ჩემი გვერდი

რა უნდა ვიცოდეთ ევროკავშირის მონაცემთა დაცვის რეგულაციის შესახებ ( GDPR)

2 ივლისს 2020
რა უნდა ვიცოდეთ ევროკავშირის მონაცემთა დაცვის რეგულაციის შესახებ ( GDPR)

2018 წლის 25 მაისს ძალაში შევიდა ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაცია („General Data Protection Regulation“). რეგულაცია შედგება, ისეთ ახალ პრინციპებს, როგორიცაა მონაცემთა დამმუშავებელი ორგანიზაციების ანგარიშვალდებულება, მონაცემთა პორტირება, მონაცემთა უსაფრთხოების დარღვევის შეტყობინების ვალდებულება და სხვა. ეს მონაცემთა დამმუშავებელ ორგანიზაციებს გაუმარტივებს ევროკავშირის ტერიტორიაზე საქმიანობას და მონაცემთა დამუშავების წესების დაცვას. მნიშვნელოვანია, რომ რეგულაცია ვრცელდება არა მხოლოდ ევროკავშირში რეგისტრირებულ, არამედ იმ ორგანიზაციებზეც, რომლებიც არ არიან რეგისტრირებული ევროკავშირში, თუმცა ამუშავებენ ევროკავშირში მყოფი პირების მონაცემებს. ვინაიდან რეგულაციის წესების დარღვევისთვის საკმაოდ მაღალი სანქციებია გათვალისწინებული, მნიშვნელოვანია, ორგანიზაციებმა იცოდნენ, რა ვალდებულებები ეკისრებათ და როგორ უნდა უზრუნველყონ მათი საქმიანობის რეგულაციასთან შესაბამისობა.

1. ვისზე ვრცელდება რეგულაცია 

ევროკავშირის მონაცემთა დაცვის ზოგადი რეგულაცია ვრცელდება ევროკავშირში რეგისტრირებულ ნებისმიერ ორგანიზაციაზე, რომელიც საქმიანობის ფარგლებში ამუშავებს პერსონალურ მონაცემებს.

  •  ამუშავებენ ევროკავშირის ტერიტორიაზე მყოფი პირების მონაცემებს მათთვის მომსახურების ან პროდუქციის შეთავაზების მიზნით, იმის მიუხედავად, ფასიანია თუ არა ეს მომსახურება ან პროდუქტი;
  • მონიტორინგს უწევენ პირთა ქცევას ევროკავშირის ტერიტორიაზე;

რეგულაციის გავრცელების საკითხის შეფასებისას გასათვალისწინებელია შემდეგი ფაქტორები: აქვს თუ არა ორგანიზაციას ვებგვერდი ევროკავშირის რომელიმე ოფიციალურ ენაზე, პროდუქციის/მომსახურების ფასი დადგენილია თუ არა ევროკავშირში მოქმედ ვალუტაში, სთავაზობს თუ არა ორგანიზაცია მომხმარებლებს მიტანის სერვისს ევროკავშირის წევრი ქვეყნების ტერიტორიაზე და სხვა. ქცევის მონიტორინგად კი შეიძლება ჩაითვალოს ევროკავშირის ტერიტორიაზე მყოფ პირთა ქმედებებზე ონლაინ დაკვირვება მათი ინტერესებისა და დამოკიდებულებების შეფასების მიზნით; მაგალითად, თუ დეველოპერი მის მიერ შექმნილი აპლიკაციის მომხმარებელთა მონაცემებს მიზნობრივი მარკეტინგისთვის იყენებს, მასზე შესაძლოა გავრცელდეს რეგულაციის მოქმედება. თუ ევროკავშირს გარეთ რეგისტრირებულ ორგანიზაციაზე ვრცელდება რეგულაცია, მან უნდა დანიშნოს წარმომადგენელი ევროკავშირში. 

წარმომადგენლის დანიშვნის ვალდებულებისგან თავისუფლდებიან: 

  • საჯარო უწყებები;
  • ის ორგანიზაციები, რომლებიც იშვიათად (ცალკეულ შემთხვევებში) ამუშავებენ ევროკავშირში მყოფი პირების პერსონალურ მონაცემებს, დიდი მოცულობით არ ამუშავებენ განსაკუთრებული კატეგორიის მონაცემებს და დამუშავება დიდი ალბათობით არ შეუქმნის საფრთხეს ინდივიდთა უფლებებს;   

2. მონაცემთა დამუშავების პრინციპები 

ორგანიზაციებმა მონაცემები უნდა დაამუშავონ შემდეგი პრინციპების დაცვით: 

  • მონაცემები უნდა დამუშავდეს კანონიერად და სამართლიანად; დამუშავების შესახებ ინფორმაცია მარტივად ხელმისაწვდომი უნდა იყოს პირისთვის; 
  • მონაცემები უნდა შეგროვდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული, კანონიერი მიზნებისათვის;
  • მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია კონკრეტული კანონიერი მიზნის მისაღწევად; 
  • მონაცემები უნდა იყოს ზუსტი და, საჭიროების შემთხვევაში, განახლებული;
  • იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა ინახებოდეს პირის იდენტიფიცირების გამომრიცხავი ფორმით;
  • მონაცემების დამუშავებისას უზრუნველყოფილი უნდა იყოს მათი უსაფრთხოება და დაცვა უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვის, განადგურებისა და დაზიანებისგან;

რეგულაციის პრინციპების დასაცავად რეკომენდირებულია:  

  • მონაცემთა დაცვის/ინფორმაციული უსაფრთხოების პოლიტიკის შემუშავება; 
  • პერსონალური მონაცემების, დამუშავების საფუძვლებისა და მონაცემთა მიმართ შესრულებული მოქმედებების აღრიცხვა; 
  • მონაცემთა დამუშავების პროცესში ჩართული თანამშრომლების ინფორმირება/გადამზადება;
  • მონაცემთა დამუშავებასთან დაკავშირებული დოკუმენტების (მაგალითად, პირის წერილობითი თანხმობა მონაცემთა დამუშავებაზე) განსაზღვრული ვადით შენახვა;
  • მონაცემთა დამუშავებასთან დაკავშირებული რისკების შეფასება; 
  • მონაცემთა შენახვის ვადებისა და შესაბამისი პროცედურების განსაზღვრა; 
  • ქცევის კოდექსის შემუშავება ან საქმიანობის სფეროში უკვე დამტკიცებულ ქცევის კოდექსთან მიერთება;
  • ნებაყოფლობითი სერტიფიცირება;

3. მონაცემთა დამუშავების საფუძვლები

ახალი რეგულაციის მიხედვით, მონაცემთა დამუშავება კანონიერია, თუ ის ხორციელდება ერთ-ერთი შემდეგი საფუძვლით:  

პირმა გამოხატა თანხმობა მისი მონაცემების ერთი ან მეტი კონკრეტული მიზნით დამუშავებაზე; 

  • დამუშავება აუცილებელია პირთან დადებული ხელშეკრულების შესასრულებლად, ან მისივე თხოვნით ხელშეკრულების მოსამზადებლად; 
  • დამუშავება აუცილებელია ორგანიზაციისთვის კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად;
  • დამუშავება აუცილებელია პირის სასიცოცხლო ინტერესების დასაცავად;  
  • დამუშავება აუცილებელია საჯარო ინტერესიდან გამომდინარე ფუნქციების ან ორგანიზაციისთვის კანონით მინიჭებული უფლებამოსილების განსახორციელებლად; 
  • დამუშავება აუცილებელია ორგანიზაციის ან მესამე პირის კანონიერი ინტერესების დასაცავად;

4. თანხმობა 

თანხმობა მონაცემთა დამუშავების ერთ-ერთი ყველაზე გავრცელებული საფუძველია. რეგულაცია აწესებს კონკრეტულ მოთხოვნებს, რომლებიც ორგანიზაციამ პირისგან თანხმობის მოპოვებისას უნდა დაიცვას:  

თანხმობა უნდა იყოს ნებაყოფლობითი, ინფორმირებული და მკაფიოდ გამოხატული; 

  • თანხმობის გამოხატვამდე პირს გასაგებ ენაზე უნდა მიეწოდოს ამომწურავი ინფორმაცია მონაცემთა დამუშავების შესახებ; 
  • პირმა თანხმობა უნდა გამოხატოს აქტიური მოქმედებით; დუმილი, უმოქმედობა ან წინასწარ მონიშნული გრაფები არ ჩაითვლება თანხმობად; 
  • თანხმობა გაცემული უნდა იყოს კონკრეტული მიზნით/ მიზნებით მონაცემთა დამუშავებაზე;
  • თუ მონაცემები ერთზე მეტი მიზნით დამუშავდება, საჭიროა, პირმა თანხმობა გამოხატოს მონაცემთა თითოეული მიზნით დამუშავებაზე;
  • დოკუმენტებში თანხმობის პირობები გამოყოფილი უნდა იყოს სხვა ტექსტისგან და ჩამოყალიბებული უნდა იყოს მარტივი და გასაგები ენით; 
  • პირს უფლება აქვს, ნებისმიერ დროს გაითხოვოს თანხმობა. პროცედურა ისეთივე მარტივი უნდა იყოს, როგორც თანხმობის გამოხატვა. ამ უფლების შესახებ პირი წინასწარ უნდა იყოს ინფორმირებული;  
  • 16 წლამდე5 არასრულწლოვანისათვის მომსახურების ელექტრონულად შეთავაზებისას, თანხმობას გასცემს მშობელი ან კანონიერი წარმომადგენელი;

5. პირის უფლებები 

რეგულაცია აძლიერებს ინდივიდის უფლებებს და განსაზღვრავს მონაცემთა სუბიექტის ახალ შესაძლებლობებს, მონაცემთა დამმუშავებელ ორგანიზაციებს კი აკისრებს შესაბამის ვალდებულებებს. 

მონაცემებთან წვდომის უფლება 

  •  ორგანიზაციას აქვს ვალდებულება, პირს აცნობოს, ამუშავებს თუ არა მის შესახებ მონაცემებს;
  • მოთხოვნის შემთხვევაში, პირს უნდა განემარტოს დამუშავების მიზნები, დამუშავებულ მონაცემთა კატეგორიები, მონაცემთა შენახვის ვადები და სხვა;
  • ინფორმაციის მოთხოვნის პირველ შემთხვევაში პირს მონაცემთა ასლები უფასოდ უნდა მიეწოდოს. ინფორმაციის/დოკუმენტების განმეორებით მოთხოვნის შემთხვევაში, ორგანიზაციამ შესაძლოა დააწესოს გონივრული საფასური;

მონაცემთა წაშლის უფლება 

ორგანიზაცია ვალდებულია წაშალოს მონაცემები, თუ, მაგალითად:  

  • მონაცემები აღარ არის საჭირო იმ მიზნის მისაღწევად, რისთვისაც მოხდა მათი შეგროვება ან დამუშავება; 
  • დამუშავება განხორციელდება არაკანონიერად;  
  • პირი გაითხოვს თანხმობას, რომლის საფუძველზეც მუშავდებოდა მონაცემები;

მონაცემთა დაბლოკვა 

  • რეგულაცია ორგანიზაციებს მონაცემთა დაბლოკვას რამდენიმე შემთხვევაში ავალდებულებს. მაგალითად, თუ პირი ითხოვს მონაცემების შესწორებას, ორგანიზაციამ მონაცემები უნდა დაბლოკოს, ვიდრე არ გადაწყდება მონაცემთა სიზუსტის/ნამდვილობის საკითხი. ასევე, თუ პირი ითხოვს მონაცემთა დამუშავების შეწყვეტას, ორგანიზაციამ უნდა უზრუნველყოს მათი დაბლოკვა დამუშავების აღმატებული კანონიერი ინტერესის არსებობის დადგენამდე. ორგანიზაციამ მონაცემები უნდა დაბლოკოს იმ შემთხვევაშიც, როდესაც მონაცემთა დამუშავების არაკანონიერება დადგენილია, მაგრამ პირს არ სურს მათი წაშლა;
  • თუ მონაცემების გადაცემა მოხდა მესამე პირებისათვის, ორგანიზაციამ უნდა შეატყობინოს მონაცემთა ყველა მიმღებს მონაცემთა დაბლოკვის თაობაზე, თუ ეს შესაძლებელია და არ მოითხოვს არაპროპორციულად დიდ ძალისხმევას; 

მონაცემთა პორტირების უფლება 

პირს აქვს უფლება, ორგანიზაციისგან მიიღოს მის შესახებ მონაცემები (რომელიც ორგანიზაციას თავად მიაწოდა) სტრუქტურირებულად, ელექტრონულად წაკითხვად ფორ7 მონაცემთა დაბლოკვა გულისხმობს მონაცემთა დამუშავების დრებით შეჩერებას. 13 მატში და გადასცეს იგი სხვა ორგანიზაციას მაშინ, როდესაც:  

  • მონაცემთა დამუშავება ხდება პირის თანხმობით ან სახელშეკრულებო ვალდებულებიდან გამომდინარე;  
  • მონაცემთა დამუშავება ხდება ავტომატური საშუალებებით;
  • თუ ეს ტექნიკურად შესაძლებელია, პირს შეუძლია მოსთხოვოს ორგანიზაციას მისი პერსონალური მონაცემების პირდაპირ სხვა ორგანიზაციისთვის გადაცემა;

6. მონაცემთა დაცვის სტანდარტების გათვალისწინება ახალი პროდუქტის ან მომსახურების შექმნის პროცესში („Privacy by Design“) და მონაცემთა დაცვა პირველად პარამეტრად („Privacy by Default“) 

მონაცემთა კატეგორიის, მოცულობის, დამუშავების მიზნების, საფუძვლების, ტექნიკური საშუალებებისა და რისკების გათვალისწინებით, ორგანიზაციებს ევალებათ მონაცემთა დაცვისთვის საჭირო ტექნიკური და ორგანიზაციული ზომების მიღება დამუშავების საშუალებების განსაზღვრის ეტაპზევე. ამ ზომების მიღება (მაგალითად, ფსევდონიმიზაცია10) უნდა მოხდეს უშუალოდ დამუშავების საშუალებების, მაგალითად, ელექტრონული პროგრამის შექმნისას. 

ორგანიზაციებს საწყის ეტაპზევე ევალებათ კონკრეტულ კანონიერ მიზანთან მონაცემთა მოცულობისა და დამუშავების ვადის შესაბამისობის უზრუნველყოფა. მონაცემები თავისთავად („by default“) არ უნდა იყოს ხელმისაწვდომი პირთა განუსაზღვრელი წრისთვის. მაგალითად, სოციალური ქსელის ან აპლიკაციის ოპერატორმა უნდა უზრუნველყოს, რომ მომხმარებლის მიერ ფოტოს გამოქვეყნებისას პირველადი პარამეტრი იყოს პრივატული და მხოლოდ მაშინ გახდეს საჯარო, თუ პირი თავად შეცვლის შესაბამის პარამეტრს. 

7. მონაცემთა დამუშავების რისკების შეფასება 

რეგულაციის მიხედვით, შეფასების პროცესი უნდა მოიცავდეს სულ მცირე შემდეგს: 

  •  მონაცემთა დაგეგმილი დამუშავების პროცესის და მიზნების აღწერას;  
  • მონაცემთა დამუშავების საჭიროებისა და პროპორციულობის შეფასებას;  
  • პირთა უფლებებთან დაკავშირებული რისკების შეფასებას; 
  • იმ ღონისძიებათა ჩამონათვალს, რომლებიც ამცირებს რისკებს და უზრუნველყოფს რეგულაციასთან შესაბამისობას; 

8. მონაცემთა დაცვის ოფიცერი 

მონაცემთა დაცვის ოფიცერი არის პირი, რომელიც ორგანიზაციის შიგნით აკონტროლებს მონაცემთა დამუშავების პროცესის შესაბამისობას რეგულაციით დადგენილ მოთხოვნებთან. მონაცემთა დაცვის ოფიცრის დანიშვნა სავალდებულოა, თუ ორგანიზაცია: 

  • რეგულარულად და სისტემატურად ახდენს დიდი რაოდენობით პირთა მონიტორინგს;  
  • ამუშავებს დიდი მოცულობით განსაკუთრებული კატეგორიის ან ნასამართლობასთან დაკავშირებულ მონაცემებს; 
  • ამას ითვალისწინებს ევროკავშირის წევრი ქვეყნის კანონმდებლობა. 

მონაცემთა დაცვის ოფიცრის ფუნქციებში უნდა შედიოდეს სულ მცირე: 

  • ორგანიზაციის და დამუშავების პროცესში ჩართული თანამშრომლების ინფორმირება მათი უფლებამოვალეობების შესახებ;  
  • ორგანიზაციაში მონაცემთა დამუშავების პროცესის შიდა კონტროლი; 
  • საჭიროებისას მონაცემთა დამუშავების რისკების შეფასებაში მონაწილეობა და ამ პროცესის ზედამხედველობა; 
  • პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოსთან თანამშრომლობა; 
  • პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოსთან ურთიერთობისას და პერსონალურ მონაცემთა დაცვასთან წამოჭრილ საკითხებთან დაკავშირებით საკონტაქტო პირის ფუნქციის შესრულება; 
  • კომპანიათა ჯგუფს შეუძლია დანიშნოს ერთი მონაცემთა დაცვის ოფიცერი, რომელიც ჯგუფში შემავალი ყველა კომპანიისთვის შეასრულებს ოფიცრის ფუნქციებს;
  • მონაცემთა დაცვის ოფიცრის საკონტაქტო მონაცემები უნდა იყოს საჯაროდ ხელმისაწვდომი;
  • მონაცემთა დაცვის ოფიცერი ანგარიშვალდებული უნდა იყოს პირდაპირ უმაღლესი დონის მმართველ რგოლთან, თუმცა, თავის საქმიანობაში უნდა იყოს დამოუკიდებელი;

! თუ ორგანიზაცია ვერ ასრულებს რეგულაციის პირობებს, პასუხისმგებლობა ეკისრება ორგანიზაციას და არა მონაცემთა დაცვის ოფიცერს. 

9. ჯარიმები 

რეგულაციის წესების დარღვევები იყოფა ორ კატეგორიად:  

დარღვევების პირველი კატეგორია:

  • ორგანიზაციამ არ შეასრულა მონაცემთა უსაფრთხოების დარღვევისას შეტყობინების ვალდებულება;  
  • ევროკავშირის ტერიტორიის გარეთ დარეგისტრირებულმა ორგანიზაციამ არ დანიშნა წარმომადგენელი ევროკავშირში;  
  • დამუშავების საშუალებების შექმნის პროცესში არ მოხდა მონაცემთა დაცვის სტანდარტების გათვალისწინება; 
  • არ აღირიცხა მონაცემთა მიმართ განხორციელებული მოქმედებები; 
  • და სხვა ამ კატეგორიის დარღვევებისთვის ჯარიმის მაქსიმალური ოდენობა არის 10,000,000 ევრო ან კომპანიის წლიური ბრუნვის 2%;

დარღვევების მეორე კატეგორია: 

  • ორგანიზაციამ დაარღვია პირის თანხმობასთან დაკავშირებული წესები;  
  • დაირღვა პირის უფლებები;  
  • დაირღვა მონაცემთა საერთაშორისო გადაცემასთან დაკავშირებული წესები; 
  • ორგანიზაციამ არ შეასრულა საზედამხედველო ორგანოს მითითება ან ხელი შეუშალა შემოწმების პროცესს;  
  • და სხვა  

ამ კატეგორიის დარღვევებისათვის ჯარიმის მაქსიმალური ოდენობა არის 20,000,000 ევრო ან კომპანიის წლიური ბრუნვის 4% 

  

შემოთავაზებული სიახლეები

შეცდომები ლინკბილდინგში

შეცდომები ლინკბილდინგში

რატომ ხელმისაწვდომობა?

რატომ ხელმისაწვდომობა?

პრაქტიკული რჩევები ვებსაიტის ნავიგაციის გაუმჯობესებაზე

პრაქტიკული რჩევები ვებსაიტის ნავიგაციის გაუმჯობესებაზე

ეფექტური copy-ს წერა

ეფექტური copy-ს წერა

ტრენდები და მათთან დაკავშირებული რისკები

ტრენდები და მათთან დაკავშირებული რისკები

ვებსაიტის storytelling

ვებსაიტის storytelling