პერსონალური მონაცემების დაცვა ბიზნესისთვის საქართველოში: რა უნდა გაითვალისწინოს კომპანიამ 2026 წელს

პერსონალური მონაცემების დაცვა ბიზნესისთვის საქართველოში: რა უნდა გაითვალისწინოს კომპანიამ 2026 წელს

რა შეიცვალა 2026 წლის 2 მარტს?

2026 წლის 2 მარტიდან პერსონალურ მონაცემთა დაცვის სამსახური გაუქმდა, ხოლო მისი ფუნქციები - ზედამხედველობა, ინსპექტირება, ინციდენტების განხილვა და მონაცემთა სუბიექტების განცხადებებზე რეაგირება - სახელმწიფო აუდიტის სამსახურს გადაეცა.

აღნიშნული ცვლილება გარკვეულ კითხვებს ბადებს: პერსონალურ მონაცემთა დაცვის სამსახური წარმოადგენდა სპეციალიზებულ, დამოუკიდებელ ინსტიტუციას, მაშინ როდესაც სახელმწიფო აუდიტის სამსახურის ძირითადი მანდატი სახელმწიფო ფინანსების ხარჯვის კონტროლია. ახალი სტრუქტურის ფარგლებში სპეციალიზებული კომპეტენციის ეფექტიანობა და რეაგირების სისწრაფე ჯერ კიდევ გამოსაცდელია, რის გამოც ბიზნესსექტორმა და სამოქალაქო საზოგადოებამ ამ პროცესს ყურადღებით უნდა ადევნოს თვალი.

რა დარჩა უცვლელი? კანონის ძირითადი მოთხოვნები - ვალდებულებები, სანქციები და მონაცემთა სუბიექტების უფლებები - სრული ძალით ნარჩუნდება. ოფიციალური საკონტაქტო უწყებაა სახელმწიფო აუდიტის სამსახური

ვისზე ვრცელდება კანონი?

საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ ვრცელდება ყველა ფიზიკურ პირსა თუ ორგანიზაციაზე, რომელიც:

• საქართველოს ტერიტორიაზე ავტომატური ან ნახევრად ავტომატური საშუალებებით ამუშავებს მონაცემებს;

• დაფუძნებულია საქართველოს ფარგლებს გარეთ, თუმცა ქვეყნის ტერიტორიაზე არსებული ტექნიკური საშუალებების გამოყენებით ახორციელებს ადგილობრივი მონაცემების დამუშავებას.

პრაქტიკაში ეს ნიშნავს, რომ კანონი ეხება: ყველა კომპანიასა და დაწესებულებას, სადაც მიმდინარეობს ფიზიკურ პირთა პერსონალური მონაცემების დამუშავება, მათ შორის, ვიდეო და აუდიომონიტორინგის საშუალებით.

გამონაკლისი: კანონი არ ვრცელდება ფიზიკური პირის მიერ მონაცემთა დამუშავებაზე მხოლოდ პირადი ან საოჯახო მიზნებისთვის, თუ აღნიშნული საქმიანობა არ უკავშირდება სამეწარმეო ან პროფესიულ საქმიანობას. აქვე უნდა აღინიშნოს, რომ კანონის რეგულირების სფერო არ მოიცავს იურიდიული პირის მონაცემთა დამუშავებას - კანონის მთავარი ორიენტირი ფიზიკური პირის პერსონალური მონაცემების დაცვაა.

ნაწილი II: რა არის პერსონალური მონაცემი?

სტანდარტული პერსონალური მონაცემი

სახელი, გვარი, პირადი ნომერი, ელ-ფოსტა, ტელეფონის ნომერი, IP მისამართი, Cookie-იდენტიფიკატორები, გეოლოკაცია, ანგარიშის ნომრები.

განსაკუთრებული კატეგორიის მონაცემი

კანონი განსაკუთრებულ კატეგორიად განიხილავს მონაცემებს, რომლებიც შეეხება:

• ჯანმრთელობასა და ფსიქიკური მდგომარეობას

• რასობრივ ან ეთნიკურ წარმომავლობას

• პოლიტიკურ შეხედულებებს, რელიგიას, ფილოსოფიურ მრწამსს

• პროფკავშირში წევრობას

• სექსუალურ ცხოვრებასა და ორიენტაციას

• ბიომეტრიულ და გენეტიკურ მონაცემებს (სახის გამოსახულება, დაქტილოსკოპიური მონაცემი)

• სისხლის სამართლის ჩანაწერებს, მსჯავრდებასა და გამართლებას

⚠️ პრაქტიკული გაფრთხილება: ბიომეტრიული პირის განსაზღვრისთვის გამოყენებულივიდეომეთვალყურეობა (მაგ. სახის ამომცნობი სისტემები) განსაკუთრებული კატეგორიის მონაცემია და საკმაოდ სარისკოა აღნიშნულის პირდაპირ გამოყენება დაწესებულებაში.

ნაწილი III: დამუშავების 7 პრინციპი

ეს პრინციპები კანონის “ხერხემალია” - ყველა სხვა ვალდებულება ამ საფუძველზეა აგებული:

მონაცემთა ნებისმიერი დამუშავება უნდა ეყრდნობოდეს კანონით განსაზღვრულ ერთ-ერთ საფუძველს. სტანდარტული კატეგორიის მონაცემებისთვის ეს საფუძვლებია:

1. თანხმობა - უნდა იყოს კონკრეტული, ინფორმირებული და თავისუფლად გამოხატული. მნიშვნელოვანია, რომ თანხმობა მოპოვებულად ითვლება მხოლოდ სუბიექტის აქტიური მოქმედებით. ამასთან, სუბიექტს აქვს უფლება, ნებისმიერ დროს გამოიხმოს იგი.

2. ხელშეკრულების შესრულება - გამოიყენება მაშინ, როდესაც დამუშავება პირდაპირ აუცილებელია სუბიექტთან გაფორმებული ხელშეკრულების პირობების შესასრულებლად.

   • შენიშვნა: ეს საფუძველი ავტომატურად არ ვრცელდება დამატებით დამუშავებაზე (მაგალითად, მარკეტინგზე), რისთვისაც ცალკე სამართლებრივი საფუძველია საჭირო.

3. სამართლებრივი ვალდებულება - გამოიყენება, როდესაც დამუშავება კანონმდებლობის პირდაპირი მოთხოვნაა (მაგალითად: საგადასახადო ან შრომის კოდექსით განსაზღვრული ვალდებულებები).

4. სასიცოცხლო ინტერესების დაცვა - ვიწრო, გამონაკლისი საფუძველი, რომელიც ძირითადად სამედიცინო, გადაუდებელ სიტუაციებში გამოიყენება, როდესაც სუბიექტი ფიზიკურად ან იურიდიულად ვერ ახერხებს თანხმობის გამოხატვას. კომერციული მიზნებისთვის ეს საფუძველი პრაქტიკულად არ გამოიყენება.

5. საჯარო ინტერესი - ძირითადად საჯარო დაწესებულებებისთვის განკუთვნილი საფუძველია, რომელიც მათზე დაკისრებული უფლებამოსილების განხორციელებას უკავშირდება.

6. ლეგიტიმური ინტერესი - მონაცემთა დამუშავება დასაშვებია, თუ კონტროლერის ან მესამე პირის ინტერესი ჭარბობს სუბიექტის უფლებებსა და ინტერესებს. ამ საფუძვლის გამოყენება საჭიროებს სიღრმისეულ შეფასებას და წინასწარ დოკუმენტირებას.

განსაკუთრებული კატეგორიის მონაცემებისთვის

ამ კატეგორიის დამუშავება ნაგულისხმევად აკრძალულია - გარდა კანონით პირდაპირგათვალისწინებული გამონაკლისებისა. ყველაზე ხშირად გამოყენებადი საფუძველი - წერილობითითანხმობა, რომელიც სტანდარტული თანხმობისგან განსხვავდება: ზეპირი ან ნაგულისხმევითანხმობა საკმარისი არ არის - კანონი ხელმოწერილ ან ელექტრონულ ფორმას ითხოვს.  

ნაწილი V: ბიზნესის ძირითადი ვალდებულებები

1. გამჭვირვალობა და ინფორმირების ვალდებულება

მხოლოდ „მონაცემთა დამუშავების პოლიტიკის“ (Privacy Policy) არსებობა საკმარისი არ არის. იგი ვერ ჩაანაცვლებს მოკლე, გასაგებ და ხელმისაწვდომ შეტყობინებას უშუალოდ მონაცემთა შეგროვების მომენტში.

ნებისმიერი ფორმის შევსებისას, ანგარიშის გახსნისას ან მომსახურების დაწყებისას, მონაცემთა სუბიექტმა უნდა მიიღოს მკაფიო ინფორმაცია შემდეგ საკითხებზე:

• ვინაობა: ვინ არის მონაცემთა დამუშავებაზე პასუხისმგებელი პირი (კონტროლერი);

• მიზნობრიობა: რა კონკრეტული მიზნით ხდება მონაცემების შეგროვება;

• სამართლებრივი საფუძველი: რომელი სამართლებრივი საფუძვლით (მაგ. თანხმობა, ხელშეკრულება) მუშავდება ინფორმაცია;

• DPO-ს კონტაქტი: მონაცემთა დაცვის ოფიცრის საკონტაქტო მონაცემები (ასეთის არსებობის შემთხვევაში);

• ადრესატები: ინფორმაცია მესამე პირებისა და იმ ქვეყნების შესახებ, სადაც შესაძლოა გადაიგზავნოს მონაცემები;

• შენახვის ვადა: რა დროით იქნება შენახული პერსონალური ინფორმაცია;

• სუბიექტის უფლებები: ინფორმაცია იმის შესახებ, თუ როგორ შეუძლია პირს საკუთარი უფლებების რეალიზება (მაგ. მონაცემთა გასწორება ან წაშლა)

პრაქტიკული გზამკვლევი ბიზნესისთვის: საიდან დავიწყოთ?

კანონთან შესაბამისობა იწყება არა რთული იურიდიული დოკუმენტაციიდან, არამედ ფუნდამენტური კითხვებიდან: რას ვამუშავებთ, რატომ და როგორ? ქვემოთ მოცემულია ის ძირითადი საკითხები, რომლებიც ყველა კომპანიამ პრიორიტეტულად უნდა გადაამოწმოს:

მონაცემთა ინვენტარიზაცია. შეამოწმეთ, რა კატეგორიის პერსონალური მონაცემები გაქვთ: კლიენტების, თანამშრომლების, სტუმრების. გაარკვიეთ, სად ინახება (ლოკალურ სერვერზე, ღრუბელში, ელ-ფოსტაში), ვის აქვს წვდომა და, რაც განსაკუთრებით მნიშვნელოვანია - რა ვადით. მონაცემები, რომლებიც იმაზე მეტი ვადით ინახება, ვიდრე დადგენილია, წარმოადგენს კანონის დარღვევას. თუ შეუძლებელია კონკრეტული ვადის განსაზღვრა, უნდა განისაზღვროს კონკრეტული მიზანი, რა მიზნის მისაღწევადაც ინახება მონაცემები და აღნიშნული მიზნის მიღწევის შემდგომ წაიშალოს ან/და შენახულ იქნას დეპერსონალიზებული ფორმით.

ვიდეომეთვალყურეობა. თუ კომპანიაში ვიდეოკამერები გამოიყენება, კანონი ზუსტ მოთხოვნებს ადგენს: ჩაწერის მიზანი განსაზღვრული უნდა იყოს, სუბიექტები ინფორმირებული, თვალსაჩინოგამაფრთხილებელი ნიშნით, ჩანაწერის შენახვის ვადა კი - ფიქსირებული. განსაკუთრებულისიფრთხილეა საჭირო, თუ კამერა სამუშაო ადგილს აკვირდება, ასეთ შემთხვევაში დამატებითი საფუძველი სჭირდება. მხოლოდ ის არგუმენტი, რომ სამუშაო სივრცეში ვიდეომონიტორინგი საჭიროა იმისათვის, რომ დასაქმებულების მუშობის ეფექტურობა შემოწმდეს გაუმართლებელია.

აუდიომეთვალყურეობა. აღნიშნული არის საკმაოდ საფრთხილო და რისკის შემცველი. კომპანიამ უნდა გაითვალისწინოს, რომ აუდიომონიტორინგი დასაშვებია შემდეგ შემთხვევაში: ა) მონაცემთა სუბიექტის თანხმობით; ბ) საოქმო ჩანაწერის საწარმოებლად; გ) დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად; დ) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში. ამიტომ, აუდიომონიტორინგის განხორციელების სურვილის შემთხვევაში, რეკომენდებულია კომპანიამ დეტალური კონსულტაცია გაიაროს

პირდაპირი მარკეტინგი. შეამოწმეთ, რა საფუძვლით აგზავნით სარეკლამო SMS-ებს ანელ-ფოსტებს. სია, რომელიც “ოდესღაც შეგროვდა” ან “პირდაპირ შეიძინეთ” საკმარისი არ არის. საჭიროა წინასწარი, გამოხმობადი თანხმობა. ამასთან, თუ თანხმობა არ იქნა მიღებული კონკრეტული პირისაგან და მან განაცხადა უარი პირდაპირი მარკეტინგის მიზნით მონაცემების დამუშავებაზე, აღნიშნულის უგულებელყოფა გამოიწვევს სანქციას.

თანამშრომლების ინფორმირება. პერსონალური მონაცემების დაცვის ყველაზე ხშირი “ხვრელი” ადამიანური ფაქტორია. აუცილებელია, რომ თითოეული თანამშრომელი იყოს გადამზადებული, ინფორმირებული, როგორც მისი პერსონალური მონაცემების დამუშვების შესახებ, ისე კომპანიის პოლიტიკის შესახებ, რომელიც ამ მიმართულებით არსებობს.