2022 წლის 11 აპრილს საქართველომ ევროკავშირის კანდიდატი ქვეყნის სტატუსის თვითშეფასების კითხვარი მიიღო.

კითხვარის შესავსებად მთავრობას 1 თვის ვადა აქვს, კითხვარი კომპლექსურია და მრავალ თემას მოიცავს. მათ შორის, როგორც მოსალოდნელი იყო, კითხვები პერსონალურ მონაცემთა დაცვის საკითხებსაც შეეხება.

რას გვეკითხებიან?

მონაცემთა დაცვასთან დაკავშირებული საკითხები მოცემულია ძირითადი უფლებების თავში და მოიცავს შემდეგ კითხვებს:

- კერძოობის (privacy) პატივისცემა: არის თუ არა კერძოობა კანონით გარანტირებული;

- მონაცემთა დაცვაზე პასუხისმგებელი სახელმწიფო ორგანოს უფლება-მოვალეობები;

- როგორ არის/იყო დაცული პერსონალური მონაცემები მოსახლეობის აღწერისას უმცირესობების შესახებ სტატისტიკური ინფორმაციის შეგროვების პროცესში;

- ინფორმაცია პერსონალურ მონაცემთა დაცვის კანონმდებლობისა და საერთაშორისო კონვენციებთან, მათ შორის კონვენცია 108+ და ევროკავშირის კანონმდებლობასთან (EU acquis) მისი შესაბამისობის შესახებ. რა კეთდება მონაცემთა ეფექტიანი დაცვის უზრუნველსაყოფად;

- მონაცემთა დაცვის არსებული კანონმდებლობის გავრცელების ფარგლები (კომერციული ორგანიზაციები, საჯარო დაწესებულებები, სპეციალური წესები სამართალდამცავი სექტორისათვის);

- სისხლისსამართლებრივ დანაშაულთან და პატიმრობასთან დაკავშირებული მონაცემების დამუშავების შემთხვევაში);

- ითვალისწინებს თუ არა მონაცემთა დაცვის არსებული კანონმდებლობა მონაცემთა დაცვის პრინციპების და მონაცემთა სუბიექტის უფლებების შეზღუდვას მნიშვნელოვანი საჯარო ინტერესის საფუძველზე?

- მონაცემთა დაცვის კანონმდებლობის შესრულების კონტროლზე უფლებამოსილი საზედამხედველო ორგანოს შესახებ ინფორმაცია, კერძოდ, მისი სრული დამოუკიდებლობის უზრუნველსაყოფად მიღებული სამართლებრივი და პრაქტიკული ზომები, ასევე, საზედამხედველო ორგანოს მოწყობა, თანამშრომელთა, განსაკუთრებით ინსპექტორთა რაოდენობა, ტექნიკური და ფინანსური რესურსები, უფლება-მოვალეობების ეფექტიანად განსახორციელებლად საჭირო შენობა და ინფრასტრუქტურა.

პრობლემური საკითხები

ჩვენი აზრით, ამ კითხვებიდან რამდენიმეზე პასუხი შესაძლებელია იყოს შედარებით პრობლემური:

საერთაშორისო აქტებთან შესაბამისობა

ინფორმაცია პერსონალურ მონაცემთა დაცვის კანონმდებლობასა და საერთაშორისო კონვენციებთან, მათ შორის კონვენცია 108+ და ევროკავშირის კანონმდებლობასთან (EU acquis) მისი შესაბამისობის შესახებ. რა კეთდება მონაცემთა ეფექტიანი დაცვის უზრუნველსაყოფად?

„პერსონალურ მონაცემთა ავტომატური დამუშავებისას ფიზიკური პირების დაცვის შესახებ“ 1981 წლის 28 იანვრის 108-ე კონვენცია საქართველოს მხრიდან რატიფიცირებულია, თუმცა ამ კონვენციის დამატებითი ოქმი, რომელთან ერთობლიობაშიც კონვენცია მოიხსენიება როგორც მოდერნიზებული კონვენცია ან კონვენცია 108+ საქართველოს მხრიდან ხელმოწერილი და რატიფიცირებული  არ არის.

მოდერნიზებული კონვენციით გათვალისწინებული სიახლეებიდან ჩვენი კანონმდებლობა მინიმუმ ფორმალურადაც არ არის შესაბამისობაში შემდეგ მოთხოვნებთან:

- საქართველოს კანონმდებლობა არ ითვალისწინებს მონაცემთა უსაფრთხოების დარღვევასთან (data breach) დაკავშირებით საზედამხედველო ორგანოსათვის შეტყობინების ვალდებულებას - მოდერნიზებული კონვენციის მე-7 მუხლის მე-2 პუნქტი ითვალისწინებს შესაბამისი საზედამხედველო ორგანოსთვის მონაცემთა უსაფრთხოების დარღვევის (data breaches) შეტყობინების ვალდებულებას, რომელთაც სერიოზული ზიანი შეიძლება მიაყენონ მონაცემთა სუბიექტის უფლებებსა და ძირითად თავისუფლებებს.

- საქართველოს კანონმდებლობით არ არის შეზღუდული მხოლოდ ავტომატიზებული პროცესის საფუძველზე გადაწყვეტილების მიღება (ე.წ. ალგორითმული გადაწყვეტები). ხელოვნური ინტელექტის განვითარებასთან ერთად ერთ-ერთი გამოწვევაა ადამიანს ჰქონდეს უფლება, მის შესახებ მნიშვნელოვანი გადაწყვეტილებები არ იქნას მიღებული მხოლოდ ავტომატიზებული საშუალებების გამოყენებით, მისი მოსაზრებების გათვალისწინების გარეშე. ასეთ შეზღუდვებს ითვალისწინებს მოდერნიზებული კონვენციის მე-9 მუხლი.

- საქართველოს კანონმდებლობა არ ითვალისწინებს ახალი პროდუქტის ან მომსახურების შექმნის პროცესში მონაცემთა დაცვის სტანდარტების გათვალისწინების პრინციპს (Privacy by design). მოდერნიზებული კონვენციის მე-10 მუხლის თანახმად მონაცემთა დამმუშავებელი ვალდებულია წინასწარ შეაფასოს ადამიანის უფლებებსა და ძირითად თავისუფლებებზე მონაცემთა დამუშავების შესაძლო ზეგავლენა და მონაცემთა დამუშავება დაგეგმოს იმგვარად, რომ მინიმუმამდე იქნას დაყვანილი ამ უფლებებსა და თავისუფლებებში ჩარევა და ამის უზრუნველსაყოფად მიიღოს შესაბამისი ტექნიკური და ორგანიზაციული ზომები.

- „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მოქმედება არ ვრცელდება სახელმწიფო უსაფრთხოების (მათ შორის, ეკონომიკური უსაფრთხოების), თავდაცვის, სადაზვერვო და კონტრდაზვერვითი საქმიანობების მიზნებისათვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა დამუშავებაზე. მოდერნიზებული კონვენციის მე-11 მუხლის თანახმად დაუშვებელია სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისათვის მონაცემთა დამუშავებაზე სრული გამონაკლისის დაწესება. გამონაკლისი დასაშვებია მხოლოდ ცალკეულ დებულებებთან დაკავშირებით, შესაბამისი საფუძვლების არსებობის შემთხვევებში და პერსონალურ მონაცემთა დამუშავებაზე დამოუკიდებელი და ეფექტიანი ზედამხედველობის უზრუნველყოფის გარანტიით.

მსგავსი შეუსაბამობებია ევროკავშირის მონაცემთა დაცვის ზოგად რეგულაციასთანაც (GDPR), რომელსაც ევროკავშირის ტერიტორიაზე პირდაპირი მოქმედების ძალა აქვს. რეგულაციამ მონაცემთა დამმუშავებლებისთვის ისეთი ვალდებულებები შემოიღო, როგორიცაა მონაცემთა დამუშავების ზეგავლენის შეფასება, მონაცემთა დაცვის სტანდარტების გათვალისწინება ახალი პროდუქტის ან მომსახურების შექმნის პროცესში (Privacy by Design) და მონაცემთა დაცვა პირველად პარამეტრად (Privacy by Default), მონაცემთა დამუშავებასთან დაკავშირებული საქმიანობის აღრიცხვა, გამჭვირვალობა, მონაცემთა დაცვის ოფიცრის დანიშვნა, პროფილირების აკრძალვა და ა.შ. საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“ GDPR-ით დამკვიდრებულ სტანდარტებთან შესაბამისობაში არ არის.

ამ მხრივ აღსანიშნავია 2019 წელს საქართველოს პარლამენტში ინიციირებული კანონის პროექტი, რომელიც, მიუხედავად გარკვეული ხარვეზებისა დიდწილად შესაბამისობაშია მონაცემთა დაცვის ევროპულ სტანდარტებთან. პროექტის განხილვა და მიღება ამ დრომდე ვერ ხერხდება. საგულისხმოა ის ფაქტიც, რომ პერსონალურ მონაცემთა დაცვის სამსახურის ახლად დანიშნულმა უფროსმა პარლამენტის იურიდიული კომიტეტის თავმჯდომარესთან შეხვედრისას აღნიშნულ კანონპროექტზეც ისაუბრა და, იმედია, კანდიდატის კითხვარი გახდება პროექტის ხელახალი ინიციირების მოტივაცია.

მონაცემთა დაცვის ოფიცერი

მონაცემთა დაცვის არსებული კანონმდებლობა ითვალისწინებს თუ არა შესაბამის შემთხვევებში პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულებას (მაგ. საჯარო დაწესებულებებისთვის (გარდა სასამართლოების მიერ მართლმსაჯულების განხორციელების შემთხვევებისა), დიდი რაოდენობის მონაცემთა სუბიექტების ქცევის სისტემატური და მასშტაბური მონიტორინგის შემთხვევაში, დიდი რაოდენობით განსაკუთრებული კატეგორიის მონაცემთა (სენსიტიური მონაცემების) ან სისხლისსამართლებრივ დანაშაულთან და პატიმრობასთან დაკავშირებული მონაცემების დამუშავების შემთხვევაში)

პერსონალურ მონაცემთა დაცვის ოფიცერი არის ადამიანი ორგანიზაციის შიგნით, რომელიც პასუხისმგებელია ორგანიზაციის მიერ მონაცემთა დამუშავების პროცესების კანონმდებლობასთან შესაბამისობაზე. ოფიცერი აკონტროლებს ორგანიზაციაში მონაცემთა დამუშავების პროცესს, მონაწილეობს რისკების შეფასებაში, განიხილავს მონაცემთა სუბიექტების განცხადებებსა და საჩივრებს, კონსულტაციას უწევს თანამშრომლებს. ოფიცერს უნდა ჰქონდეს მონაცემთა დაცვის სფეროში სათანადო ცოდნა და გამოცდილება და ექვემდებარებოდეს უშუალოდ უმაღლეს მენეჯმენტს.

ევროპული კანონმდებლობა მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულებას ითვალისწინებს ისეთი მონაცემთა დამმუშავებლებისთვის, როგორიცაა საჯარო დაწესებულებები, ასევე, თუ მონაცემთა დამუშავება თავისი ხასიათით, მასშტაბითა და მიზნებით მოიცავს მონაცემთა სუბიექტების რეგულარულ და სისტემატურ მონიტორინგს, თუ მონაცემთა დამმუშავებლის ძირითად საქმიანობას წარმოადგენს განსაკუთრებული კატეგორიის მონაცემთა დამუშავება ან პირის ნასამართლობასთან და დანაშაულთან დაკავშირებული მონაცემების დამუშავების შემთხვევებში.

საქართველოს კანონმდებლობით პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნის ვალდებულება გათვალისწინებული არ არის.

საზედამხედველო ორგანოს დამოუკიდებლობა

მონაცემთა დაცვის კანონმდებლობის შესრულების კონტროლზე უფლებამოსილი საზედამხედველო ორგანოს შესახებ ინფორმაცია, კერძოდ, მისი სრული დამოუკიდებლობის უზრუნველსაყოფად მიღებული სამართლებრივი და პრაქტიკული ზომები, ასევე, საზედამხედველო ორგანოს მოწყობა, თანამშრომელთა, განსაკუთრებით ინსპექტორთა რაოდენობა, ტექნიკური და ფინანსური რესურსები, უფლება-მოვალეობების ეფექტიანად განსახორციელებლად საჭირო შენობა და ინფრასტრუქტურა.

საქართველოში მონაცემთა დაცვის საზედამხედველო ორგანო 2013 წლიდან არსებობს. მის ხელმძღვანელს - პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს (2013-2019 წლებში პერსონალურ მონაცემთა დაცვის ინსპექტორი, 2019-2022 წლებში - სახელმწიფო ინსპექტორი) თანამდებობაზე ირჩევს საქართველოს პარლამენტი 6 წლის ვადით. კანონით შექმნილია შესაბამისი გარანტიები სამსახურისა და მისი უფროსის დამოუკიდებლობის უზრუნველსაყოფად, ის არ ექვემდებარება არცერთ ორგანოს ან თანამდებობის პირს, განსაზღვრულია სამსახურის უფროსის უფლებამოსილების ვადამდე შეწყვეტის კონკრეტული საფუძვლები. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსსა და პერსონალურ მონაცემთა დაცვის სამსახურის მოსამსახურეზე რაიმე ზემოქმედება და მათ საქმიანობაში უკანონო ჩარევა აკრძალულია და კანონით ისჯება. თუმცა გასული წლის დეკემბერში ჩვენ ყველა ერთად გავხდით მოწმე როგორ განიხილა და მიიღო საქართველოს პარლამენტმა დაჩქარებული წესით ახალი კანონი, რომლის საფუძველზეც პარლამენტის მიერვე არჩეულ სახელმწიფო ინსპექტორს, რომლის უფლებამოსილების ვადის ამოწურვამდე 3 წელი იყო დარჩენილი უბრალოდ თანამდებობა გაუუქმა და ამ ფორმით გაათავისუფლა.

სახელმწიფო ინსპექტორის სამსახურის გარშემო განვითარებულ მოვლენებს საერთაშორისო გამოხმაურებაც ჰქონდა, მათ შორის ევროკავშირის წარმომადგენლობის მხრიდანაც. წარმომადგენლობამ სახელმწიფო ინსპექტორის სამსახური შეაფასა როგორც „კარგად ფუნქციონირებადი დემოკრატიისა და ადამიანის უფლებების დაცვისთვის საკვანძო ინსტიტუტი“ და ცვლილებების პროცესით იმედგაცრუება გამოხატა და ხაზი გაუსვა, რომ „ძირითადი სახელმწიფო ინსტიტუტების ნდობა და დამოუკიდებლობა არსებითია დემოკრატიისა და ადამიანის უფლებებისთვის და ევროკავშირი - საქართველოს ასოცირების შეთანხმების სათანადო განხორციელების და საქართველოს ევროპული მისწრაფებების განუყოფელი ნაწილია.“

ყოველივე აღნიშნულის გათვალისწინებით, საზედამხედველო ორგანოს დამოუკიდებლობასთან დაკავშირებულ კითხვაზე საპასუხოდ, ვფიქრობთ, მხოლოდ კანონის ‘კარგად დაწერილ’ მუხლებზე მითითება არ იქნება საკმარისი.