2025-02-18
2024 წლის 7 ოქტომბერს „მონაცემთა დაცვის ევროპულმა საბჭომ“ გამოაქვეყნა მოსაზრება[1] მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის და დამუშავებისთვის პასუხისმგებელი პირის ქვე-კონტრაქტორის ან ქვე-დამმუშავებლის (“Sub-Processor”) შესახებ.
საბჭოს მოსაზრება შეეხება მონაცემთა დამუშავებისთვის პასუხისმგებელ პირსა და მის თანა-დამმუშავებელთან, აგრეთვე ქვე-დამმუშავებელთან ურთიერთობების საკითხებს.
ქვე-კონტრაქტორი ან ქვე-დამმუშავებელი დამუშავებაზე უფლებამოსილი პირის დავალების მიხედვით მოქმედი პირია,[2] რომელიც პერსონალურ მონაცემებს ამუშავებს დამუშავებაზე უფლებამოსილი პირისათვის. ქვე-დამმუშავებელი შეიძლება იყოს იურიდიული პირი, მაგალითად, მცირე და საშუალო ბიზნესი, საჯარო დაწესებულება, სააგენტო ან სხვა ორგანო.
ქვე-დამმუშავებლის დანიშვნა:
ქვე-დამმუშავებლის დასანიშნად აუცილებელი წინაპირობაა წერილობითი თანხმობა, რომელიც გაიცემა მონაცემთა დამუშავებისთვის უფლებამოსილი პირის ან თანა-დამმუშავებლის მიერ. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა შეადგინოს ხელშეკრულება ქვე-დამმუშავებელთან, რომლითაც განისაზღვრება ქვე-დამმუშავებელის ვალდებულებები.
წინამდებარე ხელშეკრულება დამუშავებაზე უფლებამოსილ პირსა და ქვე-დამმუშავებელს შორის უნდა უზრუნველყოფდეს მონაცემთა სუბიექტების უფლებების დაცვის იგივე ხარისხს, რაც უზრუნველყოფილია მონაცემთა დამუშავებისთვის უფლებამოსილ პირსა და დამუშავებაზე პასუხისმგებელ პირს შორის არსებული ხელშეკრულებით.
საბჭოს მიერ მომზადებულ სარეკომენდაციო ხასიათის დოკუმენტში განხილულია სხვადასხვა შემთხვევა, როდესაც საჭიროა დამუშავებისთვის პასუხისმგებელი პირის გარკვეული უფლებებისა და მოვალეობების განმარტების საკითხი, აგრეთვე, მხარეთა შორის დასადები ხელშეკრულების ტექსტის შედგენის საკითხი.[3]
საბჭოს მოსაზრება შეიცავს პრაქტიკულ ინფორმაციას მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებების შესახებ.
საკონტაქტო ინფორმაციის შენახვის ვალდებულება:
მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს, უნდა ჰქონდეს ყველა დამუშავებაზე უფლებამოსილი პირისა და ქვე-დამმუშავებელის შესახებ ინფორმაცია (მაგალითად, სახელი, მისამართი, საკონტაქტო პირის ვინაობა). [4]
უსაფრთხოების გარანტიებთან შესაბამისობის შემოწმების ვალდებულება:
დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, გადაამოწმოს დამუშავებაზე უფლებამოსილი პირის და ქვე-დამმუშავებლის მიერ მონაცემთა უსაფრთხოების დაცვის სათანადო გარანტიებთან შესაბამისობის საკითხი.
გადამოწმების ვალდებულება წარმოიშვება განუსაზღვრელად იმისა, აყენებს თუ არა დამუშავების პროცესი მონაცემთა სუბიექტების უფლებებს და თავისუფლებებს მაღალი რისკის ქვეშ.
მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი, როგორც გადაწყვეტილების მიმღები პირი:
დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, მიაღწიოს შეთანხმებას ქვე-დამმუშავებელთან „უსაფრთხოების დაცვის სათანადო გარანტიების“ შესახებ, თუმცა, წინამდებარე საკითხებზე საბოლოო გადაწყვეტილებების მიღების ვალდებულება და მისგან მომდინარე პასუხისმგებლობები ქვე-დამმუშავებელთან თანამშრომლობის თვალსაზრისით, კვლავ მონაცემთა დამუშავებისთვის უფლებამოსილი პირის (და არა დამუშავებაზე პასუხისმგებელი პირის) ვალდებულების ნაწილში ექცევა.
საბჭოს მოსაზრებით, ევროპის „მონაცემთა დაცვის ძირითადი რეგულაცია“ არ ავალდებულებს მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს სისტემატიურად მოითხოვოს ხელშეკრულებების ასლები, რათა შეამოწმოს, თუ რამდენად გაითვალისწინეს მასთან თანამშრომლობაში მყოფმა ქვე-დამმუშავებლებმა მონაცემთა დაცვის შესაბამისი კანონმდებლობის მიერ განსაზღვრული ვალდებულებები.
მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა უნდა შეაფასოს, სიტუაციიდან გამომდინარე, საჭიროა თუ არა ხელშეკრულებების ასლების მოთხოვნა და გაცნობა, რათა შეძლოს ევროპის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან შესაბამისობის უზრუნველყოფა უფლებამოსილი პირებისა და საზედამხედველო ორგანო(ები)სათვის.
ვალდებულებები მონაცემთა საერთაშორისო გადაცემასთან მიმართებით:
თუ ქვე-დამმუშავებელი პერსონალურ მონაცემებს ევროპის ეკონომიკური სივრცის გარეთ გადასცემს, დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მოამზადოს შესაბამისი დოკუმენტი, სადაც გადაცემის შესახებ ყველა საკითხი დეტალურად იქნება გათვალისწინებული.
მონაცემთა გადაცემის შესახებ დოკუმენტში საჭიროა აღიწეროს მონაცემთა გადაცემის ფორმა, გადაცემის მონაცემთა სუბიექტების უფლებებზე ზეგავლენის შეფასება და მონაცემთა უსაფრთხოების უზრუნველსაყოფად განხორციელებული ზომების შესახებ ინფორმაცია.[5]
ამავდროულად, მონაცემთა დაცვის საზედამხედველო ორგანოს მოთხოვნის საფუძველზე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, ადაადასტუროს მონაცემთა დაცვის სათანადო გარანტიებთან შესაბამისობა.[6] მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა აღნიშნული დოკუმენტი, მოთხოვნისამებრ, უნდა მიაწოდოს საზედამხედველო ორგანოს.
[1] GDPR-ის 64(2) მუხლის საფუძველზე, ნებისმიერ საზედამხედველო ორგანოს აქვს უფლებამოსილება თხოვნით მიმართოს საბჭოს მისთვის საინტერესო და საჭირო თემატიკაზე მოსაზრების გამოცემის შესახებ, ისეთ საკითხებთან მიმართებით, რომელიც აქტუალურია ერთზე მეტ სახელმწიფოში მაინც.
[2] What is a data Controller, https://www.edpb.europa.eu/sme-data-protection-guide/data-controller-data-processor_en.
[3] რაც კონკრეტულად GDPR-ის 28-ს მუხლის მოთხოვნებიდან გამომდინარეობს.
[4] GDPR-ის 28-ე მუხლის მოთხოვნებთან შესაბამისობის მისაღწევად.
[5] იგულისხმება GDPR-ის 44-ე მუხლის მოთხოვნები
[6] GDPR-ის 28(1) მუხლი
ჩეხეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა უკანონო დამუშავებისთვისა და ი...
2024 წლის 30 მაისს, იტალიის მონაცემთა დაცვის საზედამხედველო ორგანომ (“Garante per la protezione dei dati personali”) გამოსცა ინსტრუქც...
რუმინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ბუქარესტის ადგილობრივი მუნიციპალიტეტის მიერ პერსონალური მონაცემების დამუშავების კანონიერე...
საზედამხედველო ორგანომ კომპანია „მეტა“ 91 მილიონი ევროს ოდენობით დააჯარიმა. [1] საქმის ფაქტობრივი გარემოე...
+995 32 242 1000
office@pdps.ge
