პერსონალური მონაცემები საქართველოში: თანხმობა და მონაცემთა დაცვის შესა

საქართველოს ახალი, GDPR-თან თავსებადი პერსონალური მონაცემების დაცვის კანონი 2024 წლის 1 მარტიდან ამოქმედდება. აი, როგორ შეუძლიათ ბიზნესებს თანხმობის მიღება, ვის სჭირდება მონაცემთა დაცვის ორგანო და რა არის მოთხოვნებზე რეაგირების ვადები.

2024 წლის 1 მარტიდან საქართველომ მიიღო ახალი კანონი „პერსონალური მონაცემების დაცვის შესახებ“, რომელიც ქვეყანას GDPR დონის სტანდარტებთან აახლოებს. ბიზნესისთვის ეს ორ რამეს ნიშნავს: პერსონალური მონაცემების დამუშავებაზე თანხმობის სათანადოდ ფორმალიზებას და იმის გაგებას, საჭიროა თუ არა მონაცემთა დაცვის ოფიცერი (DPO). ქვემოთ განვმარტავთ, თუ როგორ უნდა დადგინდეს ორივე და რა ვადები უნდა იყოს დაცული.

როდის არის საჭირო თანხმობა და როდის არა

თანხმობა დამუშავების მხოლოდ ერთ-ერთი საფუძველია. ზოგჯერ უფრო მიზანშეწონილია დაეყრდნოთ ხელშეკრულებით გათვალისწინებულ შესრულებას, სამართლებრივ ვალდებულებას ან სხვა ლეგიტიმურ საფუძველს. მოერიდეთ თანხმობის ნაგულისხმევ საფუძვლად დანიშვნას: თუ დამუშავება კვლავ აუცილებელია ხელშეკრულებისთვის, ცალკეულმა თანხმობამ შეიძლება მხოლოდ დააბნიოს და შეასუსტოს თქვენი პოზიცია.

როგორ სწორად გავაფორმოთ თანხმობა

თუ თანხმობას ეყრდნობით, ის უნდა იყოს თავისუფალი, კონკრეტული და ინფორმირებული და მონაცემთა სუბიექტს უნდა შეეძლოს მისი გაუქმება ისევე მარტივად, როგორც მან გასცა. პრაქტიკაში ეს ნიშნავს:

მკაფიო ტექსტი „დაფარული“ მონიშვნებისა და წინასწარ შერჩეული თანხმობების გარეშე;
ცალკე თანხმობა კონკრეტული მიზნებისთვის (განსაკუთრებით პირდაპირი მარკეტინგისთვის);
თანხმობის მიღების დროისა და მეთოდის ჩაწერა;
მარტივი გახსენების მექანიზმი.

რეაგირების დროის გადახედვა

თანხმობის გაუქმების შესახებ კანონიერი მოთხოვნის შემდეგ, დამუშავება უნდა შეწყდეს კანონით დადგენილ ვადაში (როგორც წესი, შვიდი სამუშაო დღე). ამიტომ, საჭიროა ასეთი მოთხოვნების მიღებისა და შესრულების მკაფიო პროცესი, რათა უზრუნველყოფილი იყოს მათი „გაჭედვა“.

ვის სჭირდება მონაცემთა დაცვის ოფიცერი (DPO)

კანონმა შემოიღო მონაცემთა დაცვის ოფიცრის თანამდებობა. ზოგიერთი ორგანიზაციისთვის მონაცემთა დაცვის ოფიცრის დანიშვნა სავალდებულოა: ისინი აკონტროლებენ შესაბამისობას, აძლევენ ბიზნესს რჩევებს და მოქმედებენ როგორც საკონტაქტო პირი. შეამოწმეთ, აკმაყოფილებს თუ არა თქვენი საქმიანობა კრიტერიუმებს და თუ ასეა, ფორმალიზეთ დანიშვნა, განსაზღვრეთ ოფიცრის ფუნქციები და დამოუკიდებლობა.

პირდაპირი მარკეტინგი - განსაკუთრებული ყურადღება

კანონმა გაამკაცრა პირდაპირი მარკეტინგული მიზნებისთვის მონაცემების დამუშავების წესები. გადახედეთ თქვენს საინფორმაციო ბიულეტენებსა და სარეკლამო სკრიპტებს: რა საფუძველზე უკავშირდებით კლიენტებს, როგორ მიიღეთ მათი საკონტაქტო ინფორმაცია და როგორ შეუძლიათ მათ უარი თქვან ამ დამუშავებაზე?

ბიზნესის საკონტროლო სია

თითოეული მიზნით დამუშავების საფუძვლები განსაზღვრულია;
შეთანხმებების ტექსტები მოწესრიგებულია;
არსებობს გამოწვევისა და მისი დროული შესრულების მექანიზმი;
შეფასდა მონაცემთა დაცვის ოფიცრის საჭიროება და საჭიროების შემთხვევაში დაინიშნა შეხვედრა;
პირდაპირი მარკეტინგი გადაიხედა;
არსებობს ჩანაწერები, რომლებიც ადასტურებს შესაბამისობას.

ხშირად დასმული კითხვები

ყველა ოპერაციისთვის თანხმობაა საჭირო?

არა. თანხმობა ყოველთვის არ არის საჭირო — ზოგჯერ დამუშავება ხელშეკრულების ან სხვა საფუძვლის საფუძველზე ხდება.

სავალდებულოა თუ არა DPO მცირე ბიზნესისთვის?

ეს დამოკიდებულია არა მოცულობაზე, არამედ დამუშავების ხასიათსა და სამართლებრივ კრიტერიუმებზე. შეაფასეთ თქვენი საქმიანობა და დოკუმენტირებული დასკვნები გააკეთეთ.

ეს იგივეა, რაც GDPR?

კანონი ლოგიკურად მსგავსია, მაგრამ ის ცალკე ეროვნული აქტია; არ ჩათვალოთ ფორმულირება იდენტურად.

მიზნობრივი აუდიტი დაგეხმარებათ თქვენი დამუშავების საფუძვლების, თანხმობის ტექსტებისა და მონაცემთა დაცვის ოფიცრის საჭიროების დადასტურებაში. ეს სტატია მხოლოდ ზოგადი საინფორმაციო მიზნებისთვისაა და წარმოადგენს SEO/იურიდიულ ინფორმაციას და არა იურიდიულ რჩევას; პასუხისმგებლობა დამოკიდებულია თქვენს მიერ მონაცემთა დამუშავებასა და მოქმედ კანონმდებლობაზე. — Legal.GE NewsMaker