ნაწილი III. კანონშესაბამისობის უზრუნველყოფა
მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას (“Privacy by Design and by Default”)
ახალი პროდუქტის ან მომსახურების შექმნის პროცესში, როგორც დამუშავებისთვის პასუხისმგებელ პირებს, გეკისრებათ ვალდებულება, გაითვალისწინოთ მონაცემთა დაცვის სტანდარტები და დანერგოთ მონაცემთა დამუშავების პრინციპები. დამატებით, მონაცემთა რაოდენობის, მონაცემთა დამუშავების მასშტაბის, შენახვის ვადებისა და მონაცემებზე წვდომის განსაზღვრისას უნდა უზრუნველყოთ ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომელთა საშუალებითაც ავტომატურად დამუშავდება მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია დამუშავების კონკრეტული მიზნის მისაღწევად. აღნიშნული ზომების გამოყენება უნდა მოხდეს იმგვარად, რომ ნებადართული ალტერნატიული მიდგომის არჩევამდე, პირთა განუსაზღვრელი წრისთვის ავტომატურად უზრუნველყოფილი იყოს მონაცემთა მხოლოდ მინიმალურ მოცულობაზე წვდომა.
პერსონალურ მონაცემთა დაცვის სტანდარტების დანერგვისას უნდა გაითვალისწინოთ:
-
- მონაცემთა დამუშავების ხასიათი, კონტექსტი და ფარგლები;
- მონაცემთა დამუშავების თანმხლები რისკები, რომლებმაც, შესაძლოა, გავლენა იქონიოს მონაცემთა სუბიექტების უფლებებსა და თავისუფლებებზე;
- ტექნიკური და ორგანიზაციული ზომების არსებობა მონაცემთა სუბიექტების უფლებებსა და თავისუფლებებთან მიმართებით არსებული რისკების შესამცირებლად;
- იმგვარი ტექნიკური და ორგანიზაციული ზომების არსებობა, რომელთა საშუალებითაც დამუშავდება მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია კონკრეტული მიზნის მისაღწევად.
მაგალითი:
წიგნების მაღაზიას შემოსავლების გაზრდის მიზნით სურს წიგნების ონლაინ გაყიდვა. მაღაზიის მეპატრონემ გადაწყვიტა, შექმნას სტანდარტული ფორმა ონლაინ შეკვეთებისთვის. იმისათვის, რომ მომხმარებლებმა მაღაზიას ყველა საჭირო ინფორმაცია მიაწოდონ, მეპატრონემ ონლაინ ფორმაში არსებული ყველა ველი სავალდებულო გახადა, მათ შორის, მომხმარებლის დაბადების თარიღი, ტელეფონის ნომერი და საცხოვრებელი მისამართი. თუმცა, მითითებული ველები არ არის აუცილებელი წიგნების გაყიდვისა და მიწოდებისთვის.
მაგალითად, როდესაც მომხმარებელს სურს ელექტრონული წიგნის შეკვეთა, მას შეუძლია პროდუქტის ჩამოტვირთვა პირდაპირ თავის მოწყობილობაზე. აღნიშნულის გათვალისწინებით, ინტერნეტ მაღაზიის მფლობელმა, გადაწყვიტა ორი ელექტრონული შესავსები ფორმის შექმნა: ერთი წიგნების შესაკვეთად, სადაც მომხმარებელი მისამართს მიუთითებს, ხოლო მეორე ― ელექტრონული წიგნების გამოსაწერად. ეს უკანასკნელი არ შეიცავს მომხმარებლის მისამართის შესახებ ველს.
აღნიშნული ზომების დანერგვით, მაღაზიის მესაკუთრე დარწმუნდება, რომ გროვდება მხოლოდ იმ მოცულობის პერსონალური ინფორმაცია, რომელიც საჭიროა მონაცემთა დამუშავების მიზნის მისაღწევად.
იხილეთ მეტი:
- საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ 26-ე მუხლი;
- მონაცემთა დაცვის ევროპული საბჭოს სახელმძღვანელო რეკომენდაცია: „მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას.
მონაცემთა დამუშავების აღრიცხვის ვალდებულება
თქვენი, როგორც ორგანიზაციის ვალდებულებაა, წერილობით, მათ შორის, ელექტრონული ფორმით აღრიცხოთ მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაცია. აღნიშნული ჩანაწერები ასახავს დამუშავების პროცესების შესახებ ზოგად მიმოხილვას, რომელიც ფარავს შემდეგ საკითხებს:
- დამუშავებისთვის პასუხისმგებელი პირის, სპეციალური წარმომადგენლის, პერსონალურ მონაცემთა დაცვის ოფიცრის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;
- მონაცემთა დამუშავების მიზანი;
- მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიები;
- მონაცემთა მიმღების (მათ შორის, სხვა სახელმწიფოში არსებული მონაცემთა მიმღების ან საერთაშორისო ორგანიზაციის) კატეგორიები;
- სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების თაობაზე, მათ შორის, პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვა (ასეთის არსებობის შემთხვევაში;
- მონაცემთა შენახვის ვადები, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმები;
- მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;
- ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).
თითოეული დამუშავებაზე უფლებამოსილი პირი და მის მიერ მონაცემთა დამუშავებაში კანონის 36-ე მუხლის მე-7 პუნქტით დადგენილი წესით ჩართული პირი ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:
- დამუშავებაზე უფლებამოსილი პირის, პერსონალურ მონაცემთა დაცვის ოფიცრის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, სპეციალური წარმომადგენლის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;
- დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით განხორციელებული მონაცემთა დამუშავების სახეების შესახებ;
- ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაცია, თუ იგი მონაწილეობს სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის პროცესში;
- მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;
- ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).
თანადამუშავებისთვის პასუხისმგებელმა პირებმა, დამუშავებაზე უფლებამოსილმა პირმა და სპეციალურმა წარმომადგენელმა წარმოდგენილი ინფორმაცია შესაბამისი მოთხოვნისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, უნდა მიაწოდოთ პერსონალურ მონაცემთა დაცვის სამსახურს.
იხილეთ მეტი:
მონაცემთა უსაფრთხოების დარღვევასთან (ინციდენტი) დაკავშირებული ვალდებულებები
რას გულისხმობს მონაცემთა უსაფრთხოების დარღვევა (ინციდენტი)?
ინციდენტი არის მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას. ინციდენტის სახეებია:
- კონფიდენციალურობის დარღვევა – პერსონალური მონაცემების უნებართვო გამჟღავნება ან წვდომა;
- მთლიანობის დარღვევა – პერსონალური მონაცემების უნებართვო შეცვლა, აგრეთვე, არამართლზომიერი ან შემთხვევითი დაზიანება, დაკარგვა;
- ხელმისაწვდომობის დარღვევა – პერსონალურ მონაცემებზე წვდომის დაკარგვა, შეზღუდვა, მონაცემების განადგურება ან წაშლა.
ინციდენტს შედეგად შესაძლოა, მოჰყვეს ფიზიკური, ქონებრივი ან არაქონებრივი ღირებულების მატერიალური ან არამატერიალური ზიანი. ინციდენტის აღმოჩენისთანავე, გეკისრებათ ვალდებულება, შეაფასოთ ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა და სიმძიმე.
ინციდენტი აღმოჩენილად, შესაბამისად, თქვენ ინციდენტის შესახებ ინფორმირებულად მიიჩნევით იმ მომენტიდან, როდესაც მიიღეთ ინფორმაცია ინციდენტის არსებობის შესახებ.
კანონით განისაზღვრება კონკრეტული გარემოებები, რომელთა არსებობის დროსაც ინციდენტის თაობაზე გეკისრებათ პერსონალურ მონაცემთა დაცვის სამსახურის და, ასევე, რიგ შემთხვევებში, მონაცემთა სუბიექტის ინფორმირების ვალდებულება.
რა შემთხვევაში უნდა მიაწოდოთ ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურს ინციდენტთან დაკავშირებით?
თქვენ გეკისრებათ ვალდებულება, ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა, მის შესახებ შეატყობინოთ სამსახურს, თუ ინციდენტი საშუალო ან მაღალი ალბათობით მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
თუკი ინციდენტის სრულყოფილად შეფასება მისი აღმოჩენიდან 72 საათში ვერ ხერხდება, მაგრამ არსებობს გონივრული ეჭვის საფუძველი, რომ საშუალო ან მაღალი ალბათობით ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, თქვენ არ უნდა დაელოდოთ ინციდენტის შეფასების დასრულებას და ინციდენტის შესახებ უნდა შეატყობინოთ სამსახურს.
რა ფორმით უნდა მიეწოდოს ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურს?
პერსონალურ მონაცემთა დაცვის სამსახურს ინციდენტის თაობაზე ინფორმაცია უნდა მიაწოდოთ წერილობით ან ელექტრონულად. თუ ინციდენტი შეეხება სახელმწიფო საიდუმლოების შემცველ ინფორმაციას, სამსახურს აღნიშნულის თაობაზე უნდა ეცნობოს კანონით დადგენილი წესით.
რა ინფორმაციას უნდა შეიცავდეს პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინება?
პერსონალურ მონაცემთა დაცვის სამსახურს ინციდენტის თაობაზე უნდა მიაწოდოთ ინფორმაცია:
- ინციდენტის გარემოებების, სახისა და დროის შესახებ;
- ინციდენტის შედეგად უნებართვოდ გამჟღავნებული, დაზიანებული, წაშლილი, განადგურებული, მოპოვებული, დაკარგული, შეცვლილი მონაცემების სავარაუდო კატეგორიებისა და რაოდენობის, აგრეთვე იმ მონაცემთა სუბიექტების სავარაუდო კატეგორიებისა და რაოდენობის შესახებ, რომლებსაც ინციდენტის შედეგად შეექმნათ საფრთხე;
- ინციდენტით გამოწვეული სავარაუდო ზიანის, მისი შემცირების ან აღმოფხვრის მიზნით დამუშავებისთვის პასუხისმგებელი პირის მიერ განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;
- იმის შესახებ, გეგმავს თუ არა დამუშავებისთვის პასუხისმგებელი პირი, ინციდენტის შესახებ შეატყობინოს მონაცემთა სუბიექტს (მონაცემთა სუბიექტებს) ამ კანონის 30-ე მუხლით დადგენილი წესით და რა ვადაში;
- პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის მონაცემების თაობაზე.
რა შემთხვევაში გეკისრებათ ინციდენტის თაობაზე მონაცემთა სუბიექტის ინფორმირების ვალდებულება?
თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, თქვენ გეკისრებათ ვალდებულება ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე, მის შესახებ აცნობოთ მონაცემთა სუბიექტს. გაითვალისწინეთ, რომ მონაცემთა უსაფრთხოების დარღვევის თაობაზე მონაცემთა სუბიექტისთვის მიწოდებული ინფორმაცია უნდა იყოს მარტივი და გასაგები.
მონაცემთა სუბიექტს უნდა მიეწოდოს შემდეგი ინფორმაცია:
- ინციდენტისა და მასთან დაკავშირებული გარემოებების ზოგადი აღწერა;
- ინციდენტით გამოწვეული სავარაუდო/დამდგარი ზიანის, მის შესამცირებლად ან აღმოსაფხვრელად განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;
- პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა პირის საკონტაქტო მონაცემები.
თუ მონაცემთა სუბიექტის ინფორმირება არაპროპორციულად დიდ ხარჯებს ან ძალისხმევას მოითხოვს, აუცილებელია, ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია გაავრცელოთ საჯაროდ ან სხვა ისეთი ფორმით, რომელიც ჯეროვნად უზრუნველყოფს მონაცემთა სუბიექტის მიერ ინფორმაციის მიღების შესაძლებლობას.
იხილეთ მეტი:
- საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, 29-ე მუხლი;
- პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანება ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმებისა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესის დამტკიცების შესახებ;
- პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაციები „ინციდენტთან დაკავშირებული ღონისძიებების განხორციელების თაობაზე“.
მონაცემთა დაცვაზე ზეგავლენის შეფასება
რას წარმოადგენს მონაცემთა დაცვაზე ზეგავლენის შეფასება?
როდესაც მონაცემთა დამუშავების შედეგად, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, თქვენი, როგორც დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებაა, წინასწარ განახორციელოთ მონაცემთა დაცვაზე ზეგავლენის შეფასება. აღნიშნულის მიზანია რისკების შემცირება და „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონთან შესაბამისობის უზრუნველყოფა.
როდის უნდა განხორციელდეს მონაცემთა დაცვაზე ზეგავლენის შეფასება?
თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, გეკისრებათ მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელების ვალდებულება. დამატებით, ზეგავლენის შეფასება აუცილებელია, თუ:
- მონაცემთა სუბიექტისთვის სამართლებრივი, ფინანსური ან სხვა სახის არსებითი მნიშვნელობის შედეგის მქონე გადაწყვეტილებას იღებთ სრულად ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე;
- ამუშავებთ დიდი რაოდენობით მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემებს;
- ახორციელებთ მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს საზოგადოებრივი თავშეყრის ადგილებში.
რა ფორმით უნდა განხორციელდეს მონაცემთა დაცვაზე ზეგავლენის შეფასება და რა ინფორმაციას უნდა მოიცავდეს იგი?
მონაცემთა დაცვაზე ზეგავლენის შეფასებისას თქვენი ვალდებულებაა, შექმნათ წერილობითი დოკუმენტი, რომელიც შეიცავს:
- მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;
- ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.
მონაცემთა დამუშავების პროცესის არსებითი ცვლილების შემთხვევაში, აუცილებელია, განაახლოთ მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი. ამასთან, აღნიშნული დოკუმენტის შენახვა სავალდებულოა მონაცემთა დამუშავების მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში − არანაკლებ 1 წლის ვადით.
თუ მონაცემთა დაცვაზე ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, აუცილებელია, მიიღოთ ყველა სათანადო ზომა საფრთხეების არსებითად შესამცირებლად და, საჭიროების შემთხვევაში, კონსულტაციის მიზნით მიმართოთ პერსონალურ მონაცემთა დაცვის სამსახურს. თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.
იხილეთ მეტი:
- საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, 31-ე მუხლი;
- პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანება მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმებისა და შეფასების წესის დამტკიცების შესახებ;
- პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაციები „მონაცემთა დაცვაზე ზეგავლენის შეფასების (DPIA) შესახებ“.
პერსონალურ მონაცემთა დაცვის ოფიცერი
რა შემთხვევაში გეკისრებათ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულება?
თუ დამუშავებისთვის პასუხისმგებელი პირი წარმოადგენს სადაზღვევო ორგანიზაციას, კომერციულ ბანკს, მიკროსაფინანსო ორგანიზაციას, საკრედიტო ბიუროს, ელექტრონული კომუნიკაციის კომპანიას, ავიაკომპანიას, აეროპორტს, სამედიცინო დაწესებულებას, აგრეთვე, თუკი ამუშავებთ დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებთ მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს, ვალდებულნი ხართ დანიშნოთ ან განსაზღვროთ პერსონალურ მონაცემთა დაცვის ოფიცერი.
აუცილებელია, რომ პერსონალურ მონაცემთა დაცვის ოფიცერი:
- ჩართული იყოს მონაცემთა დამუშავებასთან დაკავშირებით მნიშვნელოვანი გადაწყვეტილების მიღების პროცესში;
- აღიჭურვოს სათანადო რესურსებით;
- იყოს დამოუკიდებელი საქმიანობის განხორციელებისას.
ვის არ ეკისრება პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ან განსაზღვრის ვალდებულება?
პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა/განსაზღვრა არ ევალება იმ დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს, რომელიც ერთდროულად აკმაყოფილებს შემდეგ პირობებს:
- არ არის სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი, სამედიცინო დაწესებულება;
- ამუშავებს შემდეგი რაოდენობის მონაცემთა სუბიექტის პერსონალურ მონაცემებს:
- საქართველოს მოსახლეობის არაუმეტეს 3 პროცენტისა, რომელიც გამოითვლება მოსახლეობის საყოველთაო აღწერის ბოლო შედეგების მიხედვით;
- საქართველოს მოსახლეობის არაუმეტეს 1 პროცენტის განსაკუთრებული კატეგორიის პერსონალურ მონაცემებს, რომელიც გამოითვლება მოსახლეობის საყოველთაო აღწერის ბოლო შედეგების მიხედვით;
- არ ახორციელებს მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს.
ვალდებულების არარსებობის მიუხედავად, შესაძლებელია თუ არა პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა?
თქვენ უფლებამოსილი ხართ, ვალდებულების არარსებობის მიუხედავად, დანიშნოთ პერსონალურ მონაცემთა დაცვის ოფიცერი. თუმცა, მისი ნებაყოფლობით დანიშვნის/განსაზღვრის შემთხვევაში, აუცილებელია, გაითვალისწინოთ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან/განსაზღვრასთან დაკავშირებით „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით დადგენილ ყველა ვალდებულება.
იხილეთ მეტი:
- საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, 33-ე მუხლი;
- პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანება დამუშავებისთვის პასუხისმგებელ პირთა და დამუშავებაზე უფლებამოსილ პირთა წრის განსაზღვრის შესახებ, რომლებსაც არ აქვთ ვალდებულება დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი;
- პერსონალურ მონაცემთა დაცვის სამსახურის რეკომენდაციები „პერსონალურ მონაცემთა დაცვის ოფიცრის შესახებ“;
- პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემუშავებული „მინიმალური სტანდარტი პერსონალურ მონაცემთა დაცვის ოფიცრებისთვის“.
მონაცემთა საერთაშორისო გადაცემასთან დაკავშირებული ვალდებულებები
კანონის თანახმად, მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ არსებობს მონაცემთა დამუშავების ამ კანონით გათვალისწინებული მოთხოვნები და შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები.
გარდა აღნიშნულისა, მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ:
- მონაცემთა გადაცემა გათვალისწინებულია საქართველოს საერთაშორისო ხელშეკრულებითა და შეთანხმებით;
- დამუშავებისთვის პასუხისმგებელი პირი უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს დამუშავებისთვის პასუხისმგებელ პირსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს სათანადო საჯარო დაწესებულებას, იურიდიულ პირს ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულებით (აღნიშნული საფუძვლით მონაცემთა გადაცემა შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის მიღების შემდეგ);
- მონაცემთა გადაცემა გათვალისწინებულია საქართველოს სისხლის სამართლის საპროცესო კოდექსით (საგამოძიებო მოქმედების განხორციელების მიზნით), „უცხოელთა და მოქალაქეობის არმქონე პირთა სამართლებრივი მდგომარეობის შესახებ“ საქართველოს კანონით, „სისხლის სამართლის სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „სამართალდაცვით სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის ან „ფულის გათეთრებისა და ტერორიზმის დაფინანსების აღკვეთის ხელშეწყობის შესახებ“ საქართველოს კანონის საფუძველზე მიღებული ნორმატიული აქტით;
- შესაბამის სახელმწიფოში მონაცემთა დაცვის სათანადო გარანტიების არარსებობისა და შესაძლო საფრთხეების შესახებ ინფორმაციის მიღების შემდეგ მონაცემთა სუბიექტი განაცხადებს წერილობით თანხმობას;
- მონაცემთა გადაცემა აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არ აქვს, მონაცემთა დამუშავებაზე თანხმობა განაცხადოს;
- არსებობს კანონის შესაბამისად მნიშვნელოვანი საჯარო ინტერესი (მათ შორის, დანაშაულის თავიდან აცილება, გამოძიება, გამოვლენა და სისხლისსამართლებრივი დევნა, სასჯელის აღსრულება და ოპერატიულ-სამძებრო ღონისძიებების განხორციელება) და მონაცემთა გადაცემა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში.
თავის მხრივ, თქვენ გეკისრებათ ვალდებულება, მიიღოთ მონაცემთა უსაფრთხო გადაცემისთვის აუცილებელი ორგანიზაციული და ტექნიკური ზომები.
ამასთან, სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემული მონაცემების შემდგომი გადაცემა მესამე მხარისთვის დასაშვებია მხოლოდ იმ შემთხვევაში, თუ მონაცემთა შემდგომი გადაცემა ემსახურება თავდაპირველ მიზნებს და აკმაყოფილებს მონაცემთა გადაცემისთვის ამ მუხლით გათვალისწინებულ საფუძვლებსა და მონაცემთა დაცვის სათანადო გარანტიებს.
იხილეთ მეტი:
- საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, V თავი;
- პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანება პერსონალურ მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის თაობაზე ნებართვის გაცემის წესის და პერსონალურ მონაცემთა სხვა სახელმწიფოს ან/და საერთაშორისო ორგანიზაციისათვის გადაცემის თაობაზე განაცხადის ფორმის დამტკიცების შესახებ;