Соблюдение законодательства о защите персональных данных в Грузии: ключевые требования для бизнеса

Закон Грузии о защите персональных данных применяется ко всем организациям, которые обрабатывают персональные данные, независимо от размера. Соблюдение требований зако-нодательства не ограничивается формальными политиками — оно требует четких внутрен-них процессов, документированных решений и постоянного надзора.

Настоящий контрольный перечень в практической форме разъясняет, как бизнес может вы-полнить свои обязательства.

1. Идентификация и документирование операций по обработке персональных данных

Начните с идентификации всех персональных данных, которые обрабатывает ваш биз-нес. Это включает данные клиентов и сотрудников, информацию о поставщиках и под-рядчиках, записи видеонаблюдения, записи звонков, маркетинговые базы данных, а так-же любые биометрические или медицинские данные.

Для каждой операции обработки задокументируйте:

  • цель обработки,
  • категории персональных данных,
  • правовое основание,
  • место хранения,
  • права доступа,
  • срок хранения, и
  • любых получателей — третьих лиц.

Этот обзор (часто называемый инвентаризацией данных или реестром операций обработки) необходим для обеспечения подотчетности и соблюдения требований законодательства.

2. Убедитесь, что для каждой обработки существует законное основание

Персональные данные могут обрабатываться только при наличии законного основания. К ним относятся согласие, исполнение договора, соблюдение юридического обязательства, защита жизненно важных интересов, общественный интерес или законный интерес.
Каждая операция обработки должна опираться на одно четко определенное правовое осно-вание, и обоснование должно быть задокументировано.

3. Обеспечьте прозрачность в отношении субъектов персональных данных

Физические лица должны быть проинформированы о том, как используются их данные. Бизнес должен предоставить ясную и доступную информацию, объясняющую:

  • какие данные собираются,
  • с какой целью,
  • на каком правовом основании,
  • как долго они хранятся,
  • кто их получает, и
  • как лица могут осуществлять свои права.

Эта информация обычно предоставляется через уведомление о конфиденциальности на веб-сайте, в договорах или в момент сбора данных. Она должна быть написана простым, понят-ным языком.

4. Собирайте и управляйте согласием правильно

Когда обработка основана на согласии, оно должно быть свободно дано, конкретным, ин-формированным и явным. Предварительно отмеченные поля или молчание не являются дей-ствительным согласием. Организация обязана хранить записи, показывающие, когда и как согласие было получено.

Физические лица должны иметь возможность легко отозвать согласие в любое время, и об-работка на основе согласия должна прекратиться после его отзыва.

К детям применяются специальные правила: ребенок может дать действительное согласие только с 16 лет. Для детей младше 16 лет согласие должно быть получено от родителя или законного опекуна.

5. Применяйте усиленную защиту к специальным категориям данных

Специальные категории персональных данных - такие как данные о здоровье, биометриче-ские и генетические данные, информация о судимостях, религиозных убеждениях или этни-ческом происхождении - требуют более строгой защиты.

В большинстве случаев обработка таких данных требует явного письменного согласия или специального юридического обязательства.

6. Используйте видеонаблюдение и мониторинг только при наличии обоснования

Видео- и аудиомониторинг могут использоваться только там, где это необходимо и сораз-мерно, например, в целях безопасности. Бизнес должен четко определить цель мониторинга, ограничить сроки хранения и ограничить доступ к записям.

Физические лица должны быть проинформированы через видимую маркировку, а сотрудни-ки должны получить предварительное письменное уведомление.

7. Обеспечьте готовность к обработке запросов субъектов персональных данных

Физические лица имеют право:

  • на доступ к своим персональным данным,
  • запрос исправления,
  • запрос об удалении, блокировании или ограничении обработки,
  • отзыв согласия.

Запросы, как правило, должны быть обработаны в течение 10 рабочих дней. Если в запросе отказано, лицо должно быть проинформировано о правовых основаниях отказа и о праве на обжалование. Бизнес должен внедрить внутренние процедуры, обеспечивающие своевременную идентификацию и обработку таких запросов.

8. Соблюдайте правила прямого маркетинга

Прямой маркетинг обычно требует предварительного согласия. Физические лица должны иметь возможность легко и бесплатно отказаться. После получения отказа маркетинговые коммуникации должны прекратиться в течение семи рабочих дней.

Предпочтения отказа также должны соблюдаться любыми сторонними маркетинговыми партнерами.

9. Подготовьтесь к нарушениям персональных данных

Бизнес должен иметь внутреннюю процедуру для выявления, сдерживания, оценки и доку-ментирования нарушений персональных данных. Все нарушения персональных данных должны быть зафиксированы, независимо от того, требуется ли уведомление.

О нарушении персональных данных необходимо уведомить Службу по защите персональ-ных данных не позднее чем через 72 часа после того, как контролер узнает о нем.

10. Назначьте Офицера по защите данных, когда это требуется законом

Офицер по защите данных (DPO) должен быть назначен, если выполняется хотя бы одно из следующих условий:

  • организация является государственным учреждением;
  • основные виды деятельности организации включают регулярный и систематиче-ский мониторинг физических лиц в крупном масштабе (например, обширные си-стемы видеонаблюдения или технологии отслеживания);
  • основные виды деятельности организации включают крупномасштабную обра-ботку специальных категорий персональных данных, таких как данные о здоровье или биометрические данные.

Если эти условия не применяются, назначение DPO не является обязательным. Однако биз-несу следует назначить ответственное контактное лицо по вопросам защиты данных.

11. Регулируйте третьих лиц и передачу данных

Когда персональные данные обрабатываются третьими лицами, должно быть заключено письменное соглашение об обработке данных.

Трансграничные передачи персональных данных допускаются только при выполнении юри-дических требований и гарантий в соответствии с законодательством Грузии.

12. Определите сроки хранения и обеспечьте безопасное удаление

Персональные данные не должны храниться дольше, чем это необходимо для их цели, если хранение не требуется другим законом.

13. Внедряйте пропорциональные меры безопасности

Технические и организационные меры безопасности должны отражать соответствующие риски. Они могут включать контроль доступа, механизмы аутентификации, шифрование при необходимости, регулярные резервные копии, обновления систем и меры по повыше-нию осведомленности персонала. Безопасность должна пересматриваться периодически.

14. Документируйте соответствие и обучайте персонал

Бизнес должен иметь возможность продемонстрировать соответствие в любое время. Это включает ведение записей операций обработки, журналов согласий, журналов нарушений, DPIA при необходимости и документации обучения персонала.

Соответствие защите данных в Грузии является непрерывным процессом, а не одноразовой задачей. Бизнес, который правильно структурирует соответствие, снижает регуляторные риски, улучшает операционную дисциплину и выстраивает доверие с клиентами, сотрудни-ками и партнерами.

 

Авторы: Мелано Сванидзе, Оксана Яшагян.

Напишите нашему юристу, чтобы узнать подробности

Написать юристу

 

Читайте ещё

новости

Изменения в Законе Грузии «О трудовой миграции»

 новости

Топ изменений законодательства в сфере фармацевтики и здравоохранения за 2025 год

 новости

Поправки к Закону Грузии «О трудовой миграции»