ნაწილი I. პერსონალურ მონაცემთა დაცვის ძირითადი საკითხები

ტერმინოლოგია

რა არის პერსონალური მონაცემი?

პერსონალური მონაცემი არის ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება.

ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის:

• სახელით, გვარით, ტელეფონის ნომრით;
• საიდენტიფიკაციო ნომრით;
• გეოლოკაციის მონაცემებით;
• ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით;
• ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით.

იხილეთ მეტი: საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-3 მუხლის „ა“ პუნქტი.

რა  არის განსაკუთრებული კატეგორიის მონაცემი?

ზოგიერთი პერსონალური მონაცემი, რომელსაც განსაკუთრებული კატეგორიის მონაცემებს საჭიროებენ დაცვის უფრო მაღალ სტანდარტს.

ამგვარ კატეგორიას მიეკუთვნება მონაცემი, რომელიც უკავშირდება ფიზიკური პირის:

• რასობრივ ან ეთნიკურ კუთვნილებას;
• პოლიტიკურ შეხედულებებს;
• რელიგიურ, ფილოსოფიურ ან სხვაგვარ მრწამსს;
• პროფესიული კავშირის წევრობას;
• ჯანმრთელობას, სქესობრივ ცხოვრებას;
• ბიომეტრიულ და გენეტიკურ მონაცემებს, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება.

იხილეთ მეტი:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-3 მუხლის „ბ“ პუნქტი.

რას ნიშნავს პერსონალური მონაცემების დამუშავება?

მონაცემთა დამუშავება არის მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით;

იხილეთ მეტი:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-3 მუხლი.

ვინ არიან მონაცემთა დამუშავების პროცესში ჩართული პირები?

დამუშავებისთვის პასუხისმგებელი პირი შესაძლოა იყოს ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემი მუშავდება;

თანადამუშავებისთვის პასუხისმგებელი პირები − დამუშავებისთვის პასუხისმგებელი ორი ან ორზე მეტი პირი, რომლებიც ერთობლივად განსაზღვრავენ მონაცემთა დამუშავების მიზნებსა და საშუალებებს;

დამუშავებაზე უფლებამოსილი პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით. დამუშავებაზე უფლებამოსილ პირად არ მიიჩნევა დამუშავებისთვის პასუხისმგებელ პირთან შრომით ურთიერთობაში მყოფი ფიზიკური პირი.

იხილეთ მეტი:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-3 მუხლი.

მონაცემთა დამუშავებისთვის პასუხისმგებელი პირებისთვის გასათვალისწინებელი პუნქტები:

• დაფიქრდით, რამდენად შეესაბამება პერსონალური მონაცემების დამუშავების პროცესი განსაზღვრულ მიზანს;
• პერსონალური მონაცემები დაამუშავეთ მხოლოდ იმ მოცულობით, რაც საჭიროა განსაზღვრული მიზნის მისაღწევად;
• აცნობეთ მონაცემთა სუბიექტებს იმის შესახებ, თუ როგორ და რა მიზნებისთვის შეიძლება დამუშავდეს მათი პერსონალური მონაცემები;
• შეამოწმეთ, გაქვთ თუ არა შესაბამისი სამართლებრივი საფუძველი პერსონალური მონაცემების დამუშავებისთვის;
• დარწმუნდით, რომ თქვენს ხელთ არსებული პერსონალური მონაცემები დაცულია;
• შეინახეთ მონაცემთა სუბიექტის პერსონალური მონაცემები ზუსტი და განახლებული სახით;
• წაშალეთ ფიზიკური პირის პერსონალური მონაცემები, როდესაც მისი დამუშავება საჭირო აღარ არის.

„პერსონალურ მონაცემთა დაცვის“ შესახებ საქართველოს კანონის მოქმედების სფერო

„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მოქმედება ვრცელდება:

• საქართველოს ტერიტორიაზე მონაცემთა ავტომატური საშუალებებით დამუშავებასა და ნახევრად ავტომატური საშუალებებით დამუშავებაზე;
• იმ მონაცემთა არაავტომატური საშუალებებით დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შესატანად მუშავდება;
• საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით დამუშავებაზე, გარდა იმ შემთხვევისა, როდესაც ტექნიკური საშუალებები მხოლოდ მონაცემთა ტრანზიტისთვის გამოიყენება.

მოქმედების სფეროსთან დაკავშირებით იხილეთ სრულად:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-2 მუხლი.

პერსონალურ მონაცემთა დამუშავების პრინციპები

პერსონალური მონაცემების დამუშავების კანონიერების მიზნით, დაცული უნდა იყოს პერსონალურ მონაცემთა დამუშავების პრინციპები. გარდა ამისა, მნიშვნელოვანია, რომ ორგანიზაციას აკისრია დამუშავების პრინციპებთან შესაბამისობის მტკიცების ტვირთი:

კანონიერება, სამართლიანობა, გამჭვირვალობა და მონაცემთა დამუშავება მონაცემთა სუბიექტის ღირსების შეულახავად:

კანონის მე-4 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის მიხედვით, „მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, მონაცემთა სუბიექტისთვის გამჭვირვალედ და მისი ღირსების შეულახავად. მონაცემთა დამუშავების გამჭვირვალობის ვალდებულება არ ვრცელდება ამ კანონით დადგენილ გამონაკლის შემთხვევებზე.“

პერსონალურ მონაცემთა კანონიერი დამუშავება გულისხმობს, რომ მონაცემები უნდა დამუშავდეს მხოლოდ მაშინ, როდესაც არსებობს შესაბამისი საფუძველი და დაცულია ყველა სამართლებრივი მოთხოვნა.

სამართლიანობა ყოვლისმომცველი პრინციპია, რომელიც მოითხოვს, რომ პერსონალური მონაცემები მონაცემთა სუბიექტის საზიანოდ, დისკრიმინაციულად არ დამუშავდეს, არ აღმოჩნდეს მოულოდნელი ან შეცდომაში შემყვანი.  ამ პრინციპის მიხედვით, მონაცემთა მოპოვება ან სხვაგვარად დამუშავება უსამართლო საშუალებებით, შეცდომაში შეყვანით ან მონაცემთა სუბიექტის ცოდნის გარეშე, დაუშვებელია.

გამჭვირვალობის პრინციპის მიხედვით, ფიზიკური პირებისთვის მათი მონაცემების დამუშავებამდე უნდა იყოს ნათელი, რომ მათთან დაკავშირებული პერსონალური მონაცემები შეგროვდება, გამოიყენება, ან სხვა სახით დამუშავდება. ამასთანავე, თუ პირებს ორგანიზაციის მიერ გარკვეული ინფორმაცია მიეწოდებათ მათი პერსონალური მონაცემების გამოყენებისა და საჭიროების შესახებ, აღნიშნული მათთვის გასაგები ენით უნდა განხორციელდეს.

მონაცემთა დამუშავების პროცესი უნდა წარიმართოს მონაცემთა სუბიექტის ღირსების შეულახავად და არ გამოიწვიოს ადამიანის უფლებებისა და თავისუფლებების შელახვის რისკი. 

რეკომენდაციები:

• მონაცემთა დამუშავების დაწყებამდე უნდა განხორციელდეს დამუშავების კანონიერი საფუძვლის იდენტიფიცირება, მათ შორის, განსაკუთრებული კატეგორიის მონაცემების დამუშავების შემთხვევაში;
• დამუშავების შესახებ დეტალურ ინფორმაციას უნდა შეიცავდეს მონაცემთა დამუშავების პოლიტიკა, რომელიც დამუშავების ოპერაციების შესაბამისად პერიოდულად უნდა განახლდეს;
• უნდა შეფასდეს, რა გავლენა ექნება პერსონალურ მონაცემთა დამუშავებას მონაცემთა სუბიექტზე და უნდა დასაბუთდეს ყოველგვარი უარყოფითი ზემოქმედება მასზე;
• პერსონალური მონაცემები გამოყენებულ უნდა იქნეს მხოლოდ მონაცემთა სუბიექტის გონივრული მოლოდინის შესაბამისად ან განიმარტოს ნებისმიერი შემდგომი დამუშავების მიზანი;
• მონაცემთა შეგროვება არ უნდა განხორციელდეს მონაცემთა სუბიექტის მოტყუებით ან შეცდომაში შეყვანით;
• მონაცემთა სუბიექტებს ინფორმაცია უნდა მიეწოდოთ მათთვის გასაგები, მარტივად აღქმადი ფორმით, მკაფიო და მარტივი ენით;
• მონაცემთა დამუშავება არ უნდა ლახავდეს პირის ღირსებას.

კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზანი:

კანონის მე-4 მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის მიხედვით, „მონაცემები უნდა შეგროვდეს/მოპოვებული უნდა იქნეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნებისთვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებელი მიზნით.“

აღნიშნული პრინციპის თანახმად, დამუშავების ოპერაციის მიზნის განსაზღვრა მონაცემთა დაცვის კანონმდებლობის გამოყენებისა და მონაცემთა დაცვის სათანადო გარანტიების შემუშავებისთვის პირველი ეტაპია. ამასთანავე, მიზნის განსაზღვრა სხვა მოთხოვნების დაწესების წინაპირობას წარმოადგენს. მიზნის შეზღუდვის პრინციპი ადგენს საზღვრებს, რომლის ფარგლებშიც შესაძლებელია მოცემული მიზნისთვის შეგროვებული პერსონალური მონაცემების დამუშავება და შემდგომი გამოყენება.

რეკომენდაციები:

• წინასწარ უნდა განისაზღვროს პერსონალურ მონაცემთა დამუშავების მიზან(ებ)ი;
• სასურველია, განხორციელდეს, მონაცემთა დამუშავების მიზნ(ებ)ის დოკუმენტირება;
• დამუშავების მიზნ(ებ)ის შესახებ დეტალური ინფორმაცია მიაწოდოს მონაცემთა სუბიექტებს;
• რეგულარულად უნდა გადაიხედოს დამუშავების ოპერაციები და საჭიროების შემთხვევაში, განახლდეს შესაბამისი დოკუმენტაცია;
• თუ დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა დამუშავება ხორციელდება თავდაპირველი მიზნისგან განსხვავებული მიზნით, უნდა შეფასდეს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-4 მუხლის მე-2 პუნქტით გათვალისწინებული შემთხვევები.

მონაცემთა მინიმიზაცია:

კანონის მე-4 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტის მიხედვით, „მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად. მონაცემები იმ მიზნის თანაზომიერი უნდა იყოს, რომლის მისაღწევადაც ისინი მუშავდება.“

პერსონალური მონაცემები უნდა დამუშავდეს მხოლოდ იმ შემთხვევაში, როდესაც დამუშავების მიზნის მიღწევა, გონივრულობის ფარგლებში, შეუძლებელია სხვა საშუალებებით. დამუშავება არ უნდა იყოს არაპროპორციული ჩარევა მონაცემთა სუბიექტის უფლებებსა და თავისუფლებებში და უნდა განხორციელდეს მხოლოდ იმ მოცულობით, რომელიც საჭიროა განსაზღვრული მიზნის მისაღწევად.

ამასთანავე, მონაცემთა მინიმიზაციის პრინციპი მჭიდრო კავშირშია მიზნის შეზღუდვის პრინციპთან და მისი დაცვა შესაძლებელია მხოლოდ იმ შემთხვევაში, როდესაც დამუშავებისთვის პასუხისმგებელი პირის მიერ კონკრეტული მიზნები მკაფიოდაა განსაზღვრული. მან მიზნის მიღწევის აუცილებლობის დასადგენად, უნდა გადახედოს დამუშავების ოპერაციის თითოეულ საფეხურს და მონაცემთა თითოეულ ელემენტს.

რეკომენდაციები:

• უნდა შეგროვდეს მხოლოდ იმ რაოდენობის პერსონალური მონაცემები, რაც საჭიროა კონკრეტული მიზნ(ებ)ის მისაღწევად;
• პერსონალურ მონაცემები არ უნდა შეგროვდეს იმ განზრახვით, რომ ისინი მომავალში ჰიპოთეტურად სასარგებლო აღმოჩნდება;
• შეგროვებული მონაცემები მიზნ(ებ)ის მიღწევისთვის საკმარისი რაოდენობის (და არა უფრო მეტი) უნდა იყოს;
• პერიოდულად უნდა გადაიხედოს, რა მონაცემებს ფლობს პასუხისმგებელი პირი და თუ მონაცემთა შენახვის საჭიროება აღარ არსებობს, იგი უნდა წაიშალოს.

მონაცემთა ნამდვილობა და სიზუსტე:

კანონის მე-4 მუხლის პირველი პუნქტის „დ“ ქვეპუნქტის მიხედვით, „მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული. მონაცემთა დამუშავების მიზნების გათვალისწინებით, არაზუსტი მონაცემები უნდა გასწორდეს, წაიშალოს ან განადგურდეს გაუმართლებელი დაყოვნების გარეშე.“

საგულისხმოა, რომ მონაცემთა დამუშავების მიზნ(ებ)ის გათვალისწინებით, პასუხისმგებელი პირი ვალდებულია გაუმართლებელი დაყოვნების გარეშე უზრუნველყოს არაზუსტ მონაცემთა გასწორება, წაშლა ან განადგურება.

ხსენებული პრინციპის დაცვის მიზნისთვის პასუხისმგებელმა პირმა, კონტექსტიდან გამომდინარე, ფაქტებზე დაფუძნებული მონაცემები უნდა განასხვაოს იმ მონაცემებისგან, რომლებიც პირად შეფასებას ეფუძნება. პირად შეფასებაზე დაფუძნებულ მონაცემებთან მიმართებით კანონის მე-4 მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის ზედმიწევნით დაცვა სავალდებულო არ არის.

რეკომენდაციები:

• სასურველია, დაინერგოს შესაბამისი მონაცემების სიზუსტის შემოწმების პროცედურა, ასევე, აღირიცხოს ინფორმაცია მონაცემთა მოპოვების წყაროს შესახებ.
• უნდა დაინერგოს პერსონალურ მონაცემთა განახლების პროცედურა და საჭიროების შემთხვევაში, განახლდეს არაზუსტი მონაცემები.
• მცდარი ჩანაწერების დამუშავების საჭიროების შემთხვევაში, ჩანაწერებში ნათლად უნდა იყოს მითითებული, რომ იგი წარმოადგენს შეცდომას.
• პასუხისმგებელმა პირმა პატივი უნდა სცეს მონაცემთა სუბიექტის უფლებას, მოითხოვოს მის შესახებ მონაცემთა გასწორება და ყურადღებით განიხილოს მონაცემთა სიზუსტესთან დაკავშირებული ნებისმიერი გამოწვევა.
• პასუხისმგებელმა პირმა, კონტექსტიდან გამომდინარე, ფაქტებზე დაფუძნებული მონაცემები უნდა განასხვაოს იმ მონაცემებისგან, რომლებიც პირად შეფასებას ეფუძნება. ფაქტებზე დაფუძნებული მონაცემების მიმართ კი ზედმიწევნით დაიცვას ნამდვილობისა და სიზუსტის პრინციპი.
• თუ სუბიექტისგან დამოუკიდებლად გამოავლენს პასუხისმგებელი პირი, რომ მის ხელთ არსებული მონაცემები მცდარია, გონივრულ ვადაში უნდა გაასწოროს, განაახლოს ან/და შეავსოს მონაცემები.

მონაცემთა შენახვის ვადის შეზღუდვა: 

კანონის მე-4 მუხლის პირველი პუნქტის „ე“ ქვეპუნქტის თანახმად, „მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად“.

შენახვის ვადის შეზღუდვის პრინციპში მოიაზრება, რომ მონაცემები უნდა წაიშალოს ან განხორციელდეს მათი ანონიმიზაცია, დამუშავების მიზნის მიღწევისთანავე. შენახვის ვადის შეზღუდვის პრინციპი გულისხმობს, რომ პასუხისმგებელმა პირმა წინასწარ უნდა აცნობოს მონაცემთა სუბიექტს შენახვის პერიოდის შესახებ, ასევე, უნდა უზრუნველყოს პრინციპთან შესაბამისობის დემონსტრირება. შესაბამისად, შენახვის ვადები უნდა განისაზღვროს ორგანიზაციის შიგნით, მონაცემთა დამუშავების დაწყებამდე.

რეკომენდაციები:

• პასუხისმგებელმა პირმა უნდა იცოდეს რა პერსონალურ მონაცემს ფლობს და რატომ სჭირდება ეს ინფორმაცია;
• პასუხისმგებელ პირს უნდა შეეძლოს დაასაბუთოს, რატომ ინახავს პერსონალურ მონაცემებს კონკრეტული ვადებით;
• სასურველია, ორგანიზაციას გააჩნდეს სტანდარტული შენახვის ვადების თაობაზე პოლიტიკის დოკუმენტი;
• პერიოდულად უნდა გადაიხედოს ორგანიზაციის მფლობელობაში არსებული მონაცემები და წაიშალოს/განადგურდეს ან მოხდეს ისეთი მონაცემების დეპერსონალიზაცია, რომლებიც აღარ არის საჭირო, თუ კანონით სხვა რამ არ არის განსაზღვრული;
• უნდა დაინერგოს შესაბამისი პროცედურები, რათა შესრულდეს მონაცემთა სუბიექტის მოთხოვნები მონაცემთა წაშლის/განადგურების შესახებ.

მონაცემთა უსაფრთხოება 

კანონის მე-4 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტის თანახმად, „მონაცემების უსაფრთხოების დაცვის მიზნით მონაცემთა დამუშავებისას მიღებული უნდა იქნეს ისეთი ტექნიკური და ორგანიზაციული ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან“.

პერსონალური მონაცემების უსაფრთხოების დაცვა მოითხოვს შესაბამისი ტექნიკური და ორგანიზაციული ზომების დანერგვას, რომელთა მიზანია: მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) თავიდან აცილება და მართვა; მონაცემთა დამუშავების ამოცანების სწორად შესრულება და სხვა პრინციპებთან შესაბამისობის უზრუნველყოფა; და პირთა უფლებების ეფექტიანად განხორციელების ხელშეწყობა.

რეკომენდაციები:

• უნდა გაანალიზდეს, რა რისკები შეიძლება ახლდეს მონაცემთა სუბიექტის მონაცემების დამუშავებას და აღნიშნული გათვალისწინებულ იქნეს უსაფრთხოების ღონისძიებების დანერგვის პროცესში;
• შესაძლებლობის შემთხვევაში, უსაფრთხოების ზომებად გამოყენებულ უნდა იქნეს ფსევდონიმიზაციის მექანიზმი და ასევე, სხვა ტექნიკური და ორგანიზაციული ღონისძიებები;
• უსაფრთხოების ზომები პერიოდულად უნდა გადაიხედოს და საჭიროების შემთხვევაში, განახლდეს.

იხილეთ მეტი:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-4 მუხლი.

პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაციები პერსონალურ მონაცემთა დამუშავების პრინციპების შესახებ, 2024.

მონაცემთა დამუშავების საფუძვლები

მონაცემების დამუშავების საფუძველია:

• მონაცემთა სუბიექტის თანხმობა;
• კანონით განსაზღვრული შემთხვევა/კანონმდებლობით განსაზღვრული საჭიროება;   
• საჭიროება განცხადების განსახილველად/მომსახურების გასაწევად;
• კანონის შესაბამისად მონაცემების საჯაროდ ხელმისაწვდომობა/მონაცემთა სუბიექტის მიერ პირადი ინფორმაციის საჯაროდ ხელმისაწვდომობა;
• მესამე პირის/დამუშავებისთვის პასუხისმგებელი პირის აღმატებული კანონიერი ინტერესი.

იხილეთ მეტი:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-5 მუხლი.

მონაცემთა დაცვის ევროპული საბჭოს რეკომენდაცია 05/2020 თანხმობის შესახებ, 2016/679 რეგულაციის მიხედვით, 2020.

ფიზიკური პირის განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ უზრუნველყოფილია მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის კანონით გათვალისწინებული გარანტიები და არსებობს შესაბამისი საფუძველი.

განსაკუთრებული კატეგორიის მონაცემების დამუშავების საფუძვლები იხილეთ:

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, მე-6 მუხლი.

რეკომენდაცია:

დამუშავებისთვის პასუხისმგებელმა პირმა წინასწარ უნდა განსაზღვროს, თუ რომელი სამართლებრივი საფუძველია რელევანტური კონკრეტული დამუშავების პროცესისთვის. მონაცემთა დამუშავების საფუძვლების განსაზღვრისას, გასათვალისწინებელია:

• მონაცემების კატეგორია;

• მონაცემთა სუბიექტების სპეციფიკური მახასიათებლები;
• მონაცემების დამუშავების კონტექსტი;
• მონაცემების დამუშავების პროცესი;
• მონაცემების დამუშავებისთვის პასუხისმგებელი პირის კომპეტენციის ფარგლები;
• მონაცემთა დამუშავებაში მონაწილის როლი.

მონაცემთა დამუშავების სპეციალურ წესებთან დაკავშირებით იხილეთ მეტი:

 

• პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაცია „რა უნდა ვიცოდეთ ბიომეტრიულ მონაცემთა დამუშავების შესახებ“, 2024.
• პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაციები ვიდეომონიტორინგის და აუდიომონიტორინგის განხორციელების თაობაზე, 2023.