„პერსონალური მონაცემების დაცვის შესახებ“ საქართველოს კანონით კერძო სექტორისათვის განსაზღვრული ახალი ვალდებულებები
როგორც თქვენთვის ცნობილია, 2023 წლის 14 ივნისიდან ამოქმედდა „პერსონალურ მონაცემთა დაცვის შესახებ“ ახალი კანონი (შემდგომში – „კანონი“), რომელმაც ძალადაკარგულად გამოაცხადა მანამდე მოქმედი – საქართველოს 2011 წლის 28 დეკემბრის კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“.
აღნიშნული ცვლილება ემსახურება საქართველოსთვის, როგორც ევროპული ინტეგრაციის პროცესში მყოფი ქვეყნისათვის პერსონალურ მონაცემთა დაცვის შესახებ კანონმდებლობის ევროკავშირის კანონმდებლობასთან ჰარმონიზაციის პროცესსა და ევროპულ სტანდარტებთან დაახლოებას, საქართველოს მიერ საერთაშორისო ვალდებულებების შესრულების, საყოველთაოდ აღიარებული პრინციპებისა და საუკეთესო პრაქტიკის დამკვიდრების გზით. მით უფრო, რომ პერსონალურ მონაცემთა დაცვის საკანონმდებლო ბაზის ჰარმონიზაცია და კონსოლიდაცია წარმოადგენს საქართველოს მიერ ევროპის კავშირთან ასოცირების შეთანხმებითა და ასოცირების დღის წესრიგით ნაკისრ ერთ-ერთ მნიშვნელოვან ვალდებულებას.
ახალი რეგულაციების მიხედვით, მონაცემთა დაცვის დამოუკიდებელი საზედამხედველო ორგანო – პერსონალურ მონაცემთა დაცვის სამსახური აღჭურვილი იქნება სათანადო მექანიზმებითა და უფლებამოსილებებით არამარტო საჯარო, არამედ, უკვე კერძო სექტორთან მიმართებაშიც.
უნდა აღინიშნოს, რომ კანონით დადგენილი ვალდებულებების დარღვევა წარმოადგენს ადმინისტრაციულ სამართალდარღვევას, შესაბამისად, კანონითვე განისაზღვრება პასუხისმგებლობის წესი. პერსონალურ მონაცემთა კანონის დარღვევით დამუშავების გამოვლენის შემთხვევაში სახდელის სახით გამოიყენება გაფრთხილება ან ფულადი ჯარიმა. ამასთან, ორი ან მეტი ადმინისტრაციული სამართალდარღვევის ჩადენის შემთხვევაში ორგანიზაციას ადმინისტრაციული სახდელი ეკისრება თითოეული სამართალდარღვევისათვის ცალ-ცალკე. ამავე დროს, გაიზარდა პერსონალურ მონაცემთა დაცვის კანონმდებლობის დარღვევისათვის ადმინისტრაციული ჯარიმების ოდენობაც. სხვადასხვა დარღვევისათვის დაწესებული ჯარიმის ოდენობა 2 000 დან 20 000 ლარამდე მერყეობს.
კანონით განსაზღვრულ ვალდებულებათა ნაწილი უკვე ძალაშია, ნაწილი კი ეტაპობრივად შევა ძალაში.
რა არის ის მნიშვნელოვანი სიახლეები რაც უშუალო გავლენას მოახდენს სამედიცინო დაწესებულებების მუშაობაზე?
პირველ რიგში, უნდა აღინიშნოს რომ ახალი კანონით გაიზარდა მონაცემთა სუბიექტის უფლებები და შესაბამისად, დადგინდა მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ადეკვატური ვალდებულებები. თქვენ, როგორც პერსონალურ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს, ვალდებულება გაქვთ მონაცემთა დამუშავებისას განუხრელად დაიცვათ კანონით დადგენილი პრინციპები და უზრუნველყოთ მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის კანონით გათვალისწინებული გარანტიები.
თუმცა, ქვემოთ მხოლოდ რამდენიმე მნიშვნელოვან, სპეციფიკურ სიახლეზე გავამახვილებ თქვენს ყურადღებას:
- იმის გათვალისწინებით, რომ ჩვენ ვცხოვრობთ ციფრულ ეპოქაში, ახალი კანონით განსაკუთრებული ყურადღება დაეთმო ელექტრონულ მონაცემთა უსაფრთხოების საკითხებს. კერძოდ, მნიშვნელოვანია აღინიშნოს, რომ კანონი დამუშავებისთვის პასუხისმგებელ პირს ავალდებულებს არამარტო მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები მონაცემთა კანონის შესაბამისად დამუშავების უზრუნველსაყოფად და შეძლოს მონაცემთა დამუშავების კანონთან შესაბამისობის დადასტურება, არამედ ახალი ტექნოლოგიური პროდუქტის შექმნისას (წინსწრებით), გაითვალისწინოს „მონაცემთა მეტად დაფარვის პრიორიტეტი“, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას. აღნიშნული გულისხმობს სისტემის შედგენისას „მინიმიზაციის პრინციპის დაცვას“, სისტემის დანერგვის პროცესში თავდაპირველ ეტაპზე პერსონალურ მონაცემთა მინიმალური, მხოლოდ მიზნის მისაღწევად საჭირო რაოდენობის ჩაშენებას.
- 2024 წლის 1 მარტიდან კანონი ასევე აწესებს მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვისა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულებას. შესაბამისად, თქვენ ვალდებული ხართ აღრიცხოთ და საზედამხვედელო ორგანოს წარუდგინოთ ინფორმაცია პერსონალურ მონაცემთა დამუშავების მიზნების შესახებ, მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიების შესახებ, მონაცემთა შენახვის ვადების შესახებ (თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმების თაობაზე), მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომებისა და სხვა საკითხების შესახებ;
- 2024 წლის 1 მარტიდან ამოქმედდა პერსონალურ მონაცემებთან დაკავშირებული ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება. შესაბამისად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს თითოეული ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს ინციდენტის გარემოებების, სახის, დროისა და კანონით დადგენილი სხვა გარემოებების შესახებ;
- ახალმა კანონმა შემოიღო პერსონალურ მონაცემთა დაცვის ოფიცრის ინსტიტუტიც, რაც ნიშნვს იმას, რომ სამედიცინო დაწესებულება ვალდებულია 2024 წლის 1 ივნისიდან დანიშნოს ან განსაზღვროს პერსონალურ მონაცემთა დაცვის ოფიცერი1, რომელიც შეასრულებს კანონით განსაზღვრულ სხვადასხვა ვალდებულებებს.
გარდა ზემოაღნიშნულისა, კანონი ასევე ადგენს სპეციალურ წესებს არასრულწლოვანის შესახებ მონაცემთა დამუშავებისათვის, გარდაცვლილი პირის შესახებ მონაცემთა დამუშავებისათვის, ბიომეტრიულ მონაცემთა დამუშავების, ვიდეომონიტორინგის თუ აუდიომონიტორინგის განხორციელებაზე და სხვა.
იმისათვის რომ დაწესებულებამ უზრუნველყოს მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის კანონით დაწესებული გარანტიები, საჭიროა მას ჰქონდეს სწორი და მკაცრად გაწერილი პერსონალური მონაცემების დაცვის პოლიტიკა, სტანდარტული სამოქმედო პროცედურები და ჰყავდეს გადამზადებული/კვალიფიცირებული თანამშრომლები.
საკითხის კომპლექსურობის გათვალისწინებით, მიზანშეწონილია ორგანიზაციაში პერსონალურ მონაცემთა დაცვის მდგომარეობის შესწავლისა და კანონთან შესაბამისი სტანდარტების დადგენისათვის მუშაობა რეგულაციების ამოქმედებამდე დაიწყოს, რათა მომავალში თავიდან იქნას აცილებული რეპუტაციული ზიანი თუ ადმინისტრაციული სანქციები.
ნათია ჯალიაშვილი,
ექსპერტ-კონსულტანტი პერსონალურ მონაცემთა დაცვის საკითხებში
