• მთავარი
  • პროდუქტები
  • ბლოგი
  • კომპანია
  • კონტაქტი

ბლოგი

რა არის GDPR-ი და რატომაა იგი საქართველოსთვის მნიშვნელოვანი

რა არის GDPR-ი და რატომაა იგი საქართველოსთვის მნიშვნელოვანი

ევროკავშირის ტერიტორიაზე დაახლოებით 508 მილიონი ადამიანი ცხოვრობს. ისინი მსოფლიო ეკონომიკისთვის მნიშვნელოვან ნაწილს წარმოადგენენ.

2018 წლის 25 მაისს პერსონალური მონაცემების დასაცავად ევროკავშირის ტერიტორიაზე ახალი რეგულაცია, – General Data Protection Regulation (GDPR), ანუ მონაცემთა დაცვის ზოგადი რეგულირება შევა ძალაში.

იგი ჩაანაცვლებს 1995 წელს მიღებულ Data Protection Directive-ს (DPD), ანუ მონაცემთა დაცვის დირექტივას და მნიშვნელოვნად გაუუმჯობესებს პერსონალური მონაცემების დაცვას ევროკავშირის მოქალაქეებს. იმ ორგანიზაციებს კი, რომლებიც ამ პერსონალურ მონაცემებს აგროვებენ, ვალდებულებებს შემატებს.

ახალი რეგულაცია ევროკავშირის საზღვრებს გასცდება და ყველა ისეთ ორგანიზაციას შეეხება, რომელიც ევროკავშირის მოქალაქის მონაცემებს ამუშავებს. სწორედ ამიტომაა ის საქართველოსთვისაც მნიშვნელოვანი.

პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონიც ამ საკითხებს ეხება. ის 2011 წელს იქნა მიღებული და GDPR-თან უმეტესად თანხმობაში მოდის, თუმცა, თანამედროვე სამყაროს განვითარების ტემპის გათვალისწინებით, DPD-ის მსგავსად, საქართველოს ეს კანონიც მოძველებულია.

პრობლემები, რომელთა გადასაჭრელადაც GDPR გახდა საჭირო, ტექნოლოგიების განვითარებამ წარმოშვა. უცნაურად შეიძლება ჟღერდეს, მაგრამ რეგულაციის მოთხოვნების შესრულებას ტექნოლოგიებივე გაამარტივებს.

მაგალითად, Facebook-ზე ახალი ფუნქციების დამატება იგეგმება, რომელთა მეშვეობითაც მომხმარებლები თავიანთი პერსონალური მონაცემების კონტროლს შეძლებენ. ეს ახალი ფუნქციები ნაწილობრივ GDPR-მა გამოიწვია, ნაწილობრივ კი – Facebook-ის აქციების 18%-ით დაცემამ, რაც იმ ინფორმაციის გახმაურების შედეგი იყო, რომ სოციალური ქსელი მომხმარებლებზე სენსიტიურ ინფორმაციას აგროვებდა.

 

რა არის პერსონალური მონაცემები

პერსონალური მონაცემია ადამიანის შესახებ ისეთი ინფორმაცია, რომლის გასაჯაროვებაც ადამიანებს უმეტესად არ სურთ და ურჩევნიათ თავადვე აკონტროლონ თუ ვის მიუწვდება მათზე ხელი. ასეთებია ადამიანის სახელი, მისამართი, სამედიცინო ისტორია, საბანკო ანგარიში, პაროლები, ფოტოები, ვიდეობი, ლოკაცია და ა.შ. ზოგიერთი პერსონალური მონაცემი „სენსიტიურ“ მონაცემად მიიჩნევა, მაგალითად: ბიომეტრიული და გენეტიკური მასალები, იდეოლოგიური/რელიგიური შეხედულებები, რასობრივი/ეთნიკური წარმომავლობა და სხვა.

სენსიტიური მონაცემები უკეთ დაცული უნდა იყოს. ამისთვის GDPR-ში ფსევდონიმიზაციის ფენომენი გამოჩნდა, რომელზეც ქვემოთ ვისაუბრებთ.

 

როგორ შეიძლება პერსონალური მონაცემები შეგროვდეს

რეგულაციაში უდიდესი მნიშვნელობა ენიჭება თანხმობას: პერსონალური მონაცემების შეგროვების დროს შემგროვებელი ვალდებულია მონაცემთა სუბიექტის თანხმობა ან კანონით აშკარად არსებული უფლება ჰქონდეს.

საკმაოდ მკაცრადაა განსაზღვრული თანხმობის მიღების წესები: სუბიექტმა ის თავისუფლად, ინფორმირებულად და ერთაზროვნად უნდა განაცხადოს. საქართველოს კანონში ასე დაზუსტებული არაა, თუმცა, თანხმობა აქაც ნებაყოფლობითი და დადასტურებადი უნდა იყოს.

შემგოვებელმა კი უბრალო და გასაგები ენით უნდა აუხსნას, თუ რისთვის ითხოვს ნებართვას და მიაწოდოს ინფორმაცია, რომ სუბიექტს უფლება აქვს უკვე ნათქვამი თანხმობა გადაიფიქროს.

მნიშვნელოვანია ვახსენოთ, რომ რეგულაციას, მართალია, მოთხოვნები აქვს, მაგრამ როგორ დააკმაყოფილებენ მათ ორგანიზაციები, უშუალოდ მათი გადასაწყვეტია. ანუ, კომპანიებს შეეძლებათ თავიანთი საქმიანობის სპეციფიკიდან გამომდინარე მოიფიქრონ თუ რა გზით დაიცავენ რეგულაციებს. მთავარია მოთხოვნები შესრულებული იყოს.

 

ვისზე ვრცელდება ახალი რეგულაცია

GDPR მიემართება ნებისმიერ ორგანიზაციასა თუ ბიზნესს, რომელიც ევროკავშირის მოქალაქეების მონაცემებს ამუშავებს. შესაბამისად, იგი მხოლოდ ევროკავშირის ქვეყნებში არსებულ დაწესებულებებზე არ ვრცელდება.

მსოფლიოს რომელ წერტილშიც არ უნდა მუშაობდეთ, თქვენს ორგანიზაციას ამ რეგულაციის გათვალისწინება მოუწევს, თუ ხსენებულ 508 მილიონ ადამიანთან ნებისმიერი სახის ურთიერთობა სურს. თუ, მაგალითად, თქვენი ქართული კომპანია სერვისებს ან საქონელს სთავაზობს ევროკავშირის მოქალაქეებს, GDPR-ის რეგულაციები მას ავტომატურად შეეხება.

რეგულაცია ყველა ტიპის ურთიერთობაზე ვრცელდება: ბიზნესსა და მომხმარებელს, ორ სხვადასხვა ბიზნესს, ან ბიზნესსა და თანამშრომელს შორის ურთიერთობაზე.

ამ რეგულაციის გათვალისწინება ყველასთვის მნიშვნელოვანია, რადგან ჯარიმის ოდენობა შეიძლება 20 მილიონი ევრო, ან კომპანიის გლობალური შემოსავლის 4% იყოს – გააჩნია რომელი უფრო დიდ თანხას შეადგენს.

საქართველოს კანონი ასეთი მკაცრი არაა: ჯარიმა, რომელიც მონაცემების დამმუშავებელმა შეიძლება მიიღოს 500-დან 10,000 ლარამდე მერყეობს. თუმცა, ეს, რა თქმა უნდა, მხოლოდ საქართველოს მოქალაქეების მონაცემების დამუშავებას ეხება, ევროკავშირის მოქალაქის მონაცემების უკანონოდ დამუშავების დროს საქართველოს კომპანიებზეც GDPR-ის წესები გავრცელდება.

როგორ უნდა უზრუნველყოს ევროკავშირის რეგულაციამ ქართული კომპანიების იძულება? ამ მომენტისთვის ამ კითხვაზე ზუსტი პასუხი არ არსებობს, თუმცა, შესაძლოა, რომ სასამართლოს ნებართვა მოითხოვონ იმ ორგანიზაციის სერვისების დასაბლოკად, რომლებიც პერსონალურ მონაცემებს უკანონოდ დაამუშავებენ. ფიზიკური საქონლის გაყიდვისას მონაცემების არალეგალურად დაამუშავების დროს კი შეიძლება მათთვის საქონლის ჩამორთმევა ან ევროკავშირში ვაჭრობის აკრძალვა მოსთხოვონ სასამართლოს.

რეგულაციის შედეგად წარმოშობილი ზოგიერთი ახალი ვალდებულებაა:

  • მონაცემთა დაცვის ოფიცრის დანიშვნა იმ ორგანიზაციებში, რომლებიც დიდი მოცულობით მონაცემებს ამუშავებენ;
  • ფსევდონიმიზაცია – ინფორმაციის ისე შენახვა, რომ მხოლოდ მან შეძლოს მონაცემების კონკრეტულ ადამიანებთან დაკავშირება, ვისაც „გასაღები“ ექნება. ეს ფუნქცია მონაცემებს ბოლომდე ანონიმურს ვერ გახდის, მაგრამ რისკებს შეამცირებს. ფსევდონიმიზაცია ყველა ტიპის მონაცემზე არ იქნება აუცილებელი;
  • ინფორმაციის გაჟონვის შემთხვევაში, ორგანიზაცია ვალდებულია ეს რეგულატორებს აცნობოს, ზოგ შემთხვევაში კი - მონაცემთა სუბიექტებსაც;

 

რა უფლებებს წარმოშობს GDPR

GDPR ადამიანებს უფლებას აძლევს გააპროტესტონ მათი მონაცემების დამუშავება. ეს ორგანიზაციებს ავალდებულებს დაადასტურონ, რომ კანონიერი და საკმარისი მიზეზი აქვთ დასამუშავებლად. ადამიანებს ასევე შეუძლიათ არასწორი მონაცემის შესწორება მოითხოვონ დამმუშავებლისგან.

ეს უფლებები საქართველოს მოქალაქეებსაც აქვთ: მათ შეუძლიათ მოითხოვონ, რომ მათზე მონაცემები განახლდეს, წაიშალოს, დროებით შეიზღუდოს და ა.შ.

რეგულაციის შედეგად წარმოშობილი სხვა უფლებებია:

  • წვდომის უფლება – ადამიანებს შეუძლიათ მოითხოვონ დეტალურად გაიგონ, თუ რა ინფორმაცია აქვთ მასზე, როგორ იყენებენ მას, არსებობენ თუ არა მესამე პირები და არსებობის შემთხვევაში - მათი ვინაობა, რამდენ ხანს შეიანახავენ მონაცემებს და ა.შ. ეს ინფორმაცია 1 თვეში უნდა მიეწოდოთ, თუ განსაკუთრებულად რთულ შემთხვევასთან არ გვაქვს საქმე.
    ადამიანებს საქართველოშიც შეუძლიათ გაიგონ, თუ რა მონაცემები მუშავდება მათზე, რისთვის, რა სამართლებრივი საფუძვლით, რა გზით შეგროვდა... ეს ინფორმაცია მათ მოთხოვნიდან მაქსიმუმ 15 დღეში უნდა მიიღონ.
  • მონაცემთა ტრანსპორტაბელობა – ეს უფლება მონაცემთა სუბიექტს საშუალებას აძლევს თავისი მონაცემების სხვისთვის გადაცემა მოითხოვოს. ეს მათ კონკურენტებს შორის გადასვლას გაუმარტივებს (მაგალითად, მაგთიდან ჯეოსელში, ან ჯეოსელიდან – მაგთიში). საქართველოში მსგავსი კანონი ჯერ არ გვაქვს.
  • დავიწყების უფლება – უკვე გაცხადებული თანხმობის „უკან წაღების“ უფლება, რაც მათ საშუალებას მისცემს ორგანიზაციებს მოსთხოვონ მათზე მონაცემების წაშლა, განსაკუთრებით თუ აღარ სჭირდება ის ორგანიზაციას. ამ უფლებას საქართველოს კანონიც უზრუნველყოფს. ორგანიზაციები მზად უნდა იყვნენ იმისთვის, რომ ეს მოთხოვნა შეასრულონ.

 

გახსოვდეთ, ეს პოსტი მხოლოდ ზოგადი შინაარსისაა. თქვენს ბიზნესზე უკეთ მორგებული რჩევებისთვის აჯობებს პროფესიონალ იურისტებს მიმართოთ.

GDPR-ის სრული ტექსტის სანახავად ამ ბმულს შეგიძლიათ მიჰყვეთ, პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის წასაკითხად კი – ამას.

გაყიდვები : +995 322 10 88 10
contact@vaba.co