭომ 2020 წლის ანგარიშით მოუწოდა მცირე და საშუალო ზომის ორგანიზაციებს გააქტიურებისაკენ მონაცემთა დაცვის ძირითად რეგულაციასთან შესაბამისობის კუთხით. 2023 წლის  აპრილში საბჭომ გამოსცა სახელმძღვანელო დოკუმენტი მცირე და საშუალო საწარმოებისათვის.

საბჭო მოუწოდებს მონაცემთა დაცვის საზედამხედველო ორგანოებს გააორმაგონ მცირე და საშუალო საწარმოების მხარდაჭერა მარტივად აღსაქმელი რესურსებისა და ინფორმაციის მიწოდებით შესაბამისობის საკითხებზე (მაგალითად, მონაცემთა დამუშავების გავლენის ანალიზისათვის დოკუმენტების მაგალითების მომზადება, მონაცემთა დაცვის თემატიკაზე გამკვლევების და სიახლეების მიწოდება).

სასურველია სიახლეების მარტივად გასაგები ენით მიწოდება. წინამდებარე რესურსები უმეტესწილად გამოადგებათ პატარა ორგანიზაციებს რომლებიც ამუშავებენ დაბალი რისკის შემცველ პერსონალურ მონაცემებს.

5.3. პერსონალურ მონაცემთა დაცვის ოფიცრები

მონაცემთა დაცვის ოფიცრების როლი მნიშვნელოვანია მონაცემთა დაცვის ძირითად რეგულაციასთან დაწესებულებათა და ორგანიზაციების შესაბამისობის საკითხებში.  ევროკავშირის მასშტაბით მონაცემთა დაცვის ოფიცრების საქმიანობის განხორციელებისას გარკვეული სირთულეები კვლავ არსებობს, მაგალითად,

ანგარიშში აღწერილია მონაცემთა დაცვის მიმართულებით ორგანიზაციებსა და უწყებებში არსებული პრობლემები. მათ შორის ხაზგასმულია მონაცემთა დაცვის ოფიცრის ინსტიტუტი და მასთან დაკავშირებული გამოწვევები, როგორიცაა:

• მონაცემთა დაცვის ოფიცრის დანიშვნა, რომელსაც აქვს შესაბამისი გამოცდილება;
• ევროკავშირის მასშტაბით არსებული სტანდარტების და საუკეთესო პრაქტიკის შესახებ ცოდნის ნაკლებობა;
• მონაცემთა დაცვის ოფიცრების ინტეგრირების ნაკლებობა ორგანიზაციაში, მათი ჩართულობის დაბალი ხარისხი;
• რესურსების ნაკლებობა;
• მონაცემთა დაცვის სფეროში გამოცდილების ნაკლებობა.

საბჭო მოუწოდებს საზედამხედველო ორგანოებს გაზარდონ ცნობადობა მონაცემთა დაცვის ოფიცრის როლის შესახებ, ასევე იმუშაონ წინამდებარე საკითხზე აღსრულების მიმართულებით.

 

6. ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაცია“, როგორც ციფრულ სფეროში ევროკავშირის პოლიტიკის საფუძველი

6.1.  ციფრულ სფეროს განვითარება  ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციაზე“ დაყრდნობით

2020 წელს კომისიამ მხარი დაუჭირა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ საკანონმდებლო მოთხოვნებისა და სტრუქტურის მუდმივ გამოყენებას, ინოვაციისა და ტექნოლოგიური წინსვლის სფეროებში მონაცემთა გამოყენების საფუძველზე წარმოშობილ სამართლებრივ ურთიერთობათა მოსაწესრიგებლად. რის შემდეგაც დამტკიცდა რიგი სამართლებრივი აქტები, რომელთა ნაწილზეც გავრცელდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოქმედება ან დაკონკრეტდა ამ რეგულაციის მოთხოვნათა გამოყენება კონკრეტულ ნაწილებში.

აღნიშნული მიმართულებით საგულისხმოა:

• ციფრული მომსახურების აქტი, რომელიც მიზნად ისახავს, უზრუნველყოს ფიზიკური პირებისთვის  და ბიზნეს სუბიექტებისთვის უსაფრთხო ელექტრონული გარემო, მათ შორის, შეზღუდოს ან მოაწესრიგოს ონლაინ პლატფორმების მიერ განსაკუთრებული კატეგორიის მონაცემების დამუშავება პროფაილინგის საშუალებით და ამ ფორმით მიზნობრივი რეკლამების მიწოდება მონაცემთა სუბიექტებისთვის. აღსანიშნავია მიუკერძოებელი და შეჯიბრებითი გარემოს ჩამოყალიბება მონაცემთა დამმუშავებლებს შორის. აღნიშნული აქტი უკრძალავს ონლაინ პლატფორმების ოპერატორებს სხვადასხვა კატეგორიის პერსონალური მონაცემების გაერთიანებას დამუშავების მიზნით, თუ მათ არ ექნებათ მონაცემთა სუბიექტის თანხმობა.
• ხელოვნური ინტელექტის აქტი აკონკრეტებს, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ განსაზღვრულ წესებს იმ სფეროებში, სადაც გამოიყენება ხელოვნური ინტელექტი მონაცემთა დამუშავებისთვის მიზნებისთვის.
• დირექტივა შრომითი ურთიერთობების პლატფორმის შესახებ, გულისხმობს დასაქმების მსურველ პირთა მონაცემთა დამუშავებისთვის ევროკავშირის „მონაცემთა დაცვის ძირითად რეგულაციის“ მოთხოვნების გამოყენებას.
• რეგულაცია პოლიტიკური რეკლამების შესახებ კრძალავს პოლიტიკურ რეკლამებში განსაკუთრებული კატეგორიის მონაცემების გამოყენებას და მოითხოვს გამჭვირვალობას მონაცემთა დამუშავების მიზნისა და გამოყენებული ტექნოლოგიების გათვალისწინებით. 
• რეგულაცია ევროპული ციფრული თვითრეგულირების შესახებ იძლევა საერთო, სანდო და დაცული ევროპული ციფრული სფეროს შექმნის საშუალებას. ეს ფიზიკურ პირებს მისცემს შესაძლებლობას უკეთესად მართონ საკუთარ პერსონალურ მონაცემებზე დაფუძნებული დამუშავების პროცესები და გაიგონ მეტი თავიანთი მონაცემების დამუშავების შესახებ.

აღსანიშნავია, რომ საანგარიშო პერიოდის განმავლობაში მიმდინარეობდა აქტიური სამუშაო შეხვედრები ცალკეული დირექტივების განახლებული ტექსტის შესამუშავებლად. მაგალითად, “e-Privacy” დირექტივის ჩანაცვლება “e-Privacy” რეგულაციით და სხვა. 

ყოველი ახალი ინიციატივა, რომელიც ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნების გავრცელებას ითვალისწინებს ახალ სამართლებრივ ურთიერთობებში, სამართლებრივ აქტებსა და დირექტივებში, მოითხოვს ზუსტი შეფასებების გაკეთებას მოსალოდნელი შედეგების მიმართ.

 

6.2. სამართლებრივი ჩარჩო მონაცემთა გაზიარების მხარდაჭერის მიზნით

მონაცემთა გაზიარების სტრატეგია მიზნად ისახავს პერსონალური მონაცემების საერთო სივრცის შექმნას, რომელშიც მონაცემები თავისუფლად მოძრაობს და მუშავდება ძირითადი რეგულაციის მოთხოვნათა განუხრელი დაცვით. მსგავსი სივრცის შექმნის ზოგადი სტრატეგიის მიზანია საერთო ევროპული მონაცემთა სივრცეების შექმნა, რომელიც გაამარტივებს მონაცემთა შეგროვებას, წვდომას და გაზიარებას. აღნიშნული მიზნის მისაღწევად ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაცია“ ქმნის სამართლებრივ ჩარჩოს იმ ინიციატივებისთვის, რომლებიც აუმჯობესებენ მონაცემთა თავისუფალ მიმოცვლას მონაცემთა დამმუშავებლებს შორის.

საანგარიშო პერიოდისთვის სტრატეგია ეფუძნება ორ ძირითად სამართლებრივ დოკუმენტს. ეს არის მონაცემთა მართვის აქტი  და მონაცემთა აქტი. მონაცემთა მართვის აქტი აყალიბებს წესებს საჯარო სექტორში არსებული პერსონალური მონაცემების ხელახალი გამოყენებისთვის და ადგენს მონაცემთა საქველმოქმედო მიზნებისთვის გამოყენების პირობებს, ხოლო მონაცემთა აქტი აძლიერებს მონაცემთა სუბიექტების ინფორმაციულ ცოდნას და გავლენას საკუთარი მონაცემების დამუშავების პროცესებზე.

გასათვალისწინებელია, რომ საანგარიშო პერიოდში შექმნილი ჯანმრთელობასთან დაკავშირებული ევროპული მონაცემთა სივრცე უზრუნველყოფს ფიზიკური პირებისთვის საკუთარ ჯანმრთელობასთან დაკავშირებულ მონაცემებზე წვდომას და სამედიცინო დაწესებულებებისთვის შესაბამისი საფუძვლის არსებობით დამუშავების შესაძლებლობის მინიჭებას, მათ შორის, ურთიერთგაზიარებას.

ამ ეტაპისთვის განსაზღვრული აქტები, რომლებიც აყალიბებენ სტრატეგიას ძირითად მოდულს წარმოაჩენენ საერთო სამართლებრივ ჩარჩოს თუ როგორ უნდა დამუშავდეს პერსონალური მონაცემები სხვადასხვა მიზნისა და მონაცემთა კატეგორიის გათვალისწინებით მონაცემთა გაზიარების მხარდასაჭერად.

 

6.3. ახალი ციფრული წესების მართვა

ციფრული მმართველობის განვითარებასთან ერთად, გამოიკვეთა პერსონალურ მონაცემთა დაცვის სფეროში აქტიური თანამშრომლობის საჭიროება: კონკურენციის სამართალში, სამომხმარებლო სამართალში, კიბერუსაფრთხოების მიმართულებით და ა.შ. ცალკეულ შემთხვევაში გამოიკვეთა დამატებითი რეგულაციების შემუშავების საჭიროება, ამ მხრივ აღსანიშნავია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნათა დაკავშირება, შემდგომში, ამ რეგულაციის მოქმედების გავრცელების შესაძლებლობა, ახლად შემუშავებულ დირექტივებში უკვე მოქმედ სამართლებრივ აქტებთან.

საანგარიშო პერიოდში გამოიკვეთა ის დადებითი ტენდენცია, როდესაც პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოები სხვადასხვა სამუშაო ჯგუფის ფარგლებში განიხილავენ ძირითადი რეგულაციის გამოყენების საკითხებს წინამდებარე სფეროებში.

 

7. მონაცემთა საერთაშორისო გადაცემა და თანამშრომლობა გლობალურ დონეზე

7.1. ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ გათვალისწინებული გადაცემის ინსტრუმენტი

 

თანამედროვე ეკონომიკური, სოციალური და პოლიტიკური ცვლილებებიდან გამომდინარე, იქმნება პერსონალურ მონაცემთა დიდი მოცულობის მიმოცვლის კრიტიკული საჭიროება, სადაც განსაკუთრებულ მნიშვნელობას იძენს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 თავით შემოთავაზებული წესების გამოყენება, სადაც ასახულია, მექანიზმები, რომელთა საფუძველზეც უნდა განხორციელდეს მონაცემთა გადაცემა.

აღნიშნული მექანიზმები აქტიური დახვეწის პროცესშია და ღიაა ინიციატივებისთვის, ერთი მხრივ, ჩამოყალიბებულია, საკანონმდებლო მოთხოვნები, რომელსაც თან ახლავს შესაბამისი სახელმძღვანელო განმარტებები ოფიციალურ ორგანოთა მიერ, მეორე მხრივ, პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა და სასამართლო პრაქტიკაში ვითარდება აღნიშნულ მექანიზმთა გამოყენების სამართლებრივი ბუნება. გამოსაყენებელ კრიტერიუმთა განჭვრეტადობა, სიცხადე და თითოეული შემთხვევისთვის მისადაგება წარმოადგენს საანგარიშო პერიოდში გამოკვეთილ ერთ-ერთ მნიშვნელოვან საკითხს, რომელთა გადასაწყვეტად სახელმძღვანელო განმარტებებს/გზამკვლევებს განსაკუთრებული ფუნქცია აქვს.

 

7.1.1. შესაბამისობის გადაწყვეტილება

შესაბამისობის გადაწყვეტილებები კვლავ რჩება დღის წესრიგში, რადგან ამ ფორმით შესაძლებელია მონაცემთა გადაცემა პირდაპირ და გასაგები ფორმით. პერსონალურ მონაცემთა თავისუფალი ნაკადის მიმოცვლის საშუალებით ევროკავშირში მონაცემთა დამმუშავებლებს არაერთი შესაძლებლობა მიეცათ გამარტივებული თანამშრომლობისთვის.

საანგარიშო პერიოდში გამოიკვეთა, რომ მზარდია იმ ქვეყნების რაოდენობა, რომლებმაც უკვე დანერგეს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ შესაბამისი თანამედროვე კანონმდებლობა. ამ ტენდენციამ ევროკომისიას მისცა შესაბამისობის გადაწყვეტილებების მნიშვნელობის გამოკვეთის საშუალება სხვადასხვა ქვეყნებთან დაკავშირებით. მაგალითად, გაერთიანებულ სამეფოსთან, რომელიც უკვე აღარ არის ევროკავშირის წევრი სახელმწიფო. აღსანიშნავია, ურთიერთობები აშშ-სთან და სხვა სახელმწიფოებთან, სადაც არ მოქმედებს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაცია“ პირდაპირ, თუმცა იქ მოქმედი რეგულირებიდან გამომდინარე შესაძლებელია საერთო პოზიციების გამოკვეთა შესაბამისობის გადაწყვეტილებებში.

საანგარიშო პერიოდში გამოიკვეთა სახელმწიფოთა კატეგორია, რომლებთანაც მიმდინარეობს აქტიური მუშაობა შესაბამისობის გადაწყვეტილებების გამოყენების თაობაზე; აგრეთვე, სახელმწიფოები, რომლებიც უკვე იყენებენ მსგავს გადაწყვეტილებებს და სახელმწიფოები, რომლებიც ამჟამად, არ იყენებენ მსგავს გადაწყვეტილებებს. საანგარიშო პერიოდში კომისიამ ანგარიშის სახით გამოაქვეყნა 11 დასკვნა ზემო აღნიშნული გარემოებების შესახებ. ზოგადი შეფასების მიხედვით, შესაბამისობის გადაწყვეტილებებმა გაზარდა თანამშრომლობა და სამართლებრივი თავსებადობა ევროკავშირსა და პარტნიორ ქვეყნებს შორის.

 

7.1.2. სათანადო გარანტიების უზრუნველმყოფი ინსტრუმენტები

საანგარიშო პერიოდში კომისიამ მიიღო განახლებული სახელშეკრულებო სტანდარტული პირობები (SCC’s), რომლებმაც ჩაანაცვლეს მონაცემთა დაცვის დირექტივის სტანდარტული პირობები. ცვლილების შედეგად, განახლდა დაცვის გარანტიები ევროკავშირის „მონაცემთა დავის ძირითადი რეგულაციის“ შესაბამისად, შემუშავდა მექანიზმი მონაცემთა გადაცემის ცალკეული შემთხვევებისთვის, გამარტივდა ხელშეკრულების სტანდარტული პირობების მრავალი მხარის მიერ გამოყენება. საანგარიშო პერიოდში გამოიკვეთა სირთულეები Schrems II გადაწყვეტილებით განსაზღვრული სავალდებულო წესების გათვალისწინების მიმართ, რაც უკავშირდება მოთხოვნათა შესრულების კომპლექსურობას და გაზრდილ ხარჯებს. ანგარიშში აღნიშნულია რომ აუცილებელია, ამ მიმართულებით განხილულ იქნეს დამატებითი მხარდაჭერის მექანიზმები. კომისია მუშაობს დამატებით პირობებზე, რომელსაც იგი მიაწვდის დაინტერესებულ პირებს.

 

7.1.3. სხვა რეგულაციებთან შესაბამისობის უზრუნველყოფა

მონაცემთა ნაკადების მიმოცვლამ და მზარდმა ურთიერთობებმა, სადაც მონაცემთა დამუშავებას დიდი მნიშვნელობა ენიჭება, წარმოაჩინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ განსაზღვრული მოთხოვნების საყოველთაო გავრცელების შესაძლებლობები ურთიერთშეთანხმებისა და ურთიერთობის ხასიათის გათვალისწინებით, მათ შორის, სავაჭრო, ეკონომიკურ და საფინანსო სფეროში. აგრეთვე, ამ ნაბიჯების გადადგმასთან ერთად მნიშვნელობა მიენიჭა მონაცემთა უსაფრთხოების, კიბერუსაფრთხოებისა და სხვადასხვა დანაშაულთან ბრძოლის სამართლებრივი საკითხების სათანადო გათვალისწინებას.

 

7.2. პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა შორის თანამშრომლობის საკითხები

7.2.1. ბილატერალური განზომილება

ევროკომისია მოუწოდებს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოებს თანამშრომლობის და კოორდინაციის საკითხებში მეტი რესურსის მიმართვისაკენ, რათა უფრო მოკლე ვადაში მოხდეს მონაცემთა სუბიექტების განცხადებებზე რეაგირება და მათი გადაწყვეტა. ერთზე მეტი საზედამხედველო ორგანოთა მონაწილეობით საქმეთა უფრო სწრაფი განხილვისა და ერთგვაროვანი პროცედურული წესების შექმნის მიზნით, ევროპარლამენტი და ევროსაბჭო აქტიურად მსჯელობენ  წინადადებათა შემუშავებაზე.

 

7.2.2. მულტილატერალური განზომილება

კომისია აგრძელებს მუშაობას სხვადასხვა სტატუსისა და ფუნქციების აქტორთა მონაწილეობით ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ დროსა და სივრცეში მოქმედების მხარდასაჭერად, რეგულაციის ეფექტურობისა და მოთხოვნების შესრულების ხარისხის გაზრდის უზრუნველსაყოფად თანამშრომლობის სხვადასხვა ფორმატში.

 

8. დასკვნა (ევროკომისიის ზოგადი რეკომენდაციები)

საანგარიშო პერიოდში ნათლად გამოიკვეთა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ დადებითი მხარეები, შედეგები და გამოწვევები, რაც ახასიათებს მონაცემთა დამუშავებასთან დაკავშირებულ პროცესებს ძირითადი რეგულაციის ამოქმედებიდან დღემდე. აღსანიშნავია: მონაცემთა სუბიექტების უფლებების დაცვის მექანიზმების განვითარება და ხარისხის ამაღლება; პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოთა მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან შესაბამისობის საკითხებზე დამუშავებისთვის პასუხისმგებელი და დამუშავებაზე უფლებამოსილი ორგანიზაციების მხარდაჭერა; საზედამხედველო ორგანოთა შორის ეფექტიანი თანამშრომლობა; ძირითადი რეგულაციის ერთგვაროვანი ინტერპრეტაცია და შესაბამისი პრაქტიკის ჩამოყალიბება; სხვადასხვა სექტორის მარეგულირებლებთან, რომელთა საქმიანობის სფეროებიც გავლენას ახდენს მონაცემთა დაცვაზე, საზედამხედველო ორგანოთა აქტიური თანამშრომლობა.

ანგარიში შეიცავს რეკომენდაციებს სხვადასხვა აქტორების მიმართ, რომლებმაც ხელი უნდა შეუწყონ გამოვლენილი გამოწვევების საპასუხოდ ქმედითი ნაბიჯების გადადგმას. ევროკომისია აგრძელებს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციიდან“ გამომდინარე გამოვლენილი გამოწვევების მონიტორინგს, რომელთა შესახებ ინფორმაციას შემდეგ ანგარიშში, 2028 წელს გამოაქვეყნებს.