ავტორი: ნათია გელაშვილი
მასალა თავდაპირველად გამოქვეყნდა ინტერნეტ საზოგადოების მიერ დაფინანსებული პროექტის ფარგლებში მომზადებულ ესეების კრებულში.
1. შესავალი
ლიტერატურაში გამოთქმული მოსაზრების თანახმად, ინტერნეტსივრცეში
ადამიანები წარმოადგენენ არა მომხმარებლებს, არამედ პროდუქციას.[1] ამგვარ მტკიცებას საფუძვლად უდევს ის ფაქტი, რომ ნებისმიერი
ონლაინ აქტივობა, იქნება ეს სოციალური ქსელების გამოყენება, კომპანიების მარკეტინგული
საქმიანობა თუ სხვადასხვა სახის სერვისით სარგებლობა, მთლიანად დამყარებულია ინდივიდთა
მონაცემების დამუშავებაზე. ამგვარ რეალობაში სასიცოცხლოდ
მნიშვნელოვანია ისეთი საკანონმდებლო და პრაქტიკული ბერკეტის არსებობა, რომელიც ჩარჩოში
მოაქცევს პირთა პერსონალური მონაცემების მიმოცვლას და უზრუნველყოფს, რომ ამ პროცესმა
არ მიიღოს გადაჭარბებული, არალეგიტიმური და ღირსების შემლახავი ხასიათი. სწორედ ამ
მიზნით ევროკავშირის ორგანოებმა 2016 წელს შეიმუშავეს წევრი სახელმწიფოებისათვის შესასრულებლად
სავალდებულო ხასიათის სამართლებრივი დოკუმენტი, ცნობილი, როგორც მონაცემთა დაცვის ზოგადი
რეგულაცია, იგივე GDPR.[2] აღსანიშნავია, რომ ეს უკანასკნელი არ წარმოადგენს ევროკავშირის
სივრცეში მოქმედ პირველ სამართლებრივ აქტს, რომელიც პერსონალურ მონაცემთა დაცვას ისახავს
მიზნად, თუმცა GDPR-მა წინამორბედებთან შედარებით გააძლიერა მონაცემთა დაცვის გარანტიები და
სუბიექტთა უფლებები, გაზარდა მონაცემთა დამუშავების პროცესის გამჭვირვალობა, შექმნა მენეჯმენტის ახალი სისტემა და შესაბამისი
ორგანოები აღჭურვა აღსრულებისა და ზედამხედველობის ფართო უფლებამოსილებებით.[3]
ნაშრომის მიზანია სწორედ ხსენებული რეგულაციის ზოგადი ასპექტებისა და თავისებურებების მიმოხილვა, მისი როლის განსაზღვრა პერსონალურ მონაცემთა დაცვის თვალსაზრისით. ნაშრომში აგრეთვე გაანალიზებული იქნება GDPR-ის გავლენა საქართველოზე, როგორც ევროინტეგრაციის პროცესში ჩართული სახელმწიფოს მომავალზე.
2. მონაცემთა დაცვის ზოგადი რეგულაციის არსი
როგორც აღინიშნა, მონაცემთა დაცვის ზოგადი რეგულაციის
ტექსტის შემუშავება 2016 წლის აპრილში დასრულდა, თუმცა მან იურიდიული ძალა 2018 წლის
მაისიდან შეიძინა. თავიდანვე ხაზი უნდა გაესვას იმ გარემოებას, რომ განსხვავებით წინმსწრები
95/46/EC დირექტივისაგან,[4] GDPR ხასიათდება უშუალო მოქმედებით,
ე.ი. წევრ სახელმწიფოებზე მისი მოთხოვნები პირდაპირ ვრცელდება. ზოგადად, რეგულაცია,
როგორც ევროკავშირის სამართლის კონკრეტული ტიპის წყარო, არ საჭიროებს დამატებით იმპლემენტაციას
ადგილობრივ კანონმდებლობაში და იმთავითვე იკავებს ადგილს წევრი სახელმწიფოების სამართლებრივ
ნორმათა შორის, მაშინ, როცა დირექტივა შესასრულებლად სავალდებულოა მასში ჩადებული ძირითადი
პრინციპების დონეზე.[5]
GDPR ეხება მხოლოდ ცოცხალ ფიზიკურ პირთა ფუნდამენტური უფლებების დაცვას მათი
პერსონალური მონაცემების დამუშავებისას.[6] ამასთან,
რეგულაციის მიზნებისათვის ამგვარი დამუშავება შეიძლება განხორციელდეს როგორც ავტომატური,
ისე ნახევრად ავტომატური საშუალებებით, აგრეთვე არაავტომატური საშუალებებით იმ პერსონალური მონაცემების მიმართ, რომლებიც ფაილური
სისტემის ნაწილია ან მასში შეტანის მიზნით მუშავდება.[7] აღსანიშნავია, რომ GDPR-ის მოთხოვნები არ ვრცელდება
ცალსახად პირადი ან ოჯახური მიზნით მონაცემების დამუშავებაზე.[8] ამგვარ
ქმედებათა შორის შეიძლება მოვიაზროთ პირადი ჩანაწერების და დღიურების წარმოება, რომლებიც
ასახავს სხვა პირთა პერსონალურ ინფორმაციას, აგრეთვე საოჯახო ალბომები, ყოფითი ფოტოები და ვიდეოები, მიმოწერები, მონაცემთა
სუბიექტის აქტივობები სოციალურ ქსელის საშუალებით (ამ შემთხვევაში ვალდებულებები მაინც
ძალაში რჩება პროვაიდერი კომპანიის მიმართ) და სხვა. აქვე რეგულაცია განმარტავს, რომ
პირად და ოჯახურ საქმიანობად არ უნდა მივიჩნიოთ ისეთი ქმედებები, რომლებიც მცირე მასშტაბების
მიუხედავად შეიცავს კომერციულ ან პროფესიულ მიზნებს.[9] მონაცემთა დაცვის ზოგადი რეგულაციის ფარგლებს გარეთაა
აგრეთვე სისხლისსამართლებრივი და ეროვნული უსაფრთხოების დაცვის მიზნებით პერსონალურ
მონაცემთა შეგროვების შემთხვევებიც.[10]
რაც შეეხება თავად პერსონალური მონაცემის ცნებას, რეგულაცია
მას 95/46/EC დირექტივის ანალოგიურად
განმარტავს და მასში მოიაზრებს ნებისმიერ ინფორმაციას, რაც დაკავშირებულია იდენტიფიცირებულ
ან იდენტიფიცირებად პირთან. ამ მონაცემთა დამუშავება (ე.ი. მათ მიმართ განხორციელებული
ნებისმიერი ქმედება, როგორიცაა შეგროვება, ჩაწერა, ორგანიზება, გავრცელება, წაშლა და
ა.შ) უნდა მოხდეს შესაბამისი წინაპირობების არსებობისას და სპეციალური პრინციპების
დაცვით.
GDPR ამომწურავად ჩამოთვლის მონაცემთა დამუშავების პრინციპებს.[11] ესენია:
პერსონალურ მონაცემთა
დამუშავების პრინციპებთან ერთად, GDPR ამომწურავად ჩამოთვლის შესაბამის საფუძვლებსაც, რომლებიც იდენტურია სხვა სამართლებრივი აქტებით
დადგენილი წინაპირობისა. კერძოდ, მონაცემები შეიძლება დამუშავდეს მონაცემთა სუბიექტის
თანხმობით; ამ უკანასკნელთან სახელშეკრულებო ურთიერთობის ან სამართლებრივი ვალდებულების
განხორციელების მიზნით, პირთა სასიცოცხლო ან კანონიერი ინტერესების, აგრეთვე საჯარო
ინტერესის დასაცავად.[13]
რეგულაცია წინამორბედ დოკუმენტთა მსგავსად განამტკიცებს მონაცემთა სუბიექტის ისეთ მნიშვნელოვან უფლებებს, როგორიცაა ინფორმაციის მიღების, საკუთარ მონაცემებზე წვდომის, მონაცემთა გასწორებისა და წაშლის („დავიწყების უფლება“), დაბლოკვის, პორტირების უფლებები და ა.შ.[14] ამასთან, GDPR-მა დაუთმო რა სპეციალური თავი ამ საკითხების რეგულირებას, დეტალურად ჩაშალა ამ უფლებებით სარგებლობის ფარგლები და წესი.
3. GDPR, როგორც ნოვაცია
როგორც წინა თავში გამოიკვეთა, რეგულაციამ გააგრძელა პერსონალურ მონაცემთა დაცვის თავდაპირველი გზა, თუმცა შემოიტანა რიგი სიახლეებიც, რომლებმაც გააუმჯობესეს მონაცემთა დაცვის კულტურა. ზემოთ განხილულთაგან აღსანიშნავია თავად GDPR-ის მოქმედების პირდაპირი ხასიათი, რაც წევრ სახელმწიფოებს აღარ აკისრებს დამატებით ტვირთს მონაცემთა დაცვის ადგილობრივი კანონმდებლობის შესამუშავებლად და ამგვარად აზღვევს ევროკავშირის სულისკვეთების სხვადასხვაგვარად ინტერპრეტაციის რისკებს. მეორე მხრივ, პროგრესულია პრინციპების თავში განხორციელებული ცვლილებებიც და მონაცემთა სუბიექტის უფლებრივი სრულყოფა. გარდა აღნიშნულისა, GDPR-მა შემოგვთავაზა არაერთი ნოვაციური ხედვა. შევეხოთ თითოეულს:
არასრულწლოვნის თანხმობა
როგორც აღინიშნა, პერსონალურ მონაცემთა დამუშავების ერთ-ერთი საფუძველია მონაცემთა სუბიექტის თანხმობა. რეგულაციამ სპეციალური წესი დაადგინა ისეთი შემთხვევებისთვის, როდესაც საკითხი ეხება არასრულწლოვნის პირად სივრცეს. როცა ესა თუ ის შეთავაზება მიემართება პირდაპირ არასრულწლოვანს, მონაცემთა დამუშავება მისი თანხმობით დასაშვებია მხოლოდ იმ შემთხვევაში, თუკი მას 16 წელი შეუსრულდა. 16 წლამდე მოზარდების მონაცემების დამუშავება საჭიროებს მშობლის უფლების მქონე პირის თანხმობას ან ნებართვას. აქვე შესაძლებელია სახელმწიფოებმა დააწესონ უფრო დაბალი ზღვრული ასაკიც, თუმცა არანაკლებ 13 წლისა.[15] საკითხის ამგვარი გადაწყვეტა გამომდინარეობს ბავშვთა განსაკუთრებული დაცვის სულისკვეთებიდან, რადგან ისინი ნაკლებად არიან ინფორმირებულნი მონაცემთა დაცვის რისკებისა და შედეგების თაობაზე.[16]
მონაცემთა უსაფრთხოება
GDPR-მა მონაცემთა უსაფრთხოების დაცვის მიზნით შემოიტანა მათი ფსევდონიმიზაციისა და დაშიფრვის მოთხოვნები. ეს გულისხმობს პერსონალურ მონაცემთა იმ ფორმით დამუშავების ვალდებულებას, როდესაც დამატებითი ინფორმაციის გარეშე შეუძლებელია მათი დაკავშირება/გაიგივება კონკრეტულ სუბიექტთან. ეს დამატებითი ინფორმაცია, ე.წ. გასაღები კი შენახულია ცალკე და დაცულია არაუფლებამოსილი წვდომისაგან. ფსევდონიმიზაცია და დაშიფვრა უნდა მოხდეს მონაცემთა დამუშავების მიზნის, მოცულობისა და ხასიათის გათვალისწინებით. უსაფრთხოების დასაცავად ამ ღონისძიებების შემოტანა ახსნილია იმ გარემოებით, რომ ორგანიზაციები ვალდებული არიან, შეაფასონ მონაცემთა მიმართ წამოჭრილი რისკები და მინიმუმამდე დაიყვანონ ისინი, თუმცა რამდენადაც არც ერთ ორგანიზაციას არ შეუძლია ზუსტად განჭვრიტოს ყველა შესაძლო საფრთხე, ფსევდონიმიზაცია-დაშიფვრის მექანიზმი რჩება ერთგვარ გარანტიად რეალური რისკების პრევენციისათვის.[17]
ზედამხედველობა
მონაცემთა დაცვის ზოგადი რეგულაციის მე-6 და მე-7 თავები ეთმობა მონაცემთა დამუშავებაზე ზედამხედველობის საკითხებს. თითოეული წევრი სახელმწიფო ვალდებულია, უზრუნველყოს დამოუკიდებელი საზედამხედველო ორგანოს შექმნა და ფუნქციონირება, რომელიც კონტროლს გაუწევს ამ რეგულაციით დადგენილი მოთხოვნების შესრულებას: განიხილავს საჩივრებს მონაცემთა სუბიექტის უფლებების დარღვევის თაობაზე, ჩაატარებს შემოწმებებს, გასცემს კონსულტაციებს და ა.შ. თავად დამოუკიდებელი საზედამხედველო ორგანოს დანერგვის მოთხოვნა არაა სიახლე ევროკავშირის პერსონალურ მონაცემთა დაცვის სამართალისათვის და წინმსწრები დირექტივაც იცნობდა ამგვარ ვალდებულებას.[18] ამის მიუხედავად, რეგულაცია დეტალურად და ამომწურავად ჩამოთვლის საზედამხედველო ორგანოს ფუნქციებს, ადგენს მათ შორის ურთიერთთანამშრომლობის ვალდებულებებს და რაც მთავარია, განსაზღვრას ახალ ორგანოს - ევროკავშირის მონაცემთა დაცვის საბჭოს. ეს უკანასკნელი დაკომპლექტებულია წევრი სახელმწიფოების საზედამხედველო ორგანოების ხელმძღვანელებისა და ევროკავშირის მონაცემთა დაცვის ზედამხედველებისაგან. მის ფუნქციაში შედის სახელმძღვანელო პრინციპების და საუკეთესო პრაქტიკის დანერგვა ევროკავშირის მასშტაბით, რეგულაციით დადგენილი მოთხოვნების სწორი რეალიზებისათვის. აგრეთვე დავების გადაწყვეტა საზედამხედველო ორგანოებს შორის კომპეტენციებთან ან ურთიერთსაწინააღმდეგო მოსაზრებებთან დაკავშირებულ საკითხებზე. როგორც ვხედავთ, GDPR-ის სპეციფიკას წარმოადგენს ისიც, რომ მან განსაზღვრა ორგანო, რომელიც, ფაქტობრივად, ემსახურება ევროკავშირის ქვეყნებში თანმიმდევრული და ერთგვაროვანი სამართლებრივი ჩარჩოს შექმნას, რათა მინიმუმამდე დავიდეს რეგულაციის განსხვავებულად ინტერპრეტირების და ცალკეული ქვეყნების საზღვრებს გარეთ პერსონალურ მონაცემთა ბედის განსხვავებულად გადაწყვეტის რისკები.
სანქცირება
რეგულაციის თავისებურებად უნდა მივიჩნიოთ ისიც, რომ ეს უკანასკნელი პირდაპირ განსაზღვრავს გამოსაყენებელი ფინანსური სანქციის მაქსიმალურ ზღვარს ცალკეული სამართალდარღვევებისათვის. მაგალითისთვის, იმ შემთხვევაში, თუკი ევროკავშირის წევრ სახელმწიფოში მონაცემთა დამუშავებაზე უფლებამოსილი პირი დაარღვევს მონაცემების აღრიცხვის ვალდებულებას, GDPR-ის მიხედვით, მას დაეკისრება ადმინისტრაციული ჯარიმა არაუმეტეს 10 000 ევროს ოდენობით (საწარმოს შემთხვევაში გასული წლის ფინანსური ბრუნვის 2%-მდე). მონაცემთა დამუშავების პრინციპების ან საფუძვლების უგულებელყოფა შესაძლოა გახდეს 20 000 ევრომდე (საწარმოს შემთხვევაში გასული წლის ფინანსური ბრუნვის 4%-მდე) ჯარიმის დაკისრების საფუძველი და ა.შ.[19] GDPR-ის პრეამბულა არ გამორიცხვას აგრეთვე წევრი სახელმწიფოების შესაძლებლობას, რომ რეგულაციის დარღვევისათვის დაადგინონ სისხლისსამართლებრივი სანქციებიც ქმედების ბუნების გათვალისწინებით.[20]
ტერიტორიული გამოყენება
GDPR-ის მოქმედება ცალკეულ შემთხვევებში შეიძლება გასცდეს ევროკავშირის ფარგლებსაც, როდესაც მის ტერიტორიაზე მყოფი მონაცემთა სუბიექტის ინფორმაციას ამუშავებს ისეთი საქონლის/მომსახურების მიმწოდებელი ორგანიზაცია, რომელიც არ არის დაფუძნებული ევროკავშირის ტერიტორიაზე. ეს სრულიად გასაგებიცაა, რადგან რეგულაციის მიზანი ევროკავშირის მოქალაქეთა დაცვაა და არა აბსტრაქტულად მონაცემთა დამუშავების პროცესის. თუმცა, ნიშანდობლივი ამ კუთხით არის ის გარემოება, რომ რეგულაცია შესასრულებლად სავალდებულო წესებს ადგენს იმ სახელმწიფოების ფარგლებში მოქმედი საწარმოებისთვისაც, რომლებიც, როგორც წესი, არ იბოჭებიან ევროკავშირის სამართლით.
4. GDPR და საქართველო
საქართველოს მტკიცედ აქვს განცხადებული ევროინტეგრაციის
სურვილი, რაც ასოცირების შესახებ შეთანხმებასთან ერთად დასტურდება უკანასკნელ პერიოდში
ევროკავშირის წევრობის კანდიდატის სტატუსის მოსაპოვებლად გადადგმული აქტიური ნაბიჯებითაც. პერსონალურ მონაცემთა დაცვის ადგილობრივი სამართლებრივი
ჩარჩოს გაუმჯობესება და ევროპულ ღირებულებებთან შესაბამისობაში მოყვანა ერთ-ერთია იმ
ვალდებულებათაგან, რომელიც საქართველომ ასოცირების გზაზე იკისრა.[21] უნდა
აღინიშნოს, რომ ამ მოვალეობის სისრულეში მოყვანის მიზნით საქართველოში მართლაც გატარდა
არაერთი საკანონმდებლო რეფორმა და პერსონალურ მონაცემთა დაცვის კულტურა შედარებით გაიზარდა.
დღეს მოქმედი ეროვნული კანონმდებლობით გათვალისწინებული
პერსონალური მონაცემის ცნება, მათი დამუშავების
პრინციპები, საფუძვლები და მონაცემთა
სუბიექტის უფლებები საკმაოდ ახლოს დგას ევროკავშირის მოთხოვნებთან, თუმცა აქვე უნდა
აღინიშნოს ისიც, რომ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი სპეციფიკურად
უფრო მიმსგავსებულია წინამორბედ 95/46/EC დირექტივასთან, ვიდრე GDPR-თან. მაგალითად, ის იცნობს მონაცემთა
კანონიერად და სამართლიანად დამუშავების, მიზნისა და შენახვის ვადის შეზღუდვის, მინიმიზაციისა
და მონაცემთა სიზუსტის პრინციპებს, თუმცა უცხოა რეგულაციით შემოთავაზებული გამჭვირვალობის,
უსაფრთხოებისა და კონფიდენციალურობის პრინციპები.[22] ამასთან,
ჩვენი კანონმდებლობა ადგენს გარკვეულ ორგანიზაციულ-ტექნიკური ზომების გატარების საჭიროებას
მონაცემთა უსაფრთხოების დასაცავად, თუმცა დაშიფვრა და ფსევდონიმიზაცია, როგორც GDPR-ის ერთგვარი მიგნება ამ მიზნების უზრუნველსაყოფად, ადგილობრივ დონეზე იმპლემენტირებული
არ არის. ეროვნული კანონმდებლობით არც არასრულწლოვანი სუბიექტის განსაკუთრებული ინტერესების
გათვალისწინება მომხდარა მისი თანხმობის ნამდვილობის განსაზღვრისას და ამ ეტაპისთვის
სრულწლოვანი და არასრულწლოვანი პირების თანხმობის წინაპირობები იდენტურია.
აღსანიშნავია, რომ 2019 წელს სახელმწიფო ინსპექტორის
სამსახურის ავტორობით დაინიცირდა კანონპროექტი, რომელიც მონაცემთა დაცვის ქართული სამართლის
რეფორმას ითვალისწინებს. აღნიშნული კანონპროექტი ბევრად ახლოს დგას GDPR-ის სულისკვეთებასთან,
რადგან ავსებს თითქმის ყველა ზემოხსენებულ ხარვეზს და შეიცავს დეტალურ რეგულირებას
ყველა იმ საკითხისა, რომლებსაც მოქმედი რედაქციით, სამწუხაროდ, საკმარისი ყურადღება
არ დაეთმო. მაგალითისთვის, ამ უკანასკნელის მიხედვით, 14 წელს მიუღწეველი მოზარდის
მონაცემების დასამუშავებლად არ კმარა მისი თანხმობა და საჭიროა მშობლის ან სხვა კანონიერი
წარმომადგენლის დასტური; მონაცემთა უსაფრთხოების დასაცავად დამმუშავებელმა უნდა მოახდინოს
მონაცემთან წვდომის აღრიცხვა, ფსევდონიმიზაცია და ა.შ.[23] აღნიშნული კანონპროექტის მოსმენა პარლამენტის მიერ ჯერჯერობით არ მომხდარა,
შესაბამისად, ბუნდოვანია, რამდენად რეალური და დროში მოახლოებულია სამომავლო საკანონმდებლო
ცვლილებები ამ კუთხით. თუმცა, ცალსახაა, რომ მისი გათვალისწინება წინ გადადგმული ნაბიჯი
იქნება პერსონალური მონაცემების ქართული სამართლის ევროპეიზაციის გზაზე.
რაც შეეხება პერსონალურ მონაცემთა დამუშავებაზე ზედამხედველობას,
საქართველოში მაკონტროლებელ ორგანოდ გვევლინება
პერსონალურ მონაცემთა დაცვის სამსახური, რომელმაც
ჩაანაცვლა მანამდე არსებული სახელმწიფო ინსპექტორი. ეს უკანასკნელი თავისი უფლებამოსილებების
განხორციელებისას დამოუკიდებელია და არ ექვემდებარება არც ერთ უწყებას და თანამდებობის
პირს.[24] მის
საქმიანობაში შედის პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებით კონსულტაციის
გაწევა, განცხადებების განხილვა და შესაბამისი სამართლებრივი რეაგირება, დამუშავების
შემოწმება-ინსპექტირება და ა.შ. ამ ორგანოს
ინსტიტუციური რანგი და ფუნქციები, შეიძლება ითქვას, რომ თანხვედრაშია GDPR-ის მოთხოვნებთან
და ამ ტიპის დამოუკიდებელი საზედამხედველო ორგანოს ფორმირება მნიშვნელოვანი ნაბიჯია
ასოცირების გზაზე. ევროინტეგრაციის წარმატებით დასრულების შემდეგ პერსონალურ მონაცემთა
დაცვის სამსახურის ხელმძღვანელი აგრეთვე გახდება ევროკავშირის მონაცემთა დაცვის საბჭოს
წევრი და ჩაერთვება ერთიანი სამართლებრივი პრაქტიკის დანერგვის პროცესში.
ტერიტორიულ მოქმედებასთან დაკავშირებით უნდა ითქვას, რომ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი ვრცელდება საქართველოს ფარგლებს შიგნით მონაცემთა დამუშავებაზე. GDPR-ზე საუბრისას ზემოთ აღინიშნა, რომ ეს უკანასკნელი ფარავს ევროკავშირის არაწევრი სახელმწიფოს ტერიტორიაზე არსებული ორგანიზაციის მიერ მონაცემთა დამუშავებასაც, როდესაც ის მომსახურებას სთავაზობს ევროკავშირის ფარგლებში მცხოვრებ მონაცემთა სუბიექტს. შესაბამისად, პრაქტიკაში შეიძლება წარმოიშვას ისეთი მოცემულობა, სადაც ევროინტეგრაციის პროცესის დასრულებამდეც საქართველოში რეგისტრირებულმა იურიდიულმა პირმა ევროკავშირის რომელიმე წევრი სახელმწიფოს მოქალაქეებს შესთავაზოს ესა თუ ის მომსახურება ან პროდუქცია და ამ მიზნით დაამუშავოს მათი პერსონალური მონაცემები. ასეთ შემთხვევაში, პრობლემურია გამოსაყენებელი სამართლის განსაზღვრის საკითხი, რამდენადაც ეროვნული კანონმდებლობის მიხედვით, საკითხი უნდა შეფასდეს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის შესაბამისად, ხოლო GDPR მსგავს ვითარებაში თავის თავს აცხადებს რელევანტურ სამართლებრივ დოკუმენტად. მაგალითისთვის, საინტერესოა როგორ გადაწყდება საკითხი 15 წლის არასრულწლოვნის მიერ მის მონაცემთა დამუშავებაზე თანხმობის გაცემის შემთხვევაში, რადგან ქართული ნორმები და მონაცემთა დაცვის ზოგადი რეგულაცია ამ საკითხს განსხვავებულად არეგულირებენ. მსგავსი უხერხულობების თავიდან აცილების მიზნით რეკომენდირებულია, რომ ქართველმა კანონმდებელმა პერსონალურ მონაცემთა დაცვის სამართალში დროულად გაატაროს რეფორმები და სისრულეში მოიყვანოს ევროკავშირის სამართალთან მისი ჰარმონიზაციის პროცესი.
5. დასკვნა
კვლევის ფარგლებში გამოიკვეთა, რომ მონაცემთა დაცვის
ზოგადი რეგულაცია წარმოადგენს ერთ-ერთ უმნიშვნელოვანეს სამართლის წყაროს პერსონალურ
მონაცემთა დაცვის სამართალში. მისი მიზანია ერთგვაროვანი სამართლებრივი სივრცის შექმნა
ევროპის მასშტაბით, რათა მონაცემთა სუბიექტებს ჰქონდეთ დაცულობის განცდა და შესაძლო
შედეგების პროგნოზირების შესაძლებლობა მაშინაც კი, როდესაც მათი მონაცემები სხვა სახელმწიფოში
მუშავდება, რამდენადაც თანამედროვე ბიზნესსამყარო
და ტექნოლოგიები საზღვრებს, ფაქტობრივად, არ ცნობენ. ამ თვალსაზრისით GDPR-მა ნამდვილად
თქვა ახალი სიტყვა ევროკავშირის ფარგლებშიც და მის გარეთაც, რადგან შემოგვთავაზა მრავლისმომცველი,
დაცვისა და უსაფრთხოების მაღალი ბერკეტებით აღჭურვილი და ნოვაციური მიდგომები პერსონალურ
მონაცემთა ხელშეუხებლობის განსამტკიცებლად.
საქართველოც ცდილობს, აუწყოს ფეხი ევროპულ პროგრესს
და გააძლიეროს პერსონალურ მონაცემთა დაცვის ხარისხი ადგილობრივ დონეზე, რაც სურვილთან
ერთად, ის ვალდებულებაცაა, რომელიც მან ევროინტეგრაციის გზაზე იკისრა. თუმცა კვლევის
პროცესში წარმოჩინდა, რომ ცალკეულ საკითხებში ეროვნული კანონმდებლობა არაა თანხვედრაში
ევროპულ მისწრაფებებთან, რაც უარყოფითად აისახება როგორც მონაცემთა დაცვის ადგილობრივ
კულტურაზე, ისე საქართველოს მიერ არჩეული გზის მომავალ პერსპექტივებზე. მიზანშეწონილად
მიმაჩნია, რომ საკანონმდებლო ორგანო აქტიურად შეუდგეს 2019 წელს დაინიცირებული „პერსონალურ
მონაცემთა დაცვის შესახებ“ ახალი კანონპროექტის განხილვას ან უახლოეს მომავალში თავადვე
შემოგვთავაზოს GDPR-ის მოთხოვნებთან მიმსგავსებული საკანომდებლო რეფორმა.
[1] D.F.
Martinez-Martinez, Unification of Personal Data Protection in the European
Union: Challenges and Implications, El profesional de la información, 2018,
enero-febrero, v. 27, n. 1, გვ.
186.
[2] General
Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament
and of the Council of 27 April 2016 on the protection of natural persons with
regard to the processing of personal data and on the free movement of such
data, and repealing Directive 95/46/EC).
[3] T.L.Syroid,
T.Y. Kaganovska, The Personal Data
Protection Mechanism in the European Union, International
Journal of Computer Science and Network Security, VOL.21 No.5, May 2021, გვ. 113.
[4] იხ. Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data.
[5] ბ.
ჯიშკარიანი, ევროპული სისხლის სამართალი ევროკავშირის ფარგლებში, თბილისი, 2018, გვ.
80-83.
[6] მონაცემთა
დაცვის ზოგადი რეგულაცია (EU) 2016/679, მუხლი 1; პრეამბულის პუნქტი
27.
[7] იქვე,
მუხლი 2, პუნქტი 1.
[8] იქვე,
მუხლი 2, პუნქტი 2.
[9] მონაცემთა
დაცვის ევროპული სამართლის სახელმძღვანელო, (დაბეჭდილია
ევროპის საბჭოს პროექტის - „პერსონალურ მონაცემთა დაცვის გაძლიერება საქართველოში“
- ფარგლებში, რომელიც საქართველოსთვის ევროპის საბჭოს 2016-2019 წლების სამოქმედო გეგმის
ნაწილია) 2018 წ. გვ. 118-119.
[10]
Information Commissioner’s Office (ICO),
Guide to the General Data Protection Regulation (GDPR), 2018, გვ. 257.
შენიშვნა:
სისხლისსამართლებრივი
მიზნებისათვის მონაცემთა დამუშავება ევროკავშირის ფარგლებში რეგულირდება დამოუკიდებელი
აქტით. იხ. Directive
(EU) 2016/680 of the European Parliament and of the Council of 27 April 2016 on
the protection of natural persons with regard to the processing of personal
data by competent authorities for the purposes of the prevention,
investigation, detection or prosecution of criminal offences or the execution
of criminal penalties, and on the free movement of such data, and repealing
Council Framework Decision 2008/977/JHA.
[11] მონაცემთა
დაცვის ზოგადი რეგულაცია (EU) 2016/679, მუხლი
5.
[12] Information
Commissioner’s Office (ICO), Guide to the General Data Protection Regulation
(GDPR), 2018, გვ. 209.
[13] მონაცემთა
დაცვის ზოგადი რეგულაცია (EU) 2016/679, მუხლი 6.
[14] იქვე,
თავი III.
[15] იქვე, მუხლი 8.
[16] მონაცემთა
დაცვის ევროპული სამართლის სახელმძღვანელო,(დაბეჭდილია
ევროპის საბჭოს პროექტის - „პერსონალურ მონაცემთა დაცვის გაძლიერება საქართველოში“
- ფარგლებში, რომელიც საქართველოსთვის ევროპის საბჭოს 2016-2019 წლების სამოქმედო გეგმის
ნაწილია) 2018 წ. გვ. 417.
[17]
I. Davvdova, S. Reznichenko, Certain
aspects of personal data protection in the social network: European
experience and legislative regulation in Ukraine, Journal Amazonia Investiga, Volume 9 - Issue 27 / March 2020 გვ. 389.
[18] Directive 95/46/EC of the European Parliament
and of the Council of 24 October 1995 on the protection of individuals with
regard to the processing of personal data and on the free movement of such data.
[19] მონაცემთა
დაცვის ზოგადი რეგულაცია (EU) 2016/679, მუხლი 8.
[20] იქვე,
პრეამბულის პუნქტი 149.
[21] ასოცირების
შესახებ შეთანხმება ერთი მხრივ, ევროკავშირს და ევროპის ატომური ენერგიის გაერთიანებას
და მათ სახელმწიფოებსა და მეორე მხრივ, საქართველოს შორის, მუხლი 14.
[22] საქართველოს
კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ N5669-რს, 29 დეკემბერი, 2011 წ. მუხლი
4.
[23] იხ.
საქართველოს კანონის პროექტი „პერსონალურ მონაცემთა დაცვის შესახებ“, პრინციპებთან
დაკავშირებით იხ. ამავე კანონპროექტის მუხლი 4, უსაფრთხოების პოლიტიკასთან დაკავშირებით
- მუხლი 27, არასრულწლოვანის თანხმობის პირობების შესახებ - მუხლი 7.
https://info.parliament.ge/file/1/BillReviewContent/222089
04.07.2022.
[24] პერსონალურ
მონაცემთა დაცვის სამსახურის დებულება, მუხლი 2. https://matsne.gov.ge/document/view/5398923?publication=0
04.07.2022.
No comments:
Post a Comment