პერსონალურ მონაცემთა დაცვის პოლიტიკა

პერსონალურ მონაცემთა დაცვის პოლიტიკა (შემდგომში — „პოლიტიკა“) განსაზღვრავს თუ როგორ აგროვებს, ამუშავებს და გამოიყენებს (შემდგომში — „კომპანია“) პერსონალურ მონაცემებს. პოლიტიკა ადგენს იმ სტანდარტებს, რომელიც შესაბამისობაში უნდა იყოს საქართველოს მოქმედ კანონმდებლობასა და საერთაშორისო სამართალთან.

პოლიტიკის მიზანია დაიცვას კომპანიის თანამშრომლების, კონტრაჰენტებისა და მომხმარებლების პერსონალური მონაცემები არაკანონიერი და არასანქცირებული გამოყენებისაგან და ამასთან ერთად, უზრუნველყოს პერსონალურ მონაცემთა შემთხვევითი დაკარგვისა და დაზიანების რისკის შემცირება/აღმოფხვრა და ინციდენტების აღრიცხვა და რეაგირება.

ადამიანური რესურსების მართვის დეპარტამენტი პასუხისმგებელია გააცნოს წინამდებარე პოლიტიკა კომპანიის თანამშრომლებს, გაითვალისწინოს თანამშრომლების მიერ გამოთქმული მოსაზრებები და უზრუნველყოს კომპანიის თანამშრომელთათვის შესაბამისი სამუშაო შეხვედრების განხორციელება.

მონაცემთა დაცვის პოლიტიკა მოიცავს კომპანიის მიერ დამუშავებულ ყველა პერსონალურ მონაცემს, კომპანიის საკუთრებაში არსებულ ან პირად მოწყობილობაზე განთავსებულ პერსონალურ მონაცემებზე წვდომას ნებისმიერი პირის მიერ. კომპანიის ყველა თანამშრომელი და კონტრაჰენტები ვალდებულნი არიან იხელმძღვანელონ ამ პოლიტიკით. პოლიტიკის მოთხოვნათა შეუსრულებლობა გამოიწვევს კომპანიის მენეჯმენტის მიერ პასუხისმგებლობის დაკისრებას.

მუხლი 1. მოქმედების სფერო

წინამდებარე პოლიტიკა გამოიყენება კომპანიის მიერ თანამშრომელთა, მომხმარებლების, კონტრაჰენტებისა და კომპანიასთან დაკავშირებული სხვა ფიზიკური პირების ავტომატური, ნახევრად ავტომატური ან არაავტომატური საშუალებების გამოყენებით პერსონალურ მონაცემთა დამუშავებისას.

მუხლი 2. ტერმინთა განმარტება

ამ პოლიტიკაში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) მონაცემთა სუბიექტი — ნებისმიერი ფიზიკური პირი, რომლის შესახებაც ონლაინ მაღაზია g-mobile.ge ამუშავებს პერსონალურ მონაცემს;

ბ) პერსონალური მონაცემი — ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის, სახელით, გვარით, საიდენტიფიკაციო ნომრით, გეოლოკაციის მონაცემებით, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით;

გ) განსაკუთრებული კატეგორიის პერსონალური მონაცემი — მონაცემი, რომელიც უკავშირდება ფიზიკური პირის რასობრივ ან ეთნიკურ კუთვნილებას, პოლიტიკურ შეხედულებებს, რელიგიურ, ფილოსოფიურ ან სხვაგვარ მრწამსს, პროფესიული კავშირის წევრობას, ჯანმრთელობას, სქესობრივ ცხოვრებას, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსს სისხლის სამართლის პროცესში, მსჯავრდებას, ნასამართლობას, განრიდებას, ადამიანით ვაჭრობის (ტრეფიკინგის) ან „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის შესაბამისად დანაშაულის მსხვერპლად ცნობას, პატიმრობას და მის მიმართ სასჯელის აღსრულებას, აგრეთვე ბიომეტრიულ და გენეტიკურ მონაცემებს, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება;

დ) მონაცემთა დამუშავება — მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით;

ე) მონაცემთა ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენებით;

ვ) მონაცემთა არაავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენების გარეშე;

ზ) მონაცემთა ნახევრად ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ავტომატური საშუალებებისა და არაავტომატური საშუალებების ერთობლივი გამოყენებით;

თ) ფაილური სისტემა − მონაცემთა სტრუქტურიზებული წყება, რომელშიც ისინი დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმის მიხედვით;

ი) მონაცემთა სუბიექტის თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე აქტიური მოქმედებით, წერილობით (მათ შორის, ელექტრონულად) ან ზეპირად, თავისუფლად და მკაფიოდ გამოხატული ნება;

კ) მონაცემთა სუბიექტის წერილობითი თანხმობა − თანხმობა, რომელსაც მონაცემთა სუბიექტმა ხელი მოაწერა ან რომელიც მან სხვაგვარად გამოხატა წერილობით (მათ შორის, ელექტრონულად) მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე შესაბამისი ინფორმაციის მიღების შემდეგ;

ლ) მონაცემთა დამმუშავებელი − ონალინ მაღაზია g-mobile.ge

მ) დამუშავებაზე პასუხისმგებელი პირი − ონალინ მაღაზია g-mobile.ge რომელიც განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს და უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

ნ) მესამე პირი − ნებისმიერი ფიზიკური ან იურიდიული პირი, საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, სახელმწიფო ინსპექტორის სამსახურისა, მონაცემთა დამმუშავებლისა და უფლებამოსილი პირისა;

ო) პერსონალურ მონაცემთა დაცვის სამსახური − საქართველოს კანონმდებლობით გათვალისწინებული სამსახური, რომელიც პასუხისმგებელია მონაცემთა დაცვის მარეგულირებელი კანონმდებლობის შესრულების ზედამხედველობაზე;

პ) პერსონალურ მონაცემთა დაცვის ოფიცერი − დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ განსაზღვრული/დანიშნული პირი, რომელიც ამ პოლიტიკის 30-ე მუხლით გათვალისწინებულ ფუნქციებს ასრულებს;

ჟ) მონაცემთა დაბლოკვა − მონაცემთა დამუშავების (გარდა შენახვისა) დროებით შეჩერება;

რ) ვიდეომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ვიზუალური გამოსახულების მონაცემთა დამუშავება, კერძოდ, ვიდეოკონტროლი ან/და ვიდეოჩაწერა;

ს) აუდიომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ხმოვანი სიგნალის მონაცემთა დამუშავება, კერძოდ, აუდიოკონტროლი ან/და აუდიოჩაწერა;

ტ) ინციდენტი − მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას;

უ) პირდაპირი მარკეტინგი − ტელეფონის, ფოსტის, ელექტრონული ფოსტის ან სხვა ელექტრონული საშუალებით მონაცემთა სუბიექტისთვის ინფორმაციის პირდაპირი და უშუალო მიწოდება ფიზიკური პირის ან/და იურიდიული პირის, საქონლის, იდეის, მომსახურების, სამუშაოს ან/და წამოწყების, აგრეთვე საიმიჯო და სოციალური თემატიკისადმი ინტერესის ფორმირების, შენარჩუნების, რეალიზაციის ან/და მხარდაჭერის მიზნით;

ფ) პროფაილინგი − მონაცემთა ავტომატური დამუშავების ნებისმიერი ფორმა, რომელიც გულისხმობს მონაცემების გამოყენებას ფიზიკურ პირთან დაკავშირებული გარკვეული პიროვნული მახასიათებლების შესაფასებლად, კერძოდ, იმ მახასიათებლების ანალიზსა და პროგნოზირებას, რომლებიც შეეხება ფიზიკური პირის მიერ სამუშაოს შესრულების ხარისხს, მის ეკონომიკურ მდგომარეობას, ჯანმრთელობას, პირად ინტერესებს, სანდოობას, ქცევას, ადგილსამყოფელს ან გადაადგილებას;

ქ) მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი მოდიფიკაცია, რომ შეუძლებელი იყოს მათი დაკავშირება მონაცემთა სუბიექტთან ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას, ხარჯებსა და დროს საჭიროებდეს;

ღ) მონაცემთა ფსევდონიმიზაცია − მონაცემთა იმგვარი დამუშავება, როდესაც დამატებითი ინფორმაციის გამოყენების გარეშე შეუძლებელია მონაცემების კონკრეტულ მონაცემთა სუბიექტთან დაკავშირება და ეს დამატებითი ინფორმაცია შენახულია ცალკე და ტექნიკური და ორგანიზაციული ზომების მეშვეობით მონაცემების იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირება არ ხდება;

მუხლი 3. პერსონალურ მონაცემთა დამუშავების პრინციპები

1. მონაცემთა დამუშავებისას დაცული უნდა იქნეს შემდეგი პრინციპები:

ა) მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, მონაცემთა სუბიექტისთვის გამჭვირვალედ და მისი ღირსების შეულახავად. მონაცემთა დამუშავების გამჭვირვალობის ვალდებულება არ ვრცელდება კანონით და ამ პოლიტიკით დადგენილ გამონაკლის შემთხვევებზე;

ბ) მონაცემები უნდა შეგროვდეს/მოპოვებული უნდა იქნეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნებისთვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებელი მიზნით;

გ) მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად. მონაცემები იმ მიზნის თანაზომიერი უნდა იყოს, რომლის მისაღწევადაც ისინი მუშავდება;

დ) მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული. მონაცემთა დამუშავების მიზნების გათვალისწინებით, არაზუსტი მონაცემები უნდა გასწორდეს, წაიშალოს ან განადგურდეს გაუმართლებელი დაყოვნების გარეშე;

ე) მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა წაიშალოს, განადგურდეს ან შენახული უნდა იქნეს დეპერსონალიზებული ფორმით, გარდა იმ შემთხვევისა, თუ მონაცემთა დამუშავება განსაზღვრულია კანონით ან/და კანონის შესაბამისად გამოცემული კანონქვემდებარე ნორმატიული აქტით და მონაცემთა შენახვა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში აღმატებული ინტერესების დასაცავად;

ვ) მონაცემების უსაფრთხოების დაცვის მიზნით მონაცემთა დამუშავებისას მიღებული უნდა იქნეს ისეთი ტექნიკური და ორგანიზაციული ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან.

2. თუ მონაცემები უნდა დამუშავდეს მათი შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით და დამუშავება მონაცემთა სუბიექტის თანხმობით ან კანონის საფუძველზე არ ხორციელდება, მონაცემთა შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით მონაცემთა დამუშავების საკითხის გადაწყვეტისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა გაითვალისწინოს:

ა) არსებობს თუ არა მონაცემთა შეგროვების/მოპოვების თავდაპირველ მიზანსა და შემდგომ მიზანს შორის კავშირი;

ბ) მონაცემთა შეგროვებისას/მოპოვებისას დამუშავებისთვის პასუხისმგებელ პირსა და მონაცემთა სუბიექტს შორის არსებული ურთიერთობის ხასიათი;

გ) აქვს თუ არა მონაცემთა სუბიექტს მის შესახებ მონაცემთა შემდგომი დამუშავების გონივრული მოლოდინი;

დ) ხორციელდება თუ არა განსაკუთრებული კატეგორიის მონაცემთა დამუშავება;

ე) მონაცემთა სუბიექტისთვის შესაძლო შედეგები, რომლებიც შეიძლება თან ახლდეს მონაცემთა შემდგომ დამუშავებას;

ვ) მონაცემთა ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების არსებობა.

3. ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის დაცვის მიზნისთვის დამუშავებისთვის პასუხისმგებელმა პირმა, კონტექსტიდან გამომდინარე, ფაქტებზე დაფუძნებული მონაცემები უნდა განასხვაოს იმ მონაცემებისგან, რომლებიც პირად შეფასებას ეფუძნება. პირად შეფასებაზე დაფუძნებულ მონაცემებთან მიმართებით ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის ზედმიწევნით დაცვა სავალდებულო არ არის.

4. დამუშავებისთვის პასუხისმგებელი პირის მიერ დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის მონაცემთა შემდგომი დამუშავება მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა, თუ მონაცემთა დამუშავება გათვალისწინებულია კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით.

5. მონაცემთა შემდგომი დამუშავება საჯარო ინტერესების შესაბამისად არქივირების, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა. ამ პუნქტით გათვალისწინებული მიზნით მონაცემთა ხანგრძლივად შენახვა დასაშვებია, თუ მონაცემთა სუბიექტის უფლებების დასაცავად მიღებულია უსაფრთხოების სათანადო ტექნიკური და ორგანიზაციული ზომები.

6. დამუშავებისთვის პასუხისმგებელი პირი პასუხისმგებელია მონაცემთა დამუშავებისას ამ მუხლით განსაზღვრული პრინციპების დაცვისთვის და მან უნდა შეძლოს მათთან შესაბამისობის დასაბუთება.

მუხლი 4. მონაცემთა დამუშავების საფუძვლები

1. მონაცემთა დამუშავება დასაშვებია, თუ არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა თანხმობა მის შესახებ მონაცემთა ერთი ან რამდენიმე კონკრეტული მიზნით დამუშავებაზე;

ბ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტთან დადებული გარიგებით ნაკისრი ვალდებულების შესასრულებლად ან მონაცემთა სუბიექტის მოთხოვნით გარიგების დასადებად;

გ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

დ) მონაცემთა დამუშავება საჭიროა დამუშავებისთვის პასუხისმგებელი პირის მიერ საქართველოს კანონმდებლობით მისთვის დაკისრებული მოვალეობების შესასრულებლად;

ე) კანონის თანახმად, მონაცემი საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა იგი საჯაროდ ხელმისაწვდომი გახადა;

ვ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად, მათ შორის, ეპიდემიის მონიტორინგის ან/და მისი გავრცელების აღკვეთის, ჰუმანიტარული კრიზისების, ბუნებრივი და ადამიანის მოქმედებით გამოწვეული კატასტროფების სამართავად;

ზ) მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

თ) მონაცემთა დამუშავება აუცილებელია საქართველოს კანონმდებლობით განსაზღვრული საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, მათ შორის, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების, მართლწესრიგის დაცვის, მათ შორის, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველყოფის, მიზნებისთვის;

ი) მონაცემთა დამუშავება აუცილებელია დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების დასაცავად, გარდა იმ შემთხვევისა, თუ არსებობს მონაცემთა სუბიექტის (მათ შორის, არასრულწლოვანის) უფლებების დაცვის აღმატებული ინტერესი;

კ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

2. მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 5. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება

1. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ დამუშავებისთვის პასუხისმგებელი პირის მიერ უზრუნველყოფილია მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის ამ პოლიტიკითა და კანონმდებლობით გათვალისწინებული გარანტიები და არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა წერილობითი თანხმობა ერთი ან რამდენიმე კონკრეტული მიზნით განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე;

ბ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება პირდაპირ და სპეციალურად რეგულირდება კანონით და მათი დამუშავება აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში;

გ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არ აქვს, განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე განაცხადოს თანხმობა;

დ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია ჯანმრთელობის დაცვის სფეროში პრევენციული, პროფილაქტიკური, დიაგნოსტიკური, სამკურნალო, სარეაბილიტაციო და პალიატიური მზრუნველობის, მომსახურების, სამედიცინო მოწყობილობების და პროდუქტების ხარისხისა და უსაფრთხოების, საზოგადოებრივი ჯანმრთელობის და ჯანმრთელობის დაცვის სისტემის მართვის მიზნებით საქართველოს კანონმდებლობის ან ჯანმრთელობის დაცვის სპეციალისტთან დადებული ხელშეკრულების (თუ ამ მონაცემებს ამუშავებს პირი, რომელსაც პროფესიული საიდუმლოების დაცვის ვალდებულება ეკისრება) შესაბამისად;

ე) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია სოციალური უზრუნველყოფისა და სოციალური დაცვის სფეროში, მათ შორის, სოციალური უზრუნველყოფის სისტემისა და მომსახურების მართვისთვის საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვის დაკისრებული მოვალეობის შესასრულებლად ან მონაცემთა სუბიექტის კონკრეტული უფლებების განსახორციელებლად;

ვ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება საჭიროა დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის და ამ მონაცემთა დამუშავება გათვალისწინებულია შესაბამისი კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით;

ზ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველსაყოფად;

თ) განსაკუთრებული კატეგორიის მონაცემების დამუშავება აუცილებელია შრომითი ვალდებულებებისა და ურთიერთობის ხასიათიდან გამომდინარე, მათ შორის, დასაქმების შესახებ გადაწყვეტილების მისაღებად ან დასაქმებულის შრომითი უნარების შესაფასებლად;

ი) მონაცემთა სუბიექტმა გამოყენების აშკარა აკრძალვის დათქმის გარეშე საჯარო გახადა თავისი მონაცემები;

კ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

ლ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მიგრაციის მონაცემთა ერთიანი ანალიტიკური სისტემის ფუნქციონირების მიზნით;

მ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება შეზღუდული შესაძლებლობის მქონე პირთა და სპეციალური საგანმანათლებლო საჭიროების მქონე პირთა განათლების უფლების განხორციელების მიზნით;

ნ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტით გათვალისწინებული საკითხის განხილვის მიზნით;

ო) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, აგრეთვე არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის მიზნით;

პ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „საჯარო შესყიდვების შესახებ“ საქართველოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში;

ჟ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება უწყებათაშორისი კოორდინაციის ინსტიტუციური მექანიზმის ფუნქციონირებისთვის − ბავშვის სიცოცხლისთვის, ჯანმრთელობისთვის ან უსაფრთხოებისთვის ან/და ბავშვის საუკეთესო ინტერესებისთვის ან მისი უფლებისთვის მიყენებული ზიანის ან მოსალოდნელი რისკების შემცველი შემთხვევის გამოვლენის ან/და მართვის მიზნებისთვის და ამ მიზნების ფარგლებში, საქართველოს მთავრობის მიერ განსაზღვრულ კომპეტენტურ ორგანოებს (უწყებებს) შორის კოორდინაციის უზრუნველსაყოფად, ბავშვის უფლებათა კოდექსის 83-ე მუხლის მე-3 ნაწილითა და 84-ე მუხლის 2¹ ნაწილით გათვალისწინებულ შემთხვევებში.

2. განსაკუთრებული კატეგორიის მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 6. არასრულწლოვანის შესახებ მონაცემთა დამუშავებაზე თანხმობის გაცემის წესი და პირობები

1. არასრულწლოვანის შესახებ მონაცემთა დამუშავება მისი თანხმობის საფუძველზე დასაშვებია, თუ მან 16 წლის ასაკს მიაღწია, ხოლო 16 წლამდე არასრულწლოვანის შესახებ მონაცემთა დამუშავება − მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობით, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა, მათ შორის, როდესაც მონაცემთა დამუშავებისთვის აუცილებელია 16 წლიდან 18 წლამდე არასრულწლოვანისა და მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს გონივრული და ადეკვატური ზომა 16 წლამდე არასრულწლოვანის მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის არსებობის დასადასტურებლად.

3. არასრულწლოვანის შესახებ განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ მისი მშობლის ან სხვა კანონიერი წარმომადგენლის წერილობითი თანხმობის საფუძველზე, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა.

4. არასრულწლოვანის შესახებ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია გაითვალისწინოს და დაიცვას არასრულწლოვანის საუკეთესო ინტერესები.

5. არასრულწლოვანის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვანის საუკეთესო ინტერესებს.

6. ამ მუხლით გათვალისწინებული დებულებები არ ვრცელდება საქართველოს სამოქალაქო კოდექსით განსაზღვრულ გარიგების ნამდვილობასთან დაკავშირებულ ურთიერთობებზე.

მუხლი 7. ვიდეომონიტორინგის განხორციელება

1. ვიდეომონიტორინგის განხორციელება დასაშვებია დანაშაულის თავიდან აცილების, მისი გამოვლენის, საზოგადოებრივი უსაფრთხოების, პირის უსაფრთხოებისა და საკუთრების დაცვის, არასრულწლოვანის დაცვის (მათ შორის, მავნე ზეგავლენისგან დაცვის), საიდუმლო ინფორმაციის დაცვის, გამოცდის/ტესტირების მიზნებისთვის, აგრეთვე სხვა საჯარო ან/და სხვა ლეგიტიმური ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, თუ ვიდეომონიტორინგის განხორციელება მონაცემთა დამუშავების მიზნის ადეკვატური და პროპორციული საშუალებაა.

2. ვიდეომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ პოლიტიკის მე-3 მუხლით დადგენილი პრინციპების შესაბამისად წერილობით განსაზღვროს ვიდეომონიტორინგის მიზანი და მოცულობა, ვიდეომონიტორინგის ხანგრძლივობა და ვიდეოჩანაწერის შენახვის ვადა, ვიდეოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

3. დასაქმებული პირის სამუშაო პროცესის/სივრცის ვიდეომონიტორინგი დასაშვებია მხოლოდ გამონაკლის შემთხვევაში, თუ ამ მუხლის პირველი პუნქტით განსაზღვრული მიზნების მიღწევა სხვა საშუალებით შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

4. დაუშვებელია ვიდეომონიტორინგის განხორციელება გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და ვიდეომონიტორინგის განხორციელება საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება.

5. ვიდეომონიტორინგის სისტემა და ვიდეოჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისგან. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს ვიდეოჩანაწერებზე წვდომის თითოეული შემთხვევის აღრიცხვა, მათ შორის, წვდომის დროისა და მომხმარებლის სახელის აღრიცხვა, რომელიც წვდომის განმახორციელებელი პირის იდენტიფიცირების შესაძლებლობას იძლევა.

6. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი თვალსაჩინოდ განათავსოს, ხოლო ამ მუხლის მე-3 პუნქტით განსაზღვრულ შემთხვევაში − დამატებით დასაქმებული პირი წერილობით გააფრთხილოს ვიდეომონიტორინგის კონკრეტული მიზნის (მიზნების) შესახებ. ამ პუნქტით გათვალისწინებული მოთხოვნების დაცვის შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად მიიჩნევა.

7. ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას ვიდეომონიტორინგის მიმდინარეობის თაობაზე და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 8. აუდიომონიტორინგის განხორციელება

1. აუდიომონიტორინგის განხორციელება დასაშვებია:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) საოქმო ჩანაწერის საწარმოებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად;

დ) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

2. აუდიომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ პოლიტიკის მე-3 მუხლით გათვალისწინებული პრინციპების შესაბამისად წერილობით წინასწარ განსაზღვროს აუდიომონიტორინგის მიზანი და მოცულობა, აუდიომონიტორინგის ხანგრძლივობა, აუდიოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

3. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი აუდიომონიტორინგის განხორციელების შესახებ და განუმარტოს უარის თქმის თაობაზე მისი უფლება (ასეთის არსებობის შემთხვევაში). მონაცემთა სუბიექტის ინფორმირების მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს.

4. მონაცემთა სუბიექტის აუდიომონიტორინგის შესახებ გამაფრთხილებელი ნიშნით ინფორმირების შემთხვევაში ეს გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას აუდიომონიტორინგის მიმდინარეობის შესახებ და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 9. მონაცემთა დამუშავება პირდაპირი მარკეტინგის მიზნით

1. მიუხედავად მონაცემთა შეგროვების/მოპოვების საფუძვლისა და მათი ხელმისაწვდომობისა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით.

2. მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელია მონაცემთა სუბიექტის წერილობითი თანხმობა.

3. მონაცემთა სუბიექტის თანხმობის მიღებამდე და პირდაპირი მარკეტინგის განხორციელებისას დამუშავებისთვის პასუხისმგებელმა პირმა/დამუშავებაზე უფლებამოსილმა პირმა მონაცემთა სუბიექტს ნათლად, მარტივ და მისთვის გასაგებ ენაზე უნდა განუმარტოს მის მიერ თანხმობის ნებისმიერ დროს გამოხმობის უფლება და ამ უფლების განხორციელების მექანიზმი/წესი.

4. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია შეწყვიტოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება მონაცემთა სუბიექტის შესაბამისი მოთხოვნის მიღებიდან გონივრულ ვადაში, მაგრამ არაუგვიანეს 7 სამუშაო დღისა. ამ ვალდებულების უზრუნველსაყოფად დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს ეკისრება მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შესახებ ინფორმაციის გაცვლის ვალდებულება.

5. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია უზრუნველყოს, რომ მონაცემთა სუბიექტს შესაძლებლობა ჰქონდეს, მოითხოვოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტა იმავე ფორმით, რომლითაც პირდაპირი მარკეტინგი ხორციელდება, ან განსაზღვროს სხვა ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის.

6. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის ამ მუხლის მე-5 პუნქტით გათვალისწინებული საშუალება მარტივი უნდა იყოს. ამასთანავე, მონაცემთა სუბიექტს უნდა მიეცეს მკაფიო და ადვილად აღსაქმელი მითითება ამ საშუალების გამოყენების შესახებ.

7. დაუშვებელია, მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის უფლების განსახორციელებლად დაწესებულ იქნეს საფასური ან სხვა შეზღუდვა.

8. პირდაპირი მარკეტინგის განხორციელებისას მონაცემთა სუბიექტის თანხმობის არსებობის, უარის თქმის საშუალების სიმარტივის, მისი გამოყენების შესახებ მითითების ადვილად აღქმადობის, ხელმისაწვდომობისა და ადეკვატურობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს.

9. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მონაცემთა სუბიექტის მიერ მის შესახებ მონაცემთა დამუშავებაზე თანხმობის მიცემისა და თანხმობის გამოხმობის დრო და ფაქტი აღრიცხოს და შეინახოს პირდაპირი მარკეტინგის განხორციელების ვადით და პირდაპირი მარკეტინგის განხორციელების შეწყვეტიდან 1 წლის განმავლობაში.

მუხლი 10. მონაცემთა დამუშავების შესახებ ინფორმაციის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს იმის დადასტურება, მუშავდება თუ არა მის შესახებ მონაცემები, დასაბუთებულია თუ არა მონაცემთა დამუშავება და მოთხოვნის შესაბამისად უსასყიდლოდ მიიღოს შემდეგი ინფორმაცია:

ა) მის შესახებ იმ მონაცემის თაობაზე, რომელიც მუშავდება, აგრეთვე ამ მონაცემის დამუშავების საფუძვლისა და მიზნის შესახებ;

ბ) მონაცემთა შეგროვების/მოპოვების წყაროს შესახებ;

გ) მონაცემთა შენახვის ვადის (დროის) შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

დ) მონაცემთა სუბიექტის ამ თავით გათვალისწინებული უფლებების შესახებ;

ე) მონაცემთა გადაცემის სამართლებრივი საფუძვლისა და მიზნების, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების შესახებ, თუ მონაცემები გადაეცემა სხვა სახელმწიფოს ან საერთაშორისო ორგანიზაციას;

ვ) მონაცემთა მიმღების ვინაობის ან მონაცემთა მიმღებების კატეგორიების შესახებ, მათ შორის, ინფორმაცია მონაცემთა გადაცემის საფუძვლისა და მიზნის თაობაზე, თუ მონაცემები მესამე პირს გადაეცემა;

ზ) ავტომატიზებული დამუშავების, მათ შორის, პროფაილინგის შედეგად მიღებული გადაწყვეტილების და იმ ლოგიკის შესახებ, რომელიც გამოიყენება ამგვარი გადაწყვეტილების მისაღებად, აგრეთვე მონაცემთა დამუშავებაზე მისი გავლენისა და დამუშავების მოსალოდნელი/სავარაუდო შედეგის თაობაზე.

2. მონაცემთა სუბიექტს უფლება აქვს, ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მიიღოს მისი მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა. ეს ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

3. დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მონაცემთა სუბიექტს საჭიროებისამებრ მიაწოდოს ნებისმიერი ინფორმაცია, რათა უზრუნველყოფილ იქნეს მონაცემთა დამუშავების გამჭვირვალობა ამ პოლიტიკის მე-3 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის შესაბამისად, გარდა იმ შემთხვევისა, როდესაც ინფორმაციის გაცემა კანონს ეწინააღმდეგება.

4. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის გათვალისწინებული, მონაცემთა სუბიექტს უფლება აქვს, თავად აირჩიოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ფორმა. ამასთანავე, თუ მონაცემთა სუბიექტი სხვა ფორმით არ მოითხოვს ინფორმაციის მიწოდებას, მას ინფორმაცია მიეწოდება იმავე ფორმით, რომლითაც მოხდა ინფორმაციის მოთხოვნა.

მუხლი 11. მონაცემთა გაცნობისა და ასლის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირთან გაეცნოს მის შესახებ არსებულ პერსონალურ მონაცემებს და უსასყიდლოდ მიიღოს ამ მონაცემების ასლები, გარდა იმ შემთხვევებისა, როდესაც მონაცემთა გაცნობისთვის ან/და მონაცემთა ასლების გაცემისთვის:

ა) საქართველოს კანონმდებლობით გათვალისწინებულია საფასური;

ბ) დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილია გონივრული საფასური მონაცემთა შენახვის ფორმისგან განსხვავებული ფორმით მათი გაცემისთვის დახარჯული რესურსის ან/და მოთხოვნის სიხშირის გამო.

2. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, გარდა იმ შემთხვევისა, როდესაც საქართველოს კანონმდებლობით სხვა ვადა არის დადგენილი.

3. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

4. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები იმ ფორმით, რომლითაც დაცულია დამუშავებისთვის პასუხისმგებელ პირთან ან/და დამუშავებაზე უფლებამოსილ პირთან. მონაცემთა სუბიექტს აგრეთვე უფლება აქვს, მოითხოვოს მის შესახებ მონაცემთა ასლების მიწოდება განსხვავებული ფორმით, დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილი გონივრული საფასურის სანაცვლოდ და იმ შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია.

5. დამუშავებისთვის პასუხისმგებელი პირის მიერ ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით განსაზღვრული საფასური ფაქტობრივად დახარჯული რესურსის ოდენობას არ უნდა აღემატებოდეს. საფასურის დადგენის და მისი ოდენობის გონივრულობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 12. მონაცემთა გასწორების, განახლებისა და შევსების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მცდარი, არაზუსტი ან/და არასრული მონაცემების გასწორება, განახლება ან/და შევსება.

2. მონაცემთა სუბიექტის მიერ ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა ვადა არ არის დადგენილი) მონაცემები უნდა გასწორდეს, განახლდეს ან/და შეივსოს ან მონაცემთა სუბიექტს ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტისგან დამოუკიდებლად გამოავლენს, რომ მის ხელთ არსებული მონაცემები მცდარი, არაზუსტი ან/და არასრულია, მან გონივრულ ვადაში უნდა გაასწოროს, განაახლოს ან/და შეავსოს მონაცემები და მონაცემთა გასწორებიდან 10 სამუშაო დღის ვადაში ამის შესახებ აცნობოს მონაცემთა სუბიექტს.

4. დამუშავებისთვის პასუხისმგებელ პირს ამ მუხლის მე-3 პუნქტით გათვალისწინებული მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულება არ წარმოეშობა, თუ მონაცემების გასწორება, განახლება ან/და შევსება ტექნიკური შეცდომის გასწორებას/აღმოფხვრას უკავშირდება.

5. თუ არსებობს ობიექტური გარემოება, რომელიც შეუძლებელს ხდის ამ მუხლის მე-3 პუნქტით დადგენილ ვადაში მონაცემთა სუბიექტის ინფორმირების ვალდებულების შესრულებას, დამუშავებისთვის პასუხისმგებელმა პირმა ცვლილების განხორციელების შესახებ ინფორმაცია მონაცემთა სუბიექტს უნდა მიაწოდოს მასთან პირველი კომუნიკაციის განხორციელებისთანავე.

6. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირს და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა განახლებისა და შევსების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

7. ამ მუხლის მე-6 პუნქტით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან გონივრულ ვადაში გაასწორონ, განაახლონ ან/და შეავსონ მონაცემები.

მუხლი 13. მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მონაცემთა დამუშავების (მათ შორის, პროფაილინგის) შეწყვეტა, წაშლა ან განადგურება.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი) უნდა შეწყდეს მონაცემთა დამუშავება ან/და მონაცემები უნდა წაიშალოს ან განადგურდეს ან მონაცემთა სუბიექტს უნდა ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, უარი თქვას ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის დაკმაყოფილებაზე, თუ:

ა) არსებობს მონაცემთა დამუშავების ამ პოლიტიკის მე-4 ან მე-5 მუხლით გათვალისწინებული რომელიმე საფუძველი;

ბ) მონაცემები მუშავდება სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთების მიზნით;

გ) მონაცემთა დამუშავება აუცილებელია გამოხატვის ან ინფორმაციის თავისუფლების უფლების განსახორციელებლად;

დ) მონაცემები მუშავდება კანონით გათვალისწინებული საჯარო ინტერესებისთვის არქივირების მიზნით, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის და მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლების განხორციელება შეუძლებელს გახდის ან მნიშვნელოვნად დააზიანებს დამუშავების მიზნების მიღწევას.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული რომელიმე საფუძვლის არსებობისას დამუშავებისთვის პასუხისმგებელ პირს ეკისრება შესაბამისი საფუძვლის დასაბუთების ვალდებულება.

5. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ ინფორმაცია მიიღოს შესაბამისი მოქმედების განხორციელებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 10 სამუშაო დღისა.

6. მონაცემთა სუბიექტს უფლება აქვს, მის შესახებ მონაცემთა საჯაროდ ხელმისაწვდომი ფორმით დამუშავების შემთხვევაში დამატებით დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა ხელმისაწვდომობის შეზღუდვა ან/და მონაცემთა ასლების ან მონაცემებთან დამაკავშირებელი ნებისმიერი ინტერნეტბმულის წაშლა.

7. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირსა და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

8. ამ მუხლის მე-6 და მე-7 პუნქტებით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან შეწყვიტონ მონაცემთა დამუშავება და წაშალონ ან გაანადგურონ მონაცემები.

მუხლი 14. მონაცემთა დაბლოკვის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა დაბლოკვა, თუ არსებობს ერთ-ერთი შემდეგი გარემოება:

ა) მონაცემთა სუბიექტი სადავოს ხდის მონაცემების ნამდვილობას ან სიზუსტეს;

ბ) მონაცემთა დამუშავება უკანონოა, თუმცა მონაცემთა სუბიექტი ეწინააღმდეგება მათ წაშლას და ითხოვს მონაცემთა დაბლოკვას;

გ) მონაცემები საჭირო აღარ არის მათი დამუშავების მიზნის მისაღწევად, თუმცა მონაცემთა სუბიექტს ისინი სჭირდება საჩივრის/სარჩელის წარსადგენად;

დ) მონაცემთა სუბიექტი მოითხოვს მონაცემთა დამუშავების შეწყვეტას, წაშლას ან განადგურებას და მიმდინარეობს ამ მოთხოვნის განხილვა;

ე) არსებობს მონაცემების მტკიცებულებად გამოყენების მიზნით შენახვის აუცილებლობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში დაბლოკოს მონაცემები ამ მუხლის პირველი პუნქტით გათვალისწინებული ერთ-ერთი გარემოების არსებობისას, გარდა იმ შემთხვევისა, როდესაც მონაცემთა დაბლოკვამ შეიძლება საფრთხე შეუქმნას:

ა) დამუშავებისთვის პასუხისმგებელი პირის მიერ კანონით ან/და კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით მისთვის დაკისრებული მოვალეობების შესრულებას;

ბ) კანონის შესაბამისად საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესრულებას ან საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვის მინიჭებული უფლებამოსილების განხორციელებას;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ლეგიტიმურ ინტერესებს, გარდა იმ შემთხვევისა, როდესაც არსებობს მონაცემთა სუბიექტის, განსაკუთრებით არასრულწლოვანის, უფლებების დაცვის აღმატებული ინტერესი;

დ) პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვის დასრულებამდე მიიღოს გადაწყვეტილება მონაცემთა დაბლოკვის შესახებ. მონაცემთა დაბლოკვის მიუხედავად, ამ მონაცემთა დამუშავება შეიძლება გაგრძელდეს, თუ ეს აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად, აგრეთვე სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისთვის.

3. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღების შემდეგ დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მიიღოს გადაწყვეტილება მონაცემთა განბლოკვის შესახებ, თუ არსებობს ამ მუხლის მე-2 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე საფუძველი.

4. მონაცემები უნდა დაიბლოკოს მათი დაბლოკვის მიზეზის არსებობის ვადით და ამ ვადის განმავლობაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება თან უნდა ერთოდეს შესაბამის მონაცემებს.

5. მონაცემთა სუბიექტს უფლება აქვს, მიიღოს ინფორმაცია მონაცემთა დაბლოკვის თაობაზე მიღებული გადაწყვეტილების ან მონაცემთა დაბლოკვაზე უარის თქმის საფუძვლის შესახებ გადაწყვეტილების მიღებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს მოთხოვნიდან 3 სამუშაო დღისა.

6. ამ მუხლის პირველი პუნქტის შესაბამისად მონაცემთა დაბლოკვის შემთხვევაში მონაცემები, გარდა მათი შენახვისა, შესაძლოა სხვაგვარად დამუშავდეს შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) სამართლებრივი მოთხოვნის ან შესაგებლის დასასაბუთებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ინტერესების დასაცავად;

დ) კანონის შესაბამისად, საჯარო ინტერესის დასაცავად.

მუხლი 15. მონაცემთა გადატანის უფლება

ამ პოლიტიკის მე-4 მუხლის პირველი პუნქტის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული საფუძვლებით მონაცემთა ავტომატური დამუშავების შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელი პირისგან სტრუქტურიზებული, საზოგადოდ გამოყენებადი და მანქანურად წაკითხვადი ფორმატით მიიღოს მის მიერ მიწოდებული მონაცემები ან მოითხოვოს ამ მონაცემთა სხვა დამუშავებისთვის პასუხისმგებელი პირისთვის გადაცემა.

მუხლი 16. ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღება და მასთან დაკავშირებული უფლებები

1. მონაცემთა სუბიექტს უფლება აქვს, არ დაექვემდებაროს მხოლოდ ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე, მიღებულ გადაწყვეტილებას, რომელიც მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, გარდა იმ შემთხვევისა, როდესაც პროფაილინგის საფუძველზე გადაწყვეტილების მიღება:

ა) ეფუძნება მონაცემთა სუბიექტის აშკარად გამოხატულ თანხმობას;

ბ) აუცილებელია მონაცემთა სუბიექტსა და დამუშავებისთვის პასუხისმგებელ პირს შორის ხელშეკრულების დასადებად ან ხელშეკრულების შესასრულებლად;

გ) გათვალისწინებულია კანონით ან კანონის საფუძველზე დელეგირებული უფლებამოსილების ფარგლებში გამოცემული კანონქვემდებარე ნორმატიული აქტით.

2. მონაცემთა სუბიექტის შესაბამისი მოთხოვნისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებების, თავისუფლებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, ამ მუხლის პირველი პუნქტით განსაზღვრული, გადაწყვეტილების მიღების პროცესში ადამიანური რესურსის ჩართვის (გარდა ამ მუხლის პირველი პუნქტის „გ“ ქვეპუნქტით გათვალისწინებული შემთხვევისა), მონაცემთა სუბიექტისთვის მისი მოსაზრების გამოთქმის და გადაწყვეტილების გასაჩივრების შესაძლებლობის მიცემის გზით.

მუხლი 17. თანხმობის გამოხმობის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე გამოიხმოს მის მიერ გაცემული თანხმობა. ამ შემთხვევაში, მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, მონაცემთა დამუშავება უნდა შეწყდეს ან/და დამუშავებული მონაცემები წაიშალოს ან განადგურდეს მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, თუ მონაცემთა დამუშავების სხვა საფუძველი არ არსებობს.

2. მონაცემთა სუბიექტს უფლება აქვს, თანხმობა გამოიხმოს იმავე ფორმით, რომლითაც თანხმობა განაცხადა.

3. მონაცემთა სუბიექტს თანხმობის გამოხმობამდე უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს და მიიღოს ინფორმაცია თანხმობის გამოხმობის შესაძლო შედეგების შესახებ.

მუხლი 18. მონაცემთა სუბიექტის უფლებების შეზღუდვა

1. მონაცემთა სუბიექტის ამ პოლიტიკის მე-10−მე-17, 21-ე და 22-ე მუხლებით გათვალისწინებული უფლებები შეიძლება შეიზღუდოს, თუ ეს პირდაპირ არის გათვალისწინებული საქართველოს კანონმდებლობით, ამით არ ირღვევა ადამიანის ძირითადი უფლებები და თავისუფლებები, ეს არის აუცილებელი და პროპორციული ზომა დემოკრატიულ საზოგადოებაში და ამ უფლებების განხორციელებამ შეიძლება საფრთხე შეუქმნას:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას;

დ) ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ე) მონაცემთა სუბიექტის მიერ პროფესიული, მათ შორის, რეგულირებადი პროფესიის, ეთიკის ნორმების დარღვევის გამოვლენას და მისთვის პასუხისმგებლობის დაკისრებას;

ვ) ამ მუხლის პირველი პუნქტის „ა“, „ბ“, „გ“, „დ“, „ე“, „ზ“ ან „ი“ ქვეპუნქტით განსაზღვრულ სფეროებში მარეგულირებელი ან/და ზედამხედველობის განმახორციელებელი ორგანოების ფუნქციებისა და უფლებამოსილებების განხორციელებას;

ზ) მონაცემთა სუბიექტის ან/და სხვა პირების უფლებებსა და თავისუფლებებს, მათ შორის, გამოხატვის თავისუფლებას;

თ) სახელმწიფო, კომერციული, პროფესიული და კანონით გათვალისწინებული სხვა სახის საიდუმლოებების დაცვას;

ი) სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთებას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლების არსებობისას მონაცემთა სუბიექტის უფლების შეზღუდვასა და განხორციელებაზე უარის თქმის შესახებ დამუშავებისთვის პასუხისმგებელი პირის გადაწყვეტილება უნდა ეცნობოს მონაცემთა სუბიექტს, გარდა იმ შემთხვევისა, თუ ინფორმაციის მიწოდება საფრთხეს შეუქმნის ამ მუხლის პირველი პუნქტით გათვალისწინებული მიზნის (მიზნების) მიღწევას.

4. მონაცემთა სუბიექტის კანონის მე-7−მე-8 და 22-ე მუხლებით გათვალისწინებული უფლებების განხორციელება უზრუნველყოფილი უნდა იყოს უსასყიდლოდ, გარდა ამავე კანონით დადგენილი გამონაკლისებისა. მონაცემთა სუბიექტის მიერ მოთხოვნის არაგონივრული სიხშირით წარდგენის შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია უარი განაცხადოს მის შესრულებაზე, რის შესახებაც ვალდებულია დაუყოვნებლივ წერილობით აცნობოს მონაცემთა სუბიექტს და განუმარტოს გასაჩივრების უფლების შესახებ.

5. მონაცემთა სუბიექტის უფლების შეზღუდვისა და მის მოთხოვნაზე უარის თქმის შემთხვევაში მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 19. გასაჩივრების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ამ კანონით გათვალისწინებული უფლებებისა და დადგენილი წესების დარღვევის შემთხვევაში კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს, სასამართლოს ან/და ზემდგომ ადმინისტრაციულ ორგანოს.

2. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურს მოსთხოვოს მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღება განცხადების განხილვის დასრულების თაობაზე გადაწყვეტილების გამოტანამდე.

3. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება გაასაჩივროს სასამართლოში საქართველოს კანონმდებლობით გათვალისწინებული პირობებისა და ვადების დაცვით.

მუხლი 20. მონაცემთა სუბიექტის უფლებების დაცვის ვალდებულება

1. მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია დადგენილი წესით უზრუნველყოს მონაცემთა სუბიექტის ამ პოლიტიკით განსაზღვრული უფლებების განხორციელება, მათ შორის, მიიღოს ყველა ზომა ამ პოლიტიკისა და «პერსონალირ მონაცემთა დაცვის შესახებ» საქართველოს კანონის მოთხოვნებთან შესაბამისობის და, საჭიროების შემთხვევაში, მათი დემონსტრირების მიზნით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულებები ვრცელდება აგრეთვე დამუშავებაზე უფლებამოსილ პირზე მასთან დაცულ/არსებულ ინფორმაციასთან მიმართებით.

მუხლი 21. მონაცემთა სუბიექტის ინფორმირება მონაცემთა უშუალოდ

მისგან შეგროვების შემთხვევაში

1. მონაცემების უშუალოდ მონაცემთა სუბიექტისგან შეგროვებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა შეგროვებამდე ან შეგროვების დაწყებისთანავე მონაცემთა სუბიექტს მიაწოდოს სულ მცირე შემდეგი ინფორმაცია:

ა) დამუშავებისთვის პასუხისმგებელი პირის, მისი წარმომადგენლის ან/და დამუშავებაზე უფლებამოსილი პირის (ასეთის არსებობის შემთხვევაში) ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნებისა და სამართლებრივი საფუძვლის შესახებ;

გ) მონაცემთა მიწოდების სავალდებულოობის შესახებ, ხოლო თუ მონაცემთა მიწოდება სავალდებულოა − მონაცემთა მიწოდებაზე უარის თქმის სამართლებრივი შედეგების თაობაზე, აგრეთვე ინფორმაცია იმის შესახებ, რომ მონაცემთა შეგროვება/მოპოვება გათვალისწინებულია საქართველოს კანონმდებლობით ან აუცილებელი პირობაა ხელშეკრულების დასადებად (ასეთი ინფორმაციის არსებობის შემთხვევაში);

დ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების შესახებ, თუ მონაცემები მუშავდება ამ კანონის მე-5 მუხლის პირველი პუნქტის „ი“ ქვეპუნქტის შესაბამისად;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) ვინაობა და საკონტაქტო ინფორმაცია;

ვ) მონაცემთა მიმღების ვინაობა ან მონაცემთა მიმღებების კატეგორიები (ასეთის არსებობის შემთხვევაში);

ზ) მონაცემთა დაგეგმილი გადაცემისა და მონაცემთა დაცვის სათანადო გარანტიების არსებობის შესახებ, მათ შორის, მონაცემთა გადაცემაზე ნებართვის თაობაზე (ასეთის არსებობის შემთხვევაში), თუ დამუშავებისთვის პასუხისმგებელი პირი გეგმავს მონაცემთა სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის გადაცემას;

თ) მონაცემთა შენახვის ვადის შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ი) მონაცემთა სუბიექტის ამ პოლიტიკით გათვალისწინებული უფლებების შესახებ.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდება სავალდებულო არ არის, თუ არსებობს გონივრული ვარაუდი, რომ მონაცემთა სუბიექტი უკვე ფლობს ამ ინფორმაციას.

3. ამ მუხლის პირველი პუნქტით დადგენილი წესი არ მოქმედებს, თუ სპეციალური კანონმდებლობა ადგენს მონაცემთა სუბიექტისგან მონაცემების შეგროვებისას მისი ინფორმირების განსხვავებულ წესს და ეს წესი არ იწვევს მონაცემთა სუბიექტის ძირითადი უფლებებისა და თავისუფლებების დარღვევას. ამ შემთხვევაში სუბიექტის წერილობითი მოთხოვნის არსებობისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მოთხოვნიდან 10 სამუშაო დღის ვადაში, თუ არ არსებობს ამ პოლიტიკის მე-18 მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს უნდა ეცნობოს დაუყოვნებლივ.

5. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მონაცემთა სუბიექტს, განსაკუთრებით − თუ მონაცემთა სუბიექტი არასრულწლოვანია, მიაწოდოს მარტივ და მისთვის გასაგებ ენაზე. ამ ინფორმაციის მიწოდება შეიძლება ზეპირად ან წერილობით (მათ შორის, ელექტრონულად), გარდა იმ შემთხვევისა, როდესაც მონაცემთა სუბიექტი ინფორმაციის წერილობით მიღებას ითხოვს.

მუხლი 22. მონაცემთა სუბიექტის ინფორმირება, თუ მონაცემების შეგროვება უშუალოდ მისგან არ ხდება

1. თუ მონაცემების შეგროვება უშუალოდ მონაცემთა სუბიექტისგან არ ხდება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ პოლიტიკის მე-21 მუხლის პირველი პუნქტის „ა“−„ი“ ქვეპუნქტებით გათვალისწინებული ინფორმაცია, აგრეთვე აცნობოს, მის შესახებ რომელი მონაცემები მუშავდება და ამ მონაცემთა მოპოვების წყარო, მათ შორის, მოპოვებულ იქნა თუ არა მონაცემები საჯაროდ ხელმისაწვდომი წყაროდან.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა სუბიექტს უნდა მიაწოდოს გონივრულ ვადაში, ან, თუ მონაცემები გამოიყენება მონაცემთა სუბიექტთან დასაკავშირებლად, მასთან პირველი კომუნიკაციისთანავე, ხოლო თუ დაგეგმილია მონაცემთა გამჟღავნება, − მონაცემთა გამჟღავნებამდე, მაგრამ მონაცემთა მოპოვებიდან არაუგვიანეს 10 სამუშაო დღისა, თუკი არ არსებობს ამ პოლიტიკის 21-ე მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

3. ამ მუხლით გათვალისწინებული ინფორმაციის მიწოდების ვალდებულება არ ვრცელდება დამუშავებისთვის პასუხისმგებელ პირზე ან/და დამუშავებაზე უფლებამოსილ პირზე, თუ:

ა) მონაცემთა სუბიექტი უკვე ფლობს ამ მუხლის პირველი პუნქტით გათვალისწინებულ ინფორმაციას;

ბ) მონაცემთა შეგროვება ან გამჟღავნება დადგენილია კანონით ან საჭიროა საქართველოს კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად;

გ) ინფორმაციის მიწოდება შეუძლებელია ან მოითხოვს არაპროპორციულად დიდ ძალისხმევას ან ამ მუხლით გათვალისწინებული ვალდებულების შესრულება მნიშვნელოვან ზიანს მიაყენებს ან შეუძლებელს გახდის მონაცემთა დამუშავების კანონიერი მიზნის (მიზნების) შესრულებას. ამ შემთხვევებში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, მონაცემების მოპოვების შესახებ ზოგადი ინფორმაციის საჯაროდ/ყველასთვის ხელმისაწვდომი ფორმით განთავსებით.

მუხლი 23. მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას

1. ახალი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების, აგრეთვე მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისთვის მოსალოდნელი რისკებისა და მონაცემთა დამუშავების პრინციპების გათვალისწინებით, დამუშავებისთვის პასუხისმგებელმა პირმა როგორც დამუშავების საშუალებების განსაზღვრის, ისე უშუალოდ დამუშავების პროცესში უნდა მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები (მათ შორის, ფსევდონიმიზაცია ან/და სხვა). ამ ზომების მიღება უნდა უზრუნველყოფდეს მონაცემთა დამუშავების პრინციპების ეფექტიან იმპლემენტაციას და მონაცემთა დამუშავების პროცესში დაცვის მექანიზმების ინტეგრირებას მონაცემთა სუბიექტის უფლებების დასაცავად.

2. დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა რაოდენობის, მონაცემთა დამუშავების მასშტაბის, შენახვის ვადებისა და მონაცემებზე წვდომის განსაზღვრისას უნდა უზრუნველყოს ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომ ავტომატურად დამუშავდეს მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია დამუშავების კონკრეტული მიზნისთვის. ეს ზომები იმგვარად უნდა გამოიყენებოდეს, რომ ნებადართული ალტერნატიული მიდგომის არჩევამდე პირთა განუსაზღვრელი წრისთვის ავტომატურად უზრუნველყოფილი იქნება მონაცემთა მხოლოდ მინიმალურ მოცულობაზე წვდომა.

მუხლი 24. მონაცემთა უსაფრთხოება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები მონაცემთა ამ კანონის შესაბამისად დამუშავების უზრუნველსაყოფად და შეძლოს მონაცემთა დამუშავების ამ კანონთან შესაბამისობის დადასტურება.

2. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან მიიღონ მონაცემთა დამუშავების შესაძლო და თანამდევი საფრთხეების შესაბამისი ორგანიზაციული და ტექნიკური ზომები (მათ შორის, მონაცემთა ფსევდონიმიზაცია, მონაცემებზე წვდომის აღრიცხვა, ინფორმაციული უსაფრთხოების მექანიზმები (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა) და სხვა), რომლებიც უზრუნველყოფს მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის, განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.

3. მონაცემთა უსაფრთხოების უზრუნველსაყოფად აუცილებელი ორგანიზაციულ-ტექნიკური ზომების განსაზღვრისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან გაითვალისწინონ მონაცემთა კატეგორიები, მოცულობა, მონაცემთა დამუშავების მიზანი, ფორმა, საშუალებები და მონაცემთა სუბიექტის უფლებების დარღვევის შესაძლო საფრთხეები, აგრეთვე პერიოდულად შეაფასონ მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ტექნიკური და ორგანიზაციული ზომების ეფექტიანობა და, საჭიროების შემთხვევაში, უზრუნველყონ მონაცემთა უსაფრთხოების დასაცავად ადეკვატური ზომების მიღება ან/და არსებულის განახლება.

4. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ, მონაცემთა შეგროვების, შეცვლის, მათზე წვდომის, მათი გამჟღავნების (გადაცემის), დაკავშირებისა და წაშლის თაობაზე ინფორმაციის) აღრიცხვა. არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ ინფორმაციის) აღრიცხვა.

5. დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ნებისმიერი თანამშრომელი, რომელიც მონაწილეობს მონაცემთა დამუშავებაში ან რომელსაც აქვს მონაცემებზე წვდომა, ვალდებულია არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს, დაიცვას მონაცემთა საიდუმლოება და კონფიდენციალურობა, მათ შორის, სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.

6. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან თანამშრომელთა უფლებამოსილებების შესაბამისად განსაზღვრონ მათი მონაცემებზე წვდომის ფარგლები და განახორციელონ ადეკვატური ღონისძიებები თანამშრომელთა მიერ მონაცემთა უკანონო დამუშავების ფაქტების თავიდან ასაცილებლად, გამოსავლენად და აღსაკვეთად, მათ შორის, უზრუნველყონ თანამშრომელთა ინფორმირება მონაცემთა უსაფრთხოების დაცვის საკითხების შესახებ.

მუხლი 25. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინება

1. დამუშავებისთვის პასუხისმგებელი პირი და მისი სპეციალური წარმომადგენელი (ასეთის არსებობის შემთხვევაში) ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებისთვის პასუხისმგებელი პირის, სპეციალური წარმომადგენლის, პერსონალურ მონაცემთა დაცვის ოფიცრის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნების შესახებ;

გ) მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიების შესახებ;

დ) მონაცემთა მიმღების (მათ შორის, სხვა სახელმწიფოში არსებული მონაცემთა მიმღების ან საერთაშორისო ორგანიზაციის) კატეგორიების შესახებ;

ე) სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების თაობაზე, მათ შორის, პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის შესახებ (ასეთის არსებობის შემთხვევაში);

ვ) მონაცემთა შენახვის ვადების შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ზ) მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

თ) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

2. თითოეული დამუშავებაზე უფლებამოსილი პირი და მის მიერ მონაცემთა დამუშავებაში ჩართული პირი ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებაზე უფლებამოსილი პირის, პერსონალურ მონაცემთა დაცვის ოფიცრის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, სპეციალური წარმომადგენლის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით განხორციელებული მონაცემთა დამუშავების სახეების შესახებ;

გ) ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაცია, თუ იგი მონაწილეობს სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის პროცესში;

დ) მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

ე) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

3. დამუშავებისთვის პასუხისმგებელმა პირმა, თანადამუშავებისთვის პასუხისმგებელმა პირებმა, დამუშავებაზე უფლებამოსილმა პირმა და სპეციალურმა წარმომადგენელმა ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ინფორმაცია შესაბამისი მოთხოვნისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, უნდა მიაწოდონ პერსონალურ მონაცემთა დაცვის სამსახურს.

მუხლი 26. ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

2. დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული შეტყობინება უნდა შეიცავდეს შემდეგ ინფორმაციას:

ა) ინციდენტის გარემოებების, სახისა და დროის შესახებ;

ბ) ინციდენტის შედეგად უნებართვოდ გამჟღავნებული, დაზიანებული, წაშლილი, განადგურებული, მოპოვებული, დაკარგული, შეცვლილი მონაცემების სავარაუდო კატეგორიებისა და რაოდენობის, აგრეთვე იმ მონაცემთა სუბიექტების სავარაუდო კატეგორიებისა და რაოდენობის შესახებ, რომლებსაც ინციდენტის შედეგად შეექმნათ საფრთხე;

გ) ინციდენტით გამოწვეული სავარაუდო ზიანის, მისი შემცირების ან აღმოფხვრის მიზნით დამუშავებისთვის პასუხისმგებელი პირის მიერ განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

დ) იმის შესახებ, გეგმავს თუ არა დამუშავებისთვის პასუხისმგებელი პირი, ინციდენტის შესახებ შეატყობინოს მონაცემთა სუბიექტს (მონაცემთა სუბიექტებს) ამ პოლიტიკით დადგენილი წესით და რა ვადაში;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის მონაცემებს.

4. თუ ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ერთიანად და სრულად მიწოდება შეუძლებელია, დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურთან შეთანხმებით, გონივრულ ვადაში, ეტაპობრივად მიაწოდოს ინფორმაცია.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახურისთვის წარდგენილი შეტყობინების თანახმად, დამუშავებისთვის პასუხისმგებელი პირი არ უზრუნველყოფს ან ვერ უზრუნველყოფს ინციდენტის თაობაზე მონაცემთა სუბიექტის (მონაცემთა სუბიექტების) ინფორმირებას, ინციდენტის გარემოებების, სავარაუდო ზიანის ან/და მონაცემთა სუბიექტების რაოდენობის გათვალისწინებით პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ინციდენტის შესახებ მის ხელთ არსებული ინფორმაცია გაასაჯაროოს, გარდა იმ შემთხვევისა, თუ არსებობს ამ პოლიტიკის 27-ე მუხლის მე-3 პუნქტით გათვალისწინებული ერთ-ერთი გარემოება.

6. ამ მუხლის მე-5 პუნქტით დადგენილი წესი არ მოქმედებს, თუ ამ მუხლის პირველი პუნქტით გათვალისწინებულ შეტყობინებას თან ახლავს მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო ან კერძო დაწესებულების მითითება, რომ ინციდენტის შესახებ ინფორმაციის გასაჯაროება საფრთხეს შეუქმნის:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოების და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

7. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შემთხვევებში არ გაასაჯაროოს ინფორმაცია მაშინაც, თუ შეტყობინებას თან არ ახლავს ამ მუხლის მე-6 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე მითითება.

8. პერსონალურ მონაცემთა დაცვის სამსახურს ამ მუხლის მე-6 პუნქტით განსაზღვრული შესაბამისი ქვეპუნქტით გათვალისწინებული გარემოების თაობაზე დამუშავებისთვის პასუხისმგებელი პირი უთითებს ინციდენტის შესახებ შეტყობინებაში ამ მუხლის მე-9 პუნქტით დადგენილი წესის შესაბამისად.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ამ ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

10. ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შესაბამისი ქვეპუნქტით განსაზღვრულ სათანადო გარემოებაზე მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო დაწესებულება უთითებს საკუთარი კომპეტენციის/სამოქმედო სფეროს შესაბამისად.

11. ამ მუხლის მე-6 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების საფუძველს კრიტიკული ინფორმაციული სისტემის სუბიექტი, მისი კატეგორიის გათვალისწინებით, უთითებს ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების სფეროში შესაბამის კომპეტენტურ უწყებასთან შეთანხმებით.

მუხლი 27. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულება

1. თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ და მარტივ და მისთვის გასაგებ ენაზე მიაწოდოს შემდეგი ინფორმაცია:

ა) ინციდენტისა და მასთან დაკავშირებული გარემოებების ზოგადი აღწერა;

ბ) ინციდენტით გამოწვეული სავარაუდო/დამდგარი ზიანის, მის შესამცირებლად ან აღმოსაფხვრელად განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

გ) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა პირის საკონტაქტო მონაცემები.

2. თუ მონაცემთა სუბიექტის ინფორმირება არაპროპორციულად დიდ ხარჯებს ან ძალისხმევას მოითხოვს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია გაავრცელოს საჯაროდ ან სხვა ისეთი ფორმით, რომელიც ჯეროვნად უზრუნველყოფს მონაცემთა სუბიექტის მიერ ინფორმაციის მიღების შესაძლებლობას.

3. ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ვალდებულება არ წარმოიშობა ერთ-ერთი შემდეგი გარემოების არსებობისას:

ა) ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირება საფრთხეს შეუქმნის სახელმწიფო საიდუმლოების დაცვის ინტერესებს, სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ბ) დამუშავებისთვის პასუხისმგებელმა პირმა მიიღო შესაბამისი უსაფრთხოების ზომები, რის შედეგადაც თავიდან იქნა აცილებული ადამიანის ძირითადი უფლებებისა და თავისუფლებების დარღვევის მნიშვნელოვანი საფრთხე.

4. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის აღნიშნული ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 28. მონაცემთა დაცვაზე ზეგავლენის შეფასება

1. თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.

2. გარდა პირველი პუნქტით გათვალისწინებული შემთხვევისა, მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელება სავალდებულოა, თუ დამუშავებისთვის პასუხისმგებელი პირი:

ა) მონაცემთა სუბიექტისთვის სამართლებრივი, ფინანსური ან სხვა სახის არსებითი მნიშვნელობის შედეგის მქონე გადაწყვეტილებას იღებს სრულად ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე;

ბ) ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემებს;

გ) ახორციელებს მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს საზოგადოებრივი თავშეყრის ადგილებში.

3. მონაცემთა დაცვაზე ზეგავლენის შეფასებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია შექმნას წერილობითი დოკუმენტი, რომელიც შეიცავს:

ა) მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;

ბ) ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.

4. მონაცემთა დამუშავების პროცესის არსებითი ცვლილების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია განაახლოს მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი შეინახოს მონაცემთა დამუშავების მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში − არანაკლებ 1 წლის ვადით.

5. თუ მონაცემთა დაცვაზე ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად და, საჭიროების შემთხვევაში, კონსულტაციის მიზნით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს. თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.

6. ამ მუხლის მე-5 პუნქტის საფუძველზე პერსონალურ მონაცემთა დაცვის სამსახურისთვის მიმართვის შემთხვევაში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა წარადგინოს:

ა) დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირებისა და დამუშავებაზე უფლებამოსილი პირის უფლებამოსილების შესახებ ინფორმაცია;

ბ) დაგეგმილი მონაცემთა დამუშავების მიზნებისა და საშუალებების შესახებ ინფორმაცია;

გ) მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დასაცავად განსაზღვრული უსაფრთხოების ზომების შესახებ ინფორმაცია;

დ) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) საკონტაქტო ინფორმაცია;

ე) მონაცემთა დაცვაზე ზეგავლენის შეფასება;

ვ) სხვა (დამატებითი) ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მოთხოვნის არსებობის შემთხვევაში.

7. მონაცემთა სუბიექტების დიდ რაოდენობად მიიჩნევა საქართველოს მოსახლეობის არანაკლებ 3 პროცენტისა, რომელიც გამოითვლება მოსახლეობის აღწერის ბოლო შედეგების მიხედვით.

8. ამ მუხლის მე-3 პუნქტით განსაზღვრული მონაცემთა დაცვის ზეგავლენის დოკუმენტი არ ექვემდებარება გასაჯაროებას, თუ ამით შეიძლება საფრთხე შეექმნას სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს, დამუშავებისთვის პასუხისმგებელი პირის ანდამუშავებაზე უფლებამოსილი პირის აღმატებულ ლეგიტიმურ ინტერესებს.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების განხორციელების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 29. დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები მონაცემთა სუბიექტისგან თანხმობის მიღების და მის მიერ თანხმობის გამოხმობის შემთხვევებში

1. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტის წერილობითი თანხმობის მიღებას გეგმავს დოკუმენტით, რომელიც აგრეთვე სხვა საკითხებს შეეხება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ დოკუმენტში თანხმობის შესახებ ტექსტი ჩამოაყალიბოს მკაფიო, მარტივი და გასაგები ენით და გამოყოს იგი დოკუმენტის სხვა ნაწილებისგან.

2. თუ მონაცემთა სუბიექტის თანხმობა გაცემულია ხელშეკრულების ან მომსახურების ფარგლებში, თანხმობის ნებაყოფლობითობის განსაზღვრისას, სხვა გარემოებებთან ერთად, უნდა შეფასდეს, თუ არის ეს თანხმობა ხელშეკრულების ან მომსახურების აუცილებელი პირობა და თუ შეიძლება ამ თანხმობის გარეშე შესაბამისი მომსახურების მიღება/ხელშეკრულების დადება.

3. მონაცემთა სუბიექტისგან თანხმობის მიღებამდე დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს მონაცემთა სუბიექტის ინფორმირება მის მიერ თანხმობის გამოხმობის უფლების შესახებ.

4. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შემთხვევაში დაუყოვნებლივ შეწყვიტოს მონაცემთა დამუშავება და დამუშავებული მონაცემები წაშალოს ან გაანადგუროს, თუ ამ პოლიტიკითა და საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი.

5. ამ მუხლის მე-4 პუნქტით განსაზღვრული ვალდებულება არ ვრცელდება ამ პოლიტიკის მე-13 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაზე.

6. მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობა არ იწვევს თანხმობის გამოხმობამდე და თანხმობის ფარგლებში წარმოშობილი სამართლებრივი შედეგების გაუქმებას.

7. მონაცემთა სუბიექტის მოთხოვნის საფუძველზე ან იმ შემთხვევაში, თუ ეს მონაცემთა სუბიექტისთვის წარმოშობს სამართლებრივ, ფინანსურ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობამდე მიაწოდოს მას ინფორმაცია თანხმობის გამოხმობის შედეგების შესახებ.

8. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია უზრუნველყოს თანხმობის გამოხმობის უსასყიდლო, მარტივი და ხელმისაწვდომი მექანიზმი, მათ შორის, უზრუნველყოს თანხმობის გამოხმობის შესაძლებლობა იმავე ფორმით, რომლითაც გაიცა თანხმობა.

9. მონაცემთა დამუშავებაზე მონაცემთა სუბიექტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში დამუშავებისთვის პასუხისმგებელ პირს ეკისრება მონაცემთა სუბიექტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი.

მუხლი 30. მონაცემთა სუბიექტის უფლებების დაცვის კომისია

პოლიტიკით გათვალისწინებული მონაცემთა სუბიექტის უფლებების ეფექტიანად განხორციელების მიზნით კომპანიაში შექმნილია მონაცემთა სუბიექტის უფლებების დაცვის კომისია, რომლის შემადგენლობა განისაზღვრება კომპანიის გენერალური დირექტორის ბრძანებით. მონაცემთა სუბიექტის უფლებების დაცვის კომისია შედგება 3 წევრისგან, მათ შორის თავმჯდომარისგან.
მონაცემთა სუბიექტი უფლებამოსილია პოლიტიკით გათვალისწინებული უფლებების განხორციელებასთან დაკავშირებით განცხადებით ან ელ. ფოსტაზე შეტყობინების გაგზავნით მიმართოს მონაცემთა სუბიექტის უფლებების დაცვის კომისიას, რომელიც მას განიხილავს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონითა და ამ პოლიტიკით დადგენილი წესით.
მონაცემთა სუბიექტის განცხადება/შეტყობინება ეგზავნება პერსონალურ მონაცემთა დაცვის ოფიცერსა და მონაცემთა სუბიექტის უფლებების დაცვის კომისიას. პერსონალურ მონაცემთა დაცვის ოფიცერი განცხადებასთან/რეკომენდაციასთან დაკავშირებით შესაბამის რეკომენდაციას უგზავნის მონაცემთა სუბიექტის უფლებათა დაცვის კომისიას.
მონაცემთა სუბიექტის უფლებების დაცვის კომისიის საქმიანობაში, კომისიის თავმჯდომარის გადაწყვეტილებით, ხმის უფლების გარეშე, შესაძლებელია ჩაერთოს კომპანიაში დასაქმებული პირი განსახილველი საკითხის სპეციფიკის გათვალისწინებით.
მონაცემთა სუბიექტის უფლებების დაცვის კომისიის წევრი ვალდებულია განცხადების განხილვამდე განაცხადოს ყველა იმ გარემოების თაობაზე, რომელმაც შეიძლება მას ხელი შეუშალოს მონაცემთა სუბიექტის განცხადების თაობაზე გადაწყვეტილების მიუკერძოებლად მიღებაში.
ამ მუხლის მე-5 პუნქტით გათვალისწინებულ შემთხვევაში, მონაცემთა სუბიექტის უფლებების დაცვის კომისიის წევრი ვალდებულია განაცხადოს თვითაცილება. თუ მონაცემთა სუბიექტის უფლებების დაცვის კომისიის წევრი არ განაცხადებს ასეთი გარემოების არსებობის შესახებ, ხოლო აღნიშნულის შესახებ მონაცემთა სუბიექტის უფლებების დაცვის კომისიისათვის ცნობილი გახდება განცხადების განხილვისას, მონაცემთა სუბიექტის უფლებების დაცვის კომისიის ამ წევრის მიერ განცხადების შეფასება არ იქნება გათვალისწინებული საბოლოო გადაწყვეტილების მიღებისას.
მონაცემთა სუბიექტის უფლებების დაცვის კომისია უფლებამოსილია, მიიღოს გადაწყვეტილება, თუ სხდომას ესწრება წევრთა ნახევარზე მეტი.
მონაცემთა სუბიექტის უფლებების დაცვის კომისია გადაწყვეტილებას იღებს კენჭისყრის საფუძველზე. გადაწყვეტილება მიღებულად ითვლება, თუ მას მხარს დაუჭერს სხდომაზე დამსწრე წევრთა ნახევარზე მეტი. ხმების თანაბრად გაყოფის შემთხვევაში, გადამწყვეტად ითვლება სხდომის თავმჯდომარის ხმა.
მონაცემთა სუბიექტის უფლებების დაცვის კომისია გადაწყვეტილებას იღებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონისა და სხვა საკანონმდებლო და კანონქვემდებარე აქტების შესაბამისად ამ პოლიტიკით დადგენილი წესით.
მონაცემთა სუბიექტის უფლებების დაცვის კომისიის მიერ საკითხების განხილვა უნდა იყოს ობიექტური, სამართლიანი და მიუკერძოებელი.
მონაცემთა სუბიექტის უფლებების დაცვის კომისია უფლებამოსილია, მონაცემთა სუბიექტის განცხადება/შეტყობინება განიხილოს ელექტრონული კომუნიკაციის საშუალებებით.
მონაცემთა სუბიექტის უფლებების დაცვის კომისიის დასაბუთებული გადაწყვეტილება აისახება სხდომის ოქმში, რომელსაც ხელს აწერენ სხდომის თავმჯდომარე და დამსწრე წევრები. მონაცემთა სუბიექტის უფლებების დაცვის კომისიის წევრს უფლება აქვს, თავისი განსხვავებული აზრი დაურთოს ოქმს, რის შესახებაც ოქმში კეთდება შესაბამისი ჩანაწერი.

მუხლი 31. პერსონალურ მონაცემთა დაცვის ოფიცერი

პერსონალურ მონაცემთა დაცვის კანონმდებლობით გათვალისწინებული მოთხოვნების და ვადის დაცვით კომპანიას ჰყავს პერსონალურ მონაცემთა დაცვის ოფიცერი.
პერსონალურ მონაცემთა დაცვის ოფიცერი წარმოადგენს დამოუკიდებელ სუბიექტს, რომელიც კომპანიას და მის დამუშავებაზე უფლებამოსილ პირებს უწევს კონსულტაციებს, აძლევს ექსპერტულ რჩევებს პერსონალურ მონაცემთა დაცვის მოთხოვნებთან შესაბამისობის შესახებ და ასრულებს პერსონალურ მონაცემთა დაცვის კუთხით სხვა ფუნქციებს.
პერსონალურ მონაცემთა დაცვის ოფიცერი, სამართალდარღვევის არიდების მიზნით, უზრუნველყოფს პრევენციული ღონისძიებების გატარების შესახებ ინფორმაციის მიწოდებას.
პერსონალურ მონაცემთა დაცვის ოფიცრის ვინაობის შესახებ ინფორმაცია შეგიძლიათ მიიღოთ კომპანიის ვებ-გვერდზე (g-mobile.ge) და პერსონალურ მონაცემთა დაცვის სამსახურის ვებ-გვერდზე (pdps.ge).
მონაცემთა სუბიექტი უფლებამოსილია მიმართოს პერსონალურ მონაცემთა დაცვის ოფიცერს (info@dpo.ge) და ასეთ შემთხვევაში, ოფიცერი ვალდებულია მიაწოდოს მას ინფორმაცია მონაცემთა დამუშავების და მისი უფლებების შესახებ.

მუხლი 32. დასკვნითი დებულებები

წინამდებარე პოლიტიკაში ცვლილებებისა და დამატებების განხორციელება შესაძლებელია კომპანიის დირექტორის ბრძანებით.

მხარეები:

დამსაქმებელი: დასაქმებული:

ონლაინ მაღაზია g-mobile.ge მიერ ვიდეომონიტორინგის განხორციელების წესი

მუხლი 1. რეგულირების სფერო

ვიდეომონიტორინგის განხორციელების წესი (შემდგომში — წესი), „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის (შემდგომში — კანონი) მე-4 მუხლით დადგენილი პრინციპების შესაბამისად, განსაზღვრავს ონლაინ მაღაზია g-mobile.ge (შემდგომში — ორგანიზაცია) ადმინისტრაციულ შენობაში, მაღაზიებსა და საწყობში ვიდეომონიტორინგის მიზნებსა და მოცულობას, ვიდეომონიტორინგის ხანგრძლივობას, ვიდეომონიტორინგის განხორციელების შედეგად მიღებული ვიდეოჩანაწერების (შემდგომში — ვიდეოჩანაწერი) შენახვის ვადას, ვიდეოჩანაწერებზე წვდომის, მათი შენახვისა და განადგურების წესსა და პირობებს, ასევე, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმებს.

მუხლი 2. ორგანიზაციაში ვიდეომონიტორინგის განხორციელების მიზნები

ორგანიზაციაში ვიდეომონიტორინგის განხორციელების მიზნებია:

ა) ორგანიზაციაში დასაქმებულთა და ვიზიტორთა უსაფრთხოების დაცვა;

ბ) ორგანიზაციის, ორგანიზაციის დასაქმებულთა და ვიზიტორთა საკუთრების დაცვა;

გ) ორგანიზაციის თანამშრომელთა მიერ მათზე დაკისრებული ფუნქცია-მოვალეობების შესრულების კონტროლი და მონიტორინგი.

მუხლი 3. ორგანიზაციაში ვიდეომონიტორინგის მოცულობა

1. ამ წესის მე-2 მუხლით განსაზღვრული მიზნებისთვის, ვიდეომონიტორინგი ხორციელდება ორგანიზაციის ადმინისტრაციული შენობის, მაღაზიებსა და საწყობის შესასვლელებში, დერეფნებსა და გარე პერიმეტრზე დამონტაჟებული ვიდეოთვალთვალის სისტემის (ვიდეო სათვალთვალო კამერები).

2. ვიდეოთვალთვალის სისტემის მეშვეობით ასევე ხორციელდება ვიდეომონიტორინგი ორგანიზაციის ადმინისტრაციულ შენობებში მდებარე იმ სამუშაო ოთახებში/სივრცეებში, რომლებშიც:

ა) ინახება ორგანიზაციის ბალანსზე რიცხული ქონება.

ბ) ინახება ორგანიზაციის სეიფი, რომელშიც განთავსებულია ფულადი სახსრები.

3. ორგანიზაციაში, მონიტორინგის მიზნებისთვის, ვიდეოთვალთვალის სისტემის მეშვეობით, აუდიომონირტორინგი (ხმის ჩაწერა) არ ხორციელდება.

მუხლი 4. ორგანიზაციაში ვიდეომონიტორინგის ხანგრძლივობა, ვიდეოჩანაწერების შენახვის ვადა და წაშლის წესი

1. ორგანიზაციაში, ამ წესის მე-3 მუხლის პირველი და მე-2 პუნქტით განსაზღვრულ ადგილებში, ვიდეოსათვალთვალო სისტემის საშუალებით, უწყვეტად მიმდინარეობს სადღეღამისო (24 საათიანი) ვიდეომონიტორინგი.

2. ვიდეომონიტორინგის განხორციელების შედეგად მიღებული ვიდეოჩანაწერების შენსახვის ვადებია:

ა) ადმინისტრაციული შენობის დერეფნები და გარე სივრცეები — 30 დღე;

ბ) ადმინისტრაციულ შენობაში განთავსებული სეიფი — 90 დღე;

გ) მაღაზიების სავაჭრო სივრცეები და საწყობი — 90 დღე.

3. ამ მუხლის მე-2 პუნქტით განსაზღვრული ვადის ამოწურვისთანავე, ვიდეოჩანაწერი იშლება ავტომატურად, აღდგენის შესაძლებლობის გარეშე, თუ არ არსებობს მისი დაარქივების (შემდგომი შენახვის) საქართველოს კანონმდებლობით გათვალისწინებული მიზანი და საფუძველი.

მუხლი 5. ვიდეოჩანაწერებზე წვდომის უფლება

ვიდეოჩანაწერებზე წვდომის უფლება, კომპეტენციის ფარგლებში, აქვს:

ა) ორგანიზაციის ხელმძღვანელს;

ბ) ფინანსური დეპარტამენტის ხელმძღვანელს;

გ) ორგანიზაციის პერსონალურ მონაცემთა დაცვის ოფიცერს;

დ) ორგანიზაციის საინფორმაციო ტექნოლოგიების მენეჯერს;

ე) ორგანიზაციის უსაფრთხოების სამსახურის მენეჯრსა და სამსახურის თანამშრომლებს ლოგირებით.

მუხლი 6. ორგანიზაციაში ვიდეომონიტორინგის განხორციელებაზე პასუხისმგებელი სტრუქტურული ერთეული

1. ორგანიზაციაში ვიდეომონიტორინგს ახორციელებს და ვიდეოთვალთვალის სისტემას მართავს ორგანიზაციის საინფორმაციო ტექნოლოგიების მენეჯერი.

2. ორგანიზაციაში ვიდეოჩანაწერების შენახვაზე, წაშლაზე, ვიდეომონიტორინგის პროცესში განხორციელებული ნებისმიერი მოქმედების აღრიცხვაზე, ვიდეომონიტორინგის პროცესში უსაფრთხოების წესების დაცვაზე და აუცილებლობის შემთხვევაში, ვიდეოჩანაწერების საქართველოს კანონმდებლობით გათვალისწინებული მიზნითა და საფუძვლით დაარქივებაზე, მათ გაცემაზე, აგრეთვე ვიდეოჩანაწერებზე მესამე პირთა დაშვებაზე, პასუხისმგებელია ორგანიზაციის საინფორმაციო ტექნოლოგიების მენეჯერი.

3. ორგანიზაციაში ვიდეოჩანაწერები ინახება სპეციალურად გამოყოფილ, სათანადოდ დაცულ სასერვერო ოთახში განთავსებულ სერვერზე.

მუხლი 7. ორგანიზაციაში ვიდეომონიტორინგის განხორციელების პროცესში მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები

1. ორგანიზაციაში ვიდეომონიტორინგის განხორციელებისას, მონაცემთა სუბიექტის (ორგანიზაციაში დასაქმებული, ორგანიზაციის ვიზიტორი ან/და სხვა ფიზიკური პირი) კანონით გათვალისწინებული უფლებები დაცულია.

2. მონაცემთა სუბიექტს, ორგანიზაციაში ვიდეომონიტორინგის განხორციელებისას, მისი უფლებების დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე, უფლება აქვს შეუზღუდავად გამოიყენოს უფლების დაცვის როგორც ორგანიზაციაში არსებული, ამ მუხლით გათვალისწინებული მექანიზმები, ასევე საქართველოს კანონმდებლობით გათვალისწინებული ყველა სხვა საშუალება.

3. მონაცემთა სუბიექტს გარანტირებული აქვს ორგანიზაციის პერსონალურ მონაცემთა დაცვის ოფიცრის შეუზღუდავი ხელმისაწვდომობა — მას შეუძლია სამუშაო დროს მიმართოს მონაცემთა დაცვის ოფიცერს კონსულტაციისთვის და ორგანიზაციაში ვიდეომონიტორინგის განხორციელებასთან დაკავშირებით, დამატებითი ინფორმაციის მიღების მიზნით.

4. მონაცემთა სუბიექტს უფლება აქვს როგორც წერილობით, ასევე ზეპირად, შეუზღუდავად მიმართოს (მათ შორის ანონიმურად) ორგანიზაციის ფინანსუირი დეპარტამენტის ხელმძღვანელს ორგანიზაციაში ვიდეომონიტორინგის განხორციელებისას მისი უფლებების სავარაუდო დარღვევის შესახებ და მოითხოვოს სათანადო რეაგირება. მონაცემთა სუბიექტს ასევე, შეუძლია, მისი უფლებების დასაცავად, დაუბრკოლებლად მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს ან სასამართლოს.

5. ვიდეომონიტორინგის თაობაზე ორგანიზაციის იმ თანამშრომელთა წერილობითი ფორმით გაფრთხილება, რომელთა სამუშაო პროცესის/სივრცის ვიდეომონიტორინგიც ხორციელდება სავალდებულოა.

6. ორგანიზაციაში დასაქმებული სხვა პირების, ორგანიზაციის ვიზიტორების და ვიდეომონიტორინგის არეალში მოქცეული სხვა პირების ინფორმირება ორგანიზაციაში ვიდეომონიტორინგის მიმდინარეობის შესახებ, ამ წესის მე-8 მუხლით გათვალისწინებული გამაფრთხილებელი ნიშნებით ხორციელდება.

მუხლი 8. ორგანიზაციაში ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი

1. ორგანიზაციაში თითოეული ვიდეოკამერის მიმდებარედ თვალსაჩინოდ განთავსებულია ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი, რომლის წარწერის ზომა, ფერი და განთავსების ადგილი ქმნის მის მარტივად და აშკარად აღქმის შესაძლებლობას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნების დაცვის შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად მიიჩნევა.

3. 2024 წლის 1 მარტიდან განთავსებული გამაფრთხილებელი ნიშანი სავალდებულოა შეიცავდეს შემდეგ ინფორმაციას/წარწერას:

ა) „მიმდინარეობს ვიდეომონიტორინგი“;

ბ) „ვიდეომონიტორინგს ახორციელებს ონლაინ მაღაზია g-mobile.ge;

გ) ტელეფონი: 032 211 49 55; ელ. მისამართი: info@g-mobile.ge.

დანართი 2

ვიდეოკონტროლის განხორციელებაზე პასუხისმგებელი პირები

1. ონლაინ მაღაზია g-mobile.ge ადმინისტრაციულ შენობაში, მაღაზიებსა და საწყობში ვიდეო მონიტორინგის განხორციელებაზე პასუხისმგებელი პირები არიან:

— ფინანსური დეპარტამენტის ხელმძღვანელი;

— ინფორმაციული ტექნოლოგიების მენეჯერი;

-უსაფრთხოების სამსახურის მენეჯერი და სამსახურის სპეციალისტები.

2.ონლაინ მაღაზია g-mobile.ge მაღაზიებში ვიდოემონიტორინგის განხორცილებაზე პასუხისმგებელი პირები არიან:

— შესაბამისი მაღაზიის მენეჯერები;

— გაყიდვების დეპარტამენტის დირექტორი;

— საცალო გაყიდვების გუნდის მენეჯერი;

3. ონლაინ მაღაზია g-mobile.ge საწყობებში ვიდეომონიტორინგის განხორციელებაზე პასუხისმგებელი პირები არიან:

— საბითუმო გაყიდვებისა და ლოჯისტიკის დეპარტამენტის ხელმძღვანელი

დანართი 3

ონლაინ მაღაზია g-mobile.ge აუდიომონიტორინგის განხორციელების წესი

მუხლი 1. რეგულირების სფერო

ორგანიზაციაში აუდიომონიტორინგის განხორციელების წესი (შემდგომში — წესი), „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის (შემდგომში — კანონი) მე-4 მუხლით დადგენილი პრინციპების შესაბამისად, განსაზღვრავს შპს «ზუმერი ჯორჯიაში» (შემდგომში — ორგანიზაცია) აუდიომონიტორინგის მიზნებსა და მოცულობას, აუდიომონიტორინგის ხანგრძლივობას, აუდიოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესსა და პირობებს, ასევე, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმებს.

მუხლი 2. ორგანიზაციაში აუდიომონიტორინგის განხორციელების მიზნები

ორგანიზაციაში აუდიომონიტორინგის განხორციელების მიზნებია:

ა) ორგანიზაციის ცხელი ხაზის საშუალებით გაწეული მომსახურების მონიტორინგი და ხარისხის კონტროლი;

ბ) ორგანიზაციის მნიშვნელოვანი ლეგიტიმური ინტერესის დაცვა (მაგალითად, როგორიცაა, მტკიცებულების შექმნა);

გ) საჭიროების შემთხვევაში, ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიების/სამუშაო ჯგუფების სხდომების აუდიო დაოქმება, საოქმო ჩანაწერის წარმოება.

მუხლი 3. ორგანიზაციაში აუდიომონიტორინგის მოცულობა

1. ორგანიზაციის მიერ აუდიომონიტორინგი ხორციელდება ორგანიზაციის ცხელ ხაზზე შემოსული ზარებისა და ორგანიზაციის საქმიანობის სფეროში შექმნილი კომისიების/სამუშაო ჯგუფების სხდომებზე მომზადებული აუდიო ოქმების ფარგლებში.

2. ორგანიზაციის მიერ განხორციელებული აუდიომონიტორინგის ფარგლებში ექცევიან ორგანიზაციის თანამშრომლები, ორგანიზაციის ცხელი ხაზის საშუალებით მომსახურების მიმღები სუბიექტები და ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიის/სამუშაო ჯგუფების წევრები.

მუხლი 4. აუდიომონიტორინგის შესახებ გაფრთხილება

1. ცხელ ხაზზე შემოსული ზარების ჩაწერის დაწყებამდე ან დაწყებისთანავე, ორგანიზაციის მიერ ხორციელდება ცხელი ხაზის საშუალებით მომსახურების მიმღები სუბიექტების ინფორმირება აუდიომონიტორინგის მიმდინარეობის შესახებ.

2. ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიის/სამუშაო ჯგუფების სხდომის დაწყებამდე, ორგანიზაციის მიერ ხორციელდება კომისიის/სამუშაო ჯგუფების წევრების ინფორმირება და ნებართვის მიღება სხდომების აუდიო დაოქმების შესახებ.

მუხლი 5. ორგანიზაციაში აუდიომონიტორინგის ხანგრძლივობა, აუდიოჩანაწერების შენახვის ვადა და განადგურების წესი

1. ორგანიზაციაში, ცხელი ხაზის საშუალებით მომსახურების მთელი პერიოდის განმავლობაში ხდება აუდიომონიტორინგი და მისი ხანგრძლივობა დამოკიდებულია მომხმარებლის მომსახურებისთვის საჭირო დროზე.

2. ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიის/სამუშაო ჯგუფების სხდომის მიმდინარეობის მთელი პერიოდის განმავლობაში ხდება აუდიომონიტორინგი და მისი ხანგრძლივობა დამოკიდებულია სხდომის მიმდინარეობის დროზე.

3. ორგანიზაციის ცხელ ხაზზე შემოსული ზარების აუდიოჩანაწერები ინახება არაუმეტეს 6 თვის ვადით.

4. ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიის სხდომის აუდიო ოქმები ინახება კომისიის საქმიანობის დასრულებიდან, ერთი კალენდარული წლის მანძილზე.

5. ამ მუხლის მე-3 პუნქტით განსაზღვრული ვადის ამოწურვისთანავე, აუდიოჩანაწერები იშლება ავტომატურად, აღდგენის შესაძლებლობის გარეშე, თუ არ არსებობს მისი დაარქივების (შემდგომი შენახვის) საქართველოს კანონმდებლობით გათვალისწინებული მიზანი და საფუძველი.

6. ამ მუხლის მე-4 პუნქტით განსაზღვრული ვადის ამოწურვისთანავე, ორგანიზაციაში შექმნილი კომისიის აქტის საფუძველზე ხდება აუდიოჩანაწერების წაშლა ორგანიზაციის უფროსის მიერ განსაზღვრული თანამშრომლის მიერ.

მუხლი 6. მონაცემთა უსაფრთხოება და მათზე წვდომა

1. ორგანიზაციის მიერ უზრუნველყოფილია აუდიომონიტორინგის სისტემის ფიზიკური უსაფრთხოება და მიღებულია ჩანაწერების უსაფრთხოების დაცვისთვის აუცილებელი ორგანიზაციულ-ტექნიკური ზომები.

2. ცხელ ხაზზე შემოსული ზარების აუდიოჩანაწერებზე, პროგრამული უზრუნველყოფის საშუალებით, წვდომის უფლებამოსილება ენიჭება მომხმარებელთან ურთიერთობის მართვის დეპარტამენტის ხელმძღვანელსა და ორგანიზაციის საინფორმაციო ტექნოლოგიების მენეჯერს მათთვის შრომითი ურთიერთობის ფარგლებში დაკისრებული ვალდებულებების შესრულებისთვის.

3. ამ წესის მე-5 მუხლის მე-4 პუნქტით გათვალისწინებულ აუდიოჩანაწერებზე წვდომის უფლებამოსილება აქვს ორგანიზაციის საქმიანობის ფარგლებში შექმნილი კომისიის სხდომის მდივანს და ორგანიზაციის უფროსის მიერ ჩანაწერების წაშლის მიზნით განსაზღვრულ თანამშრომელს, მათთვის შრომითი ურთიერთობის ფარგლებში დაკისრებული ვალდებულებების შესრულებისთვის.

4. აუდიოჩანაწერის ასლის მესამე პირისათვის გადაცემა ორგანიზაციის მიერ უნდა განხორციელდეს მხოლოდ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით მკაცრად განსაზღვრულ შემთხვევებში. აუდიოჩანაწერის ასლი მესამე პირს უნდა გადაეცეს მხოლოდ შესაბამისი კანონიერი მიზნისა და საფუძვლის არსებობის შემთხვევაში, მონაცემთა დამუშავებისათვის „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით დადგენილი პრინციპების დაცვით.

5. ორგანიზაციის მიერ მიღებულია ზომები ინტერნეტიდან და კომპიუტერული ქსელიდან უკანონო შეღწევის თავიდან აცილების მიზნით.

6. ორგანიზაციის მიერ პერიოდულად მოწმდება სისტემაზე წვდომის შემთხვევები. არასანქცირებული წვდომის გამოვლენის შემთხვევაში, ხორციელდება შესაბამისი რეაგირება.

7. ორგანიზაციის თანამშრომლები ინფორმირებულნი არიან აუდიომონიტორინგის გზით მოპოვებულ პერსონალურ მონაცემთა დაცვის მნიშვნელობის შესახებ და მათ მიერ პერსონალურ მონაცემთა დაცვის მიზნით შემუშავებული ნორმების დარღვევა წარმოადგენს დისციპლინური პასუხისმგებლობის დაწყების საფუძველს.

მუხლი 7. ორგანიზაციაში აუდიომონიტორინგის განხორციელების პროცესში მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები

1. ორგანიზაციაში აუდიომონიტორინგის განხორციელებისას, მონაცემთა სუბიექტის (ორგანიზაციაში დასაქმებული, ორგანიზაციის ცხელი ხაზის მომსახურებით დაინტერესებული პირები, ორგანიზაციის კომისიების/სამუშაო ჯგუფების წევრები) კანონით გათვალისწინებული უფლებები დაცულია.

2. მონაცემთა სუბიექტს, ორგანიზაციაში აუდიომონიტორინგის განხორციელებისას, მისი უფლებების დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე, უფლება აქვს შეუზღუდავად გამოიყენოს უფლების დაცვის როგორც ორგანიზაციაში არსებული, ამ მუხლით გათვალისწინებული მექანიზმები, ასევე საქართველოს კანონმდებლობით გათვალისწინებული ყველა სხვა საშუალება.

3. მონაცემთა სუბიექტს გარანტირებული აქვს ორგანიზაციის პერსონალურ მონაცემთა დაცვის ოფიცრის შეუზღუდავი ხელმისაწვდომობა — მას შეუძლია სამუშაო დროს მიმართოს მონაცემთა დაცვის ოფიცერს კონსულტაციისთვის და ორგანიზაციაში აუდიომონიტორინგის განხორციელებასთან დაკავშირებით, დამატებითი ინფორმაციის მიღების მიზნით.

4. მონაცემთა სუბიექტს უფლება აქვს როგორც წერილობით, ასევე ზეპირად, შეუზღუდავად მიმართოს (მათ შორის ანონიმურად) ორგანიზაციის შიდა აუდიტს ორგანიზაციაში აუდიომონიტორინგის განხორციელებისას მისი უფლებების სავარაუდო დარღვევის შესახებ და მოითხოვოს სათანადო რეაგირება. მონაცემთა სუბიექტს ასევე, შეუძლია, მისი უფლებების დასაცავად, დაუბრკოლებლად მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს ან სასამართლოს.

5. აუდიომონიტორინგის თაობაზე ორგანიზაციის იმ თანამშრომელთა წერილობითი ფორმით გაფრთხილება, რომელთა სამუშაო პროცესის/სივრცის აუდიომონიტორინგიც ხორციელდება სავალდებულოა.

6. ორგანიზაცია მონაცემთა სუბიექტის აუდიომონიტორინგის შესახებ, მისი ინფორმირების მიზნით გამაფრთხილებელ ნიშანს არ იყენებს.

დანართი 4

აუდიოკონტროლის განხორციელებაზე პასუხისმგებელი პირები

ონლაინ მაღაზია g-mobile.ge აუდიომონიტორინგის განხორციელებაზე პასუხისმგებელი პირები არიან:

— ინფორმაციული ტექნოლოგიების მენეჯერი;

— მომხმარებელთან ურთიერთობის მართვის დეპარტამენტის ხელმძღვანელი;

— მომხმარებელთან ურთიერთობის და პროცესების მხარდაჭერის მენეჯერი;

— მომხმარებელთან ურთიერთობის კოორდინატორი;

— ონლაინ-კონსულტანტები

— მომსახურების კვლევის ოპერატორი;

— კორპორატიული გაყიდვების დეპარტამენტის ხელმძღვანელი;

— კორპორატიული გაყიდვების მენეჯერი;

— კორპორატიული გაყიდვების სპეციალისტი;

— ონლაინ გაყიდვების დეპარტამენტის ხელმძღვანელი;

— ონლაინ გაყიდვების ჯგუფის მენეჯერი;

— ონლაინ გაყიდვების მომსახურების სპეციალისტი;

დანართი 5

ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმებისა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესი

მუხლი 1. მიზანი და რეგულირების სფერო

1. ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმებისა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესის (შემდგომ – წესი) მიზანია ონლაინ მაღაზია g-mobile.ge (შემდგომ — ორგანიზაცია) „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის (შემდგომ – კანონი) შესაბამისად დაადგინოს ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტი (შემდგომ – ინციდენტი) განსაზღვრის კრიტერიუმები, განსაზღვროს ინციდენტის შეტყობინებაზე პასუხისმგებელი პირი და პერსონალურ მონაცემთა დაცვის სამსახურისთვის (შემდგომ – სამსახური) ინციდენტის შეტყობინების პროცედურები.

2. ამ წესის მიზნებისთვის მასში გამოყენებულ ტერმინებს აქვს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონითა და სამსახურის უფროსის მიერ გამოცემული კანონქვემდებარე აქტებით განსაზღვრული მნიშვნელობა.

მუხლი 2. ინციდენტის ცნება და სახეები

1. ამ წესის მიზნებისთვის, ინციდენტი არის პერსონალურ მონაცემთა უსაფრთხოების დარღვევა (მათ შორის, ორგანიზაციული, ფიზიკური ან ტექნიკური), რომელიც იწვევს პერსონალური მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე, უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, წვდომას, შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას.

2. ინციდენტის სახეებია:

ა) კონფიდენციალურობის დარღვევა – პერსონალური მონაცემების უნებართვო გამჟღავნება ან წვდომა;

ბ) მთლიანობის დარღვევა – პერსონალური მონაცემების უნებართვო შეცვლა, აგრეთვე, არამართლზომიერი ან შემთხვევითი დაზიანება, დაკარგვა;

გ) ხელმისაწვდომობის დარღვევა – პერსონალურ მონაცემებზე წვდომის დაკარგვა, შეზღუდვა, მონაცემების განადგურება ან წაშლა.

მუხლი 3. ინციდენტის შეფასება

1. ინციდენტს შედეგად შესაძლოა მოჰყვეს ფიზიკური, ქონებრივი ან არაქონებრივი ღირებულების მატერიალური ან არამატერიალური ზიანი.

2. ორგანიზაციის ნებისმიერ თანამშრომელმა ინციდენტის აღმოჩენისთანავე უნდა აცნობოს სტრუქტურული ერთეულის ხელმძღვანელს, რომელიც ვალდებულია დაუყოვნებლივ ინციდენტის თაობაზე ინფორმაცია მიაწოდოს ორგანიზაციის ხელმძღვანელს და პერსონალურ მონაცემთა დაცვის ოფიცერს.

3. პერსონალურ მონაცემთა დაცვის ოფიცერმა ინციდენტის აღმოჩენისთანავე, ამ წესის მე-4 და მე-5 მუხლებით განსაზღვრული გარემოებებისა და კრიტერიუმების გათვალისწინებით, უნდა დაიწყოს ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობისა და სიმძიმის შეფასება.

4. ინციდენტი აღმოჩენილად, ხოლო ორგანიზაცია ინციდენტის შესახებ ინფორმირებულად ითვლება იმ მომენტიდან, როდესაც მან შეიტყო ინციდენტის შესახებ.

5. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა ფასდება ხარისხობრივი ანალიზის საშუალებით, რა დროსაც ობიექტური გადაწყვეტილება მიიღება გამოცდილების, არსებული ინფორმაციის, ცოდნის, განსჯისა და ამ წესით განსაზღვრული კრიტერიუმების გათვალისწინებით.

6. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობას აფასებს პერსონალურ მონაცემთა დაცვის ოფიცერი, რომლის დასკვნა წარედგინება ორგანიზაციის ხელმძღვანელს.

7. პერსონალურ მონაცემთა დაცვის ოფიცერი უფლებამოსილია ინციდენტის შეფასების პროცესში გამოკითხოს ორგანიზაციის თანამშრომელი. ორგანიზაციის ყველა თანამშრომელი ვალდებულია პერსონალურ მონაცემთა დაცვის ოფიცერს დაუყოვნებლივ მიაწოდოს ინციდენტთან პირდაპირ ან/და ირიბად დაკავშირებული ინფორმაცია, მონაცემი, დოკუმენტი.

მუხლი 4. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შექმნის სიმძიმის შეფასებისას გასათვალისწინებელი გარემოებები

პერსონალურ მონაცემთა დაცვის ოფიცერი ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისათვის მნიშვნელოვანი საფრთხის შექმნის სიმძიმის განსაზღვრის მიზნებისთვის, გაითვალისწინებს შემდეგ გარემოებებს:

ა) რა სახის ინციდენტს აქვს ადგილი (პერსონალურ მონაცემთა კონფიდენციალურობის, მთლიანობის თუ ხელმისაწვდომობის დარღვევას);

ბ) იმ პერსონალური მონაცემების კატეგორია, რომლებზეც გავლენას ახდენს ინციდენტი;

გ) ეხება თუ არა ინციდენტი არასრულწლოვნის, შეზღუდული შესაძლებლობის მქონე პირისა ან სხვა განსაკუთრებული სოციალური თუ სამართლებრივი დაცვის საჭიროების მქონე მონაცემთა სუბიექტის პერსონალურ მონაცემებს;

დ) ინციდენტის შედეგად მონაცემთა სუბიექტის მესამე პირთა მიერ იდენტიფიცირების შესაძლებლობის ხარისხი;

ე) ორგანიზაციის საქმიანობის განსაკუთრებული ხასიათი, რასაც შესაძლოა ახლდეს მომეტებული საფრთხე;

ვ) ინციდენტის მასშტაბი, მონაცემთა სუბიექტის ან/და პერსონალური მონაცემის რაოდენობის ან/და მოცულობის თვალსაზრისით;

ზ) ნებისმიერი სხვა ისეთი გარემოება, რამაც შესაძლოა არსებითი გავლენა მოახდინოს ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შექმნის ალბათობის სიმძიმეზე.

მუხლი 5. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის შეფასების კრიტერიუმები

ინციდენტი ადამიანის ძირითადი უფლებებისა და თავისუფლებებისათვის მნიშვნელოვანი ზიანის გამომწვევად უნდა იქნეს მიჩნეული იმ შემთხვევებში, თუ მას მოჰყვა/შესაძლოა მოჰყვეს:

ა) მონაცემთა სუბიექტის დისკრიმინაცია, მისი ვინაობის მითვისება ან გაყალბება, ფინანსური ზიანი, მონაცემთა სუბიექტის რეპუტაციის შელახვა, პროფესიული საიდუმლოებით დაცული პერსონალური მონაცემების კონფიდენციალურობის დარღვევა, ან სხვა სახის მნიშვნელოვანი სოციალური ან/და ეკონომიკური ზიანი;

ბ) კანონით გათვალისწინებული მონაცემთა სუბიექტის უფლებების რეალიზებისათვის ხელის შეშლა, მათ შორის, მონაცემთა სუბიექტის უფლებების კანონით დადგენილ ვადებში რეალიზების შეზღუდვა;

გ) პერსონალური მონაცემების იმგვარი წაშლა/განადგურება, რომელიც არ ექვემდებარება აღდგენას, ან მისი აღდგენა არაპროპორციულად დიდ დროსა და ძალისხმევას საჭიროებს, გარდა იმ შემთხვევისა, როდესაც პერსონალური მონაცემების (გარდა განსაკუთრებული კატეგორიის პერსონალური მონაცემისა) დამუშავების მიზნიდან გამომდინარე, მათი წაშლის/განადგურების შედეგად მონაცემთა სუბიექტს ამ მუხლის „ა“, „ბ“, „დ“, და „ე“ ქვეპუნქტებით გათვალისწინებული ან სხვა მნიშვნელოვანი ზიანი არ ადგება;

დ) განსაკუთრებული კატეგორიის მონაცემების უკანონო გამჟღავნება;

ე) არასრულწლოვნის, შეზღუდული შესაძლებლობების მქონე პირისა და სხვა განსაკუთრებული სოციალური თუ სამართლებრივი დაცვის საჭიროების მქონე მონაცემთა სუბიექტის პერსონალური მონაცემების უკანონო დამუშავება.

მუხლი 6. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობის განსაზღვრა

1. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა შესაძლოა იყოს დაბალი, საშუალო ან მაღალი.

2. ინციდენტის შედეგად ადამიანის უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნის ალბათობა არის:

ა) დაბალი, თუ ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს;

ბ) საშუალო, თუ ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი ზიანის გამოწვევის ან/და მნიშვნელოვანი საფრთხის შექმნისა და ასეთი ზიანის/საფრთხის არარსებობის ალბათობა მეტნაკლებად თანაბარია;

გ) მაღალი, თუ – ინციდენტი დიდი ალბათობით მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

მუხლი 7. ინციდენტის შეტყობინების ვალდებულება

1. ორგანიზაციის ხელმძღვანელი ვალდებულია ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ შეატყობინოს სამსახურს კანონისა და ამ წესის შესაბამისად, თუ ინციდენტი საშუალო ან მაღალი ალბათობით მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

2. თუ ინციდენტის სრულყოფილად შეფასება მისი აღმოჩენიდან 72 საათში ვერ ხერხდება, მაგრამ არსებობს გონივრული ეჭვის საფუძველი, რომ საშუალო ან მაღალი ალბათობით ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, ორგანიზაცია ინციდენტის შესახებ შეატყობინებს სამსახურს.

3. თუ დაბალია ალბათობა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, ინციდენტის სამსახურისთვის შეტყობინების ვალდებულება არ წარმოიშობა.

მუხლი 8. ინციდენტის აღრიცხვა და შეტყობინება

1. ორგანიზაციის ხელმძღვანელის წერილობითი დავალებით პერსონალურ მონაცემთა დაცვის ოფიცერი ინციდენტს სამსახურს ატყობინებს წერილობით ან ელექტრონულად.

2. თუ ინციდენტი შეეხება სახელმწიფო საიდუმლოების შემცველ ინფორმაციას, ორგანიზაციის ხელმძღვანელი ინციდენტს სამსახურს ატყობინებს საქართველოს კანონმდებლობით დადგენილი წესით.

3. ინციდენტის სამსახურისთვის შეტყობინების მიზნით, ორგანიზაციის მიერ მიწოდებული ინფორმაციის საფუძველზე, პერსონალურ მონაცემთა დაცვის ოფიცერი ავსებს ინციდენტის შეტყობინების ფორმას და წარუდგენს სამსახურს.

4. ინციდენტის აღრიცხვაზე პასუხისმგებელი პირია პერსონალურ მონაცემთა დაცვის ოფიცერი.

5. ინციდენტის აღრიცხვა ხორციელდება ამ წესის თანდართული ფორმით.

მუხლი 9. ინციდენტის ელექტრონულად შეტყობინება

ინციდენტის ელექტრონული ფორმით შეტყობინება ხორციელდება სამსახურის ოფიციალურ ვებგვერდზე განთავსებული, ინციდენტის შეტყობინების მართვის ელექტრონულ სისტემაში გენერირებული ფორმის მეშვეობით.

მუხლი 10. ინციდენტის წერილობით შეტყობინება

ინციდენტის წერილობითი შეტყობინების შემთხვევაში შეტყობინება მოიცავს შესაბამის ინფორმაციას და სამსახურს წარედგინება „სახაზინო (საბიუჯეტო) დაწესებულებებში საქმისწარმოების ავტომატიზებული სისტემის მინიმალური სტანდარტის დამტკიცების შესახებ“ საქართველოს მთავრობის 2012 წლის 21 თებერვლის №64 დადგენილების მე-2 მუხლით გათვალისწინებული საქმისწარმოების ავტომატიზებული სისტემის მეშვეობით ან მატერიალური ფორმით.

მუხლი 11. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირება

1. თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, პერსონალურ მონაცემთა დაცვის ოფიცერი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ და მარტივ და მისთვის გასაგებ ენაზე მიაწოდოს შემდეგი ინფორმაცია:

ა) ინციდენტისა და მასთან დაკავშირებული გარემოებების ზოგადი აღწერა;

გ) პერსონალურ მონაცემთა დაცვის ოფიცრის ან/და სხვა პირის საკონტაქტო მონაცემები.

2. თუ მონაცემთა სუბიექტის ინფორმირება არაპროპორციულად დიდ ხარჯებს ან ძალისხმევას მოითხოვს, პერსონალურ მონაცემთა დაცვის ოფიცრის შუამდგომლობით ორგანიზაცია ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია გაავრცელოს საჯაროდ ან სხვა ისეთი ფორმით, რომელიც ჯეროვნად უზრუნველყოფს მონაცემთა სუბიექტის მიერ ინფორმაციის მიღების შესაძლებლობას.

ბ) ორგანიზაციამ მიიღო შესაბამისი უსაფრთხოების ზომები, რის შედეგადაც თავიდან იქნა აცილებული ადამიანის ძირითადი უფლებებისა და თავისუფლებების დარღვევის მნიშვნელოვანი საფრთხე.

4. ორგანიზაციის ხელმძღვანელის დავალებით მონაცემთა სუბიექტს ინციდენტის შესახებ ინფორმაციას აწვდის პერსონალურ მონაცემთა დაცვის ოფიცერი.

მუხლი 12. ძალაში შესვლა

ეს წესი ძალაშია ხელმოწერისთანავე.

მხარეები:

დამსაქმებელი: დასაქმებული:

პერსონალურ მონაცემთა დაცვის პოლიტიკა

ხშირად დასმული კითხვები

მიწოდება და გადახდა

წესები და პირობები

Добавить комментарий Отменить ответ

პირობები

Похожие записи

Добавить комментарий Отменить ответ

პირობები

Get in touch

Обзор корзины