პერსონალური მონაცემების დაცვა ბიზნესისთვის საქართველოში: რა უნდა გაითვალისწინოს კომპანიამ 2026 წელს

პერსონალური მონაცემების დაცვა ბიზნესისთვის საქართველოში: რა უნდა გაითვალისწინოს კომპანიამ 2026 წელს

შესავალი: რა შეიცვალა 2026 წლის 2 მარტს?

2026 წლის 2 მარტიდან პერსონალურ მონაცემთა დაცვის სამსახური გაუქმდა და მისი ფუნქციები - ზედამხედველობა, შემოწმებები, ინციდენტების განხილვა, სუბიექტების განცხადებების მიღება - სახელმწიფო აუდიტის სამსახურს გადაეცა.

ეს ცვლილება ღია კითხვებს ბადებს. პერსონალურ მონაცემთა დაცვის სამსახური სპეციალიზებული, ცალ-ცალკე ჩამოყალიბებული ინსტიტუცია იყო, ხოლო სახელწიფო აუდიტის სამსახურის ძირითადიმანდატი სახელმწიფო ფინანსების კონტროლია. ახალი სტრუქტურის სპეციალიზებული კომპეტენციადა სიჩქარე ჯერ კიდევ გამოსაცდელია. ბიზნესმა და სამოქალაქო სექტორმა ამ განვითარებასყურადღებით უნდა ადევნოს თვალი.

რა არ შეიცვალა: კანონის მოთხოვნები - ვალდებულებები, ჯარიმები, სუბიექტების უფლებები - სრულ ძალაშია.

ოფიციალური საკონტაქტო: სახელმწიფო აუდიტის სამსახური - sao.ge

ნაწილი I: ვის ეხება კანონი?

კანონი “პერსონალურ მონაცემთა დაცვის შესახებ” ვრცელდება ყველა პირსა თუ ორგანიზაციაზე, რომელიც

• საქართველოს ტერიტორიაზე ავტომატური ან ნახევრად ავტომატური საშუალებებითამუშავებს მონაცემებს;

• ან საქართველოს ფარგლებს გარეთ არის დაფუძნებული, მაგრამ საქართველოში არსებულიტექნიკური საშუალებებით ამუშავებს ადგილობრივ მონაცემებს.

ეს ნიშნავს, რომ კანონი ეხება: ყველა კომპანიას, დაწესებულებას, სადაც მიმდინარეობს ადამიანის პერსონალური მონაცემების დამუშავება. ვიდეო, აუდიომონიტორინგი .

გამონაკლისი: ფიზიკური პირის სრულიად პირადი და საოჯახო საქმიანობა, რომელსაც სამეწარმეოან პროფესიულ საქმიანობასთან კავშირი არ აქვს. ამასთან, კანონის მოქმედება არ ვრცელდება იურიდიული პირის პერსონალური მონაცემების დამუშავებაზე. კანონის ორიენტირი არის ფიზიკური პირის პერსონალური მონაცემები.

ნაწილი II: რა არის პერსონალური მონაცემი?

სტანდარტული პერსონალური მონაცემი

სახელი, გვარი, პირადი ნომერი, ელ-ფოსტა, ტელეფონის ნომერი, IP მისამართი, Cookie-იდენტიფიკატორები, გეოლოკაცია, ანგარიშის ნომრები.

განსაკუთრებული კატეგორიის მონაცემი

კანონი განსაკუთრებულ კატეგორიად განიხილავს მონაცემებს, რომლებიც შეეხება:

• ჯანმრთელობასა და ფსიქიკური მდგომარეობას

• რასობრივ ან ეთნიკურ წარმომავლობას

• პოლიტიკურ შეხედულებებს, რელიგიას, ფილოსოფიურ მრწამსს

• პროფკავშირში წევრობას

• სექსუალურ ცხოვრებასა და ორიენტაციას

• ბიომეტრიულ და გენეტიკურ მონაცემებს (სახის გამოსახულება, დაქტილოსკოპიური მონაცემი)

• სისხლის სამართლის ჩანაწერებს, მსჯავრდებასა და გამართლებას

⚠️ პრაქტიკული გაფრთხილება: ბიომეტრიული პირის განსაზღვრისთვის გამოყენებულივიდეომეთვალყურეობა (მაგ. სახის ამომცნობი სისტემები) განსაკუთრებული კატეგორიის მონაცემია და საკმაოდ სარისკოა აღნიშნულის პირდაპირ გამოყენება დაწესებულებაში.

ნაწილი III: დამუშავების 7 პრინციპი

ეს პრინციპები კანონის “ხერხემალია” - ყველა სხვა ვალდებულება ამ საფუძველზეა აგებული:

ყველაზე ხშირად დარღვეული პრინციპი პრაქტიკაში: კომპანიები არ ინახავენ პერსონალურ მონაცემებს იმ ვადით, რაც გათვალისწინებულია კონკრეტული მიზნის შესასრულებლად და აღნიშნული ვადის გასვლის შემდეგაც არ შლიან. ამასთან, ამუშავებენ იმაზე მეტ მონაცემებს, ვიდრე მათ სჭირდებათ.

ნაწილი IV: დამუშავების სამართლებრივი საფუძვლები

ყოველი დამუშავება უნდა ეყრდნობოდეს ერთ-ერთ ამ საფუძველს.

სტანდარტული მონაცემებისთვის

1. თანხმობა - უნდა იყოს კონკრეტული, ინფორმირებული და თავისუფლად გამოხატული. სუბიექტსნებისმიერ დროს შეუძლია მისი გამოხმობა. თანხმობა მხოლოდ სუბიექტის აქტიური მოქმედებითითვლება მოპოვებულად.

2. ხელშეკრულების შესრულება - გამოიყენება მაშინ, როდესაც დამუშავება პირდაპირაუცილებელია სუბიექტთან გაფორმებული ხელშეკრულების შესასრულებლად მნიშვნელოვანია: ესსაფუძველი ავტომატურად არ ვრცელდება დამატებით დამუშავებაზე - მაგ: მარკეგინზე, აღნიშნულს სჭირდება ცალკე საფუძველი.

3. სამართლებრივი ვალდებულება - გამოიყენება, როდესაც დამუშავება კანონმდებლობისპირდაპირი მოთხოვნაა (მაგ. საგადასახადო კოდექსი, შრომის კოდექსი).

4. სასიცოცხლო ინტერესების დაცვა - ვიწრო, გამონაკლისი საფუძველი, რომელიც ძირითადადსამედიცინო გადაუდებელ სიტუაციებში გამოიყენება, სადაც სუბიექტი ფიზიკურად ან იურიდიულადვერ გამოხატავს თანხმობას. კომერციული მიზნებისთვის პრაქტიკულად გამოუყენებელია.

5. საჯარო ინტერესი - ძირითადად საჯარო დაწესებულებებისთვის განკუთვნილი საფუძველი.

6. ლეგიტიმური ინტერესი — კონტროლერს ან მესამე პირს შეიძლება ჰქონდეს გამართლებულიინტერესი მონაცემების დამუშავებაში, თუ ეს ინტერესი ჭარბობს სუბიექტის ძირეულ უფლებებსა დაინტერესებს. აღნიშნულის პირდაპირ შეფასება საკმაოდ რთულია და აუცილებელია წინასწარ სრული დოკუმენტაციის შემოწმება.

განსაკუთრებული კატეგორიის მონაცემებისთვის

ამ კატეგორიის დამუშავება ნაგულისხმევად აკრძალულია - გარდა კანონით პირდაპირგათვალისწინებული გამონაკლისებისა. ყველაზე ხშირად გამოყენებადი საფუძველი - წერილობითითანხმობა, რომელიც სტანდარტული თანხმობისგან განსხვავდება: ზეპირი ან ნაგულისხმევითანხმობა საკმარისი არ არის - კანონი ხელმოწერილ ან ელექტრონულ ფორმას ითხოვს.  

ნაწილი V: ბიზნესის ძირითადი ვალდებულებები

1. გამჭვირვალობა და ინფორმირება

პერსონალური მონაცემების დამუშავების პოლიტიკა აუცილებელია, მაგრამ ის ვერჩაანაცვლებს მოკლე, გასაგებ შეტყობინებას მონაცემების შეგროვების მომენტში. ფორმისშევსებისას, ანგარიშის გახსნისას - სუბიექტმა უნდა მიიღოს ინფორმაცია იმის შესახებ თუ:

• ვინ ამუშავებს მონაცემებს

• რა მიზნით მუშავდება

• რა სამართლებრივი საფუძვლით

• DPO-ს საკონტაქტო (თუ დანიშნულია)

• მონაცემთა მიმღებები (მესამე პირები, გადამცემი ქვეყნები)

• შენახვის ვადა

• სუბიექტის უფლებები

მნიშვნელოვანი და გასათვალისწინებელი საკითხები: პრაქტიკული შემოწმების სიაბიზნესისთვის

კანონთან შესაბამისობა იწყება არა იურიდიული დოკუმენტებიდან, არამედ მარტივი კითხვებიდან - რას ამუშავებთ, რატომ და როგორ. ქვემოთ მოცემულია ის საკითხები, რომლებიც ყველა კომპანიამუნდა გადაამოწმოს.

მონაცემთა ინვენტარიზაცია. შეამოწმეთ, რა კატეგორიის პერსონალური მონაცემები გაქვთ - კლიენტების, თანამშრომლების, სტუმრების. გაარკვიეთ, სად ინახება (ლოკალურ სერვერზე, ღრუბელში, ელ-ფოსტაში), ვის აქვს წვდომა და, რაც განსაკუთრებით მნიშვნელოვანია - რა ვადით. მონაცემები, რომლებიც იმაზე მეტი ვადით ინახება, ვიდრე დადგენილია, წარმოადგენს კანონის დარღვევას. თუ შეუძლებელია კონკრეტული ვადის განსაზღვრა, უნდა განისაზღვროს კონკრეტული მიზანი, რა მიზნის მისაღწევადაც ინახება მონაცემები და აღნიშნული მიზნის მიღწევის შემდგომ წაიშალოს ან/და შენახულ იქნას დეპერსონალიზებული ფორმით.

ვიდეომეთვალყურეობა. თუ კომპანიაში ვიდეოკამერები გამოიყენება, კანონი ზუსტ მოთხოვნებსადგენს: ჩაწერის მიზანი განსაზღვრული უნდა იყოს, სუბიექტები ინფორმირებული - თვალსაჩინოგამაფრთხილებელი ნიშნით, ჩანაწერის შენახვის ვადა კი - ფიქსირებული. განსაკუთრებულისიფრთხილეა საჭირო, თუ კამერა სამუშაო ადგილს აკვირდება - ასეთ შემთხვევაში დამატებითისაფუძველი სჭირდება. მხოლოდ ის არგუმენტი, რომ სამუშაო სივრცეში ვიდეომონიტორინგი საჭიროა იმისათვის, რომ დასაქმებულების მუშობის ეფექტურობა შემოწმდეს გაუმართლებელია.

აუდიომეთვალყურეობა. აღნიშნული არის საკმაოდ საფრთხილო და რისკის შემცველი. კომპანიამ უნდა გაითვალისწინოს, რომ აუდიომონიტორინგი დასაშვებია შემდეგ შემთხვევაში: ა) მონაცემთა სუბიექტის თანხმობით; ბ) საოქმო ჩანაწერის საწარმოებლად; გ) დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად; დ) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში. ამიტომ, აუდიომონიტორინგის განხორციელების სურვილის შემთხვევაში, რეკომენდებულია კომპანიამ დეტალური კონსულტაცია გაიაროს

პირდაპირი მარკეტინგი. შეამოწმეთ, რა საფუძვლით აგზავნით სარეკლამო SMS-ებს ანელ-ფოსტებს. სია, რომელიც “ოდესღაც შეგროვდა” ან “პირდაპირ შეიძინეთ” საკმარისი არ არის. საჭიროა წინასწარი, გამოხმობადი თანხმობა. ამასთან, თუ თანხმობა არ იქნა მიღებული კონკრეტული პირისაგან და მან განაცხადა უარი პირდაპირი მარკეტინგის მიზნით მონაცემების დამუშავებაზე, აღნიშნულის უგულებელყოფა გამოიწვევს სანქციას.

თანამშრომლების ინფორმირება. პერსონალური მონაცემების დაცვის ყველაზე ხშირი “ხვრელი” ადამიანური ფაქტორია. აუცილებელია, რომ თითოეული თანამშრომელი იყოს გადამზადებული, ინფორმირებული, როგორც მისი პერსონალური მონაცემების დამუშვების შესახებ, ისე კომპანიის პოლიტიკის შესახებ, რომელიც ამ მიმართულებით არსებობს.