О защите персональных данных

Консолидированная версия (06/02/2025 - 02/04/2025)

პერსონალურ მონაცემთა დაცვის შესახებ

თავი I

ზოგადი დებულებები

მუხლი 1. კანონის მიზანი

ამ კანონის მიზანია პერსონალური მონაცემების დამუშავებისას ადამიანის ძირითადი უფლებებისა და თავისუფლებების, მათ შორის, პირადი და ოჯახური ცხოვრების, პირადი სივრცისა და კომუნიკაციის ხელშეუხებლობის უფლებების, დაცვა.

მუხლი 2. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება საქართველოს ტერიტორიაზე მონაცემთა ავტომატური საშუალებებით დამუშავებასა და ნახევრად ავტომატური საშუალებებით დამუშავებაზე, იმ მონაცემთა არაავტომატური საშუალებებით დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შესატანად მუშავდება, აგრეთვე საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით დამუშავებაზე, გარდა იმ შემთხვევისა, როდესაც ტექნიკური საშუალებები მხოლოდ მონაცემთა ტრანზიტისთვის გამოიყენება.

2. ამ კანონის მოქმედება არ ვრცელდება:

ა) ფიზიკური პირის მიერ აშკარად პირადი მიზნით ან/და ოჯახური საქმიანობის ფარგლებში მონაცემთა დამუშავებაზე, რომელიც დაკავშირებული არ არის მის სამეწარმეო ან/და ეკონომიკურ, პროფესიულ საქმიანობასთან ან სამსახურებრივი მოვალეობის შესრულებასთან. პირადი მიზნით ან/და ოჯახური საქმიანობის ფარგლებში მონაცემთა დამუშავება შეიძლება მოიცავდეს, მათ შორის, მიმოწერას, მისამართების დამუშავებას, ინტერნეტაქტივობას (მათ შორის, სოციალურ ქსელში), რომელიც ამ საქმიანობის ფარგლებში ხორციელდება;

ბ) სახელმწიფო უსაფრთხოების (მათ შორის, ეკონომიკური უსაფრთხოების), თავდაცვის, სადაზვერვო და კონტრდაზვერვითი საქმიანობების მიზნებისთვის მონაცემთა დამუშავებაზე;

გ) დანაშაულის თავიდან აცილების, გამოძიების, სისხლისსამართლებრივი დევნის, ოპერატიულ-სამძებრო ღონისძიებებისა და მართლწესრიგის დაცვის მიზნებისთვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა ნახევრად ავტომატური საშუალებებით დამუშავებასა და არაავტომატური საშუალებებით დამუშავებაზე;

დ) სასამართლოში სამართალწარმოების მიზნით მონაცემთა დამუშავებაზე;

ე) მასობრივი ინფორმაციის საშუალებების მიერ საზოგადოების ინფორმირების მიზნით მონაცემთა დამუშავებაზე (გარდა ამ კანონის მე-4 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტისა და 27-ე მუხლისა);

ვ) აკადემიური, სახელოვნებო და ლიტერატურული მიზნებისთვის მონაცემთა დამუშავებაზე.

3. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება „ოფიციალური სტატისტიკის შესახებ“ საქართველოს კანონით გათვალისწინებული მოსახლეობის აღწერის მიზნით მონაცემთა დამუშავებაზე.

4. ამ კანონის მოქმედება ვრცელდება ამ მუხლის მე-2 პუნქტის „ბ“−„დ“ ქვეპუნქტებით განსაზღვრული საქმიანობების განმახორციელებელი დაწესებულებების მიერ მონაცემთა ავტომატური საშუალებებით დამუშავებასა და ნახევრად ავტომატური საშუალებებით დამუშავებაზე, იმ მონაცემთა არაავტომატური საშუალებებით დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შესატანად მუშავდება, თუ მონაცემები უშუალოდ იმავე ქვეპუნქტებით განსაზღვრული საქმიანობების ფარგლებში არ მუშავდება.

5. ნებისმიერმა პირმა, რომელიც უნებლიეთ მიიღებს სხვის მონაცემებს, რომლებიც მისთვის განკუთვნილი არ არის, პატივი უნდა სცეს მონაცემთა სუბიექტის უფლებებს და არ უნდა შეეცადოს მონაცემთა უკანონო დამუშავებას.

მუხლი 3. ტერმინთა განმარტება

ამ კანონის მიზნებისთვის მასში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის, სახელით, გვარით, საიდენტიფიკაციო ნომრით, გეოლოკაციის მონაცემებით, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით;

ბ) განსაკუთრებული კატეგორიის მონაცემი − მონაცემი, რომელიც უკავშირდება ფიზიკური პირის რასობრივ ან ეთნიკურ კუთვნილებას, პოლიტიკურ შეხედულებებს, რელიგიურ, ფილოსოფიურ ან სხვაგვარ მრწამსს, პროფესიული კავშირის წევრობას, ჯანმრთელობას, სქესობრივ ცხოვრებას, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსს სისხლის სამართლის პროცესში, მსჯავრდებას, ნასამართლობას, განრიდებას, ადამიანით ვაჭრობის (ტრეფიკინგის) ან „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის შესაბამისად დანაშაულის მსხვერპლად ცნობას, პატიმრობას და მის მიმართ სასჯელის აღსრულებას, აგრეთვე ბიომეტრიულ და გენეტიკურ მონაცემებს, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება;

გ) ჯანმრთელობასთან დაკავშირებული მონაცემი − მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ, აგრეთვე მისთვის სამედიცინო მომსახურების გაწევის თაობაზე ინფორმაცია, თუ იგი მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ ინფორმაციას იძლევა;

დ) ბიომეტრიული მონაცემი − ტექნიკური საშუალებების გამოყენებით დამუშავებული, მონაცემთა სუბიექტის ფიზიკურ, ფიზიოლოგიურ ან ქცევის მახასიათებელთან (როგორიცაა, მაგალითად: სახის გამოსახულება, ხმის მახასიათებელი ან დაქტილოსკოპიური მონაცემები) დაკავშირებული მონაცემი, რომელიც მისი უნიკალური იდენტიფიცირების ან ვინაობის დადასტურების შესაძლებლობას იძლევა;

ე) გენეტიკური მონაცემი − მონაცემთა სუბიექტის შეძენილი ან მემკვიდრეობით მიღებული გენეტიკური მახასიათებელი, რომელიც ბიოლოგიური მასალის ანალიზით მისი ფიზიოლოგიის ან ჯანმრთელობის შესახებ უნიკალურ ინფორმაციას იძლევა;

ვ) მონაცემთა დამუშავება − მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით;

ზ) მონაცემთა ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენებით;

თ) მონაცემთა არაავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენების გარეშე;

ი) მონაცემთა ნახევრად ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ავტომატური საშუალებებისა და არაავტომატური საშუალებების ერთობლივი გამოყენებით;

კ) ფაილური სისტემა − მონაცემთა სტრუქტურიზებული წყება, რომელშიც ისინი დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმის მიხედვით;

ლ) მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემიც მუშავდება;

მ) მონაცემთა სუბიექტის თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე აქტიური მოქმედებით, წერილობით (მათ შორის, ელექტრონულად) ან ზეპირად, თავისუფლად და მკაფიოდ გამოხატული ნება;

ნ) მონაცემთა სუბიექტის წერილობითი თანხმობა − თანხმობა, რომელსაც მონაცემთა სუბიექტმა ხელი მოაწერა ან რომელიც მან სხვაგვარად გამოხატა წერილობით (მათ შორის, ელექტრონულად) მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე შესაბამისი ინფორმაციის მიღების შემდეგ;

ო) დამუშავებისთვის პასუხისმგებელი პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

პ) თანადამუშავებისთვის პასუხისმგებელი პირები − დამუშავებისთვის პასუხისმგებელი ორი ან ორზე მეტი პირი, რომლებიც ერთობლივად განსაზღვრავენ მონაცემთა დამუშავების მიზნებსა და საშუალებებს;

ჟ) დამუშავებაზე უფლებამოსილი პირი − ფიზიკური პირი,იურიდიული პირი ან საჯარო დაწესებულება, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით. დამუშავებაზე უფლებამოსილ პირად არ მიიჩნევა დამუშავებისთვის პასუხისმგებელ პირთან შრომით ურთიერთობაში მყოფი ფიზიკური პირი;

რ) მონაცემთა მიმღები − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელსაც მონაცემები გადაეცა, გარდა პერსონალურ მონაცემთა დაცვის სამსახურისა;

ს) მონაცემთა მიმღების კატეგორია − მონაცემთა მიმღების კლასიფიკაცია/დაჯგუფება საქმიანობის სფეროს ან ორგანიზაციულ-სამართლებრივი ფორმის მიხედვით;

ტ) მესამე პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, პერსონალურ მონაცემთა დაცვის სამსახურისა, დამუშავებისთვის პასუხისმგებელი პირისა, დამუშავებაზე უფლებამოსილი პირისა, სპეციალური წარმომადგენლისა და იმ პირისა, რომელიც უფლებამოსილია დაამუშაოს მონაცემები დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის პირდაპირი დავალებით;

უ) სპეციალური წარმომადგენელი − საქართველოს ფარგლების გარეთ რეგისტრირებული, დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ ამ კანონის საფუძველზე წარმომადგენლად განსაზღვრული/დანიშნული ფიზიკური პირი ან იურიდიული პირი, აგრეთვე იურიდიული სტატუსის არმქონე პირთა გაერთიანება;

ფ) პერსონალურ მონაცემთა დაცვის ოფიცერი − დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ განსაზღვრული/დანიშნული პირი, რომელიც ამ კანონის 33-ე მუხლით გათვალისწინებულ ფუნქციებს ასრულებს;

ქ) მონაცემთა დაბლოკვა − მონაცემთა დამუშავების (გარდა შენახვისა) დროებით შეჩერება;

ღ) ვიდეომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ვიზუალური გამოსახულების მონაცემთა დამუშავება, კერძოდ, ვიდეოკონტროლი ან/და ვიდეოჩაწერა (გარდა ფარული საგამოძიებო მოქმედებისა);

ყ) აუდიომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ხმოვანი სიგნალის მონაცემთა დამუშავება, კერძოდ, აუდიოკონტროლი ან/და აუდიოჩაწერა (გარდა ფარული საგამოძიებო მოქმედებისა);

შ) პირდაპირი მარკეტინგი − ტელეფონის, ფოსტის, ელექტრონული ფოსტის ან სხვა ელექტრონული საშუალებით მონაცემთა სუბიექტისთვის ინფორმაციის პირდაპირი და უშუალო მიწოდება ფიზიკური პირის ან/და იურიდიული პირის, საქონლის, იდეის, მომსახურების, სამუშაოს ან/და წამოწყების, აგრეთვე საიმიჯო და სოციალური თემატიკისადმი ინტერესის ფორმირების, შენარჩუნების, რეალიზაციის ან/და მხარდაჭერის მიზნით. პირდაპირ მარკეტინგად არ ჩაითვლება სახელმწიფო დაწესებულების მიერ ფიზიკური პირისთვის ინფორმაციის მიწოდება, თუ ამ ინფორმაციის მიწოდება თავსებადია ამ კანონის მე-5 და მე-6 მუხლებით გათვალისწინებულ მონაცემთა დამუშავების რომელიმე საფუძველთან;

ჩ) პროფაილინგი − მონაცემთა ავტომატური დამუშავების ნებისმიერი ფორმა, რომელიც გულისხმობს მონაცემების გამოყენებას ფიზიკურ პირთან დაკავშირებული გარკვეული პიროვნული მახასიათებლების შესაფასებლად, კერძოდ, იმ მახასიათებლების ანალიზსა და პროგნოზირებას, რომლებიც შეეხება ფიზიკური პირის მიერ სამუშაოს შესრულების ხარისხს, მის ეკონომიკურ მდგომარეობას, ჯანმრთელობას, პირად ინტერესებს, სანდოობას, ქცევას, ადგილსამყოფელს ან გადაადგილებას;

ც) მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი დამუშავება, როდესაც შეუძლებელია მონაცემთა სუბიექტთან მათი დაკავშირება ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას, ხარჯებს ან/და დროს საჭიროებს;

ძ) მონაცემთა ფსევდონიმიზაცია − მონაცემთა იმგვარი დამუშავება, როდესაც დამატებითი ინფორმაციის გამოყენების გარეშე შეუძლებელია მონაცემების კონკრეტულ მონაცემთა სუბიექტთან დაკავშირება და ეს დამატებითი ინფორმაცია შენახულია ცალკე და ტექნიკური და ორგანიზაციული ზომების მეშვეობით მონაცემების იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირება არ ხდება;

წ) ინციდენტი − მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას;

ჭ) საჯარო დაწესებულება − საქართველოს ზოგადი ადმინისტრაციული კოდექსის 27-ე მუხლის „ა“ ქვეპუნქტით განსაზღვრული დაწესებულება (გარდა პოლიტიკური და რელიგიური გაერთიანებებისა);

ხ) დენადი სამართალდარღვევა − ამ კანონით გათვალისწინებული სამართალდარღვევა, რომლის ჩადენა იწყება ქმედებით და რომელიც შემდეგ უწყვეტად ხორციელდება. დენადი სამართალდარღვევა დამთავრებულია ქმედების შეწყვეტის მომენტიდან;

ჯ) ფარული საგამოძიებო მოქმედება − საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილით გათვალისწინებული საგამოძიებო მოქმედება;

ჰ) სააგენტო − საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ექსკლუზიური უფლებამოსილების მქონე ორგანო − საჯარო სამართლის იურიდიული პირი − საქართველოს ოპერატიულ-ტექნიკური სააგენტო;

ჰ¹) კონტროლის ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ი“ ქვეპუნქტით გათვალისწინებული სისტემა;

ჰ²) კონტროლის სპეციალური ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „კ“ ქვეპუნქტით გათვალისწინებული სისტემა;

ჰ³) ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ლ“ ქვეპუნქტით გათვალისწინებული სისტემა;

ჰ⁴) გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ო“ ქვეპუნქტით გათვალისწინებული სისტემა.

თავი II

მონაცემთა დამუშავების კანონიერება

მუხლი 4. მონაცემთა დამუშავების პრინციპები

1. მონაცემთა დამუშავებისას დაცული უნდა იქნეს შემდეგი პრინციპები:

ა) მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, მონაცემთა სუბიექტისთვის გამჭვირვალედ და მისი ღირსების შეულახავად. მონაცემთა დამუშავების გამჭვირვალობის ვალდებულება არ ვრცელდება ამ კანონით დადგენილ გამონაკლის შემთხვევებზე;

ბ) მონაცემები უნდა შეგროვდეს/მოპოვებული უნდა იქნეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნებისთვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებელი მიზნით;

გ) მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად. მონაცემები იმ მიზნის თანაზომიერი უნდა იყოს, რომლის მისაღწევადაც ისინი მუშავდება;

დ) მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული. მონაცემთა დამუშავების მიზნების გათვალისწინებით, არაზუსტი მონაცემები უნდა გასწორდეს, წაიშალოს ან განადგურდეს გაუმართლებელი დაყოვნების გარეშე;

ე) მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა წაიშალოს, განადგურდეს ან შენახული უნდა იქნეს დეპერსონალიზებული ფორმით, გარდა იმ შემთხვევისა, თუ მონაცემთა დამუშავება განსაზღვრულია კანონით ან/და კანონის შესაბამისად გამოცემული კანონქვემდებარე ნორმატიული აქტით და მონაცემთა შენახვა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში აღმატებული ინტერესების დასაცავად;

ვ) მონაცემების უსაფრთხოების დაცვის მიზნით მონაცემთა დამუშავებისას მიღებული უნდა იქნეს ისეთი ტექნიკური და ორგანიზაციული ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან.

2. თუ მონაცემები უნდა დამუშავდეს მათი შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით და დამუშავება მონაცემთა სუბიექტის თანხმობით ან კანონის საფუძველზე არ ხორციელდება, მონაცემთა შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით მონაცემთა დამუშავების საკითხის გადაწყვეტისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა გაითვალისწინოს:

ა) არსებობს თუ არა მონაცემთა შეგროვების/მოპოვების თავდაპირველ მიზანსა და შემდგომ მიზანს შორის კავშირი;

ბ) მონაცემთა შეგროვებისას/მოპოვებისას დამუშავებისთვის პასუხისმგებელ პირსა და მონაცემთა სუბიექტს შორის არსებული ურთიერთობის ხასიათი;

გ) აქვს თუ არა მონაცემთა სუბიექტს მის შესახებ მონაცემთა შემდგომი დამუშავების გონივრული მოლოდინი;

დ) ხორციელდება თუ არა განსაკუთრებული კატეგორიის მონაცემთა დამუშავება;

ე) მონაცემთა სუბიექტისთვის შესაძლო შედეგები, რომლებიც შეიძლება თან ახლდეს მონაცემთა შემდგომ დამუშავებას;

ვ) მონაცემთა ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების არსებობა.

3. მონაცემები, რომლებიც სამართალდამცავმა ორგანომ შეაგროვა თავისი საქმიანობის ფარგლებში, შეიძლება დამუშავდეს დანაშაულებრივი საქმიანობის ზოგადი ანალიზისა და სხვადასხვა გამოვლენილ დანაშაულს შორის კავშირის დადგენის მიზნით.

4. ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის დაცვის მიზნისთვის დამუშავებისთვის პასუხისმგებელმა პირმა, კონტექსტიდან გამომდინარე, ფაქტებზე დაფუძნებული მონაცემები უნდა განასხვაოს იმ მონაცემებისგან, რომლებიც პირად შეფასებას ეფუძნება. პირად შეფასებაზე დაფუძნებულ მონაცემებთან მიმართებით ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის ზედმიწევნით დაცვა სავალდებულო არ არის.

5. დამუშავებისთვის პასუხისმგებელი პირის მიერ დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის მონაცემთა შემდგომი დამუშავება მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა, თუ მონაცემთა დამუშავება გათვალისწინებულია კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით.

6. მონაცემთა შემდგომი დამუშავება საჯარო ინტერესების შესაბამისად არქივირების, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა. ამ პუნქტით გათვალისწინებული მიზნით მონაცემთა ხანგრძლივად შენახვა დასაშვებია, თუ მონაცემთა სუბიექტის უფლებების დასაცავად მიღებულია უსაფრთხოების სათანადო ტექნიკური და ორგანიზაციული ზომები.

7. დამუშავებისთვის პასუხისმგებელი პირი პასუხისმგებელია მონაცემთა დამუშავებისას ამ მუხლით განსაზღვრული პრინციპების დაცვისთვის და მან უნდა შეძლოს მათთან შესაბამისობის დასაბუთება.

მუხლი 5. მონაცემთა დამუშავების საფუძვლები

1. მონაცემთა დამუშავება დასაშვებია, თუ არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა თანხმობა მის შესახებ მონაცემთა ერთი ან რამდენიმე კონკრეტული მიზნით დამუშავებაზე;

ბ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტთან დადებული გარიგებით ნაკისრი ვალდებულების შესასრულებლად ან მონაცემთა სუბიექტის მოთხოვნით გარიგების დასადებად;

გ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

დ) მონაცემთა დამუშავება საჭიროა დამუშავებისთვის პასუხისმგებელი პირის მიერ საქართველოს კანონმდებლობით მისთვის დაკისრებული მოვალეობების შესასრულებლად;

ე) კანონის თანახმად, მონაცემი საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა იგი საჯაროდ ხელმისაწვდომი გახადა;

ვ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად, მათ შორის, ეპიდემიის მონიტორინგის ან/და მისი გავრცელების აღკვეთის, ჰუმანიტარული კრიზისების, ბუნებრივი და ადამიანის მოქმედებით გამოწვეული კატასტროფების სამართავად;

ზ) მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

თ) მონაცემთა დამუშავება აუცილებელია საქართველოს კანონმდებლობით განსაზღვრული საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, მათ შორის, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების, მართლწესრიგის დაცვის, მათ შორის, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველყოფის, მიზნებისთვის;

ი) მონაცემთა დამუშავება აუცილებელია დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების დასაცავად, გარდა იმ შემთხვევისა, თუ არსებობს მონაცემთა სუბიექტის (მათ შორის, არასრულწლოვანის) უფლებების დაცვის აღმატებული ინტერესი;

კ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

2. მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 6. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება

1. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ დამუშავებისთვის პასუხისმგებელი პირის მიერ უზრუნველყოფილია მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის ამ კანონით გათვალისწინებული გარანტიები და არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა წერილობითი თანხმობა ერთი ან რამდენიმე კონკრეტული მიზნით განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე;

ბ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება პირდაპირ და სპეციალურად რეგულირდება კანონით და მათი დამუშავება აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში;

გ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არ აქვს, განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე განაცხადოს თანხმობა;

დ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია ჯანმრთელობის დაცვის სფეროში პრევენციული, პროფილაქტიკური, დიაგნოსტიკური, სამკურნალო, სარეაბილიტაციო და პალიატიური მზრუნველობის, მომსახურების, სამედიცინო მოწყობილობების და პროდუქტების ხარისხისა და უსაფრთხოების, საზოგადოებრივი ჯანმრთელობის და ჯანმრთელობის დაცვის სისტემის მართვის მიზნებით საქართველოს კანონმდებლობის ან ჯანმრთელობის დაცვის სპეციალისტთან დადებული ხელშეკრულების (თუ ამ მონაცემებს ამუშავებს პირი, რომელსაც პროფესიული საიდუმლოების დაცვის ვალდებულება ეკისრება) შესაბამისად;

ე) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია სოციალური უზრუნველყოფისა და სოციალური დაცვის სფეროში, მათ შორის, სოციალური უზრუნველყოფის სისტემისა და მომსახურების მართვისთვის საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვისდაკისრებული მოვალეობის შესასრულებლად ან მონაცემთა სუბიექტის კონკრეტული უფლებების განსახორციელებლად;

ვ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება საჭიროა დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის და ამ მონაცემთა დამუშავება გათვალისწინებულია შესაბამისი კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით;

ზ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველსაყოფად;

თ) განსაკუთრებული კატეგორიის მონაცემების დამუშავება აუცილებელია შრომითი ვალდებულებებისა და ურთიერთობის ხასიათიდან გამომდინარე, მათ შორის, დასაქმების შესახებ გადაწყვეტილების მისაღებად ან დასაქმებულის შრომითი უნარების შესაფასებლად;

ი) მონაცემთა სუბიექტმა გამოყენების აშკარა აკრძალვის დათქმის გარეშე საჯარო გახადა თავისი მონაცემები;

კ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

ლ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება პოლიტიკური, პროფესიული გაერთიანების, რელიგიური ან არარელიგიური ფილოსოფიური რწმენის ორგანიზაციის მიერ იმავე საქმიანობის მიზნებისთვის. ამ შემთხვევაში აღნიშნულ მონაცემთა დამუშავება შეიძლება დაკავშირებული იყოს მხოლოდ ამ გაერთიანების/ორგანიზაციის მოქმედ ან ყოფილ წევრებთან ან პირებთან, რომლებსაც მუდმივი კავშირი აქვთ ამ გაერთიანებასთან/ორგანიზაციასთან მისი მიზნებიდან გამომდინარე, იმ პირობით, რომ მონაცემთა სუბიექტის თანხმობის გარეშე აღნიშნული მონაცემების მესამე პირისთვის გაცემა არ მოხდება;

მ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია კანონის შესაბამისად საჯარო ინტერესებისთვის არქივირების, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის, თუ კანონი ითვალისწინებს სათანადო და კონკრეტული ღონისძიებების განხორციელებას მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად. განსაკუთრებული კატეგორიის მონაცემთა დამუშავების ეს საფუძველი არ გამოიყენება, თუკი სპეციალური კანონით პირდაპირ გათვალისწინებულია ამ მონაცემთა დამუშავების შეზღუდვა დამატებითი და განსხვავებული პირობებით;

ნ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მიგრაციის მონაცემთა ერთიანი ანალიტიკური სისტემის ფუნქციონირების მიზნით;

ო) განსაკუთრებული კატეგორიის მონაცემები მუშავდება შეზღუდული შესაძლებლობის მქონე პირთა და სპეციალური საგანმანათლებლო საჭიროების მქონე პირთა განათლების უფლების განხორციელების მიზნით;

პ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტით გათვალისწინებული საკითხის განხილვის მიზნით;

ჟ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, აგრეთვე არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის მიზნით;

რ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება ღია სასამართლო სხდომის შედეგად მიღებული სასამართლო აქტის „საერთო სასამართლოების შესახებ“ საქართველოს ორგანული კანონის შესაბამისად საჯარო ინფორმაციის სახით გაცემის ან გამოქვეყნების მიზნით;

ს) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „საჯარო შესყიდვების შესახებ“ საქართველოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში;

ტ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება უწყებათაშორისი კოორდინაციის ინსტიტუციური მექანიზმის ფუნქციონირებისთვის − ბავშვის სიცოცხლისთვის, ჯანმრთელობისთვის ან უსაფრთხოებისთვის ან/და ბავშვის საუკეთესო ინტერესებისთვის ან მისი უფლებისთვის მიყენებული ზიანის ან მოსალოდნელი რისკების შემცველი შემთხვევის გამოვლენის ან/და მართვის მიზნებისთვის და ამ მიზნების ფარგლებში, საქართველოს მთავრობის მიერ განსაზღვრულ კომპეტენტურ ორგანოებს (უწყებებს) შორის კოორდინაციის უზრუნველსაყოფად, ბავშვის უფლებათა კოდექსის 83-ე მუხლის მე-3 ნაწილითა და 84-ე მუხლის 2¹ ნაწილით გათვალისწინებულ შემთხვევებში.

2. ამ მუხლის პირველი პუნქტის „რ“ ქვეპუნქტით გათვალისწინებული მონაცემების დამუშავების შემთხვევაში მათი საჯარო ინფორმაციის სახით გაცემა და გამოქვეყნება დასაშვებია „საერთო სასამართლოების შესახებ“ საქართველოს ორგანული კანონის შესაბამისად.

3. განსაკუთრებული კატეგორიის მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 7. არასრულწლოვანის შესახებ მონაცემთა დამუშავებაზე თანხმობის გაცემის წესი და პირობები

1. არასრულწლოვანის შესახებ მონაცემთა დამუშავება მისი თანხმობის საფუძველზე დასაშვებია, თუ მან 16 წლის ასაკს მიაღწია, ხოლო 16 წლამდე არასრულწლოვანის შესახებ მონაცემთა დამუშავება − მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობით, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა, მათ შორის, როდესაც მონაცემთა დამუშავებისთვის აუცილებელია 16 წლიდან 18 წლამდე არასრულწლოვანისა და მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს გონივრული და ადეკვატური ზომა 16 წლამდე არასრულწლოვანის მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის არსებობის დასადასტურებლად.

3. არასრულწლოვანის შესახებ განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ მისი მშობლის ან სხვა კანონიერი წარმომადგენლის წერილობითი თანხმობის საფუძველზე, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა.

4. არასრულწლოვანის შესახებ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია გაითვალისწინოს და დაიცვას არასრულწლოვანის საუკეთესო ინტერესები.

5. არასრულწლოვანის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვანის საუკეთესო ინტერესებს.

6. ამ მუხლით გათვალისწინებული დებულებები არ ვრცელდება საქართველოს სამოქალაქო კოდექსით განსაზღვრულ გარიგების ნამდვილობასთან დაკავშირებულ ურთიერთობებზე.

მუხლი 8. გარდაცვლილი პირის შესახებ მონაცემთა დაცვა

1. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება დასაშვებია:

ა) ამ კანონის მე-5 და მე-6 მუხლებით განსაზღვრული საფუძვლებით;

ბ) თუ ამ მონაცემთა დამუშავება აკრძალული არ არის მონაცემთა სუბიექტის მშობლის, შვილის, შვილიშვილის ან მეუღლის მიერ (გარდა იმ შემთხვევისა, როდესაც მონაცემთა სუბიექტმა გარდაცვალებამდე წერილობით აკრძალა მისი გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება);

გ) თუ მონაცემთა სუბიექტის გარდაცვალებიდან გასულია 30 წელი;

დ) თუ ეს აუცილებელია მემკვიდრეობასთან დაკავშირებული უფლების განსახორციელებლად.

2. გარდაცვლილი პირის სახელის, გვარის, სქესის, დაბადებისა და გარდაცვალების თარიღების დამუშავება დასაშვებია, მიუხედავად ამ მუხლის პირველი პუნქტით გათვალისწინებული გარემოებებისა და საფუძვლების არსებობისა.

მუხლი 9. ბიომეტრიულ მონაცემთა დამუშავება

1. ბიომეტრიულ მონაცემთა დამუშავება შეიძლება მხოლოდ იმ შემთხვევაში, თუ ეს აუცილებელია საქმიანობის განხორციელების, უსაფრთხოების, საკუთრების დაცვისა და საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნებისთვის და ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან, აგრეთვე კანონით დადგენილი წესით პირადობის დამადასტურებელი დოკუმენტის გაცემის, სახელმწიფო საზღვრის გადამკვეთი პირის იდენტიფიკაციის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის, ოპერატიულ-სამძებრო საქმიანობის, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველყოფის მიზნით ან კანონით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით გათვალისწინებული პრინციპების შესაბამისად მონაცემთა დამუშავებამდე წერილობით განსაზღვროს ბიომეტრიულ მონაცემთა დამუშავების მიზანი და მოცულობა, ამ მონაცემთა შენახვის ვადა, მათი შენახვისა და განადგურების წესი და პირობები, აგრეთვე მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

მუხლი 10. ვიდეომონიტორინგის განხორციელება

1. ვიდეომონიტორინგის განხორციელება დასაშვებია დანაშაულის თავიდან აცილების, მისი გამოვლენის, საზოგადოებრივი უსაფრთხოების, პირის უსაფრთხოებისა და საკუთრების დაცვის, არასრულწლოვანის დაცვის (მათ შორის, მავნე ზეგავლენისგან დაცვის), საიდუმლო ინფორმაციის დაცვის, გამოცდის/ტესტირების მიზნებისთვის, აგრეთვე სხვა საჯარო ან/და სხვა ლეგიტიმური ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, თუ ვიდეომონიტორინგის განხორციელება მონაცემთა დამუშავების მიზნის ადეკვატური და პროპორციული საშუალებაა.

2. ვიდეომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით დადგენილი პრინციპების შესაბამისად წერილობით განსაზღვროს ვიდეომონიტორინგის მიზანი და მოცულობა, ვიდეომონიტორინგის ხანგრძლივობა და ვიდეოჩანაწერის შენახვის ვადა, ვიდეოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები, გარდა იმ შემთხვევისა, როდესაც ფიზიკური პირი ვიდეომონიტორინგს ახორციელებს საცხოვრებელ შენობაში.

3. დასაქმებული პირის სამუშაო პროცესის/სივრცის ვიდეომონიტორინგი დასაშვებია მხოლოდ გამონაკლის შემთხვევაში, თუ ამ მუხლის პირველი პუნქტით განსაზღვრული მიზნების მიღწევა სხვა საშუალებით შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

4. დაუშვებელია ვიდეომონიტორინგის განხორციელება გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და ვიდეომონიტორინგის განხორციელება საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება.

5. ვიდეომონიტორინგის სისტემა და ვიდეოჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისგან. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს ვიდეოჩანაწერებზე წვდომის თითოეული შემთხვევის აღრიცხვა, მათ შორის, წვდომის დროისა და მომხმარებლის სახელის აღრიცხვა, რომელიც წვდომის განმახორციელებელი პირის იდენტიფიცირების შესაძლებლობას იძლევა.

6. საცხოვრებელ შენობაში დასაშვებია ამ საცხოვრებელი შენობის საერთო შესასვლელისა და საცხოვრებელ შენობაში არსებული საერთო სივრცის ვიდეომონიტორინგის განხორციელება მესაკუთრეთა ნახევარზე მეტის წერილობითი თანხმობით (მესაკუთრის დადგენის შეუძლებლობის შემთხვევაში შეიძლება მფლობელის თანხმობის მიღება), გარდა იმ შემთხვევისა, როდესაც დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვიდეომონიტორინგს ახორციელებს საქართველოს კანონმდებლობით მისთვის დაკისრებული მოვალეობის შესასრულებლად და ვიდეომონიტორინგის არეალში ექცევა საცხოვრებელი შენობის საერთო შესასვლელი და საერთო სივრცე.

7. საცხოვრებელ შენობაში არსებული ინდივიდუალური საკუთრების შესასვლელის ვიდეომონიტორინგი დასაშვებია მხოლოდ მისი მესაკუთრის/მფლობელის გადაწყვეტილებით ან მისი წერილობითი თანხმობით იმგვარად, რომ ვიდეომონიტორინგის განხორციელებით არ ილახებოდეს სხვა პირების (მათ შორის, მესაკუთრის, ფართობით კანონიერად მოსარგებლის) ლეგიტიმური ინტერესები.

8. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი თვალსაჩინოდ განათავსოს, ხოლო ამ მუხლის მე-3 პუნქტით განსაზღვრულ შემთხვევაში − დამატებით დასაქმებული პირი წერილობით გააფრთხილოს ვიდეომონიტორინგის კონკრეტული მიზნის (მიზნების) შესახებ. ამ პუნქტით გათვალისწინებული მოთხოვნების დაცვის შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად მიიჩნევა.

9. ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას ვიდეომონიტორინგის მიმდინარეობის თაობაზე და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 11. აუდიომონიტორინგის განხორციელება

1. აუდიომონიტორინგის განხორციელება დასაშვებია:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) საოქმო ჩანაწერის საწარმოებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად;

დ) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

2. აუდიომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით გათვალისწინებული პრინციპების შესაბამისად წერილობით წინასწარ განსაზღვროს აუდიომონიტორინგის მიზანი და მოცულობა, აუდიომონიტორინგის ხანგრძლივობა, აუდიოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

3. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი აუდიომონიტორინგის განხორციელების შესახებ და განუმარტოს უარის თქმის თაობაზე მისი უფლება (ასეთის არსებობის შემთხვევაში). მონაცემთა სუბიექტის ინფორმირების მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს.

4. მონაცემთა სუბიექტის აუდიომონიტორინგის შესახებ გამაფრთხილებელი ნიშნით ინფორმირების შემთხვევაში ეს გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას აუდიომონიტორინგის მიმდინარეობის შესახებ და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 12. მონაცემთა დამუშავება პირდაპირი მარკეტინგის მიზნით

1. მიუხედავად მონაცემთა შეგროვების/მოპოვების საფუძვლისა და მათი ხელმისაწვდომობისა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით.

2. მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელია მონაცემთა სუბიექტის წერილობითი თანხმობა.

3. მონაცემთა სუბიექტის თანხმობის მიღებამდე და პირდაპირი მარკეტინგის განხორციელებისას დამუშავებისთვის პასუხისმგებელმა პირმა/დამუშავებაზე უფლებამოსილმა პირმა მონაცემთა სუბიექტს ნათლად, მარტივ და მისთვის გასაგებ ენაზე უნდა განუმარტოს მის მიერ თანხმობის ნებისმიერ დროს გამოხმობის უფლება და ამ უფლების განხორციელების მექანიზმი/წესი.

4. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია შეწყვიტოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება მონაცემთა სუბიექტის შესაბამისი მოთხოვნის მიღებიდან გონივრულ ვადაში, მაგრამ არაუგვიანეს 7 სამუშაო დღისა. ამ ვალდებულების უზრუნველსაყოფად დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს ეკისრება მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შესახებ ინფორმაციის გაცვლის ვალდებულება.

5. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია უზრუნველყოს, რომ მონაცემთა სუბიექტს შესაძლებლობა ჰქონდეს, მოითხოვოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტა იმავე ფორმით, რომლითაც პირდაპირი მარკეტინგი ხორციელდება, ან განსაზღვროს სხვა ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის.

6. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის ამ მუხლის მე-5 პუნქტით გათვალისწინებული საშუალება მარტივი უნდა იყოს. ამასთანავე, მონაცემთა სუბიექტს უნდა მიეცეს მკაფიო და ადვილად აღსაქმელი მითითება ამ საშუალების გამოყენების შესახებ.

7. დაუშვებელია, მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის უფლების განსახორციელებლად დაწესებულ იქნეს საფასური ან სხვა შეზღუდვა.

8. პირდაპირი მარკეტინგის განხორციელებისას მონაცემთა სუბიექტის თანხმობის არსებობის, უარის თქმის საშუალების სიმარტივის, მისი გამოყენების შესახებ მითითების ადვილად აღქმადობის, ხელმისაწვდომობისა და ადეკვატურობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს.

9. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მონაცემთა სუბიექტის მიერ მის შესახებ მონაცემთა დამუშავებაზე თანხმობის მიცემისა და თანხმობის გამოხმობის დრო და ფაქტი აღრიცხოს და შეინახოს პირდაპირი მარკეტინგის განხორციელების ვადით და პირდაპირი მარკეტინგის განხორციელების შეწყვეტიდან 1 წლის განმავლობაში.

თავი III

მონაცემთა სუბიექტის უფლებები

მუხლი 13. მონაცემთა დამუშავების შესახებ ინფორმაციის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს იმის დადასტურება, მუშავდება თუ არა მის შესახებ მონაცემები, დასაბუთებულია თუ არა მონაცემთა დამუშავება და მოთხოვნის შესაბამისად უსასყიდლოდ მიიღოს შემდეგი ინფორმაცია:

ა) მის შესახებ იმ მონაცემის თაობაზე, რომელიც მუშავდება, აგრეთვე ამ მონაცემის დამუშავების საფუძვლისა და მიზნის შესახებ;

ბ) მონაცემთა შეგროვების/მოპოვების წყაროს შესახებ;

გ) მონაცემთა შენახვის ვადის (დროის) შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

დ) მონაცემთა სუბიექტის ამ თავით გათვალისწინებული უფლებების შესახებ;

ე)მონაცემთა გადაცემის სამართლებრივი საფუძვლისა და მიზნების, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების შესახებ, თუ მონაცემები გადაეცემა სხვა სახელმწიფოს ან საერთაშორისო ორგანიზაციას;

ვ) მონაცემთა მიმღების ვინაობის ან მონაცემთა მიმღებების კატეგორიების შესახებ, მათ შორის, ინფორმაცია მონაცემთა გადაცემის საფუძვლისა და მიზნის თაობაზე, თუ მონაცემები მესამე პირს გადაეცემა;

ზ) ავტომატიზებული დამუშავების, მათ შორის, პროფაილინგის შედეგად მიღებული გადაწყვეტილების და იმ ლოგიკის შესახებ, რომელიც გამოიყენება ამგვარი გადაწყვეტილების მისაღებად, აგრეთვე მონაცემთა დამუშავებაზე მისი გავლენისა და დამუშავების მოსალოდნელი/სავარაუდო შედეგის თაობაზე.

2. მონაცემთა სუბიექტს უფლება აქვს, ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მიიღოს მისი მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა. ეს ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

3. დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მონაცემთა სუბიექტს საჭიროებისამებრ მიაწოდოს ნებისმიერი ინფორმაცია, რათა უზრუნველყოფილ იქნეს მონაცემთა დამუშავების გამჭვირვალობა ამ კანონის მე-4 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის შესაბამისად, გარდა იმ შემთხვევისა, როდესაც ინფორმაციის გაცემა კანონს ეწინააღმდეგება.

4. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის გათვალისწინებული, მონაცემთა სუბიექტს უფლება აქვს, თავად აირჩიოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ფორმა. ამასთანავე, თუ მონაცემთა სუბიექტი სხვა ფორმით არ მოითხოვს ინფორმაციის მიწოდებას, მას ინფორმაცია მიეწოდება იმავე ფორმით, რომლითაც მოხდა ინფორმაციის მოთხოვნა.

მუხლი 14. მონაცემთა გაცნობისა და ასლის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირთან გაეცნოს მის შესახებ არსებულ პერსონალურ მონაცემებს და უსასყიდლოდ მიიღოს ამ მონაცემების ასლები, გარდა იმ შემთხვევებისა, როდესაც მონაცემთა გაცნობისთვის ან/და მონაცემთა ასლების გაცემისთვის:

ა) საქართველოს კანონმდებლობით გათვალისწინებულია საფასური;

ბ) დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილია გონივრული საფასური მონაცემთა შენახვის ფორმისგან განსხვავებული ფორმით მათი გაცემისთვის დახარჯული რესურსის ან/და მოთხოვნის სიხშირის გამო.

2. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, გარდა იმ შემთხვევისა, როდესაც საქართველოს კანონმდებლობით სხვა ვადა არის დადგენილი.

3. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

4. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები იმ ფორმით, რომლითაც დაცულია დამუშავებისთვის პასუხისმგებელ პირთან ან/და დამუშავებაზე უფლებამოსილ პირთან. მონაცემთა სუბიექტს აგრეთვე უფლება აქვს, მოითხოვოს მის შესახებ მონაცემთა ასლების მიწოდება განსხვავებული ფორმით, დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილი გონივრული საფასურის სანაცვლოდ და იმ შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია.

5. დამუშავებისთვის პასუხისმგებელი პირის მიერ ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით განსაზღვრული საფასური ფაქტობრივად დახარჯული რესურსის ოდენობას არ უნდა აღემატებოდეს. საფასურის დადგენის და მისი ოდენობის გონივრულობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 15. მონაცემთა გასწორების, განახლებისა და შევსების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მცდარი, არაზუსტი ან/და არასრული მონაცემების გასწორება, განახლება ან/და შევსება.

2. მონაცემთა სუბიექტის მიერ ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა ვადა არ არის დადგენილი) მონაცემები უნდა გასწორდეს, განახლდეს ან/და შეივსოს ან მონაცემთა სუბიექტს ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტისგან დამოუკიდებლად გამოავლენს, რომ მის ხელთ არსებული მონაცემები მცდარი, არაზუსტი ან/და არასრულია, მან გონივრულ ვადაში უნდა გაასწოროს, განაახლოს ან/და შეავსოს მონაცემები და მონაცემთა გასწორებიდან 10 სამუშაო დღის ვადაში ამის შესახებ აცნობოს მონაცემთა სუბიექტს.

4. დამუშავებისთვის პასუხისმგებელ პირს ამ მუხლის მე-3 პუნქტით გათვალისწინებული მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულება არ წარმოეშობა, თუ მონაცემების გასწორება, განახლება ან/და შევსება ტექნიკური შეცდომის გასწორებას/აღმოფხვრას უკავშირდება.

5. თუ არსებობს ობიექტური გარემოება, რომელიც შეუძლებელს ხდის ამ მუხლის მე-3 პუნქტით დადგენილ ვადაში მონაცემთა სუბიექტის ინფორმირების ვალდებულების შესრულებას, დამუშავებისთვის პასუხისმგებელმა პირმა ცვლილების განხორციელების შესახებ ინფორმაცია მონაცემთა სუბიექტს უნდა მიაწოდოს მასთან პირველი კომუნიკაციის განხორციელებისთანავე.

6. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირს და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა განახლებისა და შევსების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

7. ამ მუხლის მე-6 პუნქტით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან გონივრულ ვადაში გაასწორონ, განაახლონ ან/და შეავსონ მონაცემები.

მუხლი 16. მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მონაცემთა დამუშავების (მათ შორის, პროფაილინგის) შეწყვეტა, წაშლა ან განადგურება.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი) უნდა შეწყდეს მონაცემთა დამუშავება ან/და მონაცემები უნდა წაიშალოს ან განადგურდეს ან მონაცემთა სუბიექტს უნდა ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, უარი თქვას ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის დაკმაყოფილებაზე, თუ:

ა) არსებობს მონაცემთა დამუშავების ამ კანონის მე-5 ან მე-6 მუხლით გათვალისწინებული რომელიმე საფუძველი;

ბ) მონაცემები მუშავდება სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთების მიზნით;

გ) მონაცემთა დამუშავება აუცილებელია გამოხატვის ან ინფორმაციის თავისუფლების უფლების განსახორციელებლად;

დ) მონაცემები მუშავდება კანონით გათვალისწინებული საჯარო ინტერესებისთვის არქივირების მიზნით, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის და მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლების განხორციელება შეუძლებელს გახდის ან მნიშვნელოვნად დააზიანებს დამუშავების მიზნების მიღწევას.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული რომელიმე საფუძვლის არსებობისას დამუშავებისთვის პასუხისმგებელ პირს ეკისრება შესაბამისი საფუძვლის დასაბუთების ვალდებულება.

5. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ ინფორმაცია მიიღოს შესაბამისი მოქმედების განხორციელებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 10 სამუშაო დღისა.

6. მონაცემთა სუბიექტს უფლება აქვს, მის შესახებ მონაცემთა საჯაროდ ხელმისაწვდომი ფორმით დამუშავების შემთხვევაში დამატებით დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა ხელმისაწვდომობის შეზღუდვა ან/და მონაცემთა ასლების ან მონაცემებთან დამაკავშირებელი ნებისმიერი ინტერნეტბმულის წაშლა.

7. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირსა და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

8. ამ მუხლის მე-6 და მე-7 პუნქტებით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან შეწყვიტონ მონაცემთა დამუშავება და წაშალონ ან გაანადგურონ მონაცემები.

მუხლი 17. მონაცემთა დაბლოკვის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა დაბლოკვა, თუ არსებობს ერთ-ერთი შემდეგი გარემოება:

ა) მონაცემთა სუბიექტი სადავოს ხდის მონაცემების ნამდვილობას ან სიზუსტეს;

ბ) მონაცემთა დამუშავება უკანონოა, თუმცა მონაცემთა სუბიექტი ეწინააღმდეგება მათ წაშლას და ითხოვს მონაცემთა დაბლოკვას;

გ) მონაცემები საჭირო აღარ არის მათი დამუშავების მიზნის მისაღწევად, თუმცა მონაცემთა სუბიექტს ისინი სჭირდება საჩივრის/სარჩელის წარსადგენად;

დ) მონაცემთა სუბიექტი მოითხოვს მონაცემთა დამუშავების შეწყვეტას, წაშლას ან განადგურებას და მიმდინარეობს ამ მოთხოვნის განხილვა;

ე) არსებობს მონაცემების მტკიცებულებად გამოყენების მიზნით შენახვის აუცილებლობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში დაბლოკოს მონაცემები ამ მუხლის პირველი პუნქტით გათვალისწინებული ერთ-ერთი გარემოების არსებობისას, გარდა იმ შემთხვევისა, როდესაც მონაცემთა დაბლოკვამ შეიძლება საფრთხე შეუქმნას:

ა) დამუშავებისთვის პასუხისმგებელი პირის მიერ კანონით ან/და კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით მისთვის დაკისრებული მოვალეობების შესრულებას;

ბ) კანონის შესაბამისად საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესრულებას ან საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვის მინიჭებული უფლებამოსილების განხორციელებას;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ლეგიტიმურ ინტერესებს, გარდა იმ შემთხვევისა, როდესაც არსებობს მონაცემთა სუბიექტის, განსაკუთრებით არასრულწლოვანის, უფლებების დაცვის აღმატებული ინტერესი;

დ) ამ კანონის 50-ე მუხლის მე-6 პუნქტით გათვალისწინებული ინტერესების დაცვას.

3. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღების შემდეგ დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მიიღოს გადაწყვეტილება მონაცემთა განბლოკვის შესახებ, თუ არსებობს ამ მუხლის მე-2 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე საფუძველი.

4. მონაცემები უნდა დაიბლოკოს მათი დაბლოკვის მიზეზის არსებობის ვადით და ამ ვადის განმავლობაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება თან უნდა ერთოდეს შესაბამის მონაცემებს.

5. მონაცემთა სუბიექტს უფლება აქვს, მიიღოს ინფორმაცია მონაცემთა დაბლოკვის თაობაზე მიღებული გადაწყვეტილების ან მონაცემთა დაბლოკვაზე უარის თქმის საფუძვლის შესახებ გადაწყვეტილების მიღებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს მოთხოვნიდან 3 სამუშაო დღისა.

6. ამ მუხლის პირველი პუნქტის შესაბამისად მონაცემთა დაბლოკვის შემთხვევაში მონაცემები, გარდა მათი შენახვისა, შესაძლოა სხვაგვარად დამუშავდეს შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) სამართლებრივი მოთხოვნის ან შესაგებლის დასასაბუთებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ინტერესების დასაცავად;

დ) კანონის შესაბამისად, საჯარო ინტერესის დასაცავად.

მუხლი 18. მონაცემთა გადატანის უფლება

ამ კანონის მე-5 მუხლის პირველი პუნქტის „ა“ და „ბ“ ქვეპუნქტებითა და მე-6 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული საფუძვლებით მონაცემთა ავტომატური დამუშავების შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელი პირისგან სტრუქტურიზებული, საზოგადოდ გამოყენებადი და მანქანურად წაკითხვადი ფორმატით მიიღოს მის მიერ მიწოდებული მონაცემები ან მოითხოვოს ამ მონაცემთა სხვა დამუშავებისთვის პასუხისმგებელი პირისთვის გადაცემა.

მუხლი 19. ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღება და მასთან დაკავშირებული უფლებები

1. მონაცემთა სუბიექტს უფლება აქვს, არ დაექვემდებაროს მხოლოდ ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე, მიღებულ გადაწყვეტილებას, რომელიც მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, გარდა იმ შემთხვევისა, როდესაც პროფაილინგის საფუძველზე გადაწყვეტილების მიღება:

ა) ეფუძნება მონაცემთა სუბიექტის აშკარად გამოხატულ თანხმობას;

ბ) აუცილებელია მონაცემთა სუბიექტსა და დამუშავებისთვის პასუხისმგებელ პირს შორის ხელშეკრულების დასადებად ან ხელშეკრულების შესასრულებლად;

გ) გათვალისწინებულია კანონით ან კანონის საფუძველზე დელეგირებული უფლებამოსილების ფარგლებში გამოცემული კანონქვემდებარე ნორმატიული აქტით.

2. მონაცემთა სუბიექტის შესაბამისი მოთხოვნისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებების, თავისუფლებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, ამ მუხლის პირველი პუნქტით განსაზღვრული, გადაწყვეტილების მიღების პროცესში ადამიანური რესურსის ჩართვის (გარდა ამ მუხლის პირველი პუნქტის „გ“ ქვეპუნქტით გათვალისწინებული შემთხვევისა), მონაცემთა სუბიექტისთვის მისი მოსაზრების გამოთქმის და გადაწყვეტილების გასაჩივრების შესაძლებლობის მიცემის გზით.

3. ამ მუხლის პირველი პუნქტით განსაზღვრული გადაწყვეტილების მიღებისას განსაკუთრებული კატეგორიის მონაცემების გამოყენება დასაშვებია მხოლოდ ამ კანონის მე-6 მუხლის პირველი პუნქტის „ა“, „ვ“ და „კ“ ქვეპუნქტებით გათვალისწინებულ შემთხვევებში, თუ არსებობს მონაცემთა სუბიექტის უფლებების, თავისუფლებებისა და ლეგიტიმური ინტერესების დაცვის სათანადო გარანტიები.

მუხლი 20. თანხმობის გამოხმობის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე გამოიხმოს მის მიერ გაცემული თანხმობა. ამ შემთხვევაში, მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, მონაცემთა დამუშავება უნდა შეწყდეს ან/და დამუშავებული მონაცემები წაიშალოს ან განადგურდეს მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, თუ მონაცემთა დამუშავების სხვა საფუძველი არ არსებობს.

2. მონაცემთა სუბიექტს უფლება აქვს, თანხმობა გამოიხმოს იმავე ფორმით, რომლითაც თანხმობა განაცხადა.

3. მონაცემთა სუბიექტს თანხმობის გამოხმობამდე უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს და მიიღოს ინფორმაცია თანხმობის გამოხმობის შესაძლო შედეგების შესახებ.

მუხლი 21. მონაცემთა სუბიექტის უფლებების შეზღუდვა

1. მონაცემთა სუბიექტის ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებული უფლებები შეიძლება შეიზღუდოს, თუ ეს პირდაპირ არის გათვალისწინებული საქართველოს კანონმდებლობით, ამით არ ირღვევა ადამიანის ძირითადი უფლებები და თავისუფლებები, ეს არის აუცილებელი და პროპორციული ზომა დემოკრატიულ საზოგადოებაში და ამ უფლებების განხორციელებამ შეიძლება საფრთხე შეუქმნას:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას;

დ) ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ე) მონაცემთა სუბიექტის მიერ პროფესიული, მათ შორის, რეგულირებადი პროფესიის, ეთიკის ნორმების დარღვევის გამოვლენას და მისთვის პასუხისმგებლობის დაკისრებას;

ვ) ამ მუხლის პირველი პუნქტის „ა“, „ბ“, „გ“, „დ“, „ე“, „ზ“ ან „ი“ ქვეპუნქტით განსაზღვრულ სფეროებში მარეგულირებელი ან/და ზედამხედველობის განმახორციელებელი ორგანოების ფუნქციებისა და უფლებამოსილებების განხორციელებას;

ზ) მონაცემთა სუბიექტის ან/და სხვა პირების უფლებებსა და თავისუფლებებს, მათ შორის, გამოხატვის თავისუფლებას;

თ) სახელმწიფო, კომერციული, პროფესიული და კანონით გათვალისწინებული სხვა სახის საიდუმლოებების დაცვას;

ი) სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთებას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლების არსებობისას მონაცემთა სუბიექტის უფლების შეზღუდვასა და განხორციელებაზე უარის თქმის შესახებ დამუშავებისთვის პასუხისმგებელი პირის გადაწყვეტილება უნდა ეცნობოს მონაცემთა სუბიექტს, გარდა იმ შემთხვევისა, თუ ინფორმაციის მიწოდება საფრთხეს შეუქმნის ამ მუხლის პირველი პუნქტით გათვალისწინებული მიზნის (მიზნების) მიღწევას.

4. მონაცემთა სუბიექტის ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებული უფლებების განხორციელება უზრუნველყოფილი უნდა იყოს უსასყიდლოდ, გარდა ამავე კანონით დადგენილი გამონაკლისებისა. მონაცემთა სუბიექტის მიერ მოთხოვნის არაგონივრული სიხშირით წარდგენის შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია უარი განაცხადოს მის შესრულებაზე, რის შესახებაც ვალდებულია დაუყოვნებლივ წერილობით აცნობოს მონაცემთა სუბიექტს და განუმარტოს გასაჩივრების უფლების შესახებ.

5. მონაცემთა სუბიექტის უფლების შეზღუდვისა და მის მოთხოვნაზე უარის თქმის შემთხვევაში მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 22. გასაჩივრების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ამ კანონით გათვალისწინებული უფლებებისა და დადგენილი წესების დარღვევის შემთხვევაში კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს, სასამართლოს ან/და ზემდგომ ადმინისტრაციულ ორგანოს.

2. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურს მოსთხოვოს მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღება განცხადების განხილვის დასრულების თაობაზე გადაწყვეტილების გამოტანამდე.

3. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება გაასაჩივროს სასამართლოში საქართველოს კანონმდებლობით გათვალისწინებული პირობებისა და ვადების დაცვით.

თავი IV

დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ვალდებულებები

მუხლი 23. მონაცემთა სუბიექტის უფლებების დაცვის ვალდებულება

1. მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია დადგენილი წესით უზრუნველყოს მონაცემთა სუბიექტის ამ კანონის III თავით განსაზღვრული უფლებების განხორციელება, მათ შორის, მიიღოს ყველა ზომა ამავე კანონის მოთხოვნებთან შესაბამისობის და, საჭიროების შემთხვევაში, მათი დემონსტრირების მიზნით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულებები ვრცელდება აგრეთვე დამუშავებაზე უფლებამოსილ პირზე მასთან დაცულ/არსებულ ინფორმაციასთან მიმართებით.

მუხლი 24. მონაცემთა სუბიექტის ინფორმირება მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში

1. მონაცემების უშუალოდ მონაცემთა სუბიექტისგან შეგროვებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა შეგროვებამდე ან შეგროვების დაწყებისთანავე მონაცემთა სუბიექტს მიაწოდოს სულ მცირე შემდეგი ინფორმაცია:

ა) დამუშავებისთვის პასუხისმგებელი პირის, მისი წარმომადგენლის ან/და დამუშავებაზე უფლებამოსილი პირის (ასეთის არსებობის შემთხვევაში) ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნებისა და სამართლებრივი საფუძვლის შესახებ;

გ) მონაცემთა მიწოდების სავალდებულოობის შესახებ, ხოლო თუ მონაცემთა მიწოდება სავალდებულოა − მონაცემთა მიწოდებაზე უარის თქმის სამართლებრივი შედეგების თაობაზე, აგრეთვე ინფორმაცია იმის შესახებ, რომ მონაცემთა შეგროვება/მოპოვება გათვალისწინებულია საქართველოს კანონმდებლობით ან აუცილებელი პირობაა ხელშეკრულების დასადებად (ასეთი ინფორმაციის არსებობის შემთხვევაში);

დ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების შესახებ, თუ მონაცემები მუშავდება ამ კანონის მე-5 მუხლის პირველი პუნქტის „ი“ ქვეპუნქტის შესაბამისად;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) ვინაობა და საკონტაქტო ინფორმაცია;

ვ) მონაცემთა მიმღების ვინაობა ან მონაცემთა მიმღებების კატეგორიები (ასეთის არსებობის შემთხვევაში);

ზ) მონაცემთა დაგეგმილი გადაცემისა და მონაცემთა დაცვის სათანადო გარანტიების არსებობის შესახებ, მათ შორის, მონაცემთა გადაცემაზე ნებართვის თაობაზე (ასეთის არსებობის შემთხვევაში), თუ დამუშავებისთვის პასუხისმგებელი პირი გეგმავს მონაცემთა სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის გადაცემას;

თ) მონაცემთა შენახვის ვადის შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ი) მონაცემთა სუბიექტის ამ კანონის III თავით გათვალისწინებული უფლებების შესახებ.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდება სავალდებულო არ არის, თუ არსებობს გონივრული ვარაუდი, რომ მონაცემთა სუბიექტი უკვე ფლობს ამ ინფორმაციას.

3. ამ მუხლის პირველი პუნქტით დადგენილი წესი არ მოქმედებს, თუ სპეციალური კანონმდებლობა ადგენს მონაცემთა სუბიექტისგან მონაცემების შეგროვებისას მისი ინფორმირების განსხვავებულ წესს და ეს წესი არ იწვევს მონაცემთა სუბიექტის ძირითადი უფლებებისა და თავისუფლებების დარღვევას. ამ შემთხვევაში სუბიექტის წერილობითი მოთხოვნის არსებობისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მოთხოვნიდან 10 სამუშაო დღის ვადაში, თუ არ არსებობს ამ კანონის 21-ე მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს უნდა ეცნობოს დაუყოვნებლივ.

5. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მონაცემთა სუბიექტს, განსაკუთრებით − თუ მონაცემთა სუბიექტი არასრულწლოვანია, მიაწოდოს მარტივ და მისთვის გასაგებ ენაზე. ამ ინფორმაციის მიწოდება შეიძლება ზეპირად ან წერილობით (მათ შორის, ელექტრონულად), გარდა იმ შემთხვევისა, როდესაც მონაცემთა სუბიექტი ინფორმაციის წერილობით მიღებას ითხოვს.

მუხლი 25. მონაცემთა სუბიექტის ინფორმირება, თუ მონაცემების შეგროვება უშუალოდ მისგან არ ხდება

1. თუ მონაცემების შეგროვება უშუალოდ მონაცემთა სუბიექტისგან არ ხდება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ კანონის 24-ე მუხლის პირველი პუნქტის „ა“−„ი“ ქვეპუნქტებით გათვალისწინებული ინფორმაცია, აგრეთვე აცნობოს, მის შესახებ რომელი მონაცემები მუშავდება და ამ მონაცემთა მოპოვების წყარო, მათ შორის, მოპოვებულ იქნა თუ არა მონაცემები საჯაროდ ხელმისაწვდომი წყაროდან.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა სუბიექტს უნდა მიაწოდოს გონივრულ ვადაში, ან, თუ მონაცემები გამოიყენება მონაცემთა სუბიექტთან დასაკავშირებლად, მასთან პირველი კომუნიკაციისთანავე, ხოლო თუ დაგეგმილია მონაცემთა გამჟღავნება, − მონაცემთა გამჟღავნებამდე, მაგრამ მონაცემთა მოპოვებიდან არაუგვიანეს 10 სამუშაო დღისა, თუკი არ არსებობს ამ კანონის 21-ე მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

3. ამ მუხლით გათვალისწინებული ინფორმაციის მიწოდების ვალდებულება არ ვრცელდება დამუშავებისთვის პასუხისმგებელ პირზე ან/და დამუშავებაზე უფლებამოსილ პირზე, თუ:

ა) მონაცემთა სუბიექტი უკვე ფლობს ამ მუხლის პირველი პუნქტით გათვალისწინებულ ინფორმაციას;

ბ) მონაცემთა შეგროვება ან გამჟღავნება დადგენილია კანონით ან საჭიროა საქართველოს კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად;

გ) ინფორმაციის მიწოდება შეუძლებელია ან მოითხოვს არაპროპორციულად დიდ ძალისხმევას ან ამ მუხლით გათვალისწინებული ვალდებულების შესრულება მნიშვნელოვან ზიანს მიაყენებს ან შეუძლებელს გახდის მონაცემთა დამუშავების კანონიერი მიზნის (მიზნების) შესრულებას. ამ შემთხვევებში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, მონაცემების მოპოვების შესახებ ზოგადი ინფორმაციის საჯაროდ/ყველასთვის ხელმისაწვდომი ფორმით განთავსებით.

მუხლი 26. მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას

1. ახალი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების, აგრეთვე მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისთვის მოსალოდნელი რისკებისა და მონაცემთა დამუშავების პრინციპების გათვალისწინებით, დამუშავებისთვის პასუხისმგებელმა პირმა როგორც დამუშავების საშუალებების განსაზღვრის, ისე უშუალოდ დამუშავების პროცესში უნდა მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები (მათ შორის, ფსევდონიმიზაცია ან/და სხვა). ამ ზომების მიღება უნდა უზრუნველყოფდეს მონაცემთა დამუშავების პრინციპების ეფექტიან იმპლემენტაციას და მონაცემთა დამუშავების პროცესში დაცვის მექანიზმების ინტეგრირებას მონაცემთა სუბიექტის უფლებების დასაცავად.

2. დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა რაოდენობის, მონაცემთა დამუშავების მასშტაბის, შენახვის ვადებისა და მონაცემებზე წვდომის განსაზღვრისას უნდა უზრუნველყოს ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომ ავტომატურად დამუშავდეს მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია დამუშავების კონკრეტული მიზნისთვის. ეს ზომები იმგვარად უნდა გამოიყენებოდეს, რომ ნებადართული ალტერნატიული მიდგომის არჩევამდე პირთა განუსაზღვრელი წრისთვის ავტომატურად უზრუნველყოფილი იქნება მონაცემთა მხოლოდ მინიმალურ მოცულობაზე წვდომა.

მუხლი 27. მონაცემთა უსაფრთხოება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები მონაცემთა ამ კანონის შესაბამისად დამუშავების უზრუნველსაყოფად და შეძლოს მონაცემთა დამუშავების ამ კანონთან შესაბამისობის დადასტურება.

2. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან მიიღონ მონაცემთა დამუშავების შესაძლო და თანამდევი საფრთხეების შესაბამისი ორგანიზაციული და ტექნიკური ზომები (მათ შორის, მონაცემთა ფსევდონიმიზაცია, მონაცემებზე წვდომის აღრიცხვა, ინფორმაციული უსაფრთხოების მექანიზმები (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა) და სხვა), რომლებიც უზრუნველყოფს მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის, განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.

3. მონაცემთა უსაფრთხოების უზრუნველსაყოფად აუცილებელი ორგანიზაციულ-ტექნიკური ზომების განსაზღვრისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან გაითვალისწინონ მონაცემთა კატეგორიები, მოცულობა, მონაცემთა დამუშავების მიზანი, ფორმა, საშუალებები და მონაცემთა სუბიექტის უფლებების დარღვევის შესაძლო საფრთხეები, აგრეთვე პერიოდულად შეაფასონ მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ტექნიკური და ორგანიზაციული ზომების ეფექტიანობა და, საჭიროების შემთხვევაში, უზრუნველყონ მონაცემთა უსაფრთხოების დასაცავად ადეკვატური ზომების მიღება ან/და არსებულის განახლება.

4. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ, მონაცემთა შეგროვების, შეცვლის, მათზე წვდომის, მათი გამჟღავნების (გადაცემის), დაკავშირებისა და წაშლის თაობაზე ინფორმაციის) აღრიცხვა. არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ ინფორმაციის) აღრიცხვა.

5. დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ნებისმიერი თანამშრომელი, რომელიც მონაწილეობს მონაცემთა დამუშავებაში ან რომელსაც აქვს მონაცემებზე წვდომა, ვალდებულია არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს, დაიცვას მონაცემთა საიდუმლოება და კონფიდენციალურობა, მათ შორის, სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.

6. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან თანამშრომელთა უფლებამოსილებების შესაბამისად განსაზღვრონ მათი მონაცემებზე წვდომის ფარგლები და განახორციელონ ადეკვატური ღონისძიებები თანამშრომელთა მიერ მონაცემთა უკანონო დამუშავების ფაქტების თავიდან ასაცილებლად, გამოსავლენად და აღსაკვეთად, მათ შორის, უზრუნველყონ თანამშრომელთა ინფორმირება მონაცემთა უსაფრთხოების დაცვის საკითხების შესახებ.

მუხლი 28. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინება

1. დამუშავებისთვის პასუხისმგებელი პირი და მისი სპეციალური წარმომადგენელი (ასეთის არსებობის შემთხვევაში) ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებისთვის პასუხისმგებელი პირის, სპეციალური წარმომადგენლის, პერსონალურ მონაცემთა დაცვის ოფიცრის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნების შესახებ;

გ) მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიების შესახებ;

დ) მონაცემთა მიმღების (მათ შორის, სხვა სახელმწიფოში არსებული მონაცემთა მიმღების ან საერთაშორისო ორგანიზაციის) კატეგორიების შესახებ;

ე) სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების თაობაზე, მათ შორის, პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის შესახებ (ასეთის არსებობის შემთხვევაში);

ვ) მონაცემთა შენახვის ვადების შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ზ) მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

თ) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

2. თითოეული დამუშავებაზე უფლებამოსილი პირი და მის მიერ მონაცემთა დამუშავებაში ამ კანონის 36-ე მუხლის მე-7 პუნქტით დადგენილი წესით ჩართული პირი ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებაზე უფლებამოსილი პირის, პერსონალურ მონაცემთა დაცვის ოფიცრის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, სპეციალური წარმომადგენლის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით განხორციელებული მონაცემთა დამუშავების სახეების შესახებ;

გ) ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაცია, თუ იგი მონაწილეობს სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის პროცესში;

დ) მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

ე) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

3. დამუშავებისთვის პასუხისმგებელმა პირმა, თანადამუშავებისთვის პასუხისმგებელმა პირებმა, დამუშავებაზე უფლებამოსილმა პირმა და სპეციალურმა წარმომადგენელმა ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ინფორმაცია შესაბამისი მოთხოვნისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, უნდა მიაწოდონ პერსონალურ მონაცემთა დაცვის სამსახურს.

4. სამართალდამცავი ორგანოს მიერ მოთხოვნილი ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის ან მისი ჩატარების ნებართვის გაცემაზე უარის თქმის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, აგრეთვე სამართალდამცავი ორგანოს მიერ სასამართლოს ნებართვის გარეშე ჩატარებული ფარული საგამოძიებო მოქმედების კანონიერად/უკანონოდ ცნობის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, წარედგინება პერსონალურ მონაცემთა დაცვის სამსახურს საქართველოს სისხლის სამართლის საპროცესო კოდექსით დადგენილი წესით.

5. ელექტრონული კომუნიკაციის კომპანიამ სამართალდამცავი ორგანოსთვის ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემების საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე მუხლით დადგენილი წესით გადაცემის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურს უნდა აცნობოს ამ მონაცემების გადაცემიდან 24 საათში.

6. გადაუდებელი აუცილებლობის შემთხვევაში ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილებას, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, ფარული საგამოძიებო მოქმედების ამ დადგენილებაში მითითებული დაწყების დროიდან არაუგვიანეს 12 საათისა პროკურორი ან პროკურორის დავალებით გამომძიებელი მატერიალური (დოკუმენტური) სახით წარუდგენს პერსონალურ მონაცემთა დაცვის სამსახურს.

7. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის შესახებ მოსამართლის განჩინების ელექტრონულ ეგზემპლარს, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, აგრეთვე ამ ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილების ელექტრონულ ეგზემპლარს, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, სააგენტო მისი მიღებისთანავე აწვდის პერსონალურ მონაცემთა დაცვის სამსახურს კონტროლის ელექტრონული სისტემის მეშვეობით.

მუხლი 29. ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

2. დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული შეტყობინება უნდა შეიცავდეს შემდეგ ინფორმაციას:

ა) ინციდენტის გარემოებების, სახისა და დროის შესახებ;

ბ) ინციდენტის შედეგად უნებართვოდ გამჟღავნებული, დაზიანებული, წაშლილი, განადგურებული, მოპოვებული, დაკარგული, შეცვლილი მონაცემების სავარაუდო კატეგორიებისა და რაოდენობის, აგრეთვე იმ მონაცემთა სუბიექტების სავარაუდო კატეგორიებისა და რაოდენობის შესახებ, რომლებსაც ინციდენტის შედეგად შეექმნათ საფრთხე;

გ) ინციდენტით გამოწვეული სავარაუდო ზიანის, მისი შემცირების ან აღმოფხვრის მიზნით დამუშავებისთვის პასუხისმგებელი პირის მიერ განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

დ) იმის შესახებ, გეგმავს თუ არა დამუშავებისთვის პასუხისმგებელი პირი, ინციდენტის შესახებ შეატყობინოს მონაცემთა სუბიექტს (მონაცემთა სუბიექტებს) ამ კანონის 30-ე მუხლით დადგენილი წესით და რა ვადაში;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის მონაცემებს.

4. თუ ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ერთიანად და სრულად მიწოდება შეუძლებელია, დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურთან შეთანხმებით, გონივრულ ვადაში, ეტაპობრივად მიაწოდოს ინფორმაცია.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახურისთვის წარდგენილი შეტყობინების თანახმად, დამუშავებისთვის პასუხისმგებელი პირი არ უზრუნველყოფს ან ვერ უზრუნველყოფს ინციდენტის თაობაზე მონაცემთა სუბიექტის (მონაცემთა სუბიექტების) ინფორმირებას, ინციდენტის გარემოებების, სავარაუდო ზიანის ან/და მონაცემთა სუბიექტების რაოდენობის გათვალისწინებით პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ინციდენტის შესახებ მის ხელთ არსებული ინფორმაცია გაასაჯაროოს, გარდა იმ შემთხვევისა, თუ არსებობს ამ კანონის 30-ე მუხლის მე-3 პუნქტით გათვალისწინებული ერთ-ერთი გარემოება.

6. ამ მუხლის მე-5 პუნქტით დადგენილი წესი არ მოქმედებს, თუ ამ მუხლის პირველი პუნქტით გათვალისწინებულ შეტყობინებას თან ახლავს მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო ან კერძო დაწესებულების მითითება, რომ ინციდენტის შესახებ ინფორმაციის გასაჯაროება საფრთხეს შეუქმნის:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოების და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

7. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შემთხვევებში არ გაასაჯაროოს ინფორმაცია მაშინაც, თუ შეტყობინებას თან არ ახლავს ამ მუხლის მე-6 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე მითითება.

8. პერსონალურ მონაცემთა დაცვის სამსახურს ამ მუხლის მე-6 პუნქტით განსაზღვრული შესაბამისი ქვეპუნქტით გათვალისწინებული გარემოების თაობაზე დამუშავებისთვის პასუხისმგებელი პირი უთითებს ინციდენტის შესახებ შეტყობინებაში ამ მუხლის მე-9 პუნქტით დადგენილი წესის შესაბამისად.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ამ ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

10. ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შესაბამისი ქვეპუნქტით განსაზღვრულ სათანადო გარემოებაზე მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო დაწესებულება უთითებს საკუთარი კომპეტენციის/სამოქმედო სფეროს შესაბამისად.

11. ამ მუხლის მე-6 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების საფუძველს კრიტიკული ინფორმაციული სისტემის სუბიექტი, მისი კატეგორიის გათვალისწინებით, უთითებს ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების სფეროში შესაბამის კომპეტენტურ უწყებასთან შეთანხმებით.

მუხლი 30. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულება

1. თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ და მარტივ და მისთვის გასაგებ ენაზე მიაწოდოს შემდეგი ინფორმაცია:

ა) ინციდენტისა და მასთან დაკავშირებული გარემოებების ზოგადი აღწერა;

ბ) ინციდენტით გამოწვეული სავარაუდო/დამდგარი ზიანის, მის შესამცირებლად ან აღმოსაფხვრელად განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

გ) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა პირის საკონტაქტო მონაცემები.

2. თუ მონაცემთა სუბიექტის ინფორმირება არაპროპორციულად დიდ ხარჯებს ან ძალისხმევას მოითხოვს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია გაავრცელოს საჯაროდ ან სხვა ისეთი ფორმით, რომელიც ჯეროვნად უზრუნველყოფს მონაცემთა სუბიექტის მიერ ინფორმაციის მიღების შესაძლებლობას.

3. ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ვალდებულება არ წარმოიშობა ერთ-ერთი შემდეგი გარემოების არსებობისას:

ა) ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირება საფრთხეს შეუქმნის სახელმწიფო საიდუმლოების დაცვის ინტერესებს, სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ბ) დამუშავებისთვის პასუხისმგებელმა პირმა მიიღო შესაბამისი უსაფრთხოების ზომები, რის შედეგადაც თავიდან იქნა აცილებული ადამიანის ძირითადი უფლებებისა და თავისუფლებების დარღვევის მნიშვნელოვანი საფრთხე.

4. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის აღნიშნული ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 31. მონაცემთა დაცვაზე ზეგავლენის შეფასება

1. თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.

2. გარდა პირველი პუნქტით გათვალისწინებული შემთხვევისა, მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელება სავალდებულოა, თუ დამუშავებისთვის პასუხისმგებელი პირი:

ა) მონაცემთა სუბიექტისთვის სამართლებრივი, ფინანსური ან სხვა სახის არსებითი მნიშვნელობის შედეგის მქონე გადაწყვეტილებას იღებს სრულად ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე;

ბ) ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემებს;

გ) ახორციელებს მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს საზოგადოებრივი თავშეყრის ადგილებში.

3. მონაცემთა დაცვაზე ზეგავლენის შეფასებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია შექმნას წერილობითი დოკუმენტი, რომელიც შეიცავს:

ა) მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;

ბ) ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.

4. მონაცემთა დამუშავების პროცესის არსებითი ცვლილების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია განაახლოს მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი შეინახოს მონაცემთა დამუშავების მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში − არანაკლებ 1 წლის ვადით.

5. თუ მონაცემთა დაცვაზე ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად და, საჭიროების შემთხვევაში, კონსულტაციის მიზნით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს. თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.

6. ამ მუხლის მე-5 პუნქტის საფუძველზე პერსონალურ მონაცემთა დაცვის სამსახურისთვის მიმართვის შემთხვევაში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა წარადგინოს:

ა) დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირებისა და დამუშავებაზე უფლებამოსილი პირის უფლებამოსილების შესახებ ინფორმაცია;

ბ) დაგეგმილი მონაცემთა დამუშავების მიზნებისა და საშუალებების შესახებ ინფორმაცია;

გ) მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დასაცავად განსაზღვრული უსაფრთხოების ზომების შესახებ ინფორმაცია;

დ) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) საკონტაქტო ინფორმაცია;

ე) მონაცემთა დაცვაზე ზეგავლენის შეფასება;

ვ) სხვა (დამატებითი) ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მოთხოვნის არსებობის შემთხვევაში.

7. მონაცემთა სუბიექტების დიდ რაოდენობად მიიჩნევა საქართველოს მოსახლეობის არანაკლებ 3 პროცენტისა, რომელიც გამოითვლება მოსახლეობის აღწერის ბოლო შედეგების მიხედვით.

8. ამ მუხლის მე-3 პუნქტით განსაზღვრული მონაცემთა დაცვის ზეგავლენის დოკუმენტი არ ექვემდებარება გასაჯაროებას, თუ ამით შეიძლება საფრთხე შეექმნას სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს, დამუშავებისთვის პასუხისმგებელი პირის ანდამუშავებაზე უფლებამოსილი პირის აღმატებულ ლეგიტიმურ ინტერესებს.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების განხორციელების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 32. დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები მონაცემთა სუბიექტისგან თანხმობის მიღების და მის მიერ თანხმობის გამოხმობის შემთხვევებში

1. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტის წერილობითი თანხმობის მიღებას გეგმავს დოკუმენტით, რომელიც აგრეთვე სხვა საკითხებს შეეხება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ დოკუმენტში თანხმობის შესახებ ტექსტი ჩამოაყალიბოს მკაფიო, მარტივი და გასაგები ენით და გამოყოს იგი დოკუმენტის სხვა ნაწილებისგან.

2. თუ მონაცემთა სუბიექტის თანხმობა გაცემულია ხელშეკრულების ან მომსახურების ფარგლებში, თანხმობის ნებაყოფლობითობის განსაზღვრისას, სხვა გარემოებებთან ერთად, უნდა შეფასდეს, თუ არის ეს თანხმობა ხელშეკრულების ან მომსახურების აუცილებელი პირობა და თუ შეიძლება ამ თანხმობის გარეშე შესაბამისი მომსახურების მიღება/ხელშეკრულების დადება.

3. მონაცემთა სუბიექტისგან თანხმობის მიღებამდე დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს მონაცემთა სუბიექტის ინფორმირება მის მიერ თანხმობის გამოხმობის უფლების შესახებ.

4. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შემთხვევაში დაუყოვნებლივ შეწყვიტოს მონაცემთა დამუშავება და დამუშავებული მონაცემები წაშალოს ან გაანადგუროს, თუ ამ კანონით სხვა რამ არ არის დადგენილი.

5. ამ მუხლის მე-4 პუნქტით განსაზღვრული ვალდებულება არ ვრცელდება ამ კანონის მე-16 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაზე.

6. მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობა არ იწვევს თანხმობის გამოხმობამდე და თანხმობის ფარგლებში წარმოშობილი სამართლებრივი შედეგების გაუქმებას.

7. მონაცემთა სუბიექტის მოთხოვნის საფუძველზე ან იმ შემთხვევაში, თუ ეს მონაცემთა სუბიექტისთვის წარმოშობს სამართლებრივ, ფინანსურ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობამდე მიაწოდოს მას ინფორმაცია თანხმობის გამოხმობის შედეგების შესახებ.

8. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია უზრუნველყოს თანხმობის გამოხმობის უსასყიდლო, მარტივი და ხელმისაწვდომი მექანიზმი, მათ შორის, უზრუნველყოს თანხმობის გამოხმობის შესაძლებლობა იმავე ფორმით, რომლითაც გაიცა თანხმობა.

9. მონაცემთა დამუშავებაზე მონაცემთა სუბიექტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში დამუშავებისთვის პასუხისმგებელ პირს ეკისრება მონაცემთა სუბიექტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი.

მუხლი 33. პერსონალურ მონაცემთა დაცვის ოფიცერი

1. საჯარო დაწესებულება, სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი, სამედიცინო დაწესებულება, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს, ვალდებული არიან დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი. პერსონალურ მონაცემთა დაცვის ოფიცერი უზრუნველყოფს:

ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, მათ შორის, მარეგულირებელი სამართლებრივი ნორმების მიღების ან შეცვლის შესახებ, დამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას;

ბ) მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობას, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოს კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგს;

გ) მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზსა და შესაბამისი რეკომენდაციების გაცემას;

დ) პერსონალურ მონაცემთა დაცვის სამსახურისგან კონსულტაციების მიღებას, დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის წარმომადგენლობას პერსონალურ მონაცემთა დაცვის სამსახურთან ურთიერთობაში, მისი მოთხოვნით ინფორმაციისა და დოკუმენტების წარდგენას და მისი დავალებებისა და რეკომენდაციების შესრულების კოორდინაციასა და მონიტორინგს;

ე) მონაცემთა სუბიექტის მიმართვის შემთხვევაში მისთვის მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ ინფორმაციის მიწოდებას;

ვ) დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულებას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული შემთხვევების გარდა, სხვა დამუშავებისთვის პასუხისმგებელ პირებს საკუთარი შეხედულებისამებრ უფლება აქვთ, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი.

3. პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქცია შეიძლება შეასრულოს (შეასრულონ) დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის თანამშრომელმა ან სხვა პირმა (პირებმა) მომსახურების ხელშეკრულების საფუძველზე. პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქციაც, თუ ეს არ წარმოშობს ინტერესთა კონფლიქტს.

4. დამუშავებისთვის პასუხისმგებელმა პირებმა ან დამუშავებაზე უფლებამოსილმა პირებმა შეიძლება დანიშნონ ან განსაზღვრონ საერთო პერსონალურ მონაცემთა დაცვის ოფიცერი იმის გათვალისწინებით, რომ უზრუნველყოფილი იქნება პერსონალურ მონაცემთა დაცვის ოფიცრის მიერ თავისი ფუნქციების სრულფასოვანი შესრულება. თუ დამუშავებისთვის პასუხისმგებელი პირი ან დამუშავებაზე უფლებამოსილი პირი საჯარო დაწესებულებაა, აგრეთვე დასაშვებია რამდენიმე სახელმწიფო დაწესებულებისთვის საერთო პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა ან განსაზღვრა ამ დაწესებულებების ორგანიზაციული სტრუქტურისა და ზომის გათვალისწინებით.

5. პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში.

6. პერსონალურ მონაცემთა დაცვის ოფიცერი კონკრეტული ვითარების გათვალისწინებით ანგარიშვალდებული უნდა იყოს მაქსიმალურად მაღალი დონის მმართველობის სტრუქტურის წინაშე.

7. დამუშავებისთვის პასუხისმგებელმა პირმა და დამუშავებაზე უფლებამოსილმა პირმა უნდა უზრუნველყონ პერსონალურ მონაცემთა დაცვის ოფიცრის სათანადო ჩართულობა მონაცემთა დამუშავებასთან დაკავშირებით მნიშვნელოვანი გადაწყვეტილების მიღების პროცესში, უზრუნველყონ იგი შესაბამისი რესურსებით, აგრეთვე უზრუნველყონ მისი დამოუკიდებლობა საქმიანობის განხორციელებისას.

8. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნიდან ან განსაზღვრიდან, აგრეთვე მისი შეცვლიდან 10 სამუშაო დღის ვადაში მისი ვინაობა და საკონტაქტო ინფორმაცია აცნობონ პერსონალურ მონაცემთა დაცვის სამსახურს, რომელიც აქვეყნებს ამ ინფორმაციას. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან პერსონალურ მონაცემთა დაცვის ოფიცრის ვინაობა და საკონტაქტო ინფორმაცია პროაქტიულად გამოაქვეყნონ ვებგვერდზე (ასეთის არსებობის შემთხვევაში) ან სხვა ხელმისაწვდომი საშუალებით.

9. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი პერსონალურ მონაცემთა დაცვის ოფიცრის დროებითი არყოლისას ან მისი უფლებამოსილების შეწყვეტისას ვალდებული არიან გაუმართლებელი დაყოვნების გარეშე პერსონალურ მონაცემთა დაცვის ოფიცრის უფლებამოსილებით აღჭურვონ სხვა პირი.

10. დამუშავებისთვის პასუხისმგებელ პირთა და დამუშავებაზე უფლებამოსილ პირთა წრე, რომლებსაც არ აქვთ ვალდებულება, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით. ამ პირთა წრის განსაზღვრისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა უნდა გაითვალისწინოს ამ მუხლის პირველი პუნქტით დადგენილი კრიტერიუმები.

მუხლი 34. სპეციალური წარმომადგენელი

1. საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოში არსებული ტექნიკური საშუალებებით მონაცემთა დამუშავების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით მონაცემთა დამუშავებამდე საქართველოში დანიშნოს ან განსაზღვროს სპეციალური წარმომადგენელი. სპეციალური წარმომადგენელი რეგისტრირდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ გამოცემული ნორმატიული აქტით დადგენილი წესით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა დამუშავების უფლება წარმოეშობა მხოლოდ სპეციალური წარმომადგენლის რეგისტრაციის შემდეგ.

3. სპეციალური წარმომადგენელი ვალდებულია შეასრულოს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ კანონით დადგენილი წესით მის მიმართ წაყენებული მოთხოვნა ან/და მიღებული გადაწყვეტილება.

4. მონაცემთა სუბიექტს უფლება აქვს, საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიმართ მისი უფლების განხორციელება მოითხოვოს სპეციალური წარმომადგენლის მეშვეობით.

5. სპეციალური წარმომადგენლის დანიშვნა არ ათავისუფლებს საქართველოს ფარგლების გარეთ რეგისტრირებულ დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს ვალდებულებისგან, მოახდინოს რეაგირება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ კანონით დადგენილი წესით მის მიმართ წაყენებულ მოთხოვნაზე ან/და მიღებულ გადაწყვეტილებაზე.

6. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულება არ ვრცელდება იმ დამუშავებისთვის პასუხისმგებელ პირზე/დამუშავებაზე უფლებამოსილ პირზე, რომელიც დაფუძნებულია ევროკავშირის წევრ სახელმწიფოებში, და მასზე ვრცელდება ევროკავშირში მოქმედი პერსონალურ მონაცემთა დაცვის წესები.

7. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულება არ ვრცელდება იმ დამუშავებისთვის პასუხისმგებელ პირზე/დამუშავებაზე უფლებამოსილ პირზე, რომელიც დაფუძნებულია ევროკავშირის მიერ აღიარებულ მონაცემთა ადეკვატური დაცვის მქონე სახელმწიფოში.

მუხლი 35. თანადამუშავებისთვის პასუხისმგებელი პირები

1. თუ მონაცემთა დამუშავებაშიჩართულიარიან თანადამუშავებისთვის პასუხისმგებელი პირები, ისინი ვალდებული არიან წინასწარ წერილობით განსაზღვრონ ამ კანონის მოთხოვნების შესრულებასთან დაკავშირებით თითოეულის ვალდებულებები და პასუხისმგებლობა, მათ შორის, მონაცემთა სუბიექტის უფლებების დაცვისა და ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებულ ვალდებულებებთან დაკავშირებით.

2. თუ მონაცემთა თანადამუშავება გათვალისწინებულია საქართველოს კანონმდებლობით, თითოეული თანადამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები და პასუხისმგებლობა განისაზღვრება შესაბამისი სამართლებრივი აქტით ან/და წერილობითი შეთანხმებით.

3. თანადამუშავებისთვის პასუხისმგებელ პირებს შორის ვალდებულებებისა და პასუხისმგებლობის განაწილების შესახებ ინფორმაცია ხელმისაწვდომი უნდა იყოს მონაცემთა სუბიექტისთვის. მონაცემთა სუბიექტს არ ეზღუდება თითოეული თანადამუშავებისთვის პასუხისმგებელი პირისთვის ინდივიდუალურად მიმართვის უფლება.

მუხლი 36. დამუშავებაზე უფლებამოსილი პირი

1. დამუშავებაზე უფლებამოსილმა პირმა მონაცემები შეიძლება დაამუშაოს მხოლოდ სამართლებრივი აქტის ან დამუშავებისთვის პასუხისმგებელ პირთან დადებული წერილობითი შეთანხმების საფუძველზე, რომლითაც უნდა განისაზღვროს მონაცემთა დამუშავების საფუძვლები და მიზნები, დასამუშავებელ მონაცემთა კატეგორიები, მონაცემთა დამუშავების ვადა და დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის უფლებები და ვალდებულებები.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული წერილობითი შეთანხმება აგრეთვე უნდა შეიცავდეს დამუშავებაზე უფლებამოსილი პირის შემდეგ ვალდებულებებს:

ა) დაამუშაოს მონაცემები მხოლოდ დამუშავებისთვის პასუხისმგებელი პირის წერილობითი დავალების ან მითითების შესაბამისად;

ბ) უზრუნველყოს, რომ იმ ფიზიკურ პირს, რომელიც უშუალოდ მონაწილეობს მონაცემთა დამუშავებაში, ჰქონდეს კონფიდენციალურობის დაცვის ვალდებულება;

გ) უზრუნველყოს მონაცემთა უსაფრთხოება ამ კანონის შესაბამისად;

დ) წაშალოს ან დამუშავებისთვის პასუხისმგებელ პირს გადასცეს მონაცემები ამ მუხლის პირველი პუნქტით გათვალისწინებული შეთანხმების გაუქმების ან მოქმედების შეწყვეტის შემთხვევაში, აგრეთვე წაშალოს მათი ასლები, თუ მათი შენახვის ვალდებულება საქართველოს კანონმდებლობით არ არის დადგენილი;

ე) ამ კანონით დადგენილ ვალდებულებებთან შესაბამისობის უზრუნველსაყოფად დამუშავებისთვის პასუხისმგებელ პირს მიაწოდოს სათანადო ინფორმაცია და ხელი შეუწყოს მის მიერ მონაცემთა დამუშავების მონიტორინგის განხორციელებას.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართლებრივი აქტი ან დამუშავებისთვის პასუხისმგებელ პირთან დადებული წერილობითი შეთანხმება მონაცემთა უსაფრთხოებისა და სუბიექტის უფლებების დაცვის უზრუნველყოფის მიზნით შეიძლება ითვალისწინებდეს დამუშავებაზე უფლებამოსილი პირის მიერ დამუშავებისთვის პასუხისმგებელი პირისთვის დახმარების გაწევის ვალდებულებას.

4. დაუშვებელია დამუშავებაზე უფლებამოსილი პირის მიერ შეთანხმებით ან სამართლებრივი აქტით განსაზღვრული მიზნებისგან განსხვავებული მიზნით მონაცემთა შემდგომი დამუშავება.

5. დამუშავებაზე უფლებამოსილი პირის მეშვეობით მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ დამუშავებაზე უფლებამოსილი პირი მონაცემთა სუბიექტის უფლებებისა და კანონის მოთხოვნების დასაცავად უზრუნველყოფს შესაბამისი ორგანიზაციული და ტექნიკური ზომების მიღებას. დაუშვებელია მონაცემთა დამუშავების შესახებ შეთანხმების დადება, თუ, დამუშავებაზე უფლებამოსილი პირის საქმიანობიდან ან/და მიზნებიდან გამომდინარე, არსებობს მონაცემთა არამიზნობრივი დამუშავების ან მონაცემთა სუბიექტის უფლებების შელახვის მაღალი საფრთხე.

6. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია დამუშავებაზე უფლებამოსილ პირს წინასწარ მოსთხოვოს ინფორმაცია მონაცემთა კანონის შესაბამისად დამუშავების შესახებ და მონიტორინგი გაუწიოს დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავებას.

7. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, დაუშვებელია, დამუშავებაზე უფლებამოსილმა პირმა თავისი უფლება-მოვალეობები სრულად ან ნაწილობრივ გადასცეს სხვა პირს დამუშავებისთვის პასუხისმგებელი პირის წინასწარი წერილობითი თანხმობის გარეშე. დამუშავებისთვის პასუხისმგებელი პირის თანხმობა დამუშავებაზე უფლებამოსილ პირს არ ათავისუფლებს შესაბამისი ვალდებულებებისა და პასუხისმგებლობისგან.

8. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, დამუშავებაზე უფლებამოსილ პირსა და დამუშავებისთვის პასუხისმგებელ პირს შორის მონაცემთა დამუშავებასთან დაკავშირებული დავის წარმოშობის შემთხვევაში დამუშავებაზე უფლებამოსილი პირი ვალდებულია დაუყოვნებლივ შეწყვიტოს მონაცემთა დამუშავება და დამუშავებისთვის პასუხისმგებელ პირს სრულად გადასცეს მის ხელთ არსებული მონაცემები.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართლებრივი აქტის (ან შესაბამისი ნორმის) ან წერილობითი შეთანხმების გაუქმების ან მოქმედების შეწყვეტის შემთხვევაში მონაცემთა დამუშავება უნდა შეწყდეს და დამუშავებული მონაცემები დაუყოვნებლივ და სრულად უნდა გადაეცეს დამუშავებისთვის პასუხისმგებელ პირს.

10. დამუშავებაზე უფლებამოსილი პირი ვალდებულია მიიღოს სათანადო ორგანიზაციულ-ტექნიკური ზომები, რათა დაეხმაროს დამუშავებისთვის პასუხისმგებელ პირს მის მიერ მონაცემთა სუბიექტის უფლებების განხორციელებასთან დაკავშირებული ვალდებულებების შესრულებაში.

თავი V

მონაცემთა საერთაშორისო გადაცემა

მუხლი 37. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა

1. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ არსებობს მონაცემთა დამუშავების ამ კანონით გათვალისწინებული მოთხოვნები და შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები.

2. ამ მუხლის პირველი პუნქტის გარდა, მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ:

ა) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს საერთაშორისო ხელშეკრულებითა და შეთანხმებით;

ბ) დამუშავებისთვის პასუხისმგებელი პირი უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს დამუშავებისთვის პასუხისმგებელ პირსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს სათანადო საჯარო დაწესებულებას, იურიდიულ პირს ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულებით;

გ) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს სისხლის სამართლის საპროცესო კოდექსით (საგამოძიებო მოქმედების განხორციელების მიზნით), „უცხოელთა და მოქალაქეობის არმქონე პირთა სამართლებრივი მდგომარეობის შესახებ“ საქართველოს კანონით, „სისხლის სამართლის სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „სამართალდაცვით სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის ან „ფულის გათეთრებისა და ტერორიზმის დაფინანსების აღკვეთის ხელშეწყობის შესახებ“ საქართველოს კანონის საფუძველზე მიღებული ნორმატიული აქტით;

დ) შესაბამის სახელმწიფოში მონაცემთა დაცვის სათანადო გარანტიების არარსებობისა და შესაძლო საფრთხეების შესახებ ინფორმაციის მიღების შემდეგ მონაცემთა სუბიექტი განაცხადებს წერილობით თანხმობას;

ე) მონაცემთა გადაცემა აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არა აქვს, მონაცემთა დამუშავებაზე თანხმობა განაცხადოს;

ვ) არსებობს კანონის შესაბამისად მნიშვნელოვანი საჯარო ინტერესი (მათ შორის, დანაშაულის თავიდან აცილება, გამოძიება, გამოვლენა და სისხლისსამართლებრივი დევნა, სასჯელის აღსრულება და ოპერატიულ-სამძებრო ღონისძიებების განხორციელება) და მონაცემთა გადაცემა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში.

3. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემა შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის მიღების შემდეგ, რომლის გაცემის წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული რომელიმე საფუძვლით მონაცემთა გადაცემის შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მიიღოს მონაცემთა უსაფრთხო გადაცემისთვის აუცილებელი ორგანიზაციული და ტექნიკური ზომები.

5. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემის შემთხვევაში მონაცემთა გადაცემის შესახებ შეთანხმება უნდა ითვალისწინებდეს სავალდებულო სამართლებრივი ძალის მქონე შესასრულებელ პირობებს.

6. სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემული მონაცემების შემდგომი გადაცემა მესამე მხარისთვის დასაშვებია მხოლოდ იმ შემთხვევაში, თუ მონაცემთა შემდგომი გადაცემა ემსახურება თავდაპირველ მიზნებს და აკმაყოფილებს მონაცემთა გადაცემისთვის ამ მუხლით გათვალისწინებულ საფუძვლებსა და მონაცემთა დაცვის სათანადო გარანტიებს.

მუხლი 38. მონაცემთა დაცვის სათანადო გარანტიების დადგენა

1. სხვა სახელმწიფოში ან/და საერთაშორისო ორგანიზაციაში მონაცემთა დაცვის სათანადო გარანტიების არსებობას აფასებს პერსონალურ მონაცემთა დაცვის სამსახური მონაცემთა დაცვასთან დაკავშირებით ნაკისრი საერთაშორისო ვალდებულებებისა და მარეგულირებელი კანონმდებლობის, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის გარანტიების (მათ შორის, ეფექტიანი სამართლებრივი დაცვის მექანიზმების), მონაცემთა შემდგომი საერთაშორისო გადაცემის წესების, მონაცემთა დაცვის დამოუკიდებელი საზედამხედველო ორგანოს არსებობის, უფლებამოსილებებისა და საქმიანობის ანალიზის საფუძველზე.

2. იმ სახელმწიფოებისა და საერთაშორისო ორგანიზაციების ნუსხა, რომლებშიც უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

3. პერსონალურ მონაცემთა დაცვის სამსახურის ნორმატიული აქტით განსაზღვრული ნუსხა სულ მცირე 3 წელიწადში ერთხელ უნდა გადაისინჯოს. თუ სახელმწიფო ან/და საერთაშორისო ორგანიზაცია აღარ აკმაყოფილებს ამ მუხლის პირველი პუნქტით გათვალისწინებულ პირობებს, ნორმატიული აქტით განსაზღვრულ ნუსხაში შეტანილი უნდა იქნეს შესაბამისი ცვლილებები, რომლებსაც უკუქცევითი ძალა არ ექნება.

თავი VI

პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპები და უფლებამოსილებათა განხორციელების გარანტიები, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები, მისი არჩევა, ხელშეუხებლობა, თანამდებობრივი შეუთავსებლობა და უფლებამოსილების ვადამდე შეწყვეტა

მუხლი 39. პერსონალურ მონაცემთა დაცვის სამსახურის სტატუსი და საქმიანობის პრინციპები

1. პერსონალურ მონაცემთა დაცვის სამსახური არის კანონის საფუძველზე შექმნილი და მოქმედი დამოუკიდებელი სახელმწიფო ორგანო.

2. პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას ხელმძღვანელობს საქართველოს კონსტიტუციით, საქართველოს საერთაშორისო ხელშეკრულებებით, საერთაშორისო სამართლის საყოველთაოდ აღიარებული პრინციპებითა და ნორმებით, ამ კანონითა და სხვა სათანადო სამართლებრივი აქტებით.

3. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპებია:

ა) კანონიერება;

ბ) ადამიანის უფლებათა და თავისუფლებათა დაცვა;

გ) დამოუკიდებლობა და პოლიტიკური ნეიტრალიტეტი;

დ) ობიექტურობა და მიუკერძოებლობა;

ე) პროფესიონალიზმი;

ვ) საიდუმლოებისა და კონფიდენციალურობის დაცვა.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საქართველოს პარლამენტისთვის ანგარიშის წარდგენის წესი განისაზღვრება ამ კანონითა და საქართველოს პარლამენტის რეგლამენტით.

მუხლი 40. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი:

ა) ხელმძღვანელობს პერსონალურ მონაცემთა დაცვის სამსახურს და იღებს გადაწყვეტილებებს ამ სამსახურის საქმიანობასთან დაკავშირებულ საკითხებზე;

ბ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურას, სტრუქტურული ერთეულებისა და თანამშრომლების უფლებამოსილებებს, აგრეთვე ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის მიერ სამსახურის გავლის წესს;

გ) საქართველოს კანონმდებლობის შესაბამისად ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელთა საშტატო ნუსხას და შრომის ანაზღაურების წესსა და ოდენობებს;

დ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილისა და მოადგილის ფუნქციებსა და მოვალეობებს და ახდენს უფლებამოსილების მათთვის დელეგირებას;

ე) თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლებს;

ვ) პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს (გარდა შრომითი ხელშეკრულებით დასაქმებული პირისა) საქართველოს კანონმდებლობით დადგენილი წესით ანიჭებს სახელმწიფო სპეციალურ წოდებას (შემდგომ − სპეციალური წოდება) და აქვეითებს სპეციალურ წოდებაში;

ზ) წარმოადგენს პერსონალურ მონაცემთა დაცვის სამსახურს სახელმწიფო ორგანოებთან, საერთაშორისო და სხვა ორგანიზაციებთან ურთიერთობებში;

თ) უზრუნველყოფს პერსონალურ მონაცემთა დაცვის სამსახურისთვის გადაცემული სახელმწიფო ქონების დაცვასა და მიზნობრივ გამოყენებას;

ი) კანონის შესაბამისად ახორციელებს სხვა უფლებამოსილებებს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობასთან დაკავშირებულ საკითხზე თავისი უფლებამოსილებების ფარგლებში გამოსცემს კანონქვემდებარე ნორმატიულ აქტს − ბრძანებას.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი სათანადო ნორმატიული აქტის საფუძველზე და მის შესასრულებლად თავისი უფლებამოსილებების ფარგლებში გამოსცემს ინდივიდუალურ სამართლებრივ აქტებს, მათ შორის, გადაწყვეტილებას, ბრძანებას, მითითებას.

მუხლი 41. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევა და მისი უფლებამოსილების ვადა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე შეიძლება არჩეულ იქნეს საქართველოს მოქალაქე, რომელიც არ არის ნასამართლევი და რომელსაც აქვს უმაღლესი იურიდიული განათლება და მართლმსაჯულების ან სამართალდამცავი ორგანოების სისტემაში ან ადამიანის უფლებათა დაცვის სფეროში მუშაობის არანაკლებ 5 წლის გამოცდილება და მაღალი პროფესიული და მორალური რეპუტაცია.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი კონკურსი ცხადდება და საკონკურსო კომისია იქმნება საქართველოს პრემიერ-მინისტრის ბრძანებით. ამ საკონკურსო კომისიის წევრები არიან:

ა) საქართველოს მთავრობის წარმომადგენელი;

ბ) საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტის თავმჯდომარე;

გ) საქართველოს პარლამენტის იურიდიულ საკითხთა კომიტეტის თავმჯდომარე;

დ) საქართველოს უზენაესი სასამართლოს თავმჯდომარის მოადგილე;

ე) საქართველოს გენერალური პროკურორის პირველი მოადგილე ან მოადგილე;

ვ) საქართველოს სახალხო დამცველი ან საქართველოს სახალხო დამცველის წარმომადგენელი;

ზ) საქართველოს სახალხო დამცველის მიერ იმ არასამეწარმეო (არაკომერციული) იურიდიული პირის წევრთაგან ღია კონკურსის წესით ან უკონკურსოდ შერჩეული, სათანადო გამოცდილების მქონე პირი, რომელსაც აქვს ადამიანის უფლებათა დაცვის სფეროში ან/და მონაცემთა დაცვის სფეროში მუშაობის გამოცდილება.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე არაუადრეს 14 კვირისა და არაუგვიანეს 12 კვირისა, ხოლო მისი უფლებამოსილების ვადამდე შეწყვეტის შემთხვევაში − უფლებამოსილების შეწყვეტიდან 2 კვირის ვადაში ამ მუხლის მე-2 პუნქტით განსაზღვრული უწყებები და დაწესებულებები საქართველოს პრემიერ-მინისტრს აცნობებენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის წევრთა ვინაობას. ყველა აღნიშნული უწყებისა და დაწესებულების მიერ საკონკურსო კომისიის წევრთა ვინაობის საქართველოს პრემიერ-მინისტრისთვის ცნობების შემდეგ ან საკონკურსო კომისიის წევრთა წარდგენის ვადის გასვლიდან 7 დღეში საქართველოს პრემიერ-მინისტრი იწვევს საკონკურსო კომისიის პირველ სხდომას. საკონკურსო კომისიის სხდომა უფლებამოსილია, თუ მას ესწრება საკონკურსო კომისიის სრული შემადგენლობის უმრავლესობა. საკონკურსო კომისია პირველ სხდომაზე ხმათა უმრავლესობით თავის წევრთაგან ირჩევს საკონკურსო კომისიის თავმჯდომარეს და 1 კვირის ვადაში ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის დებულებას, რომლითაც განისაზღვრება საკონკურსო კომისიის საქმიანობის წესი, აგრეთვე მისთვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის კანდიდატურების წარდგენის ვადა და წესი. აღნიშნული დებულება საჯაროდ ქვეყნდება.

4. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისია სრული შემადგენლობის ხმათა უმრავლესობით შეარჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არანაკლებ 2 და არაუმეტეს 5 კანდიდატურას და მათ საქართველოს პრემიერ-მინისტრს წარუდგენს. შერჩეული კანდიდატურების რაოდენობის გათვალისწინებით, მაქსიმალურად თანაბრად უნდა იქნეს უზრუნველყოფილი სხვადასხვა სქესის კანდიდატების წარდგენა.

5. საქართველოს პრემიერ-მინისტრი 10 დღის ვადაში საქართველოს პარლამენტს წარუდგენს 2 კანდიდატურას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე ასარჩევად.

6. საქართველოს პარლამენტი კანდიდატურების წარდგენიდან არაუგვიანეს 14 დღისა, საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით ირჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. თუ ეს ვადა მთლიანად ან ნაწილობრივ დაემთხვა საქართველოს პარლამენტის სესიებს შორის პერიოდს, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევისთვის ამ პუნქტით განსაზღვრული ვადა შესაბამისი დროით გაგრძელდება. თუ საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს კენჭისყრით ვერ აირჩევს ან თუ ორივე კანდიდატი კენჭისყრამდე უარს იტყვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩევაზე, საქართველოს პრემიერ-მინისტრი 2 კვირის ვადაში აცხადებს ხელახალ კონკურსს.

7. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის მომდევნო დღიდან. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება მისი არჩევის მომდევნო დღიდან.

8. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადაა 6 წელი. პირი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არ შეიძლება არჩეულ იქნეს ზედიზედ ორჯერ. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა არ შეიძლება შეასრულოს თავისი მოვალეობა უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ.

საქართველოს 2024 წლის 29 მაისის კანონი №4210 – ვებგვერდი, 12.06.2024წ.

მუხლი 42. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ჰყავს პირველი მოადგილე და მოადგილე, რომლებსაც იგი თანამდებობებზე ნიშნავს ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლისას ან უფლებამოსილების ვადამდე შეწყვეტისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველ მოადგილესა და მოადგილეს უფლებამოსილება შეუწყდებათ, როგორც კი პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსი შეუდგება უფლებამოსილების განხორციელებას ამ კანონით დადგენილი წესით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არყოფნის, მის მიერ უფლებამოსილების განუხორციელებლობის, მისი უფლებამოსილების შეჩერების, ვადის გასვლის ან ვადამდე შეწყვეტის შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებას ახორციელებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე, ხოლო მისი პირველი მოადგილის არყოფნის შემთხვევაში − პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოადგილე. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოვალეობის შესრულების დროს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე სარგებლობენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის მინიჭებული უფლებამოსილებებითა და სამართლებრივი გარანტიებით.

მუხლი 43. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ხელშეუხებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ხელშეუხებელია. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის სისხლის სამართლის პასუხისგებაში მიცემა, დაკავება ან დაპატიმრება, მისი საცხოვრებელი ან სამუშაო ადგილის, მანქანის ან პირადი გაჩხრეკა შეიძლება მხოლოდ საქართველოს პარლამენტის წინასწარი თანხმობით. გამონაკლისია დანაშაულზე წასწრების შემთხვევა, რაც დაუყოვნებლივ უნდა ეცნობოს საქართველოს პარლამენტს. თუ საქართველოს პარლამენტი 48 საათის განმავლობაში არ მისცემს თანხმობას, დაკავებული ან დაპატიმრებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი დაუყოვნებლივ უნდა გათავისუფლდეს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის დაკავებაზე ან დაპატიმრებაზე საქართველოს პარლამენტის მიერ თანხმობის მიცემის შემთხვევაში მას საქართველოს პარლამენტის დადგენილებით შეუჩერდება უფლებამოსილება სისხლისსამართლებრივი დევნის შეწყვეტის შესახებ დადგენილების/განჩინების გამოტანამდე ან სასამართლოს განაჩენის კანონიერ ძალაში შესვლამდე.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირად უსაფრთხოებას დადგენილი წესით უზრუნველყოფენ შესაბამისი სახელმწიფო ორგანოები.

მუხლი 44. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობრივი შეუთავსებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობა შეუთავსებელია სახელმწიფო ხელისუფლების ორგანოსა და მუნიციპალიტეტის წარმომადგენლობითი ორგანოს წევრობასთან, სახელმწიფო სამსახურსა და საჯარო სამსახურში ნებისმიერ თანამდებობასა და სხვა ანაზღაურებად საქმიანობასთან, გარდა სამეცნიერო, პედაგოგიური და სახელოვნებო საქმიანობებისა. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი არ შეიძლება ეწეოდეს სამეწარმეო საქმიანობას, უშუალოდ ახორციელებდეს სამეწარმეო საქმიანობის სუბიექტის მუდმივმოქმედი ხელმძღვანელის, სამეთვალყურეო, საკონტროლო, სარევიზიო ან საკონსულტაციო ორგანოს წევრის უფლებამოსილებას, იყოს პოლიტიკური პარტიის წევრი ან მონაწილეობდეს პოლიტიკურ საქმიანობაში.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ეკრძალება მოქალაქეთა პოლიტიკური გაერთიანების მხარდამჭერ ან საწინააღმდეგო შეკრებასა და მანიფესტაციაში მონაწილეობა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი ვალდებულია არჩევიდან 10 დღის ვადაში შეწყვიტოს თანამდებობასთან შეუთავსებელი საქმიანობა ან გადადგეს მის სტატუსთან შეუთავსებელი თანამდებობიდან. სანამ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი არ შეწყვეტს თანამდებობასთან შეუთავსებელ საქმიანობას ან არ გადადგება მის სტატუსთან შეუთავსებელი თანამდებობიდან, იგი უფლებამოსილი არ არის, შეუდგეს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების განხორციელებას. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი აღნიშნულ ვადაში არ შეასრულებს ამ პუნქტით დადგენილ მოთხოვნას, მას უფლებამოსილება ვადამდე შეუწყდება.

მუხლი 45. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადამდე შეწყვეტა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილება ვადამდე შეუწყდება, თუ:

ა) მან დაკარგა საქართველოს მოქალაქეობა;

ბ) იგი ჯანმრთელობის მდგომარეობის გამო ზედიზედ 4 თვის განმავლობაში ვერ ახორციელებს თავის უფლებამოსილებას;

გ) მის მიმართ კანონიერ ძალაში შევიდა სასამართლოს გამამტყუნებელი განაჩენი;

დ) იგი სასამართლომ ცნო მხარდაჭერის მიმღებად (თუ სასამართლოს გადაწყვეტილებით სხვა რამ არ არის განსაზღვრული), აღიარა უგზო-უკვლოდ დაკარგულად ან გამოაცხადა გარდაცვლილად;

ე) მან დაიკავა მის სტატუსთან შეუთავსებელი თანამდებობა ან ახორციელებს თანამდებობასთან შეუთავსებელ საქმიანობას;

ვ) იგი ნებაყოფლობით გადადგა თანამდებობიდან;

ზ) იგი გარდაიცვალა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილება ვადამდე შეწყვეტილად ჩაითვლება შესაბამისი გარემოების დადგომის მომენტიდან, რის შესახებაც საქართველოს პარლამენტის თავმჯდომარე დაუყოვნებლივ აცნობებს საქართველოს პარლამენტს. საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილებას უწყვეტს საქართველოს პარლამენტის თავმჯდომარის ინფორმაციის ცნობად მიღების საფუძველზე.

მუხლი 46. პერსონალურ მონაცემთა დაცვის სამსახურის ორგანიზაციული და ფინანსური უზრუნველყოფა

1. პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურა, საქმიანობისა და თანამშრომელთა შორის უფლებამოსილებების განაწილების წესები დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის დებულებით, რომელსაც ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი (გარდა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისა, მისი პირველი მოადგილისა და მოადგილისა) არის საჯარო მოსამსახურე. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონის მოქმედება იმავე კანონით დადგენილი წესით, თუ ამ კანონით ან ამ კანონის საფუძველზე გამოცემული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით სხვა რამ არ არის დადგენილი.

3. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობა ფინანსდება საქართველოს სახელმწიფო ბიუჯეტიდან. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობისთვის საჭირო ასიგნებები განისაზღვრება საქართველოს სახელმწიფო ბიუჯეტის ცალკე კოდით. საქართველოს სახელმწიფო ბიუჯეტში პერსონალურ მონაცემთა დაცვის სამსახურისთვის განკუთვნილი მიმდინარე ხარჯების შემცირება წინა წლის საბიუჯეტო სახსრების ოდენობასთან შედარებით შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის წინასწარი თანხმობით.

მუხლი 47. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილებების განხორციელებისას დამოუკიდებელია და არ ექვემდებარება არცერთ ორგანოს და თანამდებობის პირს. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსსა და პერსონალურ მონაცემთა დაცვის სამსახურის მოსამსახურეზე რაიმე ზემოქმედება და მათ საქმიანობაში უკანონო ჩარევა აკრძალულია და კანონით ისჯება.

2. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობის უზრუნველყოფის მიზნით სახელმწიფო ვალდებულია შეუქმნას მას საქმიანობის სათანადო პირობები.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლება აქვს, მონაცემთა დამუშავების კანონიერების კონტროლის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლის ფუნქციების შესრულებასთან დაკავშირებით არ მისცეს ჩვენება იმ ფაქტის გამო, რომელიც მას გაანდვეს, როგორც პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. ეს უფლება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

მუხლი 48. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი საქართველოს პარლამენტს წელიწადში ერთხელ, არაუგვიანეს 31 მარტისა, წარუდგენს ანგარიშს საქართველოში მონაცემთა დაცვის მდგომარეობის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლის შესახებ.

2. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში უნდა შეიცავდეს ინფორმაციას საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა დაცვის სფეროში განხორციელებული საქმიანობის შესახებ, საქართველოში მონაცემთა დაცვის მდგომარეობასთან დაკავშირებულ ზოგად შეფასებებს, დასკვნებსა და რეკომენდაციებს, ინფორმაციას წლის განმავლობაში გამოვლენილი მნიშვნელოვანი დარღვევებისა და განხორციელებული ღონისძიებების თაობაზე, ზოგად სტატისტიკურ ინფორმაციას ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში განხორციელებული საქმიანობის შესახებ.

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე–138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებებისა და იმავე კოდექსის 143¹ მუხლის პირველი ნაწილის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის შედეგების შესახებ ანგარიშს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი წელიწადში ერთხელ წარუდგენს საქართველოს პარლამენტის ბიუროს მიერ საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით განსაზღვრულ პარლამენტის კომიტეტსა და ნდობის ჯგუფს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ განხორციელებული საქმიანობის შესახებ ინფორმაცია, ამ მუხლით დადგენილი შეზღუდვების გათვალისწინებით, მიეწოდება საზოგადოებას პერსონალურ მონაცემთა დაცვის სამსახურის ვებგვერდის მეშვეობით.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია საკუთარი ინიციატივით ნებისმიერ დროს გამოაქვეყნოს სპეციალური ანგარიში იმ საკითხების თაობაზე, რომლებიც მის საქმიანობას უკავშირდება და მას მნიშვნელოვნად მიაჩნია.

საქართველოს 2024 წლის 29 მაისის კანონი №4210 – ვებგვერდი, 12.06.2024წ.

თავი VII

პერსონალურ მონაცემთა დაცვის სამსახურის უფლებამოსილებები მონაცემთა დაცვის სფეროსა და ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში

მუხლი 49. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებები

პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საქართველოში მონაცემთა დამუშავების კანონიერების კონტროლს. ამ სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებებია:

ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე კონსულტაციის გაწევა;

ბ) მონაცემთა დაცვასთან დაკავშირებული განცხადებების განხილვა;

გ) მონაცემთა დამუშავების კანონიერების შემოწმება (ინსპექტირება);

დ) საქართველოში მონაცემთა დაცვის მდგომარეობისა და მასთან დაკავშირებული მნიშვნელოვანი მოვლენების შესახებ ინფორმაციის საზოგადოებისთვის მიწოდება და მისი ინფორმირებულობის გაზრდა.

მუხლი 50. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვა

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია განიხილოს მონაცემთა სუბიექტის განცხადება მონაცემების დამუშავებასთან დაკავშირებით და გამოიყენოს საქართველოს კანონმდებლობით გათვალისწინებული ღონისძიებები.

2. მონაცემთა სუბიექტის განცხადების მიღებიდან 10 დღის ვადაში პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას გამოსაყენებელი ღონისძიებების შესახებ, რის თაობაზედაც აცნობებს განმცხადებელს.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადებასთან დაკავშირებული გარემოებების შესწავლისა და გამოკვლევის მიზნით განახორციელოს შემოწმება. ნებისმიერი დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნის შემთხვევაში გადასცეს მას შესაბამისი მასალა, ინფორმაცია ან/და დოკუმენტი.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვის ვადა 2 თვეს არ უნდა აღემატებოდეს. პერსონალურ მონაცემთა დაცვის სამსახურის დასაბუთებული გადაწყვეტილებით მონაცემთა სუბიექტის განცხადების განხილვის ვადა შეიძლება გაგრძელდეს არაუმეტეს 1 თვით.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვისას შეაჩეროს შესაბამისი საქმის წარმოება დამატებითი მასალის, ინფორმაციის ან/და დოკუმენტაციის გამოთხოვის საფუძვლით, რის შესახებაც აცნობებს მონაცემთა სუბიექტს. მონაცემთა სუბიექტის განცხადების განხილვა გაგრძელდება ამ საფუძვლის გაუქმებისთანავე. საქმის წარმოების შეჩერების პერიოდი არ ჩაითვლება ამ მუხლის მე-4 პუნქტით გათვალისწინებულ ვადაში.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვის დასრულებამდე მიიღოს გადაწყვეტილება მონაცემთა დაბლოკვის შესახებ. მონაცემთა დაბლოკვის მიუხედავად, ამ მონაცემთა დამუშავება შეიძლება გაგრძელდეს, თუ ეს აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად, აგრეთვე სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისთვის.

7. მონაცემთა სუბიექტის განცხადების განხილვის შემდეგ პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას ამ კანონის 52-ე მუხლით გათვალისწინებული ერთ-ერთი ღონისძიების გამოყენების შესახებ, რის თაობაზედაც საქართველოს კანონმდებლობით დადგენილი წესით და დადგენილ ვადაში აცნობებს მონაცემთა სუბიექტს და დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს.

მუხლი 51. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია საკუთარი ინიციატივით ან დაინტერესებული პირის განცხადების საფუძველზე განახორციელოს ნებისმიერი დამუშავებისთვის პასუხისმგებელი პირის ან/და დამუშავებაზე უფლებამოსილი პირის შემოწმება. ამ მუხლით გათვალისწინებული შემოწმების განხორციელების შესახებ გადაწყვეტილებას იღებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება გულისხმობს:

ა) მონაცემთა დამუშავების პრინციპების დაცვისა და მონაცემთა დამუშავების კანონიერი საფუძვლების არსებობის დადგენას;

ბ) მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ორგანიზაციული და ტექნიკური ღონისძიებებისა და პროცედურების საქართველოს კანონმდებლობით დადგენილ მოთხოვნებთან შესაბამისობის შემოწმებას;

გ) მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის კანონიერების შემოწმებას;

დ) მონაცემთა დაცვისთვის ამ კანონითა და სხვა ნორმატიული აქტებით დადგენილი წესებისა და მოთხოვნების დაცვის შემოწმებას.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განხორციელებისას ნებისმიერი დაწესებულებისგან, ფიზიკური პირისგან ან/და იურიდიული პირისგან გამოითხოვოს დოკუმენტი ან/და ინფორმაცია, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველი ინფორმაცია, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველი მასალა ან/და დოკუმენტაცია ან/და ინფორმაცია, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება და აუცილებელია შემოწმების ამ მუხლის მე-2 პუნქტით დადგენილ ფარგლებში განსახორციელებლად.

4. დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურს ნებისმიერი მასალა, ინფორმაცია ან/და დოკუმენტი მიაწოდოს დაუყოვნებლივ, არაუგვიანეს 10 სამუშაო დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ა) ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან ამ დაწესებულებასთან ან ერთეულთან კონსულტაციას;

ბ) მნიშვნელოვანი მოცულობის ინფორმაციის/დოკუმენტის მოძიებასა და დამუშავებას.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია დამუშავებისთვის პასუხისმგებელი პირის ან/და დამუშავებაზე უფლებამოსილი პირის დასაბუთებული მიმართვის საფუძველზე ამ მუხლის მე-4 პუნქტში აღნიშნული ვადა გააგრძელოს არაუმეტეს 10 სამუშაო დღით.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განსახორციელებლად შევიდეს ნებისმიერ დაწესებულებასა და ორგანიზაციაში და გაეცნოს ნებისმიერ დოკუმენტსა და ინფორმაციას, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველ ინფორმაციას, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველ მასალას ან/და დოკუმენტაციას ან/და ინფორმაციას, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება, მიუხედავად მათი შინაარსისა და შენახვის ფორმისა.

7. შემოწმების შედეგების გათვალისწინებით, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია გამოიყენოს ამ კანონის 52-ე მუხლით გათვალისწინებული ღონისძიებები.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი ვალდებულია დაიცვას ნებისმიერი სახის საიდუმლოების შემცველი ინფორმაციის უსაფრთხოება და არ გაამჟღავნოს საიდუმლო ინფორმაცია, რომელიც მისთვის სამსახურებრივი მოვალეობის შესრულების დროს გახდა ცნობილი. ეს ვალდებულება პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

მუხლი 52. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ ღონისძიებების გამოყენება

1. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ამ კანონის ან მონაცემთა დამუშავების მომწესრიგებელი სხვა ნორმატიული აქტის დარღვევას, იგი უფლებამოსილია გამოიყენოს შემდეგ ღონისძიებათაგან ერთ-ერთი ან ერთდროულად რამდენიმე:

ა) მოითხოვოს დარღვევისა და მონაცემთა დამუშავებასთან დაკავშირებული ნაკლოვანებების მის მიერ მითითებული ფორმით და მითითებულ ვადაში გამოსწორება;

ბ) მოითხოვოს მონაცემთა დამუშავების დროებით ან სამუდამოდ შეწყვეტა, თუ დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ღონისძიებები და პროცედურები არ შეესაბამება საქართველოს კანონმდებლობით დადგენილ მოთხოვნებს;

გ) მოითხოვოს მონაცემთა დამუშავების შეწყვეტა, მონაცემთა დაბლოკვა, წაშლა, განადგურება ან დეპერსონალიზაცია, თუ მიიჩნევს, რომ მონაცემთა დამუშავება საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

დ) მოითხოვოს მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის შეწყვეტა, თუ მონაცემთა გადაცემა საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

ე) წერილობით მისცეს რჩევები და გაუწიოს რეკომენდაცია დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს მის მიერ მონაცემთა დამუშავებასთან დაკავშირებული წესების უმნიშვნელოდ დარღვევის შემთხვევაში;

ვ) სამართალდამრღვევს დააკისროს ადმინისტრაციული პასუხისმგებლობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მითითებულ ვადაში შეასრულოს მისი მოთხოვნები და მათი შესრულების შესახებ აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს.

3. თუ დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი არ შეასრულებს პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნებს, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მიმართოს სასამართლოს, სამართალდამცავ ორგანოს ან/და შესაბამისი სფეროს საქართველოს კანონმდებლობით განსაზღვრულ ზედამხედველ (მარეგულირებელ) სახელმწიფო დაწესებულებას.

4. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ადმინისტრაციულ სამართალდარღვევას, იგი უფლებამოსილია შეადგინოს ადმინისტრაციული სამართალდარღვევის ოქმი და, შესაბამისად, დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს დააკისროს ადმინისტრაციული პასუხისმგებლობა ამ კანონითა და საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას მიიჩნევს, რომ არსებობს დანაშაულის ნიშნები, იგი ვალდებულია ამის შესახებ კანონით დადგენილი წესით აცნობოს უფლებამოსილ სახელმწიფო ორგანოს.

6. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილების შესრულება სავალდებულოა და იგი კანონით დადგენილი წესით შეიძლება გასაჩივრდეს მხოლოდ სასამართლოში.

მუხლი 53. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ კონსულტაციის გაწევა და საგანმანათლებლო საქმიანობის განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია შესაბამისი თხოვნის არსებობის შემთხვევაში კონსულტაცია გაუწიოს სახელმწიფო ხელისუფლების ორგანოებს, მუნიციპალიტეტის ორგანოებს, სხვა საჯარო დაწესებულებებს, კერძო სამართლის იურიდიულ პირებსა და ფიზიკურ პირებს მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე.

2. პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საგანმანათლებლო საქმიანობას მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ საკითხებზე.

მუხლი 54. ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლი

1. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების – სატელეფონო კომუნიკაციის ფარული მიყურადებისა და ჩაწერის − ჩატარების დროს პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს:

ა) კონტროლის ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

ბ) კონტროლის სპეციალური ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

გ) დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერებას (ინსპექტირებას).

2. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე−138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს სასამართლოს, პროკურატურისა და ელექტრონული საკომუნიკაციო მომსახურების მიმწოდებლის მიერ მიწოდებული ინფორმაციის შედარებით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ბ“, „დ“ და „ვ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

4. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ე“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით), ამ კანონით დადგენილი წესით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელებისას ფარული საგამოძიებო მოქმედების ჩატარებაში მონაწილე პირის (გარდა მონაცემთა სუბიექტისა, გამომძიებლისა და პროკურორისა) ვინაობის შესახებ ინფორმაციის გამოთხოვა და მისი შემოწმების (ინსპექტირების) განხორციელების პროცესში მონაწილეობა, აგრეთვე ამ პუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების დროს გამოყენებული ოპერატიული და ოპერატიულ-ტექნიკური აღჭურვილობის მახასიათებლების შესახებ ინფორმაციის გამოთხოვა შესაძლებელია მხოლოდ ფარული საგამოძიებო მოქმედების ჩამტარებელი ორგანოს ხელმძღვანელის თანხმობით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელება არ მოიცავს ფარული საგამოძიებო მოქმედების მომზადების/ჩატარების პროცესში უშუალო მონაწილეობას და შენიღბული საცხოვრებელი ან სამსახურებრივი ან სხვა შენიღბული ობიექტისა და შენობა-ნაგებობის ადგილზე შემოწმებას.

5. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „გ“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარებას, აგრეთვე „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-3 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებული ღონისძიების განხორციელებას პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

6. ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებულ აქტივობას პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

7. სააგენტოს შემოწმების (ინსპექტირების) განხორციელებისას პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია:

ა) შევიდეს სააგენტოს შეზღუდული დაშვების არეალში და მიმდინარე რეჟიმში დააკვირდეს უფლებამოსილი ორგანოების მიერ საქმიანობის განხორციელებას;

ბ) გაეცნოს სააგენტოს საქმიანობის მომწესრიგებელ (მათ შორის, სახელმწიფო საიდუმლოების შემცველ) სამართლებრივ დოკუმენტებსა და ტექნიკურ ინსტრუქციებს;

გ) მიიღოს ინფორმაცია ფარული საგამოძიებო მოქმედებების მიზნებისთვის გამოყენებული ტექნიკური ინფრასტრუქტურის შესახებ და შეამოწმოს ეს ინფრასტრუქტურა;

დ) სააგენტოს მოსამსახურეებს მოსთხოვოს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით;

ე) განახორციელოს ამ კანონით გათვალისწინებული სხვა უფლებამოსილებები.

8. სააგენტოს მოსამსახურე ვალდებულია ითანამშრომლოს პერსონალურ მონაცემთა დაცვის სამსახურთან − პერსონალურ მონაცემთა დაცვის სამსახურს სრულად მიაწოდოს მოთხოვნილი ინფორმაცია და დოკუმენტები, აგრეთვე მისცეს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით.

თავი VIII

პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი და სოციალური დაცვა, პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი

მუხლი 55. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი სამსახურებრივი მოვალეობის შესრულებისას სახელმწიფო ხელისუფლების წარმომადგენელია და მას სახელმწიფო იცავს. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის კანონიერი მოთხოვნის შესრულება ყველასთვის სავალდებულოა.

2. არავის არა აქვს უფლება, ჩაერიოს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამსახურებრივ საქმიანობაში, გარდა კანონით გათვალისწინებული შემთხვევებისა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის მიერ სამსახურებრივი მოვალეობის შესრულებისას მისთვის ხელის შეშლა, მისი პატივისა და ღირსების შელახვა, მისთვის წინააღმდეგობის გაწევა, მის მიმართ მუქარა, ძალადობა ან მისი სიცოცხლის, ჯანმრთელობის ან ქონების ხელყოფა იწვევს საქართველოს კანონმდებლობით დადგენილ პასუხისმგებლობას. სამსახურებრივი უფლებამოსილებების განხორციელებასთან დაკავშირებით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილის ან მოადგილის, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის ან მისი ოჯახის წევრის სიცოცხლის, ჯანმრთელობისა და ქონების ხელყოფის შესახებ ინფორმაციის მიღების შემთხვევაში სახელმწიფო ორგანოები ვალდებული არიან განახორციელონ კანონით გათვალისწინებული ღონისძიებები მისი/მათი პირადი და ქონებრივი უსაფრთხოების დასაცავად.

4. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა უარი უნდა თქვას აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, თუ მან იცოდა ან უნდა სცოდნოდა მისი უკანონობის შესახებ, და უნდა იმოქმედოს კანონის ფარგლებში.

5. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა აშკარად უკანონო ბრძანების ან განკარგულების მიღების შემთხვევაში ამის შესახებ უნდა აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს.

6. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს, რომელიც უარს ამბობს აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, პასუხისმგებლობა არ დაეკისრება.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლისთვის აშკარად უკანონო ბრძანების ან განკარგულების მიმცემ პირს დაეკისრება პასუხისმგებლობა კანონით დადგენილი წესით.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლება აქვს, თავისი უფლებებისა და თავისუფლებების დასაცავად მიმართოს სასამართლოს.

9. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს მისი სამსახურებრივი უფლებამოსილების დასადასტურებლად ეძლევა პირადობის მოწმობა ან/და სპეციალური ჟეტონი, რომლის ფორმასა და გაცემის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

მუხლი 56. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სოციალური დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სოციალურ დაცვას სახელმწიფო უზრუნველყოფს.

2. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონით გათვალისწინებული მოხელის სოციალური დაცვის გარანტიები (მათ შორის, სამსახურებრივი მოვალეობის შესრულებასთან დაკავშირებით სხეულის დაზიანებასთან ან დაღუპვასთან დაკავშირებული სოციალური დაცვის გარანტიები).

3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი იღებს:

ა) ამ მუხლის მე-5 პუნქტით დადგენილი წესით განსაზღვრულ თანამდებობრივ სარგოს;

ბ) ამ მუხლის მე-5 პუნქტისა და „საჯარო დაწესებულებაში შრომის ანაზღაურების შესახებ“ საქართველოს კანონის შესაბამისად დადგენილ სახელფასო დანამატსა და ფულად ჯილდოს;

გ) სპეციალური წოდების შესაბამის წოდებრივ სარგოს, თუ აქვს სპეციალური წოდება;

დ) წელთა ნამსახურობის დანამატს;

ე) საქართველოს კანონმდებლობით გათვალისწინებულ სხვა დანამატებსა და კომპენსაციებს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის შესაბამის თანამშრომელს უფლება აქვს, საქართველოს კანონმდებლობის თანახმად მიიღოს სახელმწიფო კომპენსაცია ან სახელმწიფო პენსია.

5. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის შრომის ანაზღაურების წესი და ოდენობა, წოდებრივი სარგოსა და წელთა ნამსახურობის დანამატის ოდენობები, აგრეთვე საქართველოს კანონმდებლობით გათვალისწინებული სხვა დანამატებისა და კომპენსაციების ოდენობები განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებითა და საქართველოს სხვა საკანონმდებლო და კანონქვემდებარე ნორმატიული აქტებით.

6. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი ექვემდებარება სავალდებულო სახელმწიფო დაზღვევას. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის ოჯახის წევრთა სახელმწიფო დაზღვევასთან დაკავშირებულ საკითხებს (მათ შორის, ოჯახის წევრთა წრეს) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სპეციალური წოდებები განისაზღვრება „სახელმწიფო სპეციალური წოდებების შესახებ“ საქართველოს კანონით.

მუხლი 57. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შერჩევა, თანამდებობაზე დანიშვნა და უფლებამოსილებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი (გარდა ამ მუხლის მე-2 პუნქტით გათვალისწინებული შემთხვევისა) თანამდებობაზე ინიშნება კონკურსის საფუძველზე, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების წესი და პირობები, აგრეთვე დასანიშნი პირის საკვალიფიკაციო მოთხოვნები (ძირითადი მოთხოვნები, რომლებიც არ უნდა იყოს „საჯარო სამსახურის შესახებ“ საქართველოს კანონის 27-ე მუხლით დადგენილ ძირითად მოთხოვნებზე ნაკლები, სპეციალური მოთხოვნები და დამატებითი მოთხოვნები) განისაზღვრება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების მიზნით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ქმნის საკონკურსო კომისიას და ადგენს მისი საქმიანობის წესს.

2. დასაშვებია პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის უკონკურსოდ „საჯარო სამსახურის შესახებ“ საქართველოს კანონით განსაზღვრული მობილობით გადაყვანა ან ჰორიზონტალური გადაყვანა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელზე ვრცელდება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით გათვალისწინებული უფლებამოსილებები და მოვალეობები.

თავი IX

საქმის წარმოების, ადმინისტრაციული სამართალდარღვევის განხილვის და ადმინისტრაციული სახდელის დადების წესები

მუხლი 58. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საქმის წარმოების ზოგადი დებულებები

1. ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ადმინისტრაციული სამართალდარღვევის (შემდგომ − ადმინისტრაციული სამართალდარღვევა) გამოვლენა და შესაბამისი ადმინისტრაციული პასუხისმგებლობის დაკისრება ხდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების (ინსპექტირების) ან/და მონაცემთა სუბიექტის განცხადების განხილვის (შემდგომ − საქმის წარმოება) საფუძველზე. ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს და სამართალდამრღვევს ადმინისტრაციულ სახდელს ადებს პერსონალურ მონაცემთა დაცვის სამსახური საქართველოს კანონმდებლობით დადგენილი წესით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილებით დასაშვებია როგორც რამდენიმე საქმის წარმოების ერთ საქმედ გაერთიანება, ისე ერთი საქმის წარმოებიდან ცალკე წარმოებისთვის საქმის გამოყოფა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილება და საქმის წარმოების წესი განისაზღვრება ამ კანონით, საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით, სხვა საკანონმდებლო აქტებითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებით.

4. საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსისა და ამ კანონის ნორმების ურთიერთმიმართებისას უპირატესობა ენიჭება ამ კანონით განსაზღვრულ ნორმებს.

მუხლი 59. მტკიცებულებები

1. საქმის წარმოების მიზნებისთვის მტკიცებულება არის ყველა ფაქტობრივი მონაცემი, რომელთა საფუძველზედაც საქართველოს კანონმდებლობით დადგენილი წესით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ან/და სამსახურის უფლებამოსილი პირი ადგენს ადმინისტრაციული სამართალდარღვევის არსებობას ან არარსებობას, პირის ბრალეულობას მის ჩადენაში და სხვა გარემოებებს, რომლებსაც მნიშვნელობა აქვს საქმის სწორად გადაწყვეტისთვის.

2. ამ მუხლის მიზნებისთვის მტკიცებულებად შეიძლება მიჩნეულ იქნეს: მონაცემთა სუბიექტის განცხადების განხილვის ფარგლებში ან/და შემოწმების (ინსპექტირების) შედეგად მოპოვებული ინფორმაცია და დოკუმენტი; მონაცემთა სუბიექტის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის, სპეციალური წარმომადგენლის და მოწმის ახსნა-განმარტებები; სამართალდამრღვევის აღიარება; ზეპირი სხდომის ოქმი (ჩანაწერი); ექსპერტის დასკვნა; ფაქტების კონსტატაციის მასალები; აუდიოჩანაწერი; ვიდეოჩანაწერი; ფოტო; საჯარო წყაროებიდან მოპოვებული ინფორმაცია და დოკუმენტი; უფლებამოსილი პირის ან ორგანოს მიერ მომზადებული/გამოცემული/დამოწმებული დოკუმენტი; პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ან სამსახურის უფლებამოსილი პირის მიერ შედგენილი ადმინისტრაციულ სამართალდარღვევათა ოქმი, რომლის ფორმას და გაცნობის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი; მონაცემთა დამუშავების კანონიერების შემოწმების (ინსპექტირების) ოქმი; ნივთიერი მტკიცებულება; ნებისმიერი სხვა ინფორმაცია, დოკუმენტი ან მასალა, რომელსაც მნიშვნელობა აქვს საქმეზე ობიექტური გარემოებების დასადგენად.

მუხლი 60. საქმის წარმოებისას გამოსარკვევი გარემოებები და ადმინისტრაციული სახდელის დადება

1. ადმინისტრაციულ სამართალდარღვევათა საქმეების განხილვისას და ადმინისტრაციული სახდელის დადებისას პერსონალურ მონაცემთა დაცვის სამსახური ან სასამართლო ადგენს: ჩადენილი იყო თუ არა ადმინისტრაციული სამართალდარღვევა, ბრალეულია თუ არა პირი მის ჩადენაში, ექვემდებარება თუ არა იგი ადმინისტრაციულ პასუხისმგებლობას, არის თუ არა ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი და დამამძიმებელი გარემოებები, აგრეთვე ადგენს სხვა გარემოებებს, რომლებსაც მნიშვნელობა აქვს საქმის სწორად გადაწყვეტისთვის.

2. ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი გარემოების არსებობისას პერსონალურ მონაცემთა დაცვის სამსახური ან სასამართლო უფლებამოსილია სამართალდამრღვევს გამოუცხადოს შენიშვნა, თუ ადმინისტრაციული სამართალდარღვევა უმნიშვნელოა.

3. სამართალდამრღვევს ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული სახდელი დაედება ამ კანონით დადგენილ ფარგლებში, იმ მუხლის შესაბამისად, რომელიც ადმინისტრაციულ პასუხისმგებლობას ითვალისწინებს.

მუხლი 61. ადმინისტრაციული სამართალდარღვევისთვის პასუხისმგებლობის შემამსუბუქებელი გარემოებები

1. ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელ გარემოებებად მიიჩნევა:

ა) მართლსაწინააღმდეგო ქმედების შეწყვეტა და ადმინისტრაციული სამართალდარღვევის შედეგად მიყენებული ზიანის გამოსწორება ან/და მსგავსი სამართალდარღვევის შემდგომ თავიდან აცილების მიზნით შესაბამისი ორგანიზაციულ-ტექნიკური ზომების მიღება;

ბ) ადმინისტრაციული სამართალდარღვევის ჩადენა არასრულწლოვანის მიერ;

გ) ადმინისტრაციული სამართალდარღვევის გულწრფელი მონანიება და პერსონალურ მონაცემთა დაცვის სამსახურთან თანამშრომლობა;

დ) სხვა გარემოებები, როგორებიცაა ადმინისტრაციული სამართალდარღვევის ხასიათი და სამართალდამრღვევის ბრალის ხარისხი, რომლებსაც საქმის გადაწყვეტისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი შემამსუბუქებელ გარემოებად მიიჩნევს.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი გარემოებების არსებობის დამადასტურებელი მტკიცებულებების წარდგენის ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს.

3. ამ მუხლის პირველი პუნქტის „ა“ ან/და „ბ“ ქვეპუნქტით გათვალისწინებული შემამსუბუქებელი გარემოების არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 30 პროცენტით მცირდება.

4. ამ მუხლის პირველი პუნქტის „გ“ ან/და „დ“ ქვეპუნქტით გათვალისწინებული შემამსუბუქებელი გარემოების არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 20 პროცენტით მცირდება.

5. ამ მუხლის მე-3 და მე-4 პუნქტებით გათვალისწინებული ჯარიმის ოდენობის შემცირების საფუძვლების ერთდროულად არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 50 პროცენტით მცირდება.

მუხლი 62. ადმინისტრაციული სამართალდარღვევისთვის პასუხისმგებლობის დამამძიმებელი გარემოებები

ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევებისთვის ადმინისტრაციული პასუხისმგებლობის დამამძიმებელ გარემოებებად მიიჩნევა:

ა) 1 წლის განმავლობაში იმავე ადმინისტრაციული სამართალდარღვევის განმეორებით ჩადენა, რომლის გამოც დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს/მესამე პირს უკვე დაედო ადმინისტრაციული სახდელი;

ბ) დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემთა დამუშავება ამ კანონის მოთხოვნათა დარღვევით ან ასეთი საფრთხის შექმნა;

გ) არასრულწლოვანის მონაცემების დამუშავება ამ კანონის მოთხოვნათა დარღვევით;

დ) ადმინისტრაციული სამართალდარღვევის ჩადენა ანგარებით;

ე) ადმინისტრაციული სამართალდარღვევის ჩადენა დისკრიმინაციული მოტივით.

მუხლი 63. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილების გასაჩივრების უფლება

1. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილება საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით სასამართლოში შეიძლება გაასაჩივროს პირმა, რომლის მიმართაც გამოტანილია ეს გადაწყვეტილება, მისი ოფიციალური გაცნობიდან 1 თვის ვადაში.

2. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილების სასამართლოში გასაჩივრების შემთხვევაში იგი აღსრულდება სასამართლოს მიერ მიღებული გადაწყვეტილების კანონიერ ძალაში შესვლის მომენტიდან.

მუხლი 64. ადმინისტრაციული სახდელის დადება რამდენიმე ადმინისტრაციული სამართალდარღვევის ჩადენისთვის

1. ერთი და იმავე პირის მიერ ჩადენილი ადმინისტრაციული სამართალდარღვევების სიმრავლისას მისთვის დაკისრებული ჯარიმების საერთო ოდენობა არ უნდა აღემატებოდეს ამ მუხლის მე-2 პუნქტით გათვალისწინებულ ოდენობებს, თუ არსებობს ერთ-ერთი შემდეგი პირობა:

ა) ადმინისტრაციული სამართალდარღვევები გამოვლენილია ერთიანი შემოწმების ფარგლებში;

ბ) რამდენიმე ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული პასუხისმგებლობის დაკისრების შესახებ საკითხი განიხილება ერთიანი წარმოების ფარგლებში;

გ) ადმინისტრაციული პასუხისმგებლობის დაკისრება ხდება იმ ადმინისტრაციული სამართალდარღვევისთვის, რომელიც ჩადენილია იმავე პირის მიმართ უკვე გამოყენებული ადმინისტრაციული სახდელის დადებამდე, რა დროსაც გაითვალისწინება როგორც დაკისრებული, ისე დასაკისრებელი ადმინისტრაციული პასუხისმგებლობის ოდენობა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში პირისთვის დაკისრებული ჯარიმების საერთო ოდენობა არ უნდა აღემატებოდეს:

ა) 10 000 ლარს ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის შემთხვევაში, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის შემთხვევაში, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება;

ბ) 20 000 ლარს იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის შემთხვევაში, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება.

3. თუ ერთი და იგივე ქმედება შეიძლება მიიჩნეოდეს ამ კანონის შესაბამისი მუხლებით გათვალისწინებულ რამდენიმე ადმინისტრაციულ სამართალდარღვევად, ადმინისტრაციული პასუხისმგებლობის ზომა გამოიყენება მხოლოდ იმ ადმინისტრაციული სამართალდარღვევისთვის და იმ ფარგლებში, რომლისთვისაც ამ კანონით გათვალისწინებულია ყველაზე მძიმე პასუხისმგებლობა.

4. ამ მუხლის მე-3 პუნქტის მიზნებისთვის დარღვევა ერთ ქმედებად მიიჩნევა იმ შემთხვევაშიც, თუ არსებობს ერთმანეთთან მჭიდროდ და უშუალოდ დაკავშირებული რამდენიმე ქმედების ერთობლიობა, რომელიც თავისი არსით ერთიანი ადმინისტრაციული სამართალდარღვევაა.

5. თუ ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენისას იკვეთება მხოლოდ ერთი თანადამუშავებისთვის პასუხისმგებელი პირის ბრალი, ადმინისტრაციული სახდელი მხოლოდ მას დაედება, ხოლო ერთდროულად რამდენიმე თანადამუშავებისთვის პასუხისმგებელი პირის ბრალის დადგენის შემთხვევაში ადმინისტრაციული სახდელი სამართალდამრღვევ თანადამუშავებისთვის პასუხისმგებელ პირებს დაედებათ სოლიდარულად.

6. ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენისას ადმინისტრაციულ სახდელთან ერთად შეიძლება აგრეთვე გამოყენებულ იქნეს ამ კანონის 52-ე მუხლით გათვალისწინებული სხვა ღონისძიებები.

7. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი უფლებამოსილია ამ კანონით გათვალისწინებული ადმინისტრაციული პასუხისმგებლობის დაკისრებისმიზნებისთვის საჯარო სამართლის იურიდიული პირისგან − შემოსავლების სამსახურისგან გამოითხოვოს იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის წლიური ბრუნვის შესახებ ინფორმაცია და მიიღოს იგი, აგრეთვე ჰქონდეს წვდომა საჯარო სამართლის იურიდიული პირის − შემოსავლების სამსახურის შესაბამის ელექტრონულ მონაცემთა ბაზაზე.

მუხლი 65. ადმინისტრაციული სახდელის დადების ვადები

1. ამ კანონით განსაზღვრული ადმინისტრაციული სამართალდარღვევის ჩადენისთვის პირს პასუხისმგებლობა შეიძლება დაეკისროს არაუგვიანეს 4 თვისა სამართალდარღვევის ჩადენის დღიდან, ხოლო თუ სამართალდარღვევა დენადია − არაუგვიანეს 4 თვისა მისი გამოვლენის დღიდან.

2. სისხლისსამართლებრივი დევნის ან გამოძიების შეწყვეტის შემთხვევაში, მაგრამ როცა სამართალდამრღვევის მოქმედებაში არის ადმინისტრაციული სამართალდარღვევის ნიშნები, მას ადმინისტრაციული სახდელი შეიძლება დაედოს არაუგვიანეს 2 თვისა სისხლისსამართლებრივი დევნის ან გამოძიების შეწყვეტის შესახებ გადაწყვეტილების მიღების დღიდან.

3. ადმინისტრაციული სამართალდარღვევის შესახებ მიღებული გადაწყვეტილების სასამართლოში გასაჩივრების შემთხვევაში ამ მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული სახდელის დადების ვადის დენა შეჩერდება სასამართლოს მიერ ამ საქმეზე საბოლოო გადაწყვეტილების გამოტანამდე.

თავი X

ადმინისტრაციული სამართალდარღვევა და ადმინისტრაციული პასუხისმგებლობა

მუხლი 66. მონაცემთა დამუშავების პრინციპების დარღვევა

1. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების რომელიმე პრინციპის დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების ორი ან ორზე მეტი პრინციპის დარღვევა −

გამოიწვევს:

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 1 500 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 67. მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე

1. მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე −

გამოიწვევს:

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 68. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე

1. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 69. ვიდეომონიტორინგის ან აუდიომონიტორინგის განხორციელების წესების დარღვევა

1. ამ კანონის მე-10 მუხლით დადგენილი ვიდეომონიტორინგის (გარდა ამ მუხლის მე-2 და მე-4 პუნქტებით გათვალისწინებული შემთხვევებისა) ან ამავე კანონის მე-11 მუხლით გათვალისწინებული აუდიომონიტორინგის წესების დარღვევა −

გამოიწვევს:

2. ვიდეომონიტორინგის განხორციელება გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან სხვა ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და თვალთვალი საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 70. გარდაცვლილი პირის შესახებ მონაცემთა დამუშავების წესების დარღვევა

1. გარდაცვლილი პირის შესახებ მონაცემთა დამუშავება ამ კანონის მე-8 მუხლით დადგენილი წესების დარღვევით −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 71. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება წესების დარღვევით

1. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება ამ კანონით დადგენილი წესების დარღვევით −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 72. ამ კანონის III თავით გათვალისწინებული მონაცემთა სუბიექტის უფლებების დარღვევა

1. ამ კანონის III თავით (გარდა 22-ე მუხლისა) გათვალისწინებული მონაცემთა სუბიექტის რომელიმე უფლების დარღვევა −

გამოიწვევს:

2. ამ კანონის III თავით (გარდა 22-ე მუხლისა) გათვალისწინებული მონაცემთა სუბიექტის ორი ან ორზე მეტი უფლების დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 1 500 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება,დაჯარიმებას 3 000 ლარის ოდენობით.

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 73. ამ კანონის 21-ე მუხლის მე-2 და მე-4 პუნქტებით გათვალისწინებული ვალდებულებების შეუსრულებლობა

1. ამ კანონის 21-ე მუხლის მე-2 პუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა −

გამოიწვევს:

2. ამ კანონის 21-ე მუხლის მე-4 პუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა −

გამოიწვევს:

3. ამ მუხლის პირველი ან მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 74. მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა

1. ამ კანონის 24-ე და 25-ე მუხლებით გათვალისწინებული მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 75. მონაცემთა მეტად დაფარვის პრიორიტეტის, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას, მოთხოვნის დარღვევა

1. ამ კანონის 26-ე მუხლით გათვალისწინებული რომელიმე ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 76. მონაცემთა უსაფრთხოების დაცვის ვალდებულების შეუსრულებლობა

1. ამ კანონის 27-ე მუხლით გათვალისწინებული მონაცემთა უსაფრთხოების დაცვის ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 77. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვის ვალდებულების შეუსრულებლობა

1. ამ კანონის 28-ე მუხლით გათვალისწინებული მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვის ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 78. ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულების შეუსრულებლობა

1. ამ კანონის 29-ე მუხლით გათვალისწინებული ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 79. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა

1. ამ კანონის 30-ე მუხლით გათვალისწინებული ინციდენტის შესახებ მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 10 000 ლარის ოდენობით.

მუხლი 80. მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების შეუსრულებლობა

1. ამ კანონის 31-ე მუხლით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 81. მონაცემთა სუბიექტისგან თანხმობის მიღებისა და მის მიერ თანხმობის გამოხმობის დროს კანონით დადგენილი ვალდებულების შეუსრულებლობა

1. ამ კანონის 32-ე მუხლით გათვალისწინებული მონაცემთა სუბიექტისგან თანხმობის მიღებისა და მის მიერ თანხმობის გამოხმობის დროს ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 82. პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა

1. ამ კანონის 33-ე მუხლის პირველი პუნქტით გათვალისწინებული პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა −

გამოიწვევს სამართალდამრღვევის გაფრთხილებას.

2. ამ კანონის 33-ე მუხლის პირველი პუნქტით გათვალისწინებული პერსონალურ მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ ადმინისტრაციული სახდელის დადებიდან 1 წლის განმავლობაში −

გამოიწვევს სამართალდამრღვევის დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 83. სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა

1. ამ კანონის 34-ე მუხლის პირველი პუნქტით გათვალისწინებული სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების დამუშავებისთვის პასუხისმგებელი პირის მიერ შეუსრულებლობა −

გამოიწვევს სამართალდამრღვევის გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ კანონის 34-ე მუხლის პირველი პუნქტით გათვალისწინებული სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ ადმინისტრაციული სახდელის დადებიდან 1 წლის განმავლობაში −

გამოიწვევს სამართალდამრღვევის დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 84. ამ კანონის 35-ე და 36-ე მუხლებით გათვალისწინებული ვალდებულებების შეუსრულებლობა

1. ამ კანონის 35-ე და 36-ე მუხლებით გათვალისწინებული ვალდებულებების დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 85. ამ კანონის 37-ე მუხლით დადგენილი წესების დარღვევა

1. ამ კანონის 37-ე მუხლით დადგენილი წესების დარღვევით მონაცემთა სხვა სახელმწიფოსთვის ან/და საერთაშორისო ორგანიზაციისთვის გადაცემა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 86. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონით განსაზღვრული უფლების განხორციელებაში ხელის შეშლა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონის 51-ე მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ან/და დოკუმენტის წარდგენის წესის დარღვევა ან ცრუ ინფორმაციის მიწოდება −

გამოიწვევს:

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართალდარღვევისთვის, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

3. პერსონალურ მონაცემთა დაცვის სამსახურისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონის 51-ე მუხლის მე-6 პუნქტით განსაზღვრული უფლების განხორციელებაში ნებისმიერი სახით ხელის შეშლა −

გამოიწვევს:

4. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის მე-3 პუნქტით გათვალისწინებული სამართალდარღვევისთვის, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 87. პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის შეუსრულებლობა

პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის (ამ კანონის 52-ე მუხლის პირველი პუნქტის „ა“−„დ“ ქვეპუნქტების შესაბამისად) შეუსრულებლობა −

გამოიწვევს:

თავი XI

გარდამავალი და დასკვნითი დებულებები

მუხლი 88. გარდამავალი დებულებები

1. 2024 წლის 1 მარტამდე პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ადმინისტრაციული სამართალდარღვევის ჩადენისთვის სამართალდამრღვევს ადმინისტრაციული პასუხისმგებლობა ეკისრება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს 2011 წლის 28 დეკემბრის კანონის შესაბამისად.

2. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი თავისუფლდება ამ კანონის მე-10 მუხლის მე-9 პუნქტითა და მე-11 მუხლის მე-4 პუნქტით გათვალისწინებული ვალდებულებისგან იმ გამაფრთხილებელ ნიშნებთან მიმართებით, რომლებიც მან 2024 წლის 1 მარტამდე განათავსა.

3. დამუშავებისთვის პასუხისმგებელი პირი თავისუფლდება ამ კანონის 26-ე მუხლით გათვალისწინებული ვალდებულების შესრულებისგან იმ პროგრამულ უზრუნველყოფასთან მიმართებით, რომელიც გამოიყენება მონაცემთა დამუშავებისთვის და შეიქმნა 2024 წლის 1 მარტამდე, გარდა იმ შემთხვევისა, როდესაც 2024 წლის 1 მარტის შემდეგ ეს პროგრამული უზრუნველყოფა მნიშვნელოვნად განახლდა და იმავე მუხლით გათვალისწინებული ვალდებულების შესრულება დამუშავებისთვის პასუხისმგებელი პირის მიერ არ მოითხოვს გაუმართლებელი ხარჯების გაწევას.

4. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა 2024 წლის 1 მარტამდე გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესი. ეს ნორმატიული აქტი გამოიცემა შესაბამის სახელმწიფო უწყებებთან შეთანხმებით;

ბ) მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმებისა და შეფასების წესის შესახებ;

გ) იმ პირთა წრის განსაზღვრის შესახებ, რომლებსაც არ აქვთ ვალდებულება, განსაზღვრონ/დანიშნონ პერსონალურ მონაცემთა დაცვის ოფიცერი;

დ) პერსონალურ მონაცემთა დაცვის სამსახურის მიერ სპეციალური წარმომადგენლის რეგისტრაციის წესი.

მუხლი 89. ძალადაკარგული ნორმატიული აქტი

ძალადაკარგულად გამოცხადდეს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს 2011 წლის 28 დეკემბრის კანონი (საქართველოს საკანონმდებლო მაცნე (www.matsne.gov.ge), 16.01.2012, სარეგისტრაციო კოდი: 010100000.05.001.016606).

მუხლი 90. კანონის ამოქმედება

1. ეს კანონი, გარდა ამ კანონის პირველი − 87-ე მუხლებისა, 88-ე მუხლის მე-2 და მე-3 პუნქტებისა და 89-ე მუხლისა, ამოქმედდეს გამოქვეყნებისთანავე.

2. ამ კანონის პირველი−მე-5 მუხლები, მე-6 მუხლის პირველი პუნქტის „ა“−„რ“ ქვეპუნქტები, მე-2 და მე-3 პუნქტები, მე-7−30-ე, 32-ე, 34-ე−79-ე, 81-ე და 83-ე−87-ე მუხლები, 88-ე მუხლის მე-2 და მე-3 პუნქტები და 89-ე მუხლი ამოქმედდეს 2024 წლის 1 მარტიდან.

3. ამ კანონის 31-ე, 33-ე, მე-80 და 82-ე მუხლები ამოქმედდეს 2024 წლის 1 ივნისიდან.

4. ამ კანონის მე-6 მუხლის პირველი პუნქტის „ტ“ ქვეპუნქტი ამოქმედდეს 2025 წლის 1 იანვრიდან.

5. ამ კანონის მე-6 მუხლის პირველი პუნქტის „ს“ ქვეპუნქტი ამოქმედდეს 2027 წლის 1 იანვრიდან.

6. ამ კანონის მე-6 მუხლის პირველი პუნქტის „ტ“ ქვეპუნქტის მოქმედება შეჩერდეს 2027 წლის 1 იანვრამდე.

საქართველოს 2024 წლის 5 სექტემბრის კანონი №4406 - ვებგვერდი, 23.09.2024წ.

საქართველოს 2025 წლის 6 თებერვლის კანონი №260 - ვებგვერდი, 06.02.2025წ.

საქართველოს პრეზიდენტი სალომე ზურაბიშვილი

თბილისი,

14 ივნისი 2023 წ.

N3144-XIმს-Xმპ

Контролный текст по состоянию на 6.02.2025 №260

Закон Грузии

О защите персональных данных

Глава I

Общие положения

Статья 1. Цели Закона

Целью настоящего Закона является обеспечение при обработке персональных данных защиты основных прав и свобод человека, в том числе – прав неприкосновенности личной и семейной жизни, личного пространства и коммуникации.

Статья 2. Сфера действия Закона

1. Действие настоящего Закона распространяется на обработку данных на территории Грузии при помощи автоматических средств и полуавтоматических средств, обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых для внесения в файловую систему, а также обработку данных лицом, ответственным за обработку, зарегистрированным за пределами границ Грузии, при помощи технических средств, имеющихся в Грузии, за исключением случая, когда технические средства используются только для транзита данных.

2. Действие настоящего Закона не распространяется:

а) на обработку данных физическими лицами для явно личных целей или (и) в рамках семейной деятельности, не связанную с их предпринимательской или (и) экономической, профессиональной деятельностью или исполнением служебных обязанностей. Обработка данных для личных целей или (и) в рамках семейной деятельности может включать, в том числе, переписку, обработку адресов, интернет-активность (в том числе, в социальных сетях), осуществляемую в рамках указанной деятельности;

б) на обработку данных для целей государственной безопасности (в том числе, экономической безопасности), обороны, разведывательной и контрразведывательной деятельности;

в) на обработку при помощи полуавтоматических средств и обработку при помощи неавтоматических средств данных, относящихся к государственной тайне, для целей предупреждения преступлений, расследования, уголовного преследования, оперативно-розыскных мероприятий и охраны правопорядка;

г) на обработку данных в суде для целей судопроизводства;

д) на обработку данных средствами массовой информации с целью информирования общественности (за исключением подпункта «е» пункта первого статьи 4 и статьи 27 настоящего Закона);

е) на обработку данных для целей, относящихся к академической сфере, сферам искусств и литературы.

3. Действие статьи 6 настоящего Закона не распространяется на обработку данных с целью переписи населения, предусмотренной Законом Грузии «Об официальной статистике».

4. Действие настоящего Закона распространяется на обработку данных при помощи автоматических средств и обработку при помощи полуавтоматических средств учреждениями, осуществляющими виды деятельности, определенные подпунктами «б»–«г» пункта 2 настоящей статьи, на обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых для внесения в файловую систему, если данные не обрабатываются непосредственно в рамках видов деятельности, определенных теми же подпунктами.

5. Любые лица, невольно получившие не предназначавшиеся для них чужие данные, должны уважать права субъекта данных и не пытаться незаконно обработать данные.

Статья 3. Разъяснение терминов

Для целей настоящего Закона использованные в нем термины имеют следующие значения:

а) персональные данные (далее − данные) − любая информация, связанная с идентифицированным или идентифицируемым физическим лицом. Физическое лицо является идентифицируемым, когда возможно его идентифицировать прямо или косвенно, в том числе, по имени, фамилии, идентификационному номеру, геолокационным данным, данным, идентифицирующим электронную коммуникацию, физическим, физиологическим, психическим, психологическим, генетическим, экономическим, культурным или социальным характеристикам;

б) данные особой категории − данные, связанные с расовой или этнической принадлежностью физических лиц, их политическими убеждениями, религиозными, философскими или иными взглядами, членством в профессиональных союзах, здоровьем, сексуальной жизнью, наличием в процессе уголовного судопроизводства статуса обвиняемого, осужденного, оправданного или потерпевшего, осуждением, судимостью, убережением, признанием жертвами торговли людьми (трефикинга) или жертвами преступления в соответствии с Законом Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия», их заключением под стражу, исполнением наказания в отношении них, а также биометрическими и генетическими данными, которые обрабатываются с целью уникальной идентификации физических лиц;

в) данные, касающиеся здоровья, – информация о физическом или психическом здоровье субъекта данных, а также оказании ему медицинских услуг, если она содержит сведения о физическом или психическом здоровье субъекта данных;

г) биометрические данные – обработанные с использованием технических средств данные, связанные с физическими, физиологическими или поведенческими характеристиками субъекта данных (как, например, изображение лица, характеристики голоса или дактилоскопические данные), которые дают возможность уникальной идентификации или подтверждения личных данных;

д) генетические данные – приобретенные или унаследованные генетические характеристики субъекта данных, представляющие уникальную информацию о его физиологии или состоянии здоровья путем анализа биологического материала;

е) обработка данных − любое действие, выполняемое в отношении данных, в том числе, их сбор, получение, доступ к ним, их фотографирование, видеомониторинг или (и) аудиомониторинг, организация, группировка, взаимосвязь, хранение, изменение, восстановление, истребование, использование, блокировка, удаление или уничтожение, а также разглашение данных путем их передачи, обнародования, распространения либо обеспечения доступа к ним иным образом;

ж) обработка данных при помощи автоматических средств − обработка данных с применением информационных технологий;

з) обработка данных при помощи неавтоматических средств − обработка данных без применения информационных технологий;

и) обработка данных при помощи полуавтоматических средств – обработка данных с одновременным применением автоматических и неавтоматических средств;

к) файловая система − структурированный набор данных, размещаемых и доступных в зависимости от конкретных критериев;

л) субъект данных − любое физическое лицо, данные о котором обрабатываются;

м) согласие субъекта данных – волеизъявление субъекта данных, касающееся обработки данных о нем для конкретной цели, выраженное свободно и четко активным действием, в письменной (в том числе, электронной) либо устной форме, после получения соответствующей информации;

н) письменное согласие субъекта данных – согласие субъекта данных на обработку данных о нем для конкретной цели, подписанное или выраженное им иным образом в письменной (в том числе, электронной) форме после получения соответствующей информации;

о) лицо, ответственное за обработку − физические лица, юридические лица или публичные учреждения, которые индивидуально или вместе с другими лицами определяют цели и средства обработки данных, осуществляют обработку данных непосредственно или при помощи лица, уполномоченного на обработку;

п) лица, ответственные за совместную обработку, – лица (два или более), ответственные за обработку, совместно определяющие цели и средства обработки данных;

р) лицо, уполномоченное на обработку − физические лица, юридические лица или публичные учреждения, обрабатывающие данные для лица, ответственного за обработку, или от его имени. Лицом, уполномоченным на обработку, не считается физическое лицо, состоящее в трудовых отношениях с лицом, ответственным за обработку;

с) получатель данных − физические лица, юридические лица или публичные учреждения, которым были переданы данные, за исключением Службы защиты персональных данных;

т) категория получателя данных – классификация/группировка получателя данных в зависимости от сферы деятельности или организационно-правовой формы;

у) третье лицо − физическое лицо, юридическое лицо или публичное учреждение, кроме субъекта данных, Службы защиты персональных данных, лица, ответственного за обработку, лица, уполномоченного на обработку, специального представителя и лица, уполномоченного на обработку по прямому поручению лица, ответственного за обработку, или лица, уполномоченного на обработку данных;

ф) специальный представитель – зарегистрированные за пределами границ Грузии физическое лицо или юридическое лицо, а также объединение лиц, не имеющее юридического статуса, на основании настоящего Закона определенное (назначенное) в качестве представителя лицом, ответственным за обработку, или лицом, уполномоченным на обработку;

х) офицер защиты персональных данных – лицо, определенное/назначенное лицом, ответственным за обработку, или лицом, уполномоченным на обработку, выполняющее функции, предусмотренные статьей 33 настоящего Закона;

ц) блокировка данных − временное приостановление обработки (за исключением хранения) данных;

ч) видеомониторинг – обработка данных визуального изображения с использованием технических средств, размещенных/установленных в публичном или частном пространстве, в частности, видеоконтроль или (и) видеозапись (за исключением тайного следственного действия);

ш) аудиомониторинг − обработка данных звукового сигнала с использованием технических средств, размещенных/установленных в публичном или частном пространстве, в частности, аудиоконтроль или (и) аудиозапись (за исключением тайного следственного действия);

щ) прямой маркетинг – прямое и непосредственное предоставление субъекту данных информации при помощи телефона, почты, электронной почты или других электронных средств в целях формирования, сохранения, реализации или (и) поддержания интереса в отношении физических лиц или (и) юридических лиц, товаров, идей, услуг, работ или (и) начинаний, а также имиджевой и социальной тематики. Прямым маркетингом не считается предоставление информации физическому лицу государственным учреждением, если предоставление указанной информации совместимо с каким-либо из оснований для обработки данных, предусмотренных статьями 5 и 6 настоящего Закона;

ы) профайлинг – любая из форм автоматической обработки данных, подразумевающих использование данных для оценки определенных личностных характеристик, связанных с физическими лицами, в частности, анализ и прогнозирование характеристик, касающихся качества выполняемой физическим лицом работы, его экономического положения, здоровья, личных интересов, надежности, поведения, местонахождения или передвижения;

э) деперсонализация данных – обработка данных, при которой увязать их с субъектом данных невозможно либо установление наличия такой связи требует непропорционально больших усилий, расходов или (и) затрат времени;

ю) псевдонимизация данных − обработка данных, при которой без использования дополнительной информации невозможно увязать данные с конкретным субъектом данных, указанная дополнительная информация хранится отдельно и связь с идентифицированным или идентифицируемым физическим лицом при помощи технических и организационных мер не устанавливается;

я) инцидент – нарушение безопасности данных, влекущее неправомерное либо случайное повреждение, утерю, а также разглашение данных без разрешения, их уничтожение, изменение, допуск к ним, их сбор/добывание или иную обработку без разрешения;

я¹) публичное учреждение – учреждение, определенное подпунктом «а» статьи 27 Общего административного кодекса Грузии (за исключением политических и религиозных объединений);

я²) длящееся правонарушение – правонарушение, предусмотренное настоящим Законом, совершение которого начинается с деяния и которое затем осуществляется непрерывно. Длящееся правонарушение завершено с момента прекращения деяния;

я³) тайное следственное действие – следственное действие, предусмотренное частью первой статьи 143¹ Уголовно-процессуального кодекса Грузии;

я⁴) Агентство – орган, наделенный эксклюзивным полномочием на проведение тайного следственного действия, предусмотренного подпунктами «а»–«г» части первой статьи 143¹ Уголовно-процессуального кодекса Грузии, – юридическое лицо публичного права – Оперативно-техническое агентство Грузии;

я⁵) электронная система контроля – система, предусмотренная подпунктом «и» статьи 2 Закона Грузии «О юридическом лице публичного права − Оперативно-техническом агентстве Грузии»;

я⁶) специальная электронная система контроля − система, предусмотренная подпунктом «к» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;

я⁷) электронная система контроля центрального банка данных, идентифицирующих электронную коммуникацию, − система, предусмотренная подпунктом «л» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;

я⁸) специальная электронная система контроля определения геолокации в реальном времени – система, предусмотренная подпунктом «о» статьи 2 Закона Грузии «О юридическом лице публичного права − Оперативно-техническом агентстве Грузии».

Глава II

Законность обработки данных

Статья 4. Принципы обработки данных

1. При обработке данных должны соблюдаться следующие принципы:

а)данные должны обрабатываться законно, справедливо, прозрачно для субъекта данных и без унижения его достоинства. Обязательство, касающееся прозрачности обработки данных, не распространяется на составляющие исключение случаи, установленные настоящим Законом;

б) данные должны собираться/добываться только для конкретных, четко определенных и легитимных целей. Не допускается последующая обработка данных для других целей, не совместимых с первоначальной целью обработки данных;

в) данные должны обрабатываться только в объеме, необходимом для достижения соответствующей легитимной цели. Данные должны быть соразмерны целям, для достижения которых обрабатываются;

г) данные должны быть достоверными, точными и при необходимости обновленными. С учетом целей обработки данных неточные данные должны быть исправлены, удалены или уничтожены без неоправданного промедления;

д) данные могут храниться только в течение срока, необходимого для достижения соответствующей легитимной цели обработки данных. По достижении цели, для которой обрабатываются данные, они должны быть удалены, уничтожены или храниться в деперсонализированной форме, за исключением случая, когда обработка данных определена законом или (и) подзаконным нормативным актом, изданным в соответствии с законом, и хранение данных является необходимой и пропорциональной мерой защиты преобладающих интересов в демократическом обществе;

е) с целью соблюдения безопасности данных при обработке данных должны приниматься технические и организационные меры, надлежащим образом обеспечивающие защиту данных, в том числе, от обработки без разрешения или незаконной обработки, случайной утери, уничтожения или (и) повреждения.

2. Если данные должны быть обработаны с целью, отличающейся от цели их сбора/добывания, и обработка производится не с согласия субъекта данных, или не на основании закона, при решении вопроса об обработке данных с целью, отличающейся от цели их сбора/добывания лицо, ответственное за обработку, должно учитывать:

а) есть ли связь между первоначальной целью сбора/добывания данных и последующей целью;

б) характер отношений между лицом, ответственным за обработку, при сборе/добывании данных, и субъектом данных;

в) есть ли у субъекта данных разумное ожидание дальнейшей обработки данных о нем;

г) осуществляется ли обработка данных особой категории;

д) возможные последствия для субъекта данных, которые может иметь дальнейшая обработка данных;

е) наличие технических и организационных мер безопасности данных.

3. Данные, собранные правоохранительным органом в рамках своей деятельности, могут обрабатываться в целях общего анализа преступной деятельности и установления связи между различными выявленными преступлениями.

4. С целью соблюдения принципа обработки данных, предусмотренного подпунктом «г» пункта первого настоящей статьи, лицо, ответственное за обработку, исходя из контекста должно разграничить данные, основанные на фактах, и данные, основанные на личной оценке. Применительно к данным, основанным на личной оценке, неукоснительное соблюдение принципа обработки данных, предусмотренного подпунктом «г» пункта первого настоящей статьи, не обязательно.

5. Последующая обработка данных лицом, ответственным за обработку, в целях предупреждения преступлений (в том числе, надлежащего аналитического исследования), расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, обеспечения помещения лица в изолятор временного содержания, борьбы против незаконной миграции, осуществления международной защиты, реагирования на административные правонарушения, обеспечения гражданской и пожарной безопасности, оперативно-розыскной деятельности, охраны общественной безопасности или (и) правопорядка (в том числе, проведения криминологического исследования соответствующим правоохранительным органом или судом) не считается несовместимой с первоначальной целью обработки данных, если обработка данных предусмотрена законом или законом и подзаконным нормативным актом, изданным на его основании.

6. Последующая обработка данных в соответствии с публичными интересами для целей архивирования, научного или исторического исследования либо статистических целей не считается несовместимой с первоначальной целью обработки данных. Длительное хранение данных для целей, предусмотренных настоящим пунктом, допускается, если для защиты прав субъекта данных приняты надлежащие технические и организационные меры безопасности.

7. Лицо, ответственное за обработку, при обработке данных ответственно за соблюдение принципов, определенных настоящей статьей, и оно должно быть в состоянии обосновать соответствие указанным принципам.

Статья 5. Основания для обработки данных

1. Обработка данных допускается при наличии одного из следующих оснований:

а) субъект данных изъявил согласие на обработку данных о нем для одной или нескольких конкретных целей;

б) обработка данных необходима для исполнения обязательства, взятого по сделке, заключенной с субъектом данных, или заключения сделки по требованию субъекта данных;

в) обработка данных предусмотрена законом;

г) обработка данных необходима для исполнения лицом, ответственным за обработку, обязанностей, возложенных на него законодательством Грузии;

д) согласно закону, данные публично доступны или публичный доступ к ним предоставлен субъектом данных;

е) обработка данных необходима для защиты жизненно важных интересов субъекта данных или другого лица, в том числе, для мониторинга эпидемии или (и) пресечения ее распространения, управления гуманитарными кризисами, природными или вызванными действиями человека катастрофами;

ж) обработка данных необходима для защиты значительного публичного интереса;

з) обработка данных необходима для выполнения задач, относящихся к сфере публичного интереса, определенной законодательством Грузии, в том числе, для целей предупреждения преступлений, расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, оперативно-розыскной деятельности, охраны общественной безопасности, правопорядка, в том числе обеспечения информационной безопасности и кибербезопасности;

и) обработка данных необходима для защиты значительных легитимных интересов лица, ответственного за обработку, или третьего лица, за исключением случая наличия преобладающего интереса защиты прав субъекта данных (в том числе, несовершеннолетнего);

к) обработка данных необходима для рассмотрения заявления субъекта данных (оказания ему услуг).

2. Обязательство по обоснованию правового основания обработки данных возлагается на лицо, ответственное за обработку.

Статья 6. Обработка данных особой категории

1. Обработка данных особой категории допускается только в случае, если лицом, ответственным за обработку, обеспечены гарантии защиты прав и интересов субъекта данных, предусмотренные настоящим Законом, и существует одно из следующих оснований:

а) субъект данных изъявил письменное согласие на обработку данных особой категории для одной или нескольких конкретных целей;

б) обработка данных особой категории прямо и специально регулируется законом и их обработка является необходимой и пропорциональной мерой в демократическом обществе;

в) обработка данных особой категории необходима для защиты жизненно важных интересов субъекта данных или другого лица и субъект данных физически или (и) в правовом отношении не в состоянии изъявить согласие на обработку данных особой категории;

г) обработка данных особой категории необходима в сфере охраны здоровья для целей превенции, профилактики, диагностики, лечения, реабилитации и паллиативного ухода, управления качеством и безопасностью услуг, медицинского оборудования и медицинских продуктов, общественным здоровьем и системой охраны здоровья в соответствии с законодательством Грузии или договором, заключенным со специалистом в сфере охраны здоровья (если указанные данные обрабатывает лицо, на которое возложено обязательство по соблюдению профессиональной тайны);

д) обработка данных особой категории необходима в сфере социального обеспечения и социальной защиты, в том числе, для осуществления обязательства, возложенного законодательством Грузии на лицо, ответственное за обработку, с целью управления системой социального обеспечения и обслуживания или для осуществления конкретных прав субъекта данных;

е) обработка данных особой категории необходима для целей предотвращения преступлений (в том числе, надлежащего аналитического исследования), расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, обеспечения помещения лиц в изолятор временного содержания, борьбы против незаконной миграции, осуществления международной защиты, реагирования на административные правонарушения, обеспечения гражданской и пожарной безопасности, оперативно-розыскной деятельности, охраны общественной безопасности или (и) правопорядка (в том числе, проведения криминологического исследования соответствующим правоохранительным органом или судом) и обработка указанных данных предусмотрена соответствующим законом или законом и подзаконным нормативным актом, изданным на его основании;

ж) данные особой категории обрабатываются для обеспечения информационной безопасности и кибербезопасности;

з) обработка данных особой категории необходима исходя из характера трудовых обязательств и отношений, в том числе, для принятия решения о занятости или оценки трудовых навыков занятых лиц;

и) субъект данных предоставил публичный доступ к данным о себе без оговорки, содержащей явный запрет на использование;

к) обработка данных особой категории необходима для защиты значительного публичного интереса;

л) данные особой категории обрабатываются политическим, профессиональным объединением, религиозной или нерелигиозной организацией философского направления для целей указанной деятельности. В таком случае обработка указанных данных может быть связана только с действительными или бывшими членами указанных объединений/организаций или лицами, имеющими постоянную связь с этими объединениями/организациями исходя из их целей, при условии, что без согласия субъекта данных указанные данные не будут переданы третьим лицам;

м) обработка данных особой категории необходима для целей архивирования в соответствии с законом для публичных интересов, научного или исторического исследования или статистических целей, если закон предусматривает осуществление надлежащих и конкретных мероприятий в защиту прав и интересов субъекта данных. Указанное основание для обработки данных особой категории не применяется, если специальным законом прямо предусмотрено ограничение обработки указанных данных на дополнительных и отличающихся условиях;

н) данные особой категории обрабатываются с целью функционирования единой аналитической системы данных о миграции;

о) данные особой категории обрабатываются в целях осуществления права на образование лиц с ограниченными возможностями и лиц со специальными образовательными потребностями;

п) данные особой категории обрабатываются с целью рассмотрения вопроса, предусмотренного пунктом 2 статьи 11 Закона Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия»;

р) данные особой категории обрабатываются в целях координации процесса ресоциализации и реабилитации осужденных и бывших заключенных, а также процесса реферирования несовершеннолетних;

с) данные особой категории обрабатываются в целях предоставления или опубликования в качестве публичной информации судебного акта, принятого в результате открытого судебного заседания в соответствии с Органическим Законом Грузии «Об общих судах»;

т) данные особой категории обрабатываются в случаях, прямо предусмотренных Законом Грузии «О публичных закупках»;

у) данные особой категории обрабатываются для функционирования институционального механизма межведомственной координации – в целях выявления случаев причинения вреда или случаев, содержащих возможные риски для жизни, здоровья или безопасности или (и) наилучших интересов либо прав ребенка или (и) управления ими и обеспечения в пределах указанных целей координации между компетентными органами (ведомствами), определенными Правительством Грузии, в случаях, предусмотренных частью 3 статьи 83 и частью 2¹ статьи 84 Кодекса о правах ребенка.

2. В случае обработки данных, предусмотренных подпунктом «с» пункта первого настоящей статьи, их выдача и опубликование в качестве публичной информации допускаются в соответствии с Органическим законом Грузии «Об общих судах».

3. Обязательство по обоснованию правового основания обработки данных особой категории возлагается на лицо, ответственное за обработку.

Статья 7. Порядок и условия дачи согласия на обработку данных о несовершеннолетних

1. Обработка данных о несовершеннолетних на основании их согласия допускается, если они достигли 16-летнего возраста, а обработка данных о несовершеннолетних в возрасте до 16 лет – с согласия их родителя или другого законного представителя, за исключением случаев, прямо предусмотренных законом, в том числе, когда для обработки данных требуется согласие несовершеннолетнего в возрасте от 16 до 18 лет и его родителя или другого законного представителя.

2. Лицо, ответственное за обработку, обязано принять разумные и адекватные меры для подтверждения наличия согласия родителя или другого законного представителя несовершеннолетнего в возрасте до 16 лет.

3. Обработка данных особой категории, касающихся несовершеннолетнего, допускается только на основании письменного согласия его родителя или другого законного представителя, за исключением случаев, прямо предусмотренных законом.

4. При обработке данных о несовершеннолетних лицо, ответственное за обработку данных, обязано учитывать и соблюдать наилучшие интересы несовершеннолетнего.

5. Согласие несовершеннолетнего, его родителя или другого законного представителя на обработку данных не признается действительным, если обработка данных создает угрозу или причиняет вред наилучшим интересам несовершеннолетнего.

6. Положения, предусмотренные настоящей статьей, не распространяются на отношения, связанные с действительностью сделки, определенной Гражданским кодексом Грузии.

Статья 8. Защита данных об умерших лицах

1. После смерти субъекта данных обработка данных о нем допускается:

а) по основаниям, определенным статьями 5 и 6 настоящего Закона;

б) если обработка указанных данных не запрещена родителями, детьми, внуками или супругами субъектов данных (за исключением случая, когда субъект данных до своей смерти письменно запретил обработку данных о нем после его смерти);

в) если после смерти субъекта данных прошло 30 лет;

г) если это необходимо для осуществления права, связанного с наследованием.

2. Обработка имени, фамилии, пола, дат рождения и смерти умерших лиц допускается независимо от наличия обстоятельств и оснований, предусмотренных пунктом первым настоящей статьи.

Статья 9. Обработка биометрических данных

1. Обработка биометрических данных допускается только в случае, если это необходимо для целей осуществления деятельности, безопасности, охраны собственности и предотвращения разглашения секретной информации и достижение указанных целей иным способом не представляется возможным либо связано с непропорционально большими усилиями, а также в целях выдачи в порядке, установленном законом, документа, удостоверяющего личность, идентификации лиц, пересекающих государственную границу, борьбы против незаконной миграции, осуществления международной защиты, предотвращения преступлений, расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, ресоциализации и реабилитации осужденных и бывших заключенных, координации процесса реферирования несовершеннолетних, оперативно-розыскной деятельности, информационной безопасности и кибербезопасности или в других случаях, прямо предусмотренных законом.

2. Лицо, ответственное за обработку, обязано до обработки данных в соответствии с принципами, предусмотренными статьей 4 настоящего Закона, письменно определить цель и объем обработки биометрических данных, срок хранения указанных данных, порядок и условия их хранения и уничтожения, а также механизмы защиты прав субъекта данных.

Статья 10. Осуществление видеомониторинга

1. Осуществление видеомониторинга допускается для целей предотвращения преступлений, их выявления, охраны общественной безопасности, безопасности и собственности лиц, защиты несовершеннолетних (в том числе, защиты от вредного влияния), охраны секретной информации, для экзамена/тестирования, а также для выполнения задач, относящихся к сфере других публичных или (и) других легитимных интересов, если осуществление видеомониторинга является средством, адекватным и пропорциональным цели обработки данных.

2. Для осуществления видеомониторинга лицо, ответственное за обработку, обязано в соответствии с принципами, установленными статьей 4 настоящего Закона, письменно определять цель и объем видеомониторинга, продолжительность видеомониторинга и срок хранения видеозаписи, порядок и условия доступа к видеозаписи, ее хранения и уничтожения, механизмы защиты прав субъекта данных, за исключением случая, когда физическое лицо осуществляет видеомониторинг в жилом помещении.

3. Видеомониторинг рабочего процесса/пространства занятого лица допускается только в исключительных случаях, если достижение целей, определенных пунктом первым настоящей статьи, другими средствами не представляется возможным или связано с непропорционально большими усилиями.

4. Не допускается осуществление видеомониторинга в комнатах для переодевания, местах, предназначенных для гигиены, или местах, в которых у субъекта есть разумное ожидание защищенности личной жизни или (и) осуществление видеомониторинга в которых противоречит общепризнанным нормам морали.

5. Система видеомониторинга и видеозаписи должны охраняться от неправомерного посягательства и использования. Лицо, ответственное за обработку, должно обеспечить учет каждого случая доступа к видеозаписи, в том числе, учет времени осуществления доступа и имени пользователя, дающего возможность идентификации лица, осуществившего доступ.

6. В жилом здании допускается осуществление видеомониторинга общих входов в указанное жилое здание и общего пространства в жилом помещении на основании письменного согласия более половины собственников (в случае невозможности установления личности собственника допускается получение согласия владельца), за исключением случая, когда лицо, ответственное за обработку/лицо, уполномоченное на обработку, осуществляет видеомониторинг для исполнения обязанности, возложенной на него законодательством Грузии, и в ареал видеомониторинга попадает общий вход в жилое здание и его общее пространство.

7. Видеомониторинг имеющегося в жилом здании входа в индивидуальную собственность допускается только по решению его собственника/владельца или на основании его письменного согласия так, чтобы осуществлением видеомониторинга не ущемлялись легитимные интересы других лиц (в том числе, собственника, законного пользователя площади).

8. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано разместить в месте, доступном для обозрения, предупреждающий знак о ведущемся видеомониторинге, а в случае, определенном пунктом 3 настоящей статьи, письменно предупредить дополнительно занятое лицо о конкретной цели (целях) видеомониторинга. В случае соблюдения требований, предусмотренных настоящим пунктом, субъект данных считается проинформированным об обработке данных о нем.

9. Предупреждающий знак о ведущемся видеомониторинге должен содержать соответствующую надпись, легко распознаваемое изображение о видеомониторинге и наименование и контактные данные лица, ответственного за обработку.

Статья 11. Осуществление аудиомониторинга

1. Осуществление аудиомониторинга допускается:

а) с согласия субъекта данных;

б) для ведения протокольной записи;

в) для защиты значительных легитимных интересов лица, ответственного за обработку, если определены надлежащие и конкретные мероприятия для защиты прав и интересов субъекта данных;

г) в других случаях, прямо предусмотренных законодательством Грузии.

2. Для осуществления аудиомониторинга лицо, ответственное за обработку, обязано в соответствии с принципами, предусмотренными статьей 4 настоящего Закона, предварительно в письменной форме определить цель и объем аудиомониторинга, продолжительность аудиомониторинга, порядок и условия доступа к аудиозаписи, ее хранения и уничтожения, механизмы защиты прав субъекта данных.

3. Лицо, ответственное за обработку, обязано предварительно или с началом аудиомониторинга предупредить субъекта данных об осуществлении аудиомониторинга и разъяснить ему его право на отказ (при наличии такового). Бремя доказывания по информированию субъекта данных возлагается на лицо, ответственное за обработку/лицо, уполномоченное на обработку.

4. В случае информирования субъекта данных об аудиомониторинге при помощи предупреждающего знака указанный предупреждающий знак должен содержать соответствующую надпись, легко воспринимаемое изображение о ведущемся аудиомониторинге и наименование и контактные данные лица, ответственного за обработку.

Статья 12. Обработка данных для целей прямого маркетинга

1. Независимо от основания сбора/получения данных и их доступности обработка данных для целей прямого маркетинга допускается только с согласия субъекта данных.

2. Для обработки других данных помимо имени, фамилии, адреса, номера телефона и адреса электронной почты субъекта данных для целей прямого маркетинга требуется письменное согласие субъекта данных.

3. До получения согласия субъекта данных и при осуществлении прямого маркетинга лицо, ответственное за обработку/лицо, уполномоченное на обработку, должно объяснить субъекту данных четко, на простом и понятном для него языке его право на отзыв согласия в любое время и механизм/порядок осуществления указанного права.

4. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано прекратить обработку данных для целей прямого маркетинга в разумный срок со дня получения соответствующего требования субъекта данных, но не позднее 7 рабочих дней. Для обеспечения указанного обязательства на лицо, ответственное за обработку/лицо, уполномоченное на обработку, возлагается ответственность по обмену информацией об отзыве согласия субъектом данных. 5. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано обеспечить, чтобы у субъекта данных была возможность требовать прекращения обработки данных для целей прямого маркетинга в той же форме, в которой осуществляется прямой маркетинг, или определить другое доступное и адекватное средство для требования о прекращении обработки данных.

6. Средство, предусмотренное пунктом 5 настоящей статьи для требования о прекращении обработки данных с целью прямого маркетинга, должно быть простым. При этом субъекту данных должно быть предоставлено четкое и легко воспринимаемое указание о применении указанного средства.

7. Не допускается устанавливать плату или другое ограничение за осуществление субъектом данных права на отзыв согласия.

8. При осуществлении прямого маркетинга бремя доказывания наличия согласия субъекта данных, простоты средства отказа, легкости для восприятия, доступности и адекватности указания о его применении возлагается на лицо, ответственное за обработку или (и) лицо, уполномоченное на обработку.

9. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано учитывать время и факт дачи субъектом данных согласия на обработку данных о нем и отзыва согласия и хранить на срок осуществления прямого маркетинга и в течение года со дня прекращения осуществления прямого маркетинга.

Глава III

Права субъекта данных

Статья 13. Право на получение информации об обработке данных

1. Субъект данных вправе требовать от лица, ответственного за обработку,

подтверждения, обрабатываются ли данные о нем, обоснована ли обработка данных и по требованию безвозмездно получать следующую информацию:

а) о касающихся него данных, которые обрабатываются, а также об основании и цели обработки указанных данных;

б) об источнике сбора/получения данных;

в) о сроке (времени) хранения данных, а если определить конкретный срок невозможно, о критериях определения срока;

г) о правах субъекта данных, предусмотренных настоящей главой;

д) о правовых основаниях и целях передачи данных, а также надлежащих гарантиях защиты данных, если данные передаются другому государству или международной организации;

е) о личности получателя данных или категориях получателей данных, в том числе, информацию об основании и цели передачи данных, если данные передаются третьим лицам;

ж) о решении, принятом в результате автоматизированной обработки, в том числе, профайлинга, и о логике, используемой при принятии такого решения, а также его влиянии на обработку данных и ожидаемом/предполагаемом результате обработки.

2. Субъект данных вправе не позднее 10 рабочих дней со дня направления требования получать информацию, предусмотренную пунктом первым настоящей статьи. Указанный срок в особых случаях и при надлежащем обосновании может продлеваться не более чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.

3. Лицо, ответственное за обработку, правомочно по необходимости предоставлять субъекту данных любую информацию, с тем, чтобы обеспечивалась прозрачность обработки данных в соответствии с подпунктом «а» пункта первого статьи 4 настоящего Закона, за исключением случая, когда выдача информации противоречит закону.

4. Если законодательством Грузии не предусмотрено иное, субъект данных вправе сам выбирать форму предоставления информации, предусмотренной пунктом первым настоящей статьи. При этом, если субъект данных не потребует предоставления информации в другой форме, информация ему предоставляется в той же форме, в которой она была потребована.

Статья 14. Право на ознакомление с данными и получение копии

1. Субъект данных вправе ознакомиться у лица, ответственного за обработку, с имеющимися персональными данными о нем и безвозмездно получать копии указанных данных, за исключением случаев, когда за ознакомление с данными или (и) выдачу копии данных:

а) законодательством Грузии предусмотрена плата;

б) лицом, ответственным за обработку, установлена разумная плата ввиду ресурса, расходуемого при их выдаче в форме, отличающейся от формы хранения данных, или (и) частых запросов.

2. Субъект данных вправе ознакомиться с данными, предусмотренными пунктом первым настоящей статьи, или (и) получать их копии не позднее 10 рабочих дней со дня требования, за исключением случая, когда законодательством Грузии установлен иной срок.

3. Срок, предусмотренный пунктом 2 настоящей статьи, в особых случаях

и с надлежащим обоснованием может быть продлен не более, чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.

4. Субъект данных вправе ознакомиться с данными, предусмотренными пунктом первым настоящей статьи, или (и) получить их копии в форме, в которой они хранятся у лица, ответственного за обработку, или (и) у лица, уполномоченного на обработку. Субъект данных также вправе требовать предоставления ему копий данных о нем в отличающейся форме, за разумную плату, установленную лицом, ответственным за обработку, и в случае, если это технически возможно.

5. Плата, определенная согласно подпункту «б» пункта первого настоящей статьи, лицом, ответственным за обработку, не должна превышать размер фактически затраченных ресурсов. Бремя доказывания по установлению платы и разумности ее размера возлагается на лицо, ответственное за обработку.

Статья 15. Право на исправление, обновление и восполнение данных

1. Субъект данных вправе требовать от лица, ответственного за обработку, исправления, обновления или (и) восполнения недостоверных, неточных или (и) неполных данных о нем.

2. Не позднее 10 рабочих дней со дня представления субъектом данных

требования, предусмотренного пунктом первым настоящей статьи (если законодательством Грузии не установлен иной срок), данные должны быть исправлены, обновлены или (и) восполнены или субъект данных должен быть извещен об основаниях отказа в требовании и ему должен быть объяснен порядок обжалования отказа.

3. Если лицо, ответственное за обработку, независимо от субъекта данных выявит, что имеющиеся у него данные являются недостоверными, неточными или (и) неполными, оно в разумный срок должно исправить, обновить или (и) восполнить данные и в срок, составляющий 10 рабочих дней со дня исправления данных, известить об этом субъекта данных.

4. У лица, ответственного за обработку, обязательство по извещению субъекта данных, предусмотренное пунктом 3 настоящей статьи, не возникает, если исправление, обновление или (и) восполнение данных связаны с исправлением/устранением технической ошибки.

5. При наличии объективного обстоятельства, делающего невозможным

выполнение обязательства по информированию субъекта данных в срок, установленный пунктом 3 настоящей статьи, лицо, ответственное за обработку, должно при первой же коммуникации с субъектом данных предоставить ему информацию об осуществлении изменения.

6. Лицо, ответственное за обработку, обязано известить об обновлении и восполнении данных всех получателей данных, а также всех других лиц, ответственных за обработку этих же данных, и лицо, уполномоченное за обработку, которым само передало данные, за исключением случая, когда предоставление такой информации невозможно ввиду большого числа лиц, ответственных за обработку/лиц, уполномоченных на обработку, или получателей данных или (и) ввиду непропорционально больших расходов.

7. Лица, предусмотренные пунктом 6 настоящей статьи, после получения

соответствующей информации обязаны в разумный срок исправить, обновить или (и) восполнить данные.

Статья 16. Право на прекращение обработки, удаление ил уничтожение данных

1. Субъект данных вправе требовать от лица, ответственного за обработку, прекращения обработки данных о нем (в том числе, профайлинга), их удаления или уничтожения.

2. Не позднее 10 рабочих дней со дня требования, предусмотренного пунктом первым настоящей статьи (если законодательством Грузии не установлено иное), должна быть прекращена обработка данных или (и) данные должны быть удалены или уничтожены либо субъект данных должен быть извещен об основании отказа в требовании и ему должен быть объяснен порядок обжалования отказа.

3. Лицо, ответственное за обработку, вправе отказаться от удовлетворения требования, предусмотренного пунктом первым настоящей статьи, если:

а) имеется какое-либо из оснований, предусмотренных статьей 5 или 6 настоящего Закона;

б) данные обрабатываются с целью обоснования правового требования или возражения;

в) обработка данных необходима для осуществления права свободы выражения или информации;

г) данные обрабатываются с целью архивирования в публичных интересах, предусмотренных законом, для целей научных или исторических исследований или статистических целей и осуществление права на прекращение обработки данных, их удаление и уничтожение причинит значительный вред или сделает невозможным достижение целей обработки.

4. При наличии какого-либо из оснований, предусмотренных пунктом 3 настоящей статьи, на лицо, ответственное за обработку, возлагается обязательство по обоснованию соответствующего основания.

5. Субъект данных вправе получать информацию о прекращении обработки, удалении или уничтожении данных незамедлительно, по осуществлении соответствующего действия, но не позднее 10 рабочих дней.

6. Субъект данных вправе в случае обработки данных о нем в публично доступной форме требовать от лица, ответственного за дополнительную обработку, ограничения доступа к данным или (и) удаления копий данных или любых интернет-ссылок, выводящих на данные.

7. Лицо, ответственное за обработку, обязано сообщать всем получателям данных, а также всем другим лицам, ответственным за обработку этих же данных, и лицам, ответственным за обработку, которым само передало данные, о прекращении обработки, удалении или уничтожении данных, за исключением случая, когда предоставление такой информации невозможно ввиду большого числа лиц, ответственных за обработку/лиц, уполномоченных на обработку, или получателей данных или (и) ввиду непропорционально больших расходов.

8. Лица, предусмотренные пунктами 6 и 7 настоящей статьи, после получения соответствующей информации обязаны прекратить обработку данных и удалить или уничтожить данные.

Статья 17. Право на блокировку данных

1. Субъект данных вправе требовать от лица, ответственного за обработку,

блокировки данных при наличии одного из следующих обстоятельств:

а) субъект данных оспаривает достоверность или точность данных;

б) обработка данных незаконна, хотя субъект данных выступает против их удаления и требует блокировки данных;

в) данные более не нужны для достижения цели их обработки, но субъекту данных они требуются для подачи жалобы/иска;

г) субъект данных требует прекращения обработки, удаления или уничтожения данных и ведется рассмотрение указанного требования;

д) существует необходимость хранения данных с целью использования в качестве доказательств.

2. Лицо, ответственное за обработку, обязано в случае требования, исходящего от субъекта данных, заблокировать данные при наличии одного из обстоятельств, предусмотренных пунктом первым настоящей статьи, за исключением случая, когда блокировка данных может создать угрозу:

а) исполнению лицом, ответственным за обработку, обязательств, возложенных на него законом, или (и) законом и изданным на его основании подзаконным нормативным актом;

б) выполнению в соответствии с законом задач, относящихся к сфере публичного интереса, или осуществлению полномочий, предоставленных лицу, ответственному за обработку законодательством Грузии;

в) легитимным интересам лица, ответственного за обработку, или третьих лиц, за исключением случая, наличия преобладающего интереса защиты прав субъекта данных, в особенности несовершеннолетнего;

г) защите интересов, предусмотренных пунктом 6 статьи 50 настоящего Закона.

3. После принятия решения о блокировке данных лицо, ответственное за обработку, правомочно принимать решение о разблокировке данных при наличии какого-либо из оснований, предусмотренного подпунктами «а»–«г» пункта 2 настоящей статьи.

4. Данные должны быть заблокированы на срок существования причины их блокировки и в течение указанного срока, если это технически возможно, решение о блокировке данных должно прилагаться к соответствующим данным.

5. Субъект данных вправе получать информацию с принятием решения о блокировке данных или решения об основании отказа в блокировке данных, незамедлительно, но не позднее 3 рабочих дней со дня требования.

6. В случае блокировки данных в соответствии с пунктом первым настоящей статьи данные, помимо их хранения, могут обрабатываться иным образом в следующих случаях:

а) с согласия субъекта данных;

б) для обоснования правового требования или возражения;

в) для защиты интересов лица, ответственного за обработку, или третьего лица;

г) в соответствии с законом для защиты публичного интереса.

Статья 18. Право на перенос данных

В случае автоматической обработки данных по основаниям, предусмотренным подпунктами «а» и «б» пункта первого статьи 5 и подпунктом «а» пункта первого статьи 6 настоящего Закона, если это технически возможно, субъект данных вправе получать от лица, ответственного за обработку, предоставленные им данные в структурированном, общеиспользуемом и пригодном для машинного считывания формате или требовать передачу указанных данных другому лицу, ответственному за обработку.

Статья 19. Принятие автоматизированного индивидуального решения и связанные с ним права

1. Субъект данных вправе не подчиняться решению, принятому только

автоматизировано, в том числе на основании профайлинга, порождающему для него правовое или иного рода последствие, имеющее существенное значение, за исключением случая, когда принятие решения на основании профайлинга:

а) основано на четко выраженном согласии субъекта данных;

б) необходимо для заключения договора или выполнения договора между субъектом данных и лицом, ответственным за обработку;

в) предусмотрено законом или подзаконным нормативным актом, изданным в пределах полномочий, делегированных на основании закона.

2. При соответствующем требовании субъекта данных лицо, ответственное за обработку, должно принять надлежащие меры для защиты прав, свобод и легитимных интересов субъекта данных, в том числе, путем вовлечения людских ресурсов в процесс принятия решения (за исключением случая, предусмотренного подпунктом «в» пункта первого настоящей статьи), предоставления субъекту данных определенной пунктом первым настоящей статьи возможности выражения своего мнения и обжалования решения.

3. Использование данных особой категории при принятии решения, определенного пунктом первым настоящей статьи, допускается только в случаях, предусмотренных подпунктами «а», «е» и «к» пункта первого статьи 6 настоящего Закона, если имеются надлежащие гарантии защиты прав, свобод и легитимных интересов субъекта данных.

Статья 20. Право на отзыв согласия

1. Субъект данных вправе в любое время без какого-либо объяснения или

обоснования отозвать данное им согласие. В таком случае, в соответствии с требованием субъекта данных обработка данных должна быть прекращена или (и) обработанные данные должны быть удалены или уничтожены не позднее 10 рабочих дней со дня требования, если нет другого основания для обработки данных.

2. Субъект данных вправе отозвать согласие в той же форме, в какой он

изъявил согласие.

3. Субъект данных до отзыва согласия вправе требовать и получать от

лица, ответственного за обработку, информацию о возможных результатах отзыва согласия.

Статья 21. Ограничение прав субъекта данных

1. Права субъекта данных, предусмотренные статьями 13–20, 24 и 25 настоящего Закона, могут ограничиваться, если это прямо предусмотрено законодательством Грузии, тем самым не нарушаются основные права и свободы человека, это необходимая и пропорциональная мера в демократическом обществе и осуществление указанных прав может создать угрозу:

а) интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны;

б) интересам общественной безопасности;

в) предотвращению преступлений, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, оперативно-розыскной деятельности;

г) значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты;

д) выявлению нарушения субъектом данных норм профессиональной этики, в том числе, в сфере регулируемой профессии, и возложению на него ответственности;

е) осуществлению функций и полномочий органов, осуществляющих регулирование или (и) надзор в сферах, определенных подпунктами «а», «б», «в», «г», «д» «ж» или «и» пункта первого настоящей статьи;

ж) правам и свободам субъекта данных или (и) других лиц, в том числе, свободе выражения;

з) охране государственной, коммерческой, профессиональной и другой тайны, предусмотренной законом;

и) обоснованию правового требования или возражения.

2. Меры, предусмотренные пунктом первым настоящей статьи, могут применяться только в объеме, необходимом для достижения цели ограничения.

3. При наличии оснований, предусмотренных пунктом первым настоящей статьи, субъект данных должен быть извещен о решении лица, ответственного за обработку, об ограничении и отказе в осуществлении права субъекта данных, за исключением случая, когда предоставление информации создает угрозу достижению цели (целей), предусмотренной пунктом первым настоящей статьи.

4. Осуществление прав субъекта данных, предусмотренных статьями 13–20, 24 и 25 настоящего Закона, должно обеспечиваться безвозмездно, кроме составляющих исключение случаев, установленных этим же Законом. В случае представления субъектом данных требования с неразумной частотой лицо, ответственное за обработку, правомочно отказаться от его выполнения, о чем оно обязано незамедлительно письменно сообщить субъекту данных и разъяснить ему право на обжалование.

5. В случае ограничения права субъекта данных и отказа в его требовании бремя доказывания возлагается на лицо, ответственное за обработку.

Статья 22. Право на обжалование

1. Субъект данных вправе в случае нарушения предусмотренных настоящим Законом прав и установленных правил обратиться в Службу защиты персональных данных, суд или (и) вышестоящий административный орган в порядке, установленном законом.

2. Субъект данных вправе требовать от Службы защиты персональных данных принятия решения о блокировке данных до вынесения решения о завершении рассмотрения заявления.

3. Субъект данных вправе обжаловать решение Службы защиты персональных данных в суде с соблюдением условий и сроков, предусмотренных законодательством Грузии.

Глава IV

Обязательства лица, ответственного за обработку, и лица,

уполномоченного на обработку

Статья 23. Обязательство по защите прав субъекта данных

1. В соответствии с требованием субъекта данных лицо, ответственное за обработку, обязано в установленном порядке обеспечить осуществление прав субъекта данных, определенных главой III настоящего Закона, в том числе, принять все меры в целях соответствия требованиям этого же Закона и их демонстрирования в случае необходимости.

2. Обязательства, предусмотренные пунктом первым настоящей статьи, распространяются также на лицо, уполномоченное на обработку, в отношении информации, хранящейся/имеющейся у него.

Статья 24. Информирование субъекта данных в случае сбора

информации непосредственно от него

1. При сборе данных непосредственно от субъекта данных лицо, ответственное за обработку, обязано до сбора данных или с началом сбора данных предоставить субъекту данных по меньшей мере следующую информацию:

а) о личности/наименовании и контактную информацию лица,

ответственного за обработку, его представителя или (и) лица, уполномоченного на обработку (при наличии такового);

б) о целях и правовом основании обработки данных;

в) об обязательности предоставления данных, а если предоставление данных обязательно, – о правовых последствиях отказа от предоставления данных, а также информацию о том, что сбор/добывание данных предусмотрены законодательством Грузии или являются обязательным условием для заключения договора (при наличии такой информации);

г) о значительных легитимных интересах лица, ответственного за обработку, или третьего лица, если данные обрабатываются в соответствии с подпунктом «и» пункта первого статьи 5 настоящего Закона;

д) о личности офицера защиты персональных данных (при наличия такового) и контактную информацию;

е) о личности получателя данных или категориях получателей данных (при наличии таковых);

ж) о запланированной передаче данных и наличии надлежащих гарантий защиты данных, в том числе, о разрешении на передачу данных (при наличии такового), если лицо, ответственное за обработку, планирует передачу данных другому государству или международной организации;

з) о сроке хранения данных, а если определение конкретного срока невозможно, – о критериях определения срока;

и) о правах субъекта данных, предусмотренных главой III настоящего Закона.

2. Предоставление информации, предусмотренной пунктом первым настоящей статьи, не является обязательным при наличии разумного предположения о том, что субъект данных уже располагает указанной информацией.

3. Порядок, установленный пунктом первым настоящей статьи, не действует, если специальное законодательство устанавливает отличающийся порядок информирования субъекта данных при сборе данных от него и указанный порядок не вызывает нарушения основных прав и свобод субъекта данных. В таком случае при наличии письменного требования субъекта лицо, ответственное за обработку, обязано предоставить субъекту данных информацию, предусмотренную пунктом первым настоящей статьи, в течение 10 рабочих дней после требования, если нет оснований для ограничения права, предусмотренного статьей 21 настоящего Закона.

4. Срок предоставления информации, предусмотренной пунктом 3 настоящей статьи, в особых случаях и при надлежащем обосновании может быть продлен не более чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.

5. Лицо, ответственное за обработку, обязано предоставить информацию, предусмотренную пунктом первым настоящей статьи, субъекту данных, в особенности, если субъектом данных является несовершеннолетнее лицо, на простом и понятном для него языке. Предоставлять указанную информацию можно устно или письменно (в том числе, в электронной форме), за исключением случая, когда субъект данных требует получения информации в письменной форме.

Статья 25. Информирование субъекта данных, если сбор информации производится не непосредственно от него

1. Если сбор данных производится не непосредственно от субъекта данных, лицо, ответственное за обработку, обязано предоставить субъекту данных информацию, предусмотренную подпунктами «а»–«и» пункта первого статьи 24 настоящего Закона, а также сообщить, какие данные о нем обрабатываются и об источнике получения указанных данных, – в том числе, были ли данные добыты из публично доступного источника.

2. Лицо, ответственное за обработку, должно предоставить субъекту данных информацию, предусмотренную пунктом первым настоящей статьи, в разумный срок или, если указанные данные используются для установления связи с субъектом данных, при первой же с ним коммуникации, а если планируется разглашение данных, до разглашения данных, но не позднее 10 рабочих дней со дня получения данных, если нет оснований для ограничения права, предусмотренного статьей 21 настоящего Закона.

3. Обязательство по предоставлению информации, предусмотренное настоящей статьей, не распространяется на лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, если:

а) субъект данных уже располагает информацией, предусмотренной пунктом первым настоящей статьи;

б) сбор или разглашение данных установлены законом или требуются для выполнения обязанности, возложенной законодательством Грузии;

в) предоставление информации невозможно или требует непропорционально больших усилий или выполнение обязательства, предусмотренного настоящей статьей, причинит значительный вред либо сделает невозможным выполнение законной цели (целей) обработки данных. В таких случаях лицо, ответственное за обработку, должно принять надлежащие меры в защиту прав и легитимных интересов субъекта данных, в том числе, путем размещения общей информации о получении данных публично/в общедоступной форме.

Статья 26. Приоритет сокрытия данных в большей мере, как автоматически используемый исходный метод при создании нового продукта или новой услуги до выбора альтернативного подхода

1. Учитывая новые технологии, расходы на осуществление, характер, масштаб, контекст и цели обработки, а также ожидаемые риски для прав и свобод субъекта данных и принципы обработки данных, лицо, ответственное за обработку, как при определении средств обработки, так и непосредственно в процессе обработки должно принять надлежащие технические и организационные меры (в том числе, по псевдонимизации или (и) другие). Принятие указанных мер должно обеспечивать эффективную имплементацию принципов обработки данных и интегрирование в процесс обработки данных механизмов защиты с целью защиты прав субъекта данных.

2. Лицо, ответственное за обработку, при определении количества данных, масштаба обработки данных, сроков хранения данных и доступа к данным должно обеспечить принятие технических и организационных мер, при помощи которых автоматически будет обрабатываться только тот объем данных, который необходим для конкретной цели обработки. Указанные меры должны использоваться так, чтобы до выбора разрешенного альтернативного подхода для неопределенного круга лиц автоматически обеспечивался доступ только к минимальному объему данных.

Статья 27 . Безопасность данных

1. Лицо, ответственное за обработку, обязано принимать надлежащие технические и организационные меры для обеспечения обработки данных в соответствии с настоящим Законом и быть в состоянии подтвердить соответствие обработки данных настоящему Закону.

2. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны принимать организационные и технические меры, соответствующие возможным и сопутствующим угрозам при обработке данных (в том числе, в виде псевдонимизации данных, учета доступа к данным, механизмов информационной безопасности (конфиденциальность, целостность, доступность) и других), которые обеспечивают охрану данных от утери, незаконной обработки, в том числе, уничтожения, удаления, изменения, разглашения или использования.

3. При определении организационно-технических мер, необходимых для обеспечения безопасности данных, лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны учитывать категории, объем данных, цель, форму, средства обработки данных и возможные угрозы нарушения прав субъекта данных, а также периодически оценивать эффективность технических и организационных мер, принимаемых для обеспечения безопасности данных, и в случае необходимости обеспечивать принятие адекватных мер или (и) и обновление существующих мер для защиты безопасности данных.

4. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны обеспечить учет всех действий, осуществленных в отношении данных, существующих в электронной форме (в том числе, информации об инцидентах, сборе, изменении данных, доступе к ним, их разглашении (передаче), связывании и удалении). При обработке данных, существующих в неэлектронной форме, лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны обеспечить учет всех действий, связанных с разглашением или (и) изменением данных (в том числе, информации об инцидентах).

5. Любые сотрудники лица, ответственного за обработку, и лица, уполномоченного на обработку, участвующие в обработке данных или имеющие доступ к данным, обязаны не выходить за пределы предоставленных им полномочий, соблюдать секретность и конфиденциальность данных, в том числе, после прекращения служебных полномочий.

6. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны в соответствии с полномочиями сотрудников определять пределы их доступа к данным и осуществлять адекватные мероприятия для предупреждения, выявления и пресечения фактов незаконной обработки данных сотрудниками, в том числе, обеспечить информирование сотрудников по вопросам, касающимся безопасности данных.

Статья 28. Учет информации, связанной с обработкой данных, и сообщение Службе защиты персональных данных

1. Лицо, ответственное за обработку, и его специальный представитель (при наличии такового) обязаны обеспечить учет в письменной или электронной форме следующей информации, связанной с обработкой данных:

а) личность/наименование и контактная информация лица, ответственного за обработку, специального представителя, офицера защиты персональных данных, лиц, ответственных за совместную обработку, лица, уполномоченного на обработку;

б) цели обработки данных;

в) субъекты данных и категории данных;

г) категории получателей данных (в том числе, получателя данных в другом государстве или международной организации);

д) передача данных другому государству или международной организации, а также надлежащие гарантии защиты данных, в том числе, разрешение Службы защиты персональных данных (при наличии такового);

е) сроки хранения данных, а если определение конкретных сроков невозможно, критерии определения срока их хранения;

ж) общее описание организационно-технических мер, принятых для безопасности данных;

з) информация об инцидентах (при наличии таковой).

2. Каждое лицо, уполномоченное на обработку, и лицо, вовлеченное им в обработку данных в порядке, установленном пунктом 7 статьи 36 настоящего Закона, обязаны в письменной или электронной форме обеспечить учет следующей информации, связанной с обработкой данных:

а) личность/наименование и контактная информация лица, уполномоченного на обработку, офицера защиты персональных данных, лица, ответственного за обработку, лиц, ответственных за совместную обработку, специального представителя;

б) виды обработки данных, осуществляемой для лица, ответственного за обработку, или от его имени;

в) информация, предусмотренная подпунктом «д» пункта первого настоящей статьи, если оно участвует в процессе передачи данных другому государству или международной организации;

г) общее описание организационно-технических мер, принятых для обеспечения безопасности данных;

з) информация об инцидентах (при наличии таковой).

3. Лицо, ответственное за обработку, лица, ответственные за совместную обработку, лицо, уполномоченное на обработку, и специальный представитель должны по соответствующему требованию, но не позднее 3 рабочих дней предоставить Службе защиты персональных данных информацию, предусмотренную пунктами первым и 2 настоящей статьи.

4. Один экземпляр определения судьи о выдаче разрешения на проведение тайного следственного действия, требуемого правоохранительным органом, или отказа в выдаче разрешения на его проведение, содержащий только реквизиты и резолютивную часть, а также один экземпляр определения судьи о признании законным/незаконным тайного следственного действия, проведенного правоохранительным органом без разрешения суда, содержащий только реквизиты и резолютивную часть, представляются Службе защиты персональных данных в порядке, установленном Уголовно-процессуальным кодексом Грузии.

5. Компания электронной коммуникации должна известить Службу защиты персональных данных о передаче правоохранительному органу в порядке, установленном статьей 136 Уголовно-процессуального кодекса Грузии, данных, идентифицирующих электронную коммуникацию, в течение 24 часов после передачи этих данных.

6. В случае безотлагательной необходимости постановление прокурора о производстве тайного следственного действия, содержащее только реквизиты и резолютивную часть, прокурор или по поручению прокурора – следователь представляет в материальном (документальном) виде Службе защиты персональных данных не позднее 12 часов со времени начала тайного следственного действия, указанного в постановлении.

7. Электронный экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 143¹ Уголовно-процессуального кодекса Грузии, содержащий только реквизиты и резолютивную часть, а также электронный экземпляр постановления прокурора о производстве указанного тайного следственного действия, содержащий только реквизиты и резолютивную часть, Агентство незамедлительно по принятии предоставляет Службе защиты персональных данных через электронную систему контроля.

Статья 29. Обязательство по извещению Службы защиты персональных данных об инциденте

1. Лицо, ответственное за обработку, обязано вести учет инцидентов, наступивших последствий, принятых мер и не позднее 72 часов с момента обнаружения инцидента известить о нем в письменной или электронной форме Службу защиты персональных данных, за исключением случая маловероятности того, что инцидент вызовет значительный вред или (и) создаст значительную угрозу основным правам и свободам человека.

2. Лицо, уполномоченное на обработку, обязано незамедлительно известить об инциденте лицо, ответственное за обработку.

3. Извещение, предусмотренное пунктом первым настоящей статьи, должно содержать следующую информацию:

а) об обстоятельствах, виде и времени инцидента;

б) о предполагаемых категориях и количествах данных, которые в результате инцидента были разглашены, повреждены, удалены, уничтожены, добыты, утеряны, изменены без разрешения, а также предполагаемых категориях и численности субъектов данных, которым была создана угроза в результате инцидента;

в) о предполагаемом вреде, вызванном инцидентом, мероприятиях, осуществляемых или запланированных лицом, ответственным за обработку, с целью сокращения или устранения вреда;

г) о том, планирует ли лицо, ответственное за обработку, сообщить об инциденте субъекту данных (субъектам данных) в порядке, установленном статьей 30 настоящего Закона, и в какой срок;

д) данные офицера защиты персональных данных или другого контактного лица.

4. Если предоставление информации, предусмотренной пунктом 3 настоящей статьи, целиком и в полном объеме невозможно, лицо, ответственное за обработку, вправе по согласованию со Службой защиты персональных данных в разумный срок предоставлять информацию поэтапно.

5. Если согласно извещению, представленному Службе защиты персональных данных, лицо, ответственное за обработку, не обеспечит или не сможет обеспечить информирование субъекта данных (субъектов данных) об инциденте, Служба защиты персональных данных с учетом обстоятельств инцидента, предполагаемого вреда или (и) численности субъектов данных правомочна опубликовать имеющуюся у нее информацию об инциденте, за исключением случая наличия одного из обстоятельств, предусмотренных пунктом 3 статьи 30 настоящего Закона.

6. Порядок, установленный пунктом 5 настоящей статьи, не действует, если сообщение, предусмотренное пунктом первым настоящей статьи, сопровождается указанием публичного или частного учреждения, ответственного за обработку данных, о том, что опубликование информации об инциденте создает угрозу:

а) интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны;

б) интересам общественной безопасности;

7. Служба защиты персональных данных правомочна в случаях, предусмотренных пунктом 6 настоящей статьи, не предавать огласке информацию и в том случае, если сообщение не сопровождается каким-либо из указаний, предусмотренных подпунктами «а»–«г» пункта 6 настоящей статьи.

8. На обстоятельство, предусмотренное соответствующим подпунктом, определенным пунктом 6 настоящей статьи, Службе защиты персональных данных лицо, ответственное за обработку, указывает в извещении об инциденте в порядке, установленном пунктом 9 настоящей статьи.

9. Критерии определения инцидента, содержащего значительную угрозу основным правам и свободам человека, предусмотренного пунктом первым настоящей статьи, порядок извещения Службы защиты персональных данных об указанном инциденте устанавливаются нормативным актом Начальника Службы защиты персональных данных.

10. На предусмотренное пунктом 6 настоящей статьи надлежащее обстоятельство, определенное соответствующим подпунктом, публичное учреждение, ответственное за обработку данных, указывает в соответствии с собственной компетенцией/сферой действия.

11. Основание информационной безопасности и кибербезопасности, предусмотренное подпунктом «а» пункта 6 настоящей статьи, субъект критической информационной системы, с учетом его категории указывает по согласованию с соответствующим компетентным ведомством в сфере информационной безопасности и кибербезопасности.

Статья 30. Обязательство по информированию субъекта данных об инциденте

1. При наличии высокой вероятности того, что инцидент вызовет значительный вред или (и) создаст значительную угрозу основным правам и свободам человека, лицо, ответственное за обработку, обязано при первой же возможности после обнаружения инцидента без неоправданного промедления известить субъекта данных об инциденте и предоставить ему на простом и понятном для него языке следующую информацию:

а) общее описание инцидента и связанных с ним обстоятельств;

б) о предполагаемом/наступившем вреде, вызванном инцидентом, мероприятиях, осуществляемых или запланированных с целью сокращения или устранения вреда;

в) контактные данные офицера персональных данных или других лиц.

2. Если информирование субъекта данных требует непропорционально больших расходов или усилий, лицо, ответственное за обработку, обязано распространить информацию, предусмотренную пунктом первым настоящей статьи, публично или в другой форме, которая надлежащим образом обеспечивает возможность получения информации субъектом данных.

3. Обязательство, предусмотренное пунктами первым и 2 настоящей статьи, не возникает при наличии одного из следующих обстоятельств:

а) информирование об инциденте субъекта данных создает угрозу интересам охраны государственной тайны, интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны, интересам общественной безопасности, предупреждения преступлений, оперативно-розыскной деятельности, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты;

б) лицом, ответственным за обработку, приняты соответствующие меры безопасности, в результате чего была предотвращена значительная угроза нарушения основных прав и свобод человека.

4. Критерии определения инцидента, содержащего значительную угрозу для основных прав и свобод человека, предусмотренного пунктом первым настоящей статьи, порядок извещения об указанном инциденте Службы защиты персональных данных устанавливаются нормативным актом Начальника службы защиты персональных данных.

Статья 31. Оценка влияния на защиту данных

1. Если при обработке данных с учетом новых технологий, категории, объема данных, целей и средств обработки данных с высокой вероятностью создается угроза ущемления основных прав и свобод человека, лицо, ответственное за обработку, обязано предварительно осуществить оценку влияния на защиту данных.

2. За исключением случая, предусмотренного пунктом первым, осуществлять оценку влияния на защиту данных обязательно, если лицо, ответственное за обработку:

а) принимает решения, имеющие результаты правового, финансового или иного существенного значения для субъекта данных, полностью автоматизировано, в том числе на основании профайлинга;

б) обрабатывает данные особой категории большого количества субъектов данных;

в) осуществляет систематический и масштабный мониторинг поведения субъектов данных в общественных местах.

3. При оценке влияния на защиту данных лицо, ответственное за обработку, обязано создать письменный документ, содержащий:

а) описание категории данных, целей, пропорциональности, процесса и оснований их обработки;

б) оценку возможных угроз ущемления основных прав и свобод человека и описание организационно-технических мер, предусмотренных с целью защиты безопасности данных.

4. В случае существенного изменения процесса обработки данных лицо, ответственное за обработку, обязано обновить документ оценки влияния на защиту данных. Лицо, ответственное за обработку, обязано хранить документ оценки влияния на защиту данных в течение всего периода обработки данных, а в случае прекращения обработки данных – на срок не менее 1 года.

5. Если в результате оценки влияния на защиту данных будет выявлена высокая угроза ущемления основных прав и свобод человека, лицо, ответственное за обработку, обязано принимать все необходимые меры для существенного сокращения угроз и в случае необходимости обращаться в Службу защиты персональных данных для консультации. Если при помощи дополнительных организационно-технических мер невозможно существенно сократить угрозу ущемления основных прав и свобод человека, обработка данных не должна осуществляться.

6. В случае обращения в Службу защиты персональных данных на основании пункта 5 настоящей статьи лицо, ответственное за обработку, должно предоставить:

а) информацию о полномочиях лица, ответственного за обработку, лиц, ответственных за совместную обработку, и лица, уполномоченного на обработку;

б) информацию о целях и средствах запланированной обработки данных;

в) информацию о мерах безопасности, определенных для защиты прав и свобод субъекта данных;

г) контактную информацию офицера защиты персональных данных (при наличии такового);

д) оценку влияния на защиту данных;

е) другую (дополнительную) информацию при наличии требования, исходящего от Службы защиты персональных данных.

7. Большим количеством субъектов данных считается не менее 3 процентов населения Грузии, которые исчисляются по результатам последней переписи населения.

8. Документ влияния на защиту данных, определенный пунктом 3 настоящей статьи, не подлежит опубликованию, если тем самым может создаваться угроза интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны, интересам общественной безопасности, предотвращению преступлений, оперативно-розыскной деятельности, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты, преобладающим легитимным интересам лица, ответственного за обработку, или лица, уполномоченного на обработку.

9. Критерии установления обстоятельств, порождающих обязательство по оценке влияния на защиту данных, предусмотренное пунктом первым настоящей статьи, и порядок осуществления оценки устанавливаются нормативным актом Начальника Службы защиты персональных данных.

Статья 32.Обязательства лица, ответственного за обработку, в случаях получения согласия от субъекта данных и отзыва им согласия

1. Если лицо, ответственное за обработку, планирует получить письменное согласие субъекта данных при помощи документа, который касается также других вопросов, лицо, ответственное за обработку, обязано текст, касающийся согласия, изложить в указанном документе четким, простым и понятным языком и выделить его из других частей документа.

2. Если согласие субъекта данных выдано в рамках договора или услуг, при определении добровольности согласия, помимо других обстоятельств, следует оценить, является ли указанное согласие обязательным условием договора или услуги и можно ли получить соответствующую услугу/заключить договор без указанного согласия.

3. До получения согласия от субъекта данных лицо, ответственное за обработку, должно обеспечить информирование субъекта данных о праве на отзыв согласия.

4. Лицо, ответственное за обработку, в случае отзыва согласия субъектом данных обязано незамедлительно прекратить обработку данных и удалить или уничтожить обработанные данные, если настоящим Законом не установлено иное.

5. Обязательство, определенное пунктом 4 настоящей статьи, не распространяется на случай, предусмотренный пунктом 3 статьи 16 настоящего Закона.

6. Отзыв согласия субъектом данных не влечет отмены правовых последствий, возникших до отзыва согласия и в рамках согласия.

7. На основании требования субъекта данных или в случае, если указанное порождает результат, имеющий правовое, финансовое или иное существенное значение для субъекта данных, лицо, ответственное за обработку, обязано до отзыва согласия субъектом данных предоставить ему информацию о последствиях отзыва согласия.

8. Лицо, ответственное за обработку, обязано обеспечить безвозмездный, простой и доступный механизм отзыва согласия, в том числе, обеспечить возможность отзыва согласия в той же форме, в которой согласие было выдано.

9. В случае возникновения спора, касающегося наличия согласия субъекта данных на обработку данных, на лицо, ответственное за обработку, возлагается бремя доказывания наличия факта согласия субъекта данных.

Статья 33. Офицер защиты персональных данных

1. Публичное учреждение, страховая организация, коммерческий банк, микрофинансовая организация, кредитное бюро, компания электронной коммуникации, авиакомпания, аэропорт, медицинское учреждение, а также лицо, ответственное за обработку/лицо, уполномоченное на обработку, обрабатывающие данные большого количества субъектов данных или осуществляющие систематический и масштабный мониторинг их поведения, обязаны назначить или определить офицера защиты персональных данных. Офицер защиты персональных данных обеспечивает:

а) информирование по вопросам, касающимся защиты данных, в том числе, о принятии или изменении регулирующих правовых норм, лица, ответственного за обработку, лица, уполномоченного на обработку, и их сотрудников, оказание им консультации и методологической помощи;

б) участие в разработке внутренних регуляций, связанных с обработкой данных, и документа оценки влияния на защиту данных, а также мониторинг исполнения лицом, ответственным за обработку, или лицом, уполномоченным на обработку, законодательства Грузии и внутриорганизационных документов;

в) анализ поступивших заявлений и жалоб, касающихся обработки данных, и выдачу соответствующих рекомендаций;

г) получение консультаций от Службы защиты персональных данных, представительство лица, ответственного за обработку, и лица, уполномоченного на обработку, в отношениях со Службой защиты персональных данных, предоставлении по ее требованию информации и документов, координацию и мониторинг выполнения ее заданий и рекомендаций;

д) в случае обращения субъекта данных предоставление ему информации о процессах обработки данных и его правах;

е) выполнение лицом, ответственным за обработку, или лицом, уполномоченным на обработку, других функций с целью повышения стандартов обработки данных.

2. Другие лица, ответственные за обработку, за исключением случаев, предусмотренных пунктом первым настоящей статьи, вправе по собственному усмотрению назначать или определять офицера защиты персональных данных.

3. Функцию офицера защиты персональных данных может (могут) выполнять сотрудник лица, ответственного за обработку, или лица, уполномоченного на обработку, или другое лицо (лица) на основании договора об услугах. Офицер защиты персональных данных вправе выполнять и другую функцию, если это не порождает конфликта интересов.

4. Лица, ответственные за обработку, или лица, уполномоченные на обработку, могут назначать или определять общего офицера защиты персональных данных, если будет обеспечено полноценное исполнение офицером защиты персональных данных своих функций. Если лицом, ответственным за обработку, или лицом, уполномоченным на обработку, является публичное учреждение, допускается также определение или назначение общего офицера защиты персональных данных для нескольких государственных учреждений с учетом организационной структуры и величины указанных организаций.

5. Офицер защиты персональных данных должен иметь надлежащие знания в сфере защиты данных.

6. Офицер защиты персональных данных в зависимости от конкретных обстоятельств должен быть подотчетен структуре управления максимально высокого уровня.

7. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, должны обеспечивать надлежащую вовлеченность офицера защиты персональных данных в процесс принятия важных решений, связанных с обработкой данных, обеспечивать его соответствующими ресурсами, а также обеспечивать его независимость при осуществлении деятельности.

8. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны в течение 10 рабочих дней со дня назначения или определения, а также замены офицера защиты персональных данных сообщить его личные данные и контактную информацию Службе защиты персональных данных, которая публикует указанную информацию. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны проактивно публиковать личные данные и контактную информацию офицера защиты персональных данных на веб-странице (при наличии таковой) или при помощи других доступных средств.

9. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, в случае временного отсутствия офицера защиты персональных данных или прекращения его полномочий обязаны без неоправданного промедления наделить полномочиями офицера защиты персональных данных другое лицо.

10. Круг лиц, ответственных за обработку, и лиц, уполномоченных на обработку, у которых нет обязательства по назначению или определению офицера защиты персональных данных, определяется нормативным актом Начальника Службы защиты персональных данных. При определении круга указанных лиц Начальник Службы защиты персональных данных должен учитывать критерии, установленные пунктом первым настоящей статьи.

Статья 34. Специальный представитель

1. В случае обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку, зарегистрированными за пределами границ Грузии, при помощи технических средств, имеющихся в Грузии, лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязаны до обработки данных при помощи технических средств, имеющихся в Грузии, назначить или определить специального представителя в Грузии. Специальный представитель регистрируется в порядке, установленном нормативным актом, изданным Службой защиты персональных данных.

2. В случае, предусмотренном пунктом первым настоящей статьи, у лица, ответственного за обработку, право на обработку данных возникает только после регистрации специального представителя.

3. Специальный представитель обязан выполнять предъявляемые ему Начальником Службы защиты персональных данных требования, или (и) решения, принятые в порядке, установленном законом.

4. Субъект данных вправе требовать через специального представителя осуществления своего права в отношении лица, ответственного за обработку/лица, уполномоченного на обработку, зарегистрированного за пределами границ Грузии.

5. Назначение специального представителя не освобождает лицо, ответственное за обработку/лицо, уполномоченное на обработку, зарегистрированного за пределами границ Грузии, от обязательства по реагированию на предъявляемые им Начальником Службы защиты персональных данных требования или (и) решения, принятые в порядке, установленном законом.

6. Обязательство, предусмотренное пунктом первым настоящей статьи, не распространяется на лицо, ответственное за обработку/лицо, уполномоченное на обработку, учрежденное в государствах-членах Евросоюза, и на него распространяются правила защиты персональных данных, действующие в Евросоюзе.

7. Обязательство, предусмотренное пунктом первым настоящей статьи, не распространяется на лицо, ответственное за обработку/лицо, уполномоченное на обработку, учрежденное в государстве с адекватной защитой данных, признанном Евросоюзом.

Статья 35. Лица, ответственные за совместную обработку

1. Если в обработку данных вовлечены лица, ответственные за совместную обработку, они обязаны предварительно в письменной форме определить обязательства и ответственность каждого в связи с исполнением требований настоящего Закона, в том числе, в связи с обязательствами по защите прав субъекта данных и обязательствами, предусмотренными статьями 13–20, 24 и 25 настоящего Закона.

2. Если совместная обработка данных предусмотрена законодательством Грузии, обязательства и ответственность каждого лица, ответственного за совместную обработку, определяются соответствующим правовым актом или (и) письменным соглашением.

3. Информация о распределении обязательств и ответственности между лицами, ответственными за совместную обработку, должна быть доступна для субъекта данных. Субъект данных не ограничивается в праве на индивидуальное обращение к каждому лицу, ответственному за совместную обработку.

Статья 36. Лицо, уполномоченное на обработку

1. Лицо, уполномоченное на обработку, может обрабатывать данные только на основании правового акта или письменного соглашения, заключенного с лицом, ответственным за обработку, определяющего основания и цели обработки данных, категории обрабатываемых данных, срок обработки данных, права и обязанности лица, ответственного за обработку, и лица, уполномоченного на обработку.

2. Письменное соглашение, предусмотренное пунктом первым настоящей статьи, должно также содержать следующие обязательства лица, уполномоченного на обработку:

а) обрабатывать данные только в соответствии с письменным заданием или указанием лица, ответственного за обработку;

б) обеспечить, чтобы у физического лица, непосредственно участвующего в обработке данных, было обязательство по соблюдению конфиденциальности;

в) обеспечивать безопасность данных в соответствии с настоящим Законом;

г) удалить или передать лицу, ответственному за обработку, данные в случае отмены или прекращения действия соглашения, предусмотренного пунктом первым настоящей статьи, а также удалить их копии, если обязательство по их хранению не установлено законодательством Грузии;

д) для обеспечения соответствия обязательствам, установленным настоящим Законом, предоставлять лицу, ответственному за обработку, надлежащую информацию и содействовать осуществлению им мониторинга обработки данных.

3. Предусмотренные пунктом первым настоящей статьи правовой акт или письменное соглашение, заключенное с лицом, ответственным за обработку, в целях обеспечения безопасности данных и защиты прав субъекта могут предусматривать обязательство по оказанию помощи лицом, уполномоченным на обработку, лицу, ответственному за обработку.

4. Не допускается осуществление лицом, уполномоченным на обработку, последующей обработки данных с целью, отличающейся от целей, определенных соглашением или правовым актом.

5. Обработка данных при помощи лица, уполномоченного на обработку, допускается только в случае, если лицо, уполномоченное на обработку, для защиты прав субъекта данных и соблюдения требований закона обеспечивает принятие соответствующих организационных и технических мер. Не допускается заключать соглашение об обработке данных, если исходя из деятельности или (и) целей лица, уполномоченного на обработку, существует высокая угроза нецелевой обработки данных или ущемления прав субъекта данных.

6. Лицо, ответственное за обработку, обязано предварительно требовать от лица, уполномоченного на обработку, информацию об обработке данных в соответствии с законом и осуществлять мониторинг обработки данных лицом, уполномоченным на обработку.

7. Если законодательством Грузии не установлено иное, не допускается полная или частичная передача лицом, уполномоченным на обработку, своих прав и обязанностей другому лицу без предварительного письменного согласия лица, ответственного за обработку. Согласие лица, ответственного за обработку, не освобождает лицо, уполномоченное на обработку, от соответствующих обязательств и ответственности.

8. Если законодательством Грузии не установлено иное, в случае возникновения между лицом, уполномоченным на обработку, и лицом, ответственным за обработку, спора, связанного с обработкой данных, лицо, уполномоченное на обработку, обязано незамедлительно прекратить обработку данных и полностью передать имеющиеся у него данные лицу, ответственному за обработку.

9. В случае отмены или прекращения действия правового акта (или соответствующей нормы) или письменного соглашения, предусмотренных пунктом первым настоящей статьи, обработка данных должна быть прекращена, и обработанные данные должны быть незамедлительно и полностью переданы лицу, ответственному за обработку.

10. Лицо, уполномоченное на обработку, обязано принимать надлежащие организационно-технические меры, чтобы оказать помощь лицу, ответственному за обработку, в выполнении обязательств, связанных с осуществлением им прав субъекта данных.

Глава V

Международная передача данных

Статья 37. Передача данных другим государствам и международным организациям

1. Передача данных другим государствам и международным организациям допускается при наличии требований по обработке данных, предусмотренных настоящим Законом, и если в соответствующем государстве или международной организации обеспечены надлежащие гарантии защиты данных и защиты прав субъекта данных.

2. Помимо пункта первого настоящей статьи, передача данных другому государству и международной организации допускается, если:

а) передача данных предусмотрена международным договором и соглашением Грузии;

б) лицо, ответственное за обработку, обеспечивает надлежащие гарантии защиты данных договором, заключенным между лицом, ответственным за обработку, и соответствующим государством, надлежащим публичным учреждением, юридическим лицом или физическим лицом такого государства или международной организацией;

в) передача данных предусмотрена Уголовно-процессуальным кодексом Грузии (с целью осуществления следственных действий), Законом Грузии «О правовом положении иностранцев и лиц без гражданства», Законом Грузии «О международном сотрудничестве в сфере уголовного права», Законом Грузии «О международном сотрудничестве в правоохранительной сфере», нормативными актами, принятыми на основании Органического закона Грузии «О Национальном банке Грузии» или Закона Грузии «О содействии пресечению отмывания денег и финансирования терроризма»;

г) субъект данных изъявит согласие в письменной форме после получения информации об отсутствии в соответствующем государстве надлежащих гарантий защиты данных и возможных угрозах;

д) передача данных необходима для защиты жизненно важных интересов субъекта данных и субъект данных физически или в правовом отношении не в состоянии изъявить согласие на обработку данных;

е) в соответствии с законом существует значимый публичный интерес (в том числе, предупреждение, расследование, выявление преступлений и уголовное преследование, исполнение наказаний и осуществление оперативно-розыскных мероприятий) и передача данных является необходимой и пропорциональной мерой в демократическом обществе.

3. Передача данных на основании подпункта «б» пункта 2 настоящей статьи может осуществляться только после получения разрешения от Службы защиты персональных данных, порядок выдачи которого устанавливается нормативным актом Начальника Службы защиты персональных данных.

4. В случае передачи данных по какому-либо из оснований, предусмотренных пунктом 2 настоящей статьи, лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязаны принимать организационные и технические меры, необходимые для безопасной передачи данных.

5. В случае передачи данных на основании подпункта «б» пункта 2 настоящей статьи соглашение о передаче данных должно предусматривать обладающие правовой силой условия, обязательные к исполнению.

6. Последующая передача третьей стороне данных, переданных другому государству и международной организации, допускается только в случае, если последующая передача данных служит первоначальным целям и удовлетворяет основаниям, предусмотренным настоящей статьей для передачи данных, и надлежащим гарантиям защиты данных.

Статья 38. Установление надлежащих гарантий защиты данных

1. Наличие в другом государстве или (и) международной организации надлежащих гарантий защиты данных оценивает Служба защиты персональных данных на основании международных обязательств, взятых в связи с защитой персональных данных, и регулирующего законодательства, гарантий защиты прав и свобод субъекта данных (в том числе, механизмов эффективной правовой защиты), правил последующей международной передачи данных, установления наличия независимого надзорного органа защиты данных, анализа полномочий и деятельности этого органа.

2. Перечень государств и международных организаций, в которых обеспечены надлежащие гарантии защиты данных, определяется нормативным актом Начальника Службы защиты персональных данных.

3. Перечень, определенный нормативным актом Начальника Службы защиты персональных данных, должен пересматриваться по меньшей мере раз в 3 года. Если государство или (и) международная организация более не удовлетворяют условиям, предусмотренным пунктом первым настоящей статьи, в перечень, определенный нормативным актом, должны быть внесены соответствующие изменения, не имеющие обратной силы.

Глава VI

Принципы деятельности и гарантии осуществления полномочий Службы защиты персональных данных, полномочия, избрание, неприкосновенность, должностная несовместимость и досрочное прекращение полномочий Начальника Службы защиты персональных данных

Статья 39. Статус и принципы деятельности Службы защиты персональных данных

1. Служба защиты персональных данных является независимым государственным органом, созданным и действующим на основании закона.

2. Служба защиты персональных данных при осуществлении деятельности руководствуется Конституцией Грузии, международными договорами Грузии, общепризнанными принципами и нормами международного права, настоящим Законом и другими надлежащими правовыми актами.

3. Принципами деятельности Службы защиты персональных данных являются:

а) законность;

б) защита прав и свобод человека;

в) независимость и политический нейтралитет;

г) объективность и беспристрастность;

д) профессионализм;

е) соблюдение секретности и конфиденциальности.

4. Порядок представления Службой защиты персональных данных отчета Парламенту Грузии определяется настоящим Законом и Регламентом Парламента Грузии.

Статья 40. Полномочия Начальника Службы защиты персональных данных

1. Начальник Службы защиты персональных данных:

а) руководит Службой защиты персональных данных и принимает решения по вопросам, связанным с деятельностью указанной Службы;

б) определяет структуру Службы защиты персональных данных, полномочия структурных единиц и сотрудников, а также устанавливает порядок прохождения службы сотрудниками Службы защиты персональных данных;

в) в соответствии с законодательством Грузии утверждает штатное расписание, порядок и размеры оплаты труда сотрудников Службы защиты персональных данных;

г) определяет функции и обязанности первого заместителя и заместителя Начальника Службы защиты персональных данных и делегирует им свои полномочия;

д) назначает на должность и освобождает от должности сотрудников Службы защиты персональных данных;

е) присваивает сотрудникам Службы защиты персональных данных (за исключением лиц, работающих по трудовому договору) государственные специальные звания (далее – специальные звания) и понижает их в специальном звании в порядке, установленном законодательством Грузии;

ж) представляет Службу защиты персональных данных в отношениях с государственными органами, международными и другими организациями;

з) обеспечивает охрану и целевое использование государственного имущества, переданного Службе защиты персональных данных;

и) осуществляет другие полномочия в соответствии с законом.

2. Начальник Службы защиты персональных данных в пределах своих полномочий издает подзаконный нормативный акт – приказ по вопросам, касающимся деятельности Службы защиты персональных данных.

3. Начальник Службы защиты персональных данных на основании и во исполнение надлежащего нормативного акта в пределах своих полномочий издает индивидуальные правовые акты, в том числе, решения, приказы, указания.

Статья 41. Избрание Начальника Службы защиты персональных данных и срок его полномочий

1. На должность Начальника Службы защиты персональных данных может быть избран не имеющий судимости гражданин Грузии с высшим юридическим образованием и не менее чем 5-летним опытом работы в системе органов правосудия или правоохранительных органов либо сфере защиты прав человека, с высокой профессиональной и моральной репутацией.

2. Конкурс по отбору Начальника Службы защиты персональных данных объявляется и конкурсная комиссия образуется приказом Премьер-министра Грузии. Членами указанной конкурсной комиссии являются:

а) представитель Правительства Грузии;

б) Председатель Комитета Парламента Грузии по защите прав человека и гражданской интеграции;

в) Председатель Комитета Парламента Грузии по юридическим вопросам;

г) заместитель Председателя Верховного Суда Грузии;

д) первый заместитель или заместитель Генерального прокурора Грузии;

е) Народный Защитник Грузии или представитель Народного Защитника Грузии;

ж) лицо с надлежащим опытом, отобранное Народным Защитником Грузии в порядке открытого конкурса или без конкурса из числа членов непредпринимательского (некоммерческого) юридического лица, имеющее опыт работы в сфере защиты прав человека или (и) сфере защиты данных. (29.05.2024 N4210)

3. Не ранее 14 недель и не позднее 12 недель до истечения срока полномочий Начальника Службы защиты персональных данных, а в случае досрочного прекращения его полномочий – в 2-недельный срок со дня прекращения полномочий ведомства и учреждения, определенные пунктом 2 настоящей статьи, сообщают Премьер-министру Грузии сведения о членах конкурсной комиссии по отбору Начальника Службы защиты персональных данных. После сообщения всеми указанными ведомствами и учреждениями Премьер-министру Грузии сведения о членах конкурсной комиссии или в течение 7 дней со дня истечения срока представления членов конкурсной комиссии Премьер-министр Грузии созывает первое заседание конкурсной комиссии. Заседание конкурсной комиссии правомочно, если на нем присутствует большинство полного состава конкурсной комиссии. Конкурсная комиссия на первом заседании большинством голосов из числа своих членов избирает председателя конкурсной комиссии и в недельный срок утверждает Положение о конкурсной комиссии по отбору Начальника Службы защиты персональных данных, которым определяются порядок деятельности конкурсной комиссии, а также срок и порядок представления ей кандидатур на должность Начальника Службы защиты персональных данных. Указанное Положение подлежит опубликованию. (29.05.2024 N4210)

4. Конкурсная комиссия по отбору Начальника Службы защиты персональных данных большинством голосов полного состава выбирает не менее 2 и не более 5 кандидатур на должность Начальника Службы защиты персональных данных и представляет их Премьер-министру Грузии. С учетом числа выбранных кандидатур должно быть максимально обеспечено равное представительство кандидатов разных полов. (29.05.2024 N4210)

5. Премьер-министр Грузии в 10-дневный срок представляет Парламенту Грузии 2 кандидатуры для избрания на должность Начальника Службы защиты персональных данных.

6. Парламент Грузии не позднее 14 дней после представления кандидатур в порядке, установленном Регламентом Парламента Грузии, избирает Начальника Службы защиты персональных данных. Если указанный срок полностью или частично совпадает с периодом между сессиями Парламента Грузии, срок, определенный настоящим пунктом для избрания Начальника Службы защиты персональных данных, продлевается на соответствующее время. Если Парламент Грузии не сможет избрать Начальника Службы защиты персональных данных путем голосования или оба кандидата до голосования откажутся от избрания на должность Начальника Службы защиты персональных данных, Премьер-министр Грузии в 2-недельный срок объявляет повторный конкурс.

7. Если Начальник Службы защиты персональных данных избран до истечения срока полномочий Начальника Службы защиты персональных данных, находящегося в должности, полномочия вновь избранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем истечения срока полномочий Начальника Службы защиты персональных данных, находящегося в должности. Если Начальник Службы защиты персональных данных избран после истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных, находящегося в должности, полномочия вновь избранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем его избрания.

8. Срок полномочий Начальника Службы защиты персональных данных – 6 лет. Лицо не может быть избрано на должность Начальника Службы защиты персональных данных дважды подряд. Начальник Службы защиты персональных данных не может исполнять свои обязанности после истечения срока его полномочий или досрочного прекращения полномочий.

Статья 42. Первый заместитель и заместитель Начальника Службы защиты персональных данных

1. У Начальника Службы защиты персональных данных имеются первый заместитель и заместитель, которых он назначает на должность приказом. В случае истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных полномочия первого заместителя и заместителя Начальника Службы защиты персональных данных прекращаются, как только вновь избранный Начальник Службы защиты персональных данных приступит к осуществлению полномочий в порядке, установленном настоящим Законом.

2. В случае отсутствия Начальника Службы защиты персональных данных, неосуществления им полномочий, приостановления его полномочий, истечения их срока или досрочного их прекращения полномочия Начальника Службы защиты персональных данных осуществляет первый заместитель Начальника Службы защиты персональных данных, а в случае отсутствия его первого заместителя – заместитель Начальника Службы защиты персональных данных. При исполнении полномочий Начальника Службы защиты персональных данных первый заместитель и заместитель Начальника Службы защиты персональных данных пользуются полномочиями и правовыми гарантиями, предоставленными Начальнику Службы защиты персональных данных.

Статья 43. Неприкосновенность Начальника Службы защиты персональных данных

1. Начальник Службы защиты персональных данных неприкосновенен. Привлечение Начальник Службы защиты персональных данных к уголовной ответственности, его задержание или арест, обыск его места жительства или рабочего места, машины или личный обыск допускаются только с предварительного согласия Парламента Грузии. Исключением является случай задержания при совершении преступления, о чем незамедлительно уведомляется Парламент Грузии. Если Парламент Грузии в течение 48 часов не даст согласия, задержанный или арестованный Начальник Службы защиты персональных данных должен быть освобожден незамедлительно.

2. В случае дачи согласия Парламентом Грузии на задержание или арест Начальника Службы защиты персональных данных его полномочия приостанавливаются постановлением Парламента Грузии до вынесения постановления/определения о прекращении уголовного преследования или вступления в законную силу приговора суда.

3. Личную безопасность Начальника Службы защиты персональных данных обеспечивают соответствующие государственные органы в установленном порядке.

Статья 44. Должностная несовместимость Начальника Службы защиты персональных данных

1. Должность Начальника Службы защиты персональных данных несовместима с членством в органе государственной власти и представительном органе муниципалитета, публичной службой, любой должностью на публичной службе и другой оплачиваемой деятельностью, за исключением научной, педагогической деятельности и деятельности в сфере искусств. Начальник Службы защиты персональных данных не может заниматься предпринимательской деятельностью, непосредственно осуществлять полномочия постоянно действующего руководителя субъекта предпринимательской деятельности, члена его наблюдательного, контрольного, ревизионного или консультативного органа, быть членом политической партии или участвовать в политической деятельности.

2. Начальнику Службы защиты персональных данных запрещается участвовать в собраниях и манифестациях в поддержку или против политических объединений граждан.

3. Лицо, избранное на должность Начальника Службы защиты персональных данных, обязано в 10-дневный срок со дня избрания прекратить деятельность, несовместимую с должностью, или уйти с должности, несовместимой с его статусом. Пока лицо, избранное на должность Начальника Службы защиты персональных данных, не прекратит деятельность, несовместимую с должностью, или не уйдет с должности, несовместимой с его статусом, оно неправомочно приступать к осуществлению полномочий Начальника Службы защиты персональных данных. Если Начальник Службы защиты персональных данных в указанный срок не выполнит требование, установленное настоящим пунктом, его полномочия прекращаются досрочно.

Статья 45. Досрочное прекращение полномочий Начальника Службы

защиты персональных данных

1. Полномочия Начальника Службы защиты персональных данных прекращаются досрочно в случае:

а) утраты им гражданства Грузии;

б) невозможности исполнения им своих полномочий в течение 4 месяцев подряд ввиду состояния здоровья;

в) вступления в законную силу вынесенного в отношении него обвинительного приговора суда;

г) признания его судом поддерживаемым лицом (если решением суда не определено иное), безвестно отсутствующим или объявления умершим;

д) занятия им должности, несовместимой со статусом, или осуществления деятельности, несовместимой с должностью;

е) добровольного ухода с должности;

ж) его смерти.

2. В случае, предусмотренном пунктом первым настоящей статьи, полномочия Начальника Службы защиты персональных данных считаются прекращенными досрочно с момента наступления соответствующего обстоятельства, о чем Председатель Парламента Грузии незамедлительно сообщает Парламенту Грузии. Парламент Грузии прекращает полномочия Начальника Службы защиты персональных данных на основании принятия информации Председателя Парламента Грузии к сведению.

Статья 46. Организационное и финансовое обеспечение Службы защиты персональных данных

1. Структура Службы защиты персональных данных, порядок деятельности и правила распределения полномочий между ее сотрудниками устанавливаются Положением о Службе защиты персональных данных, которое утверждает Начальник Службы защиты персональных данных.

2. Сотрудники Службы защиты персональных данных (за исключением Начальника Службы защиты персональных данных, его первого заместителя и заместителя) являются публичными служащими. На сотрудников Службы защиты персональных данных распространяется действие Закона Грузии «О публичной службе» в порядке, установленном тем же Законом, если настоящим Законом или изданным на основании настоящего Закона нормативным актом Начальника Службы защиты персональных данных не установлено иное.

3. Деятельность Начальника Службы защиты персональных данных финансируется из государственного бюджета Грузии. Ассигнования, необходимые для деятельности Службы защиты персональных данных, определяются отдельным кодом Государственного бюджета Грузии. Сокращение в государственном бюджете Грузии текущих расходов, предназначенных для Службы защиты персональных данных, по сравнению с размером бюджетных средств предыдущего года допускается только с предварительного согласия Начальника Службы защиты персональных данных.

Статья 47. Независимость Службы защиты персональных данных

1. Служба защиты персональных данных независима при осуществлении полномочий и не подчиняется ни одному органу и должностному лицу. Оказание какого-либо давления на Начальника и служащих Службы защиты персональных данных и незаконное вмешательство в их деятельность запрещаются и наказываются законом.

2. С целью обеспечения независимости Службы защиты персональных данных государство обязано создавать ей надлежащие условия для деятельности.

3. Начальник Службы защиты персональных данных вправе не давать показания по факту, доверенному ему как Начальнику Службы защиты персональных данных в связи с исполнением функций по контролю законности обработки данных, контролю проведения тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию. Указанное право сохраняется за Начальником Службы защиты персональных данных и после прекращения полномочий.

Статья 48. Годовой отчет Службы защиты персональных данных

1. Начальник Службы защиты персональных данных раз в год, не позднее 31 марта представляет Парламенту Грузии отчет о положении с защитой данных в Грузии, контроле проведения тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию.

2. Годовой отчет Службы защиты персональных данных должен содержать информацию о деятельности, осуществленной в отчетный период в сфере защиты персональных данных, общие оценки, заключения и рекомендации, касающиеся положения с защитой данных в Грузии, информацию о выявленных в течение года значительных нарушениях и осуществленных мероприятиях, общую статистическую информацию о деятельности, осуществленной в сфере контроля за проведением тайных следственных действий.

3. Отчет о результатах контроля за проведением следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, и тайных следственных действий, предусмотренных подпунктами «а» и «б» части первой статьи 143¹ того же Кодекса Начальник Службы защиты персональных данных раз в год представляет комитету и группе доверия Парламента, определенным Бюро Парламента Грузии в порядке, установленном Регламентом Парламента Грузии.

4. Информация о деятельности, осуществленной Службой защиты персональных данных, с учетом ограничений, установленных настоящей статьей, предоставляется общественности при помощи веб-страницы Службы защиты персональных данных.

5. Служба защиты персональных данных правомочна по собственной инициативе в любое время публиковать специальный отчет по вопросам, которые связаны с ее деятельностью и которые она считает важными. (29.05.2024 N4210)

Глава VII

Полномочия Службы защиты персональных данных в сфере защиты данных и сфере контроля за производством тайных следственных действий

Статья 49. Основные направления деятельности Службы защиты персональных данных в сфере защиты данных

Служба защиты персональных данных осуществляет контроль законности обработки данных в Грузии. Основными направлениями деятельности Службы защиты персональных данных в указанной сфере являются:

а) проведение консультаций по вопросам, связанным с защитой данных;

б) рассмотрение заявлений, связанных с защитой данных;

в) проверка (инспектирование) законности обработки данных;

г) предоставление общественности информации и повышение ее информированности о положении с защитой данных в Грузии и связанных с ней значимых явлениях.

Статья 50. Рассмотрение Службой защиты персональных данных заявлений субъекта данных

1. Служба защиты персональных данных обязана рассмотреть заявление субъекта данных в связи с обработкой данных и применять мероприятия, предусмотренные законодательством Грузии.

2. В 10-дневный срок со дня получения заявления субъекта данных Служба защиты персональных данных принимает решение о мероприятиях, подлежащих применению, о чем извещает заявителя.

3. Служба защиты персональных данных правомочна в целях изучения и исследования обстоятельств, связанных с заявлением субъекта данных, проводить проверку. Любые лица, ответственные за обработку или (и) лица, уполномоченные на обработку, обязаны в случае требования, исходящего от Службы защиты персональных данных, передавать ей соответствующие материалы, информацию или (и) документ.

4. Срок рассмотрения заявления субъекта данных Службой защиты персональных данных не должен превышать 2 месяцев. Обоснованным решением Службы защиты персональных данных срок рассмотрения заявления субъекта данных может продлеваться не более, чем на 1 месяц.

5. Служба защиты персональных данных правомочна при рассмотрении заявления субъекта данных приостановить производство по соответствующему делу по основанию истребования дополнительных материалов, информации или (и) документации, о чем извещает субъекта данных. Рассмотрение заявления субъекта данных продолжается с отменой указанного основания. Период приостановления производства по делу не засчитывается в срок, предусмотренный пунктом 4 настоящей статьи.

6. Служба защиты персональных данных правомочна до завершения рассмотрения заявки субъекта данных принять решение о блокировке данных. Независимо от блокировки данных обработка указанных данных может продолжаться, если это необходимо для защиты жизненно важных интересов субъекта данных или третьего лица, а также для целей государственной безопасности и обороны.

7. После рассмотрения заявления субъекта данных Служба защиты персональных данных принимает решение о применении одного из мероприятий, предусмотренных статьей 52 настоящего Закона, о чем в порядке и сроки, установленные законодательством Грузии, извещает субъекта данных и лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку.

Статья 51. Осуществление проверки Службой защиты персональных данных

1. Служба защиты персональных данных правомочна по собственной инициативе или на основании заявления заинтересованного лица осуществлять проверку любых лиц, ответственных за обработку, или (и) лиц, уполномоченных на обработку. Решение об осуществлении проверки, предусмотренной настоящей статьей, принимает Начальник Службы защиты персональных данных.

2. Осуществление проверки Службой защиты персональных данных подразумевает:

а) установление соблюдения принципов обработки данных и наличия законных оснований для обработки данных;

б) проверку соответствия требованиям, установленным законодательством Грузии, организационных и технических мероприятий и процедур, осуществляемых для защиты безопасности данных;

в) проверку законности передачи данных другим государствам и международным организациям;

г) проверку правил и требований, установленных настоящим Законом и другими нормативными актами для защиты данных.

3. Служба защиты персональных данных при осуществлении проверки правомочна требовать из любых учреждений, от физических лиц или (и) юридических лиц документ или (и) информацию, в том числе, информацию, содержащую государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также материалы или (и) документацию или (и) информацию, отражающие оперативно-розыскную деятельность и расследование преступления, которые относятся к государственной тайне и необходимы для осуществления проверки в рамках, установленных пунктом 2 настоящей статьи.

4. Лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, обязаны незамедлительно, не позднее 10 рабочих дней предоставить Службе защиты персональных данных любые материалы, информацию или (и) документ, если ответ на запрос информации требует:

а) получение и обработку информации в другом учреждении или структурной единице либо консультацию с указанным учреждением или указанной единицей.

б) получение и обработку информации/документа в значительных объемах.

5. Служба защиты персональных данных правомочна на основании аргументированного обращения лица, ответственного за обработку, или (и) лица, уполномоченного на обработку, продлить срок, указанный в пункте 4 настоящей статьи, не более, чем на 10 рабочих дней.

6. Служба защиты персональных данных правомочна для осуществления проверки входить в любые учреждения и организации и знакомиться с любыми документами и информацией, в том числе, информацией, содержащей государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также отражающие оперативно-розыскную деятельность и расследование преступления материалы или (и) документацию или (и) информацию, относящиеся к государственной тайне, независимо от их содержания и формы хранения.

7. С учетом результатов проверки Служба защиты персональных данных правомочна применять мероприятия, предусмотренные статьей 52 настоящего Закона.

8. Сотрудник Службы защиты персональных данных обязан соблюдать безопасность информации, содержащей тайну любого вида, и не разглашать секретную информацию, ставшую известной ему во время исполнения служебных обязанностей. Указанное обязательство сохраняется за сотрудником Службы защиты персональных данных и после прекращения полномочий.

Статья 52. Применение мероприятий Службой защиты персональных данных

1. Если Службой защиты персональных данных будет выявлено нарушение настоящего Закона или другого нормативного акта, регулирующего обработку данных, она правомочна применять одно или одновременно несколько из следующих мероприятий:

а) требовать исправления в указанной ею форме и указанные сроки нарушений и связанных с обработкой данных недостатков;

б) требовать временного или окончательного прекращения обработки данных, если мероприятия и процедуры, осуществленные лицом, ответственным за обработку, или лицом, уполномоченным на обработку, для соблюдения безопасности данных, не соответствуют требованиям, установленным законодательством Грузии;

в) требовать прекращения обработки, блокировки, удаления, уничтожения или деперсонализации данных, если сочтет, что обработка данных осуществляется в нарушение законодательства Грузии;

г) требовать прекращения передачи данных другому государству и международной организации, если передача данных осуществляется в нарушение законодательства Грузии;

д) давать письменные советы и рекомендации лицу, ответственному за обработку, или (и) лицу, уполномоченному на обработку, в случае незначительного нарушения ими правил, связанных с обработкой данных;

е) возлагать на правонарушителя административную ответственность.

2. Лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, обязаны в сроки, указанные Службой защиты персональных данных, исполнять ее требования и извещать об их исполнении Службу защиты персональных данных.

3. Если лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, не исполняют требования Службы защиты персональных данных, Служба защиты персональных данных правомочна обращаться в суд, правоохранительный орган или (и) осуществляющее надзор (регулирующее) государственное учреждение, определенное законодательством Грузии в соответствующей сфере.

4. В случае выявления Службой защиты персональных данных административного правонарушения она правомочна составить протокол об административном правонарушении и возложить соответственно на лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, административную ответственность в порядке, установленном настоящим Законом и Кодексом Грузии об административных правонарушениях.

5. Если Служба защиты персональных данных при осуществлении деятельности сочтет, что имеются признаки преступления, она обязана в порядке, установленном законом, уведомить об этом уполномоченный государственный орган.

6. Исполнение решения Службы защиты персональных данных в сфере защиты данных является обязательным, и оно может быть обжаловано только в суде в порядке, установленном законом.

Статья 53. Оказание консультаций и осуществление просветительной деятельности Службой защиты персональных данных

1. Служба защиты персональных данных обязана при наличии соответствующей просьбы консультировать органы государственной власти, органы муниципалитета, другие публичные учреждения, юридические лица частного права и физических лиц по любым вопросам, связанным с обработкой и защитой данных.

2. Служба защиты персональных данных осуществляет просветительную деятельность по вопросам, связанным с обработкой и защитой данных.

Статья 54. Контроль производства тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию

1. При производстве предусмотренного подпунктом «а» части первой статьи 143¹Уголовно-процессуального кодекса Грузиитайного следственного действия – скрытого прослушивания и записи телефонной коммуникации Служба защиты персональных данных контролирует:

а) при помощи электронной системы контроля – законность обработки данных;

б) при помощи специальной электронной системы контроля – законность обработки данных;

в) законность обработки данных лицом, ответственным за обработку/ лицом, уполномоченным на обработку (инспектирование).

2. Надзор за производством следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем сопоставления информации, предоставленной судом, прокуратурой и поставщиком электронно-коммуникационных услуг, и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.

3. Надзор за производством тайных следственных действий, предусмотренных подпунктами «б», «г» и «е» части первой статьи 143¹Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.

4. Надзор за производством тайных следственных действий, предусмотренных подпунктом «д» части первой статьи 143¹Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку, в порядке, установленном настоящим Законом. При осуществлении проверки (инспектирования) в случае, предусмотренном настоящим пунктом, истребование информации о личных данных лица, участвующего в производстве тайных следственных действий (за исключением субъекта данных, следователя и прокурора) и участие в процессе осуществления его проверки (инспектирования), а также истребование информации о характеристиках оперативного и оперативно-технического оборудования, используемого при проведении тайного следственного действия, предусмотренного этим же пунктом, допускаются только с согласия руководителя органа, производящего тайное следственное действие. В случае, предусмотренном настоящим пунктом, к осуществлению проверки (инспектирования) не относятся непосредственное участие в процессе подготовки/производства тайного следственного действия и проверка на местах замаскированных жилых или служебных либо других замаскированных объектов, зданий и сооружений.

5. Производство тайных следственных действий, предусмотренных подпунктом «в» части первой статьи 143¹ Уголовно-процессуального кодекса Грузии, а также осуществление мероприятия, предусмотренного подпунктом «б» пункта 3 статьи 7 Закона Грузии «Об оперативно-розыскной деятельности», Служба защиты персональных данных контролирует при помощи специальной электронной системы контроля определения геолокации в реальном времени и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.

6. Активность, осуществленную в центральном банке данных, идентифицирующих электронную коммуникацию, Служба защиты персональных данных контролирует при помощи электронной системы контроля центрального банка данных, идентифицирующих электронную коммуникацию, и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.

7. При осуществлении проверки (инспектирования) Агентства Служба защиты персональных данных правомочна:

а) входить в ареал ограниченного доступа Агентства и вести наблюдение за осуществлением уполномоченными органами своей деятельности в текущем режиме;

б) знакомиться с правовыми документами, регулирующими деятельность Агентства (в том числе, содержащими государственную тайну) и техническими инструкциями;

в) получать информацию о технической инфраструктуре, используемой для целей тайных следственных действий, и проверять указанную инфраструктуру;

г) требовать от служащих Агентства объяснений в связи с отдельными вопросами, выявленными при осуществлении проверки (инспектирования);

д) осуществлять другие полномочия, предусмотренные настоящим Законом.

8. Служащий Агентства обязан сотрудничать со Службой защиты персональных данных – в полном объеме предоставлять Службе защиты персональных данных требуемую информацию и документы, а также давать объяснения в связи с отдельными вопросами, выявленными при осуществлении проверки (инспектирования).

Глава VIII

Правовая и социальная защита сотрудников Службы защиты персональных данных, сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование

Статья 55. Правовая защита сотрудников Службы защиты персональных данных

1. Сотрудники Службы защиты персональных данных при исполнении служебных обязанностей являются представителями государственной власти и охраняются государством. Исполнение законного требования сотрудников Службы защиты персональных данных является обязательным для всех.

2. Никто не вправе вмешиваться в служебную деятельность сотрудника Службы защиты персональных данных, за исключением случаев, предусмотренных законом.

3. Препятствование сотруднику Службы защиты персональных данных при исполнении им служебных обязанностей, унижение его чести и достоинства, оказание ему сопротивления, угроза в его адрес, насилие или посягательство на жизнь, здоровье или имущество влекут ответственность, установленную законодательством Грузии. В случае получения информации о посягательстве на жизнь, здоровье и имущество Начальника Службы защиты персональных данных, первого заместителя или заместителя Начальника Службы защиты персональных данных, сотрудника Службы защиты персональных данных в связи с исполнением ими служебных полномочий или членов их семей государственные органы обязаны осуществить предусмотренные законом мероприятия для защиты его/их личной или имущественной безопасности.

4. Сотрудник Службы защиты персональных данных должен отказаться от исполнения явно незаконного приказа или распоряжения, если ему было известно или должно было быть известно о его незаконности, и действовать в рамках закона.

5. Сотрудник службы защиты персональных данных в случае получения явно незаконного приказа или распоряжения должен известить об этом Начальника Службы защиты персональных данных.

6. На сотрудника Службы защиты персональных данных, отказывающегося от исполнения явно незаконного приказа или распоряжения, ответственность не возлагается.

7. На лицо, отдавшее сотруднику Службы защиты персональных данных явно незаконный приказ или распоряжение, возлагается ответственность в порядке, установленном законом.

8. Сотрудник Службы защиты персональных данных вправе обращаться в суд за защитой своих прав и свобод.

9. Сотруднику Службы защиты персональных данных для подтверждения его служебных полномочий выдается документ, удостоверяющий личность, или (и) специальный жетон, форму и порядок выдачи которого устанавливает Начальник Службы защиты персональных данных.

Статья 56. Социальная защита сотрудников Службы защиты

персональных данных

1. Социальная защита сотрудников Службы защиты персональных данных обеспечивается государством.

2. Если законодательством Грузии не установлено иное, на сотрудников Службы защиты персональных данных распространяются гарантии социальной защиты чиновника, предусмотренные Законом Грузии «О публичной службе» (в том числе, гарантии социальной защиты, связанные с телесными повреждениями или гибелью в связи с исполнением служебных обязанностей).

3. Сотрудники Службы защиты персональных данных получают:

а) должностной оклад, определенный в порядке, установленном пунктом 5 настоящей статьи;

б) надбавку к заработной плате и денежное вознаграждение, установленные в соответствии с пунктом 5 настоящей статьи и Законом Грузии «Об оплате труда в публичном учреждении»;

в) оклад за звание, соответствующий специальному званию, при наличии специального звания;

г) надбавку за выслугу лет;

д) другие надбавки и компенсации, предусмотренные законодательством Грузии.

4. Соответствующий сотрудник Службы защиты персональных данных согласно законодательству Грузии вправе получать государственную компенсацию или государственную пенсию.

5. Порядок и размер оплаты труда, размеры оклада за звание и надбавки за выслугу лет сотрудников Службы защиты персональных данных, а также размеры других надбавок и компенсаций, предусмотренных законодательством Грузии, определяются нормативными актами Начальника Службы защиты персональных данных и другими законодательными и подзаконными нормативными актами Грузии.

6. Сотрудники Службы защиты персональных данных подлежат обязательному государственному страхованию. Вопросы, связанные с государственным страхованием членов семей сотрудников Службы защиты персональных данных (в том числе, круг членов семьи) определяет Начальник Службы защиты персональных данных.

7. Специальные звания сотрудников Службы защиты персональных данных определяются Законом Грузии «О государственных специальных званиях».

Статья 57. Отбор, назначение на должность и полномочия сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование

1. Сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование (за исключением случая, предусмотренного пунктом 2 настоящей статьи), назначаются на должность на основании конкурса, приказом Начальника Службы защиты персональных данных. Порядок и условия проведения конкурса для отбора и назначения на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, а также квалификационные требования к лицам, подлежащим назначению (основные требования, которые не должны быть меньше основных требований, установленных статьей 27 Закона Грузии «О публичной службе», специальные требования и дополнительные требования), определяются настоящим Законом и соответствующим правовым актом Начальника Службы защиты персональных данных. С целью проведения конкурса по отбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, Начальник Службы защиты персональных данных создает конкурсную комиссию и устанавливает порядок ее деятельности.

2. Применительно к сотрудникам структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, допускается перевод без конкурса по мобильности, определенной Законом Грузии «О публичной службе», или горизонтальный перевод.

3. На сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, распространяются полномочия и обязанности, предусмотренные настоящим Законом, и соответствующим правовым актом Начальника Службы защиты персональных данных.

Глава IX

Правила производства по делу, рассмотрения административного правонарушения и наложения административного взыскания

Статья 58. Общие положения производства дел Службой защиты персональных данных

1. Выявление административных правонарушений, связанных с обработкой персональных данных, предусмотренных статьями 66–87 настоящего Закона (далее – административные правонарушения), и наложение соответствующей административной ответственности осуществляются Службой защиты персональных данных на основании проверки (инспектирования) или (и) рассмотрения заявления субъекта данных (далее производство по делу). Составление протокола об административном правонарушении и наложение административного взыскания на правонарушителя Служба защиты персональных данных осуществляет в порядке, установленном законодательством Грузии.

2. По решению Начальника Службы защиты персональных данных допускается как объединение производств по нескольким делам в одно производство, так и выделение дела в отдельное производство из одного производства по делу.

3. Полномочия Начальника Службы защиты персональных данных и порядок производства по делу определяются настоящим Законом, Кодексом Грузии об административных правонарушениях, другими законодательными актами и нормативными актами Начальника Службы защиты персональных данных.

4. При одновременном действии норм Кодекса Грузии об административных правонарушениях и норм настоящего Закона предпочтение отдается нормам, определенным настоящим Законом.

Статья 59. Доказательства

1. Для целей производства по делу доказательством являются все фактические данные, на основании которых Начальник Службы защиты персональных данных или (и) уполномоченное лицо Службы в порядке, установленном законодательством Грузии, устанавливают наличие или отсутствие административного правонарушения, виновность лица в его совершении и другие обстоятельства, имеющие значение для правильного разрешения дела.

2. Для целей настоящей статьи доказательством могут быть признаны информация и документ, добытые в рамках рассмотрения заявления субъекта данных или (и) в результате проверки (инспектирования); объяснения субъекта данных, лица, ответственного за обработку, лиц, ответственных за совместную обработку, лица, уполномоченного на обработку, специального представителя и свидетеля; признание правонарушителя, протокол (запись) устного заседания; заключение эксперта; материалы констатации фактов; аудиозапись; видеозапись; фото; информация и документ, добытые из публичных источников; документ, подготовленный/изданный/заверенный уполномоченным лицом или органом; протокол об административных правонарушениях, составленный Начальником Службы защиты персональных данных или уполномоченным лицом Службы, форму которого и порядок ознакомления с которым устанавливает Начальник Службы защиты персональных данных; протокол проверки (инспектирования) законности обработки данных; вещественное доказательство; любая другая информация, документ или материал, имеющие значение для установления объективных обстоятельств по делу.

Статья 60. Обстоятельства, подлежащие выяснению при производстве

по делу, и наложение административного взыскания

1. При рассмотрении дел об административных правонарушениях и наложении административного взыскания Служба защиты персональных данных или суд устанавливают: было ли совершено административное правонарушение, виновно ли лицо в его совершении, подлежит ли оно административной ответственности, имеются ли обстоятельства, смягчающие или отягчающие административную ответственность, а также другие обстоятельства, имеющие значение для правильного разрешения дела.

2. При наличии обстоятельства, смягчающего административную ответственность, Служба защиты персональных данных или суд правомочны объявить правонарушителю замечание, если административное правонарушение является незначительным.

3. На правонарушителя за административное правонарушение налагается административное взыскание в пределах, установленных настоящим Законом, в соответствии со статьей, предусматривающей административную ответственность.

Статья 61. Обстоятельства, смягчающие ответственность за административное правонарушение

1. Обстоятельствами, смягчающими административную ответственность за административное правонарушение, считаются:

а) прекращение противоправного деяния и исправление вреда, причиненного в результате административного правонарушения, или (и) принятие соответствующих организационно-технических мер с целью предотвращения подобных правонарушений в дальнейшем;

б) совершение административного правонарушения несовершеннолетним;

в) искреннее раскаяние в совершении административного правонарушения и сотрудничество со Службой защиты персональных данных;

г) другие обстоятельства, как то: характер административного правонарушения и степень вины правонарушителя, которые при разрешении дела признаются Начальником Службы защиты персональных данных смягчающими обстоятельствами.

2. Обязательство по представлению доказательств, подтверждающих наличие обстоятельств, смягчающих административную ответственность, предусмотренных пунктом первым настоящей статьи, возлагается на лицо, ответственное за обработку/лицо, уполномоченное на обработку.

3. При наличии смягчающих обстоятельств, предусмотренных подпунктом «а» или (и) подпунктом «б» пункта первого настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 30 процентов.

4. При наличии смягчающих обстоятельств, предусмотренных подпунктом «в» или (и) подпунктом «г» пункта первого настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 20 процентов.

5. При одновременном наличии оснований для сокращения размера штрафа, предусмотренных пунктами 3 и 4 настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 50 процентов.

Статья 62. Обстоятельства, отягчающие ответственность за административное правонарушение

Обстоятельствами, отягчающими административную ответственность за административные правонарушения, предусмотренные настоящим Законом, считаются:

а) повторное совершение в течение 1 года того же административного правонарушения, за которое на лицо, ответственное за обработку/лицо, уполномоченное на обработку, уже было наложено административное взыскание;

б) обработка в данных большого количества субъектов данных в нарушение требований настоящего Закона или создание такой угрозы;

в) обработка данных несовершеннолетних лиц в нарушение требований настоящего Закона;

г) совершение административного правонарушения из корыстных побуждений;

д) совершение административного правонарушения по дискриминационному мотиву.

Статья 63. Право на обжалование решения Начальника Службы защиты персональных данных, принятого в результате

производства по делу

1. Решение Начальника Службы защиты персональных данных, принятое в результате производства по делу, может быть обжаловано в суде в порядке, установленном Кодексом Грузии об административных правонарушениях, лицом, в отношении которого вынесено указанное решение, в месячный срок со дня официального ознакомления с ним.

2. В случае обжалования в суде решения Начальника Службы защиты персональных данных, принятого в результате производства по делу, оно подлежит исполнению с момента вступления решения, принятого судом, в законную силу.

Статья 64. Наложение административного взыскания за совершение нескольких административных правонарушений

1. При множественности административных правонарушений, совершенных одним и тем же лицом, общий размер наложенных на него штрафов не должен превышать размеры, предусмотренные пунктом 2 настоящей статьи, при наличии одного из следующих условий:

а) административные правонарушения выявлены в рамках единой проверки;

б) вопрос о возложении административной ответственности за несколько административных правонарушений рассматривается в рамках единого производства;

в) административная ответственность возлагается за административные правонарушения, совершенные до наложения административного взыскания, уже примененного в отношении того же лица, когда учитывается размер как уже примененной, так и подлежащей применению административной ответственности.

2. В случае, предусмотренном пунктом первым настоящей статьи, общий размер наложенных на лицо штрафов не должен превышать:

а) 10 000 лари в случае физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов предприятий иностранных государств и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари;

б) 20 000 лари в случае юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов предприятий иностранных государств и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари.

3. Если одно и то же деяние может признаваться в качестве нескольких административных правонарушений, предусмотренных соответствующими статьями настоящего Закона, мера административной ответственности применяется в тех пределах и только за те административные правонарушения, за которые настоящим Законом предусмотрена самая строгая ответственность.

4. Для целей пункта 3 настоящей статьи нарушение считается одним действием и в случае наличия совокупности нескольких, тесно и непосредственно взаимосвязанных деяний, являющейся по своей сути единым административным правонарушением.

5. Если при совершении административного правонарушения, предусмотренного настоящим Законом, прослеживается вина только одного лица, ответственного за совместную обработку, административное взыскание налагается только на него, а в случае установления вины одновременно нескольких лиц, ответственных за совместную обработку, административное взыскание налагается на лиц, ответственных за совместную обработку, – правонарушителей, солидарно.

6. При совершении административного правонарушения, предусмотренного настоящим Законом, вместе с административным взысканием могут также применяться другие мероприятия, предусмотренные статьей 52 настоящего Закона.

7. Начальник Службы защиты персональных данных правомочен для целей возложения административной ответственности, предусмотренной настоящим Законом, истребовать и получать от юридического лица публичного права – Службы доходов информацию о годовом обороте юридического лица, филиала иностранного предприятия и индивидуального предпринимателя, а также иметь доступ к соответствующей электронный базе данных юридического лица публичного права – Службы доходов.

Статья 65. Сроки наложения административного взыскания

1. За совершение административного правонарушения, определенного настоящим Законом, на лицо может возлагаться ответственность не позднее 4 месяцев со дня совершения правонарушения, а в случае длящегося правонарушения – не позднее 4 месяцев со дня его выявления.

2. В случае прекращения уголовного преследования или расследования, но при наличии в действии правонарушителя признаков административного правонарушения, на него может быть наложено административное взыскание не позднее 2 месяцев со дня принятия решения о прекращении уголовного преследования или расследования.

3. В случае обжалования в суде решения, принятого в связи с административным правонарушением, течение срока наложения административного взыскания, предусмотренного пунктом первым настоящей статьи, приостанавливается до вынесения судом окончательного решения по указанному делу.

Глава X

Административное правонарушение и административная

ответственность

Статья 66. Нарушение принципов обработки данных

1. Нарушение какого-либо из принципов обработки данных, предусмотренных настоящим Законом, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;

б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает

500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.

2. Нарушение двух или более принципов обработки данных, предусмотренных настоящим Законом, –

влечет:

3. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 1500 лари;

4. Деяние, предусмотренное пунктом 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.

Статья 67. Обработка данных без оснований, предусмотренных настоящим Законом

1. Обработка данных без оснований, предусмотренных настоящим Законом, –

влечет:

2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 68. Обработка данных особой категории без оснований, предусмотренных настоящим Законом

1. Обработка данных особой категории без оснований, предусмотренных настоящим Законом, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 69. Нарушение правил осуществления видеомониторинга или аудиомониторинга

1. Нарушение правил видеомониторинга, установленного статьей 10 настоящего Закона (кроме случаев, предусмотренных пунктами 2 и 4 настоящей статьи) или аудиомониторинга, предусмотренного статьей 11 этого же Закона, -

влечет:

б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.

2. Осуществление видеомониторинга в комнатах для переодевания, местах, отведенных для гигиенических целей, или в других помещениях, в которых у субъекта есть разумное ожидание защищенности частной жизни или (и) ведение наблюдения в которых противоречит общепризнанным нормам морали, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 70. Нарушение правил обработки данных об умерших лицах

1. Обработка данных об умерших лицах в нарушение правил, установленных статьей 8 настоящего Закона, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 71. Обработка данных с целью прямого маркетинга в нарушение правил

1. Обработка данных с целью прямого маркетинга в нарушение правил, установленных настоящим Законом, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;

Статья 72. Нарушение прав субъекта данных, предусмотренного главой III настоящего Закона

1. Нарушение какого-либо из прав субъекта данных, предусмотренного главой III настоящего Закона (кроме статьи 22), –

влечет:

2. Нарушение двух или более прав субъекта данных, предусмотренного главой III настоящего Закона (кроме статьи 22), –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 1500 лари;

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 73. Неисполнение обязательств, предусмотренных пунктами 2 и 4 статьи 21 настоящего Закона

1. Неисполнение обязательства, предусмотренного пунктом 2 статьи 21 настоящего Закона, –

влечет:

2. Неисполнение обязательства, предусмотренного пунктом 4 статьи 21 настоящего Закона, –

влечет:

3. Деяние, предусмотренное пунктом первым или 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 74. Неисполнение обязательства по информированию субъекта данных

1. Неисполнение обязательства по информированию субъекта данных, предусмотренного статьями 24 и 25 настоящего Закона, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 75. Нарушение требования, касающегося приоритета по сокрытию данных в большей мере, как автоматически используемого исходного метода до выбора альтернативного подхода при создании нового продукта или услуги

1. Неисполнение какого-либо из обязательств, предусмотренных статьей 26 настоящего Закона, –

влечет:

б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 76. Неисполнение обязательства по защите безопасности данных

1. Неисполнение установленного настоящим Законом обязательства по защите безопасности данных, предусмотренного статьей 27 этого же Закона, –

влечет:

б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 4000 лари.

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 77. Неисполнение обязательства по учету информации, связанной с обработкой данных

1. Неисполнение установленного настоящим Законом обязательства, по учету информации, связанной с обработкой данных, предусмотренной статьей 28 этого же Закона, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 78. Неисполнение обязательства по извещению Службы защиты персональных данных об инциденте

1. Неисполнение обязательства по извещению Службы защиты персональных данных об инциденте, предусмотренном статьей 29 настоящего Закона, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 79. Неисполнение обязательства по информированию субъекта данных об инциденте

1. Неисполнение обязательства по информированию субъекта данных об инциденте, предусмотренном статьей 30 настоящего Закона, -

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 5000 лари;

Статья 80. Неисполнение обязательства по оценке влияния на защиту данных

1. Неисполнение обязательства по оценке влияния на защиту данных, предусмотренного статьей 31 настоящего Закона, -

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

Статья 81. Неисполнение установленного законом обязательства при получении согласия от субъекта данных и отзыва им согласия

1. Неисполнение установленного настоящим Законом обязательства при получении согласия от субъекта данных, предусмотренного статьей 32 этого же Закона, и отзыва им согласия –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 82. Неисполнение обязательства по назначению офицера защиты персональных данных

1. Неисполнение обязательства по назначению офицера защиты персональных данных, предусмотренного пунктом первым статьи 33 настоящего Закона, –

влечет предупреждение правонарушителя.

2. Неисполнение предусмотренным пунктом первым статьи 33 настоящего Закона лицом, обрабатывающим персональные данные/уполномоченным лицом обязательства по назначению офицера защиты персональных данных в течение года со дня наложения административного взыскания Начальником Службы защиты персональных данных –

влечет наложение на правонарушителя штрафа в размере 3 000 лари.

Статья 83. Неисполнение обязательства по определению/назначению специального представителя

1. Неисполнение лицом, ответственным за обработку, обязательства по определению/назначению специального представителя, предусмотренного пунктом первым статьи 34 настоящего Закона, –

влечет предупреждение правонарушителя или наложение на него штрафа в размере 3000 лари.

2. Неисполнение в течение года со дня наложения административного взыскания Начальником Службы защиты персональных данных обязательства, предусмотренного пунктом первым статьи 34 настоящего Закона, по определению/назначению специального представителя –

влечет наложение на правонарушителя штрафа в размере 5 000 лари.

Статья 84. Неисполнение обязательств, предусмотренных статьями 35 и 36 настоящего Закона

1. Неисполнение лицом, ответственным за обработку/лицом, уполномоченным на обработку, обязательств, предусмотренных статьями 35 и 36 настоящего Закона, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;

Статья 85. Нарушение правил, установленных статьей 37 настоящего Закона

1. Передача данных другому государству или (и) международной организации в нарушение правил, установленных статьей 37 настоящего Закона,–

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;

Статья 86. Препятствование Начальнику Службы защиты персональных данных или уполномоченному лицу Служб в осуществлении права, определенного настоящим Законом

1. Нарушение порядка представления Начальнику Службы защиты персональных данных или уполномоченному лицу Службы информации или (и) документа, предусмотренного пунктом 3 статьи 51 настоящего Закона, или предоставление недостоверной информации –

влечет:

2. То же деяние, совершенное лицом, на которое в течение года было наложено административное взыскание за правонарушение, предусмотренное пунктом первым настоящей статьи, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;

3. Любое препятствование Службе защиты персональных данных или уполномоченному лицу Службы в осуществлении права, определенного пунктом 6 статьи 51 настоящего Закона, –

влечет:

4. То же деяние, совершенное лицом, на которое в течение года было наложено административное взыскание за административное правонарушение, предусмотренное пунктом 3 настоящей статьи, –

влечет:

а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;

Статья 87. Неисполнение законного требования Службы защиты персональных данных

1. Неисполнение законного требования Службы защиты персональных данных (в соответствии с подпунктами «а»–«г» пункта первого статьи 52 настоящего Закона, –

влечет:

Глава XI

Переходные и заключительные положения

Статья 88. Переходные положения

1. До 1 марта 2024 года за совершение административного правонарушения, связанного с обработкой персональных данных, административная ответственность возлагается на правонарушителя в соответствии с Законом Грузии «О защите персональных данных» от 28 декабря 2011 года.

2. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, освобождается от обязательства, предусмотренного пунктом 9 статьи 10 и пунктом 4 статьи 11 настоящего Закона применительно к предупреждающим знакам, размещенным им до 1 марта 2024 года.

3. Лицо, ответственное за обработку, освобождается от исполнения обязательства, предусмотренного статьей 26 настоящего Закона, применительно к программному обеспечению, используемому для обработки данных и созданному до 1 марта 2024 года, за исключением случая, когда после 1 марта 2024 года указанное программное обеспечение было обновлено существенным образом и исполнение обязательства, предусмотренного той же статьей, не требует от лица, ответственного за обработку, неоправданных расходов.

4. Начальнику Службы защиты персональных данных до 1 марта 2024 года издать следующие нормативные акты:

а) Критерии определения инцидента, содержащего значительную угрозу основным правам и свободам человека, порядок извещения Службы защиты персональных данных об инциденте. Указанный нормативный акт издается по согласованию с соответствующими государственными ведомствами;

б) О критериях установления обстоятельств, порождающих обязательство по оценке влияния на защиту данных, и порядке оценки;

в) Об определении круга лиц, не имеющих обязательства по определению/назначению офицера защиты персональных данных;

г) Порядок регистрации Службой защиты персональных данных специального представителя.

Статья 89. Нормативный акт, утративший силу

Объявить утратившим силу Закон Грузии «О защите персональных данных» от 28 декабря 2011 года (Сакартвелос саканонмдебло мацне, (www.matsne.gov.ge ), 16.01.2012, регистрационный код: 010100000.05.001.016606).

Статья 90. Введение Закона в действие

1. Настоящий Закон, за исключением статей первой–87, пунктов 2 и 3 статьи 88 и статьи 89 настоящего Закона, ввести в действие по опубликовании.

2. Статьи первую–5, подпункты «а»–«с» пункта первого, пункты 2 и 3 статьи 6, статьи 7–30, 32, 34–79, 81 и 83–87, пункты 2 и 3 статьи 88 и статью 89 настоящего Закона ввести в действие с 1 марта 2024 года.

3. Статьи 31, 33, 80 и 82 настоящего Закона ввести в действие с 1 июня 2024 года.

4. Подпункт «у» пункта первого статьи 6 настоящего Закона ввести в действие с 1 января 2025 года. (5.09.2024 N4406)

5. Подпункт «т» пункта первого статьи 6 настоящего Закона ввести в действие с 1 января 2027 года. (5.09.2024 N4406)

6. Действие подпункта «у» пункта первого статьи 6 настоящего Закона приостановить до 1 января 2027 года. (6.02.2025 N260)

Президент Грузии Саломе Зурабишвили

Тбилиси

14 июня 2023 г.

№3144-XIтс-пХс

рс