+995 32 242 1000
office@pdps.ge
ზოგადი ინფორმაცია
რა არის პერსონალური მონაცემები?
პერსონალური მონაცემი არის ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის, სახელით, გვარით, საიდენტიფიკაციო ნომრით, გეოლოკაციის მონაცემებით, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით.
რა არის განსაკუთრებული კატეგორიის მონაცემი?
განსაკუთრებული კატეგორიის არის მონაცემი, რომელიც უკავშირდება ფიზიკური პირის რასობრივ ან ეთნიკურ კუთვნილებას, პოლიტიკურ შეხედულებებს, რელიგიურ, ფილოსოფიურ ან სხვაგვარ მრწამსს, პროფესიული კავშირის წევრობას, ჯანმრთელობას, სქესობრივ ცხოვრებას, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსს სისხლის სამართლის პროცესში, მსჯავრდებას, ნასამართლობას, განრიდებას, ადამიანით ვაჭრობის (ტრეფიკინგის) ან „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის შესაბამისად დანაშაულის მსხვერპლად ცნობას, პატიმრობას და მის მიმართ სასჯელის აღსრულებას, აგრეთვე ბიომეტრიულ და გენეტიკურ მონაცემებს, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება.
რას ნიშნავს მონაცემთა დამუშავება?
მონაცემთა დამუშავება არის მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით.
დამუშავებისთვის პასუხისმგებელი პირი - ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას.
თანადამუშავებისთვის პასუხისმგებელი პირები - დამუშავებისთვის პასუხისმგებელი ორი ან ორზე მეტი პირი, რომლებიც ერთობლივად განსაზღვრავენ მონაცემთა დამუშავების მიზნებსა და საშუალებებს.
დამუშავებაზე უფლებამოსილი პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით. დამუშავებაზე უფლებამოსილ პირად არ მიიჩნევა დამუშავებისთვის პასუხისმგებელ პირთან შრომით ურთიერთობაში მყოფი ფიზიკური პირი;
სპეციალური წარმომადგენელი - საქართველოს ფარგლების გარეთ რეგისტრირებული, დამუშავებისთვის პასუხისმგებელი პირი ან დამუშავებაზე უფლებამოსილი პირი ვალდებულია, საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით მონაცემთა დამუშავებამდე, საქართველოში დანიშნოს ან განსაზღვროს სპეციალური წარმომადგენელი - ფიზიკური პირი ან იურიდიული პირი, აგრეთვე იურიდიული სტატუსის არმქონე პირთა გაერთიანება. სპეციალური წარმომადგენელი რეგისტრირდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ გამოცემული ნორმატიული აქტით დადგენილი წესით.
დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები
- მონაცემთა სუბიექტის უფლებების დაცვის ვალდებულება
დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია უზრუნველყოს მონაცემთა სუბიექტის კანონით განსაზღვრული უფლებების განხორციელება, მათ შორის, მიიღოს ყველა ზომა ამავე კანონის მოთხოვნებთან შესაბამისობის და, საჭიროების შემთხვევაში, მათი დემონსტრირების მიზნით.
- მონაცემთა სუბიექტის ინფორმირება
- მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში:
დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა შეგროვებამდე ან შეგროვების დაწყებისთანავე მონაცემთა სუბიექტს მიაწოდოს დამუშავებასთან დაკავშირებული ინფორმაცია, მათ შორის, დამუშავებისთვის პასუხისმგებელი პირის ვინაობის/სახელწოდების, საკონტაქტო ინფორმაციის, დამუშავების სამართლებრივი საფუძვლების, მიზნის შესახებ, განუმარტოს უფლებები, რომლითაც აღჭურვილია მონაცემთა სუბიექტი (დეტალურად იხ. „პერსონალურ მონაცემთა დაცვის შესახებ კანონის“ 24-ე მუხლი).
- როდესაც მონაცემთა შეგროვება უშუალოდ მისგან არ ხდება:
მონაცემთა სუბიექტს დამატებით უნდა მიეწოდოს ინფორმაცია, თუ რომელი მონაცემი მუშავდება მის შესახებ და ამ მონაცემთა მოპოვების წყარო, მათ შორის, მოპოვებულ იქნა თუ არა მონაცემები საჯაროდ ხელმისაწვდომი წყაროდან.
- მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას
ახალი პროდუქტის ან მომსახურების შექმნისას დამუშავებისთვის პასუხისმგებელმა პირმა, როგორც დამუშავების საშუალებების განსაზღვრის, ისე უშუალოდ დამუშავების პროცესში უნდა მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები (მათ შორის, ფსევდონიმიზაცია ან/და სხვა) მონაცემთა დამუშავების პრინციპების ეფექტიანი იმპლემენტაციისა და დაცვის მექანიზმების ინტეგრირების მიზნით. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომ ავტომატურად დამუშავდეს მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია დამუშავების კონკრეტული მიზნისთვის. ეს ზომები იმგვარად უნდა გამოიყენებოდეს, რომ ნებადართული ალტერნატიული მიდგომის არჩევამდე პირთა განუსაზღვრელი წრისთვის ავტომატურად უზრუნველყოფილი იქნება მონაცემთა მხოლოდ მინიმალურ მოცულობაზე წვდომა.
- მონაცემთა უსაფრთხოების უზრუნველყოფა
დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მიიღოს მონაცემთა დამუშავების შესაძლო და თანამდევი საფრთხეების შესაბამისი ორგანიზაციული და ტექნიკური ზომები (მათ შორის, მონაცემთა ფსევდონიმიზაცია, მონაცემებზე წვდომის აღრიცხვა, ინფორმაციული უსაფრთხოების მექანიზმები (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა) და სხვა), რომლებიც უზრუნველყოფს მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის, განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.
- მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინება
დამუშავებისთვის პასუხისმგებელი პირი და მისი სპეციალური წარმომადგენელი (ასეთის არსებობის შემთხვევაში), თანადამუშავებისთვის პასუხისმგებელი პირები, დამუშავებაზე უფლებამოსილი პირი ვალდებულია წერილობით ან ელექტრონულად აღრიცხონ მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაცია (დეტალურად იხ. 28-ე მუხლი) და შესაბამისი მოთხოვნის შემთხვევაში, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, მიაწოდონ პერსონალურ მონაცემთა დაცვის სამსახურს.
- ინციდენტის შესახებ შეტყობინების ვალდებულება
- დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
- თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ.
- დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს.
- მონაცემთა დაცვაზე ზეგავლენის შეფასება
თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.
მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების განხორციელების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.
პერსონალურ მონაცემთა დაცვის ოფიცერი
საჯარო დაწესებულება, სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი, სამედიცინო დაწესებულება, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს, ვალდებული არიან დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი.
ვიდეომონიტორინგი არის საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ვიზუალური გამოსახულების დამუშავება, ვიდეოკონტროლის ან/და ვიდეოჩაწერის გზით.
ვიდეოჩანაწერი პერსონალურ მონაცემად განიხილება, თუკი ვიზუალური გამოსახულება იძლევა პირის იდენტიფიცირების საშუალებას.
ვიდეომონიტორინგის განხორციელება დასაშვებია, თუ იგი მიზნად ისახავს შემდეგი ამოცანების შესრულებას:
- დანაშაულის თავიდან აცილება ან მისი გამოვლენა;
- საზოგადოებრივი უსაფრთხოება;
- პირის უსაფრთხოებისა და საკუთრების დაცვა;
- არასრულწლოვანის დაცვა (მათ შორის, მავნე ზეგავლენისგან დაცვა);
- საიდუმლო ინფორმაციის დაცვა;
- გამოცდის/ტესტირების მიზნები.
აუდიომონიტორინგი
აუდიომონიტორინგის განხორციელება დასაშვებია მხოლოდ და მხოლოდ:
- მონაცემთა სუბიექტის თანხმობით;
- საოქმო ჩანაწერის საწარმოებლად;
- დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად;
- საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.
ბიომეტრიულ მონაცემთა დამუშავება
ბიომეტრიულია ტექნიკური საშუალებების გამოყენებით დამუშავებული, მონაცემთა სუბიექტის ფიზიკურ, ფიზიოლოგიურ ან ქცევის მახასიათებელთან დაკავშირებული მონაცემი, რომელიც მისი უნიკალური იდენტიფიცირების ან ვინაობის დადასტურების შესაძლებლობას იძლევა.
- ფიზიკური მახასიათებლები: თითის ანაბეჭდი, სახის გამოსახულება, თვალის ფერადი გარსი, თვალის ბადურის გარსი, დაქტილოსკოპიური მონაცემები და სხვა.
- ქცევის მახასიათებლები: ხელწერა, ხმის მახასიათებელი, სიარულის მანერა და სხვა.
იმისათვის, რომ ბიომეტრიულ მონაცემთა დამუშავება იყოს კანონიერი, უნდა არსებობდეს მათი დამუშავების სამართლებრივი საფუძველი, მკაცრად განსაზღვრული ლეგიტიმური მიზნ(ებ)ი (როგორიცაა საქმიანობის განხორციელების, უსაფრთხოების, საკუთრების დაცვისა და საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების და სხვ. მუხლი 9) და დაცული უნდა იყოს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული დამუშავების პრინციპები.
მონაცემთა საერთაშორისო გადაცემა
მონაცემთა საერთაშორისო ანუ სხვა სახელმწიფოსათვის ან საერთაშორისო ორგანიზაციისთვის გადაცემად ითვლება მონაცემთა გადაცემა ისეთი მიმღებისთვის, რომელზეც არ ვრცელდება საქართველოს იურისდიქცია. მაგალითად, თუ თქვენი კომპანია საქართველოშია რეგისტრირებული და მომხმარებლის მონაცემებს უგზავნის პარტნიორს, რომელიც საქმიანობს სხვა სახელმწიფოში - ეს მონაცემთა საერთაშორისო გადაცემაა.
მონაცემთა გადაცემა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის დასაშვებია კანონით დადგენილ შემთხვევებში (დეტალურად იხ. მუხლი 37, პუნქტი 1-2).
დამუშავებისთვის პასუხისმგებელ პირსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს სათანადო საჯარო დაწესებულებას, იურიდიულ პირს ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულების საფუძველზე მონაცემთა გადაცემა შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის მიღების შემდეგ, რომლის გაცემის წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.
იმ სახელმწიფოებისა და საერთაშორისო ორგანიზაციების ნუსხა, რომლებშიც უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.