მნიშვნელოვანი საკითხები ბიზნესისთვის:
- 1. გამოავლინეთ და დააფიქსირეთ ყველა პერსონალური მონაცემის დამუშავება
- 2. უზრუნველყავით, რომ ყველა დამუშავებას ჰქონდეს კანონიერი საფუძველი
- 3. იყავით გამჭვირვალე ფიზიკური პირების მიმართ
- 4. სწორად შეაგროვეთ და მართეთ თანხმობა
- 5. გამოიყენეთ გაძლიერებული დაცვა მონაცემთა სპეციალური კატეგორიებისთვის
- 6. გამოიყენეთ ვიდეოთვალთვალი და მონიტორინგი მხოლოდ დასაბუთების შემთხვევაში
- 7. იყავით ოპერაციულად მზად მონაცემთა სუბიექტის უფლებების დასამუშავებლად
- 8. დაიცავით პირდაპირი მარკეტინგის წესები
- 9. მოემზადეთ პერსონალური მონაცემების დარღვევებისთვის
- 10. დანიშნეთ მონაცემთა დაცვის ოფიცერი, როცა ამას კანონი მოითხოვს
- 11. დაარეგულირეთ მესამე მხარეები და მონაცემთა გადაცემები
- 12. განსაზღვრეთ შენახვის ვადები და უზრუნველყავით უსაფრთხო წაშლა
- 13. დანერგეთ პროპორციული უსაფრთხოების ზომები
- 14. მოახდინეთ შესაბამისობის დოკუმენტირება და პერსონალის მომზადება
- Contact a lawyer for further information
საქართველოს პერსონალური მონაცემების დაცვის კანონი ვრცელდება ყველა ორგანიზაციაზე, რომელიც ამუშავებს პერსონალურ მონაცემებს, მიუხედავად მოცულობისა. შესაბამისობა არ შემოიფარგლება ფორმალური პოლიტიკებით - ის მოითხოვს მკაფიო შიდა პროცესებს, დოკუმენტირებულ გადაწყვეტილებებს და უწყვეტ ზედამხედველობას.
ეს საკონტროლო სია პრაქტიკული ტერმინებით განმარტავს, როგორ შეუძლია ბიზნესს თავისი ვალდებულებების შესრულება.
1. გამოავლინეთ და დააფიქსირეთ ყველა პერსონალური მონაცემის დამუშავება
დაიწყეთ ყველა პერსონალური მონაცემის გამოვლენით, რომელსაც თქვენი ბიზნესი ამუშავებს. ეს მოიცავს მომხმარებელთა და თანამშრომელთა მონაცემებს, მომწოდებლებისა და კონტრაქტორების ინფორმაციას, ვიდეოთვალთვალის ჩანაწერებს, სატელეფონო ჩანაწერებს, მარკეტინგულ მონაცემთა ბაზებს და ნებისმიერ ბიომეტრიულ ან ჯანმრთელობის მონაცემს.
თითოეული დამუშავების პროცესისთვის დააფიქსირეთ:
- დამუშავების მიზანი,
- პერსონალური მონაცემების კატეგორიები,
- სამართლებრივი საფუძველი,
- შენახვის ადგილი,
- წვდომის უფლებები,
- შენახვის ვადა, და
- ნებისმიერი მესამე პირი - მიმღები.
ეს მიმოხილვა (ხშირად სახელდება მონაცემთა ინვენტარად ან დამუშავების ოპერაციების რეესტრად) აუცილებელია ანგარიშვალდებულებისა და შესაბამისობისთვის.
2. უზრუნველყავით, რომ ყველა დამუშავებას ჰქონდეს კანონიერი საფუძველი
პერსონალური მონაცემები შეიძლება დამუშავდეს მხოლოდ კანონიერ საფუძველზე. ეს მოიცავს თანხმობას, ხელშეკრულების შესრულებას, სამართლებრივი ვალდებულების შესრულებას, სასიცოცხლო ინტერესების დაცვას, საზოგადოებრივ ინტერესს ან ლეგიტიმურ ინტერესს.
თითოეული დამუშავების ოპერაცია უნდა ეფუძნებოდეს ერთ მკაფიოდ განსაზღვრულ სამართლებრივ საფუძველს, და დასაბუთება უნდა იყოს დოკუმენტირებული.
3. იყავით გამჭვირვალე ფიზიკური პირების მიმართ
ფიზიკურ პირებს უნდა მიეწოდოთ ინფორმაცია მათი მონაცემების გამოყენების შესახებ. ბიზნესმა უნდა უზრუნველყოს მკაფიო და ხელმისაწვდომი ინფორმაცია, რომელიც განმარტავს:
- რა მონაცემები გროვდება,
- რა მიზნით,
- რა სამართლებრივ საფუძველზე,
- რამდენ ხანს ინახება,
- ვინ იღებს მათ, და
- როგორ შეუძლიათ პირებს საკუთარი უფლებების განხორციელება.
ეს ინფორმაცია ჩვეულებრივ მიეწოდება კონფიდენციალურობის შეტყობინებით ვებგვერდზე, ხელშეკრულებებში ან მონაცემთა შეგროვების მომენტში. ის უნდა იყოს დაწერილი მარტივ და გასაგებ ენაზე.
4. სწორად შეაგროვეთ და მართეთ თანხმობა
როდესაც დამუშავება ეფუძნება თანხმობას, ის უნდა იყოს თავისუფლად გაცემული, კონკრეტული, ინფორმირებული და აშკარა. წინასწარ მონიშნული ველები ან დუმილი არ წარმოადგენს მოქმედ თანხმობას. ბიზნესმა უნდა შეინახოს ჩანაწერები, რომლებიც აჩვენებს, როდის და როგორ იქნა მიღებული თანხმობა.
ფიზიკურ პირებს ნებისმიერ დროს უნდა შეეძლოთ თანხმობის მარტივად გაუქმება, და თანხმობაზე დაფუძნებული დამუშავება უნდა შეწყდეს თანხმობის გაუქმების შემდეგ.
ბავშვებზე ვრცელდება სპეციალური წესები: ბავშვი შეიძლება გასცეს მოქმედი თანხმობა მხოლოდ 16 წლიდან. 16 წლამდე ბავშვებისთვის თანხმობა უნდა მიიღოთ მშობლისგან ან კანონიერი მეურვისგან.
5. გამოიყენეთ გაძლიერებული დაცვა მონაცემთა სპეციალური კატეგორიებისთვის
პერსონალური მონაცემების სპეციალური კატეგორიები — როგორიცაა ჯანმრთელობის მონაცემები, ბიომეტრიული და გენეტიკური მონაცემები, ნასამართლობის ინფორმაცია, რელიგიური შეხედულებები ან ეთნიკური წარმოშობა — საჭიროებს უფრო მკაცრ დაცვას.
უმეტეს შემთხვევაში ასეთი მონაცემების დამუშავება მოითხოვს აშკარა წერილობით თანხმობას ან სპეციალურ სამართლებრივ ვალდებულებას.
6. გამოიყენეთ ვიდეოთვალთვალი და მონიტორინგი მხოლოდ დასაბუთების შემთხვევაში
ვიდეო და აუდიო მონიტორინგი შეიძლება გამოყენებულ იქნეს მხოლოდ იქ, სადაც ეს აუცილებელია და პროპორციულია, მაგალითად უსაფრთხოების მიზნებისთვის. ბიზნესმა უნდა მკაფიოდ განსაზღვროს მონიტორინგის მიზანი, შეზღუდოს შენახვის ვადები და შეზღუდოს წვდომა ჩანაწერებზე.
ფიზიკური პირები უნდა იყვნენ ინფორმირებული თვალსაჩინო ნიშნებით, ხოლო თანამშრომლებმა უნდა მიიღონ წინასწარი წერილობითი შეტყობინება.
7. იყავით ოპერაციულად მზად მონაცემთა სუბიექტის უფლებების დასამუშავებლად
ფიზიკურ პირებს (მონაცემთა სუბიექტებს) აქვთ უფლება:
- წვდომის საკუთარ პერსონალურ მონაცემებზე,
- გასწორების მოთხოვნის,
- წაშლის, დაბლოკვის ან დამუშავების შეზღუდვის მოთხოვნაისა, და
- თანხმობის გაუქმების.
მოთხოვნები, როგორც წესი, უნდა დამუშავდეს 10 სამუშაო დღის განმავლობაში. უარის შემთხვევაში პირს უნდა ეცნობოს უარის სამართლებრივი საფუძველი და გასაჩივრების უფლება. ბიზნესს უნდა ჰქონდეს შიდა პროცედურები მოთხოვნების დროულად იდენტიფიცირებისა და დამუშავებისთვის.
8. დაიცავით პირდაპირი მარკეტინგის წესები
პირდაპირი მარკეტინგი ჩვეულებრივ მოითხოვს წინასწარ თანხმობას. ფიზიკურ პირებს უნდა ჰქონდეთ შესაძლებლობა მარტივად და უფასოდ უარის თქმის.
უარის მიღების შემდეგ მარკეტინგული კომუნიკაცია უნდა შეწყდეს შვიდი სამუშაო დღის განმავლობაში.
უარის პრეფერენციები ასევე უნდა იყოს დაცული ნებისმიერი მესამე მხარის მარკეტინგული პარტნიორების მიერ.
9. მოემზადეთ პერსონალური მონაცემების დარღვევებისთვის
ბიზნესს უნდა ჰქონდეს შიდა პროცედურა პერსონალური მონაცემების დარღვევების გამოვლენის, შეზღუდვის, შეფასებისა და დოკუმენტირებისათვის. ყველა დარღვევა უნდა ჩაიწეროს, მიუხედავად იმისა, საჭიროა თუ არა შეტყობინება.
პერსონალური მონაცემების დარღვევა უნდა ეცნობოს პერსონალური მონაცემების დაცვის სამსახურს არაუგვიანეს 72 საათისა მას შემდეგ, რაც კონტროლერი შეიტყობს ამის შესახებ.
10. დანიშნეთ მონაცემთა დაცვის ოფიცერი, როცა ამას კანონი მოითხოვს
მონაცემთა დაცვის ოფიცერი (DPO) უნდა დაინიშნოს, თუ სრულდება მინიმუმ ერთი პირობა:
- ორგანიზაცია არის საჯარო დაწესებულება;
- ორგანიზაციის ძირითადი საქმიანობა მოიცავს ფიზიკურ პირთა რეგულარულ და სისტემატურ მონიტორინგს დიდ მასშტაბზე;
- ორგანიზაციის ძირითადი საქმიანობა მოიცავს პერსონალური მონაცემების სპეციალური კატეგორიების დიდმასშტაბიან დამუშავებას.
თუ ეს პირობები არ ვრცელდება, DPO-ის დანიშვნა სავალდებულო არ არის. თუმცა, ბიზნესმა მაინც უნდა დანიშნოს პასუხისმგებელი საკონტაქტო პირი მონაცემთა დაცვის საკითხებზე.
11. დაარეგულირეთ მესამე მხარეები და მონაცემთა გადაცემები
როდესაც პერსონალურ მონაცემებს ამუშავებენ მესამე მხარეები, უნდა არსებობდეს წერილობითი მონაცემთა დამუშავების შეთანხმება.
პერსონალური მონაცემების საზღვარგარეთ გადაცემა დასაშვებია მხოლოდ საქართველოს კანონით დადგენილი მოთხოვნებისა და გარანტიების დაცვით.
12. განსაზღვრეთ შენახვის ვადები და უზრუნველყავით უსაფრთხო წაშლა
პერსონალური მონაცემები არ უნდა ინახებოდეს იმაზე დიდხანს, ვიდრე საჭიროა მათი მიზნისთვის, თუ შენახვა სხვა კანონის მიხედვით არ არის მოთხოვნილი.
13. დანერგეთ პროპორციული უსაფრთხოების ზომები
ტექნიკური და ორგანიზაციული უსაფრთხოების ზომები უნდა ასახავდეს შესაბამის რისკებს. ისინი შეიძლება მოიცავდეს წვდომის კონტროლს, ავთენტიფიკაციის მექანიზმებს, დაშიფვრას საჭიროების შემთხვევაში, რეგულარულ სარეზერვო კოპირებას, სისტემების განახლებას და პერსონალის ცნობიერების ამაღლებას. უსაფრთხოება პერიოდულად უნდა გადაიხედოს.
14. მოახდინეთ შესაბამისობის დოკუმენტირება და პერსონალის მომზადება
ბიზნესმა ნებისმიერ დროს უნდა შეძლოს შესაბამისობის დემონსტრირება. ეს მოიცავს დამუშავების ოპერაციების ჩანაწერებს, თანხმობის ჟურნალებს, დარღვევების ჩანაწერებს, DPIA-ს საჭიროების შემთხვევაში და პერსონალის ტრენინგის დოკუმენტაციას.
საქართველოში მონაცემთა დაცვის შესაბამისობა უწყვეტი პროცესია და არა ერთჯერადი ამოცანა. ბიზნესი, რომელიც სწორად აყალიბებს შესაბამისობას, ამცირებს რეგულატორულ რისკს, აუმჯობესებს ოპერაციულ დისციპლინას და აყალიბებს ნდობას მომხმარებლებთან, თანამშრომლებთან და პარტნიორებთან.
Author: Melano Svanidze, Oksana Iashagyan.
Contact a lawyer for further information
Contact a lawyer
