Персональные данные в Грузии: согласие и DPO по новым правилам

С 1 марта 2024 года в Грузии действует новый закон «О защите персональных данных», который приблизил страну к стандарту уровня GDPR. Для бизнеса это означает прежде всего две вещи: правильно оформленное согласие на обработку персональных данных и понимание того, нужен ли вам офицер по защите данных (DPO). Ниже — как выстроить и то, и другое, и какие сроки нужно соблюдать.

Когда нужно согласие, а когда — нет

Согласие — лишь одно из оснований обработки. Иногда уместнее опираться на исполнение договора, юридическую обязанность или другое законное основание. Не делайте согласие «основанием по умолчанию»: если обработка всё равно необходима для договора, отдельное согласие может только запутать и ослабить вашу позицию.

Как оформить согласие правильно

Если вы опираетесь на согласие, оно должно быть свободным, конкретным и информированным, а субъект данных должен иметь возможность отозвать его так же легко, как дал. На практике это означает:

• понятный текст без «скрытых» галочек и заранее проставленных согласий;

• отдельное согласие под отдельные цели (особенно для прямого маркетинга);

• фиксацию того, когда и как получено согласие;

• простой механизм отзыва.

Сроки реагирования на отзыв

После корректного запроса об отзыве согласия обработку нужно прекратить в установленный законом срок (как правило, 7 рабочих дней). Поэтому нужен внятный процесс приёма и исполнения таких запросов, чтобы они не «зависали».

Кому нужен офицер по защите данных (DPO)

Закон ввёл институт офицера по защите данных. Для части организаций назначение DPO обязательно: он контролирует соответствие требованиям, консультирует бизнес и выступает контактным лицом. Проверьте, подпадает ли ваша деятельность под критерии, и если да — оформите назначение, зафиксируйте функции и независимость офицера.

Прямой маркетинг — отдельное внимание

Закон ужесточил правила обработки данных для целей прямого маркетинга. Пересмотрите рассылки и рекламные сценарии: на каком основании вы пишете клиентам, как получили контакты и как человек может отказаться.

Чек-лист для бизнеса

• определены основания обработки для каждой цели;

• тексты согласий приведены в порядок;

• работает механизм отзыва и его исполнения в срок;

• оценена необходимость DPO и оформлено назначение, если нужно;

• пересмотрен прямой маркетинг;

• есть записи, подтверждающие соответствие.

Частые вопросы

Нужно ли согласие на каждую операцию?

Нет. Согласие требуется не всегда — иногда обработка опирается на договор или иное основание.

Обязателен ли DPO для малого бизнеса?

Зависит не от размера, а от характера обработки и критериев закона. Оцените свою деятельность и зафиксируйте вывод.

Это то же самое, что GDPR?

Закон близок по логике, но это отдельный национальный акт; не считайте формулировки идентичными.

Точечный аудит поможет проверить ваши основания обработки, тексты согласий и необходимость DPO. Статья носит общий информационный характер и является SEO/правовой информацией, а не юридической консультацией; обязанности зависят от вашей обработки и действующего закона. — Legal.GE NewsMaker