LegalGELegalGE
...

კიბერუსაფრთხოების სამართალი

ვინ არიან კრიტიკული ინფორმაციული სისტემის სუბიექტები საქართველოში?

კანონი განსაზღვრავს სუბიექტთა სამ კატეგორიას, რომლებშიც შედიან სახელმწიფო უწყებები, ბანკები, სადაზღვევო კომპანიები, სატელეკომუნიკაციო ოპერატორები და სხვა ორგანიზაციები, რომელთა გამართულ მუშაობაზე დამოკიდებულია ქვეყნის უსაფრთხოება და ეკონომიკა.

რა ვადაში უნდა ვაცნობო მარეგულირებელს კიბერინციდენტის შესახებ?

პერსონალურ მონაცემთა დაცვის შესახებ კანონის თანახმად, ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა უნდა ეცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს. სხვა მარეგულირებლებისთვის (მაგ. ეროვნული ბანკი) შესაძლოა მოქმედებდეს განსხვავებული ვადები.

არის თუ არა სავალდებულო კიბერუსაფრთხოების პოლიტიკის ქონა ყველა კომპანიისთვის?

ყველა კომპანიისთვის პირდაპირ სავალდებულო არ არის, თუმცა პერსონალური მონაცემების დამმუშავებელი ნებისმიერი ორგანიზაცია ვალდებულია მიიღოს "შესაბამისი ტექნიკური და ორგანიზაციული ზომები", რაც ფაქტობრივად გულისხმობს უსაფრთხოების პოლიტიკის არსებობას.

რა პასუხისმგებლობა ეკისრება დირექტორს მონაცემთა გაჟონვის შემთხვევაში?

დირექტორს შეიძლება დაეკისროს ადმინისტრაციული პასუხისმგებლობა (ჯარიმა) და სამოქალაქო პასუხისმგებლობა ზიანის ანაზღაურებაზე. მძიმე შედეგების შემთხვევაში, შესაძლოა დადგეს სისხლისსამართლებრივი პასუხისმგებლობაც სამსახურებრივი გულგრილობისთვის.

წაკითხვის დრო

3 წთ

გამოქვეყნდა

...

კიბერუსაფრთხოების სამართალი და შესაბამისობა საქართველოში

თანამედროვე ციფრულ ეპოქაში, სადაც ბიზნეს პროცესები და სახელმწიფო სერვისები სრულად არის ინტეგრირებული ინტერნეტ სივრცეში, კიბერუსაფრთხოება არ წარმოადგენს მხოლოდ ტექნიკურ გამოწვევას; ეს არის უმნიშვნელოვანესი სამართლებრივი სფერო, რომელიც არეგულირებს ინფორმაციული სისტემების დაცვას, მონაცემთა უსაფრთხოებასა და კიბერდანაშაულის პრევენციას. საქართველოში კიბერუსაფრთხოების სამართალი სწრაფად განვითარებადი დარგია, რომელიც მიზნად ისახავს კრიტიკული ინფორმაციული სისტემების სუბიექტების, კერძო კომპანიებისა და მოქალაქეების დაცვას ციფრული საფრთხეებისგან. ორგანიზაციებისთვის, განსაკუთრებით კი მათთვის, ვინც ამუშავებს დიდ მონაცემებს ან წარმოადგენს კრიტიკულ ინფრასტრუქტურას, სამართლებრივი მოთხოვნების უგულებელყოფამ შეიძლება გამოიწვიოს მძიმე ფინანსური სანქციები, რეპუტაციის შელახვა და სისხლისსამართლებრივი პასუხისმგებლობაც კი.

კიბერუსაფრთხოების სამართლებრივი მომსახურება მოიცავს კომპლექსურ მიდგომას, რომელიც უზრუნველყოფს ორგანიზაციის საქმიანობის სრულ შესაბამისობას საქართველოს კანონმდებლობასთან და საერთაშორისო სტანდარტებთან. ეს სერვისი ფარავს:

  • სამართლებრივი აუდიტი და შესაბამისობა (Compliance): ორგანიზაციის არსებული პოლიტიკისა და პროცედურების შემოწმება საქართველოს კანონმდებლობასთან შესაბამისობაზე, ხარვეზების იდენტიფიცირება და რეკომენდაციების გაცემა.
  • კრიტიკული ინფორმაციული სისტემის სუბიექტების კონსულტირება: კანონით განსაზღვრული სუბიექტებისთვის (ბანკები, ტელეკომუნიკაციები, სახელმწიფო უწყებები) სპეციფიკური ვალდებულებების შესრულებაში დახმარება.
  • შიდა მარეგულირებელი დოკუმენტაციის შემუშავება: ინფორმაციული უსაფრთხოების პოლიტიკის, ინციდენტებზე რეაგირების გეგმისა და თანამშრომელთა ქცევის წესების სამართლებრივი გაწერა.
  • კიბერინციდენტების სამართლებრივი მართვა: კიბერშეტევის ან მონაცემთა გაჟონვის შემთხვევაში კრიზისული მენეჯმენტი, მარეგულირებელთან ურთიერთობა და დაზარალებულთა პრეტენზიების მართვა.
  • მესამე მხარესთან ურთიერთობის რეგულირება: კონტრაქტორებთან და IT სერვისის მომწოდებლებთან ხელშეკრულებებში კიბერუსაფრთხოების ვალდებულებებისა და პასუხისმგებლობის ზუსტი გაწერა.
  • ტრენინგები სამართლებრივი პასუხისმგებლობის შესახებ: მენეჯმენტისა და პერსონალისთვის კიბერჰიგიენის სამართლებრივი ასპექტების სწავლება.

პრაქტიკაში ხშირია შემთხვევები, როდესაც კომპანია ხდება კიბერშეტევის მსხვერპლი (მაგალითად, გამომძალველი ვირუსი ან Ransomware), რის შედეგადაც ჩერდება ბიზნეს საქმიანობა და იკარგება კლიენტთა პერსონალური მონაცემები. ასეთ დროს კომპანია დგება ორმაგი დარტყმის ქვეშ: ერთი მხრივ, ტექნიკური ზარალი, ხოლო მეორე მხრივ — სამართლებრივი პასუხისმგებლობა პერსონალური მონაცემების დაცვის სამსახურის წინაშე და კლიენტთა სარჩელები. ასევე, კრიტიკული ინფრასტრუქტურის სუბიექტებს ხშირად ექმნებათ პრობლემები აუდიტის გავლისას, თუ მათი დოკუმენტაცია არ შეესაბამება ISO 27001 სტანდარტის ეროვნულ ადაპტაციას. კიდევ ერთი გავრცელებული სცენარია თანამშრომლის მიერ კომერციული საიდუმლოების ან მონაცემთა ბაზის გატანა, რაც მოითხოვს მყისიერ სამართლებრივ რეაგირებას და მტკიცებულებების სათანადოდ დამაგრებას.

საქართველოში კიბერუსაფრთხოების სფეროს მთავარი მარეგულირებელი აქტია საქართველოს კანონი "ინფორმაციული უსაფრთხოების შესახებ", რომელიც განსაზღვრავს კრიტიკული ინფორმაციული სისტემის სუბიექტებს და მათ ვალდებულებებს. გარდა ამისა, უმნიშვნელოვანესია "პერსონალურ მონაცემთა დაცვის შესახებ" საქართველოს კანონი, რომელიც აწესებს მკაცრ მოთხოვნებს მონაცემთა უსაფრთხოებაზე და ინციდენტის შეტყობინების ვადებზე. სისხლისსამართლებრივი კუთხით, საქართველოს სისხლის სამართლის კოდექსი (მუხლები 284-286) აწესებს პასუხისმგებლობას კომპიუტერულ სისტემაში უნებართვო შეღწევასა და მონაცემთა ხელყოფაზე. ადმინისტრაციული და სამოქალაქო პასუხისმგებლობის საკითხები კი რეგულირდება ზოგადი ადმინისტრაციული და სამოქალაქო კოდექსებით.

იურისტთან თანამშრომლობა იწყება რისკების შეფასებით (Legal Risk Assessment). სპეციალისტი აანალიზებს თქვენი კომპანიის სტატუსს (ხართ თუ არა კრიტიკული სუბიექტი) და შესაბამის ვალდებულებებს. შემდეგ ეტაპზე ხდება დოკუმენტაციის მოწესრიგება და პროცედურების გაწერა. ინციდენტის მოხდენის შემთხვევაში, იურისტი უზრუნველყოფს კანონით დადგენილ ვადებში (მაგ. 72 საათში) შეტყობინების გაგზავნას შესაბამის უწყებებში (პერსონალურ მონაცემთა დაცვის სამსახური, ოპერატიულ-ტექნიკურ სააგენტო) და იცავს კომპანიის ინტერესებს შესაძლო ჯარიმებისგან.

Legal.ge გთავაზობთ წვდომას კვალიფიციურ იურისტებთან, რომლებსაც აქვთ ღრმა ცოდნა კიბერსამართლისა და ინფორმაციული ტექნოლოგიების რეგულაციებში. კიბერუსაფრთხოება არ არის მხოლოდ IT დეპარტამენტის პასუხისმგებლობა; ეს არის სამართლებრივი ვალდებულება, რომლის შეუსრულებლობამ შეიძლება ბიზნესი გაანადგუროს. დაიცავით თქვენი ორგანიზაცია სამართლებრივი რისკებისგან ჩვენი პლატფორმის ექსპერტების დახმარებით.

განახლდა: ...

სპეციალისტები სერვისისთვის

იტვირთება...