2023 წლის 14 მაისს მიღებულ იქნა საქართველოს კანონი „პერსონალურ მონაცემთა დაცვის შესახებ“, რომელიც ძალაში 2024 წლის 1 მარტიდან შევიდა. აღნიშნულმა კანონმა მნიშვნელოვანი ეტაპი შექმნა საქართველოში პერსონალურ მონაცემთა დაცვის სამართლებრივი ჩარჩოს განვითარების პროცესში და ამ სფეროს ინსტიტუციურ და ნორმატიულ განმტკიცებაში.
ახალი კანონი აწესებს დამატებით ვალდებულებებს და ცალკეულ საკითხებს ახლებური რეგულირების ქვეშ აყენებს. ამასთან, კანონით შემოღებული სიახლეები სრულ შესაბამისობაშია ევროკავშირის მონაცემთა დაცვის სამართლებრივ ჩარჩოსთან. კანონის მიღების ერთ-ერთი ძირითადი მიზანი სწორედ ეროვნული კანონმდებლობის ევროკავშირის სამართალთან დაახლოებაა, რაც ევროკავშირთან ასოცირების შეთანხმებით ნაკისრი ვალდებულებების შესრულების მნიშვნელოვან ეტაპს წარმოადგენს.
კანონის მიღებას მნიშვნელოვანი გამოხმაურება და მაღალი საზოგადოებრივი ინტერესი მოჰყვა როგორც საჯარო, ისე კერძო სექტორში. გაჩნდა არაერთი პრაქტიკული და თეორიული კითხვა, რომელთა ნაწილზე განმარტებები უკვე ჩამოყალიბდა, თუმცა რიგი საკითხები კვლავ ინტერპრეტაციისა და დამატებითი განმარტების საჭიროებას აჩენს. ამასთან, კანონით დაწესებული მრავალი არსებითი ვალდებულება ორგანიზაციების მნიშვნელოვანი ნაწილისთვის კვლავ ფორმალური, შაბლონური ხასიათის ნორმად რჩება. პრაქტიკაში მათი შესრულება ხშირად შემოიფარგლება მინიმალური შესაბამისობის უზრუნველყოფით, რომლის მთავარი მიზანია სანქციების თავიდან აცილება და არა მონაცემთა დაცვის რეალური სტანდარტის დამკვიდრება.
კანონის მიღებიდან უკვე ორი წლის გასვლის ფონზე შესაძლებელი ხდება მისი პრაქტიკული მოქმედების გარკვეული ანალიზი. წინამდებარე სტატიაც სწორედ ამ პერიოდის განმავლობაში გამოვლენილ ძირითად გამოწვევებს ეძღვნება.
სტატიის ფარგლებში არ ხორციელდება ყველა პრობლემური საკითხის ამომწურავი და დეტალური განხილვა, რაც საკითხთა სიმრავლიდან და მათი კომპლექსურობიდან გამომდინარე პრაქტიკულად შეუძლებელია. სტატია მიზნად ისახავს რამდენიმე მნიშვნელოვანი და მასშტაბური პრობლემის იდენტიფიცირებას, რომლებიც საქართველოში პერსონალურ მონაცემთა დაცვის სფეროში არსებით გამოწვევებს ქმნის და შემდგომი განვითარების საჭიროებაზე მიუთითებს.
პერსონალურ მონაცემთა დაცვის ოფიცერი
„პერსონალურ მონაცემთა დაცვის შესახებ“ ახალი კანონის მიღების შემდეგ, განსაკუთრებული ბუნდოვანება გამოიწვია პერსონალურ მონაცემთა დაცვის ოფიცრის განსაზღვრის ვალდებულებამ. როგორც მოსალოდნელი იყო, ბევრმა დაწესებულებამ ოფიცრის ფუნქცია-მოვალეობები მოქმედ თანამშრომლებს შეუთავსა. ძირითადად ასეთი პირები იყვნენ იურიდიული და ადამიანური რესურსების მართვის სამსახურებისა თუ დეპარტამენტების ხელმძღვანელები, მათი მოადგილეები, ან სხვა მენეჯერულ პოზიციაზე დასაქმებული პირები, რომლებიც პოლიტიკის დაგეგმვასთან, ანალიტიკურ თუ სხვა საქმიანობასთან დაკავშირებულ ფუნქციებს ახორციელებდნენ.
პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური ანგარიშიდან ირკვევა, რომ საზედამხედველო ორგანომ ჩაატარა შემოწმებები იმის თაობაზე, თუ რამდენად აკმაყოფილებდა სხვადასხვა დაწესებულების მონაცემთა დაცვის ოფიცერი საქართველოს კანონმდებლობით დადგენილ მოთხოვნებს. პრობლემები გამოიკვეთა როგორც ინტერესთა კონფლიქტის, ისე სათანადო ცოდნის კუთხით. ინტერესთა კონფლიქტის მთავარი გამომწვევი მიზეზი არის ე.წ. „ფუნქციის შეთავსების“ მანკიერი პრაქტიკა, როდესაც დაწესებულების ხელმძღვანელი ოფიცრის ფუნქციას უთავსებს იმ თანამშრომელს, რომელსაც სხვა ფუნქცია-მოვალეობები გააჩნია და ხშირ შემთხვევაში, მონაწილეობს პერსონალურ მონაცემთა დამუშავების პროცესში. აღნიშნული პრაქტიკა მავნეა არა მხოლოდ ინტერესთა კონფლიქტის პერსპექტივიდან, არამედ ვერ უზრუნველყობს მონაცემთა დაცვის ოფიცრის ეფექტურობას, რადგან მონაცემთა დაცვა მის მეორად ფუნქციად რჩება, რაც „დამატებითი“ საქმე და „თავის ტკივილია“, მითუმეტეს თუ აღნიშნულს თან ერთვის გარემოება, როდესაც ოფიცრის ფუნქცია არ არის ანაზღაურებადი და სათანადოდ დაფასებული ორგანიზაციაში.
არანაკლებ პრობლემური საკითხია კომპეტენცია და კომპეტენციის შეფასების კრიტერიუმი, რისთვისაც აუცილებელია ქმედითი ნაბიჯები სახელმწიფოს მხრიდან. მონაცემთა დაცვის ოფიცრის მოსამზადებელი სასწავლო კურსები მრავლად ცხადდება, თუმცა სასწავლო ცენტრები იმდენად განსხვავებულ პროგრამებს სთავაზობენ აუდიტორიას, რომ ამაზე სერიოზულად საუბარიც კი აზრს მოკლებულია. მაგალითისთვის, ვაწყდებით მონაცემთა დაცვის ოფიცრის მოსამზადებელ როგორც სამ დღიან, ისე ორკვირიან თუ სამთვიან სასწავლო კურსებს. ყოველივე აღნიშნული კი სახელმწიფო ზედამხედველობის კონტროლს მიღმაა, რაც ქმნის არაკომპეტენტური ოფიცრების არსებობის პრობლემას ქვეყანაში. საბოლოოდ ეს ყველაფერი უარყოფითად აისახება პერსონალურ მონაცემთა დაცვის სტანდარტზე.
პერსონალურ მონაცემთა დაცვის სამსახურის 2024 წლის ანგარიშში ვკითხულობთ, რომ 2 დაწესებულების შემოწმების ფარგლებში დადგინდა, რომ პერსონალურ მონაცემთა დაცვის ოფიცრად დანიშნულ პირებს არ ჰქონდათ ცოდნა მონაცემთა დაცვის სფეროში, რაც, ცხადია, გამორიცხავდა მათ მიერ საქმიანობის კვალიფიციურად და ეფექტიანად განხორციელების შესაძლებლობას. საინტერესოა თუ როგორ ამოწმებს საზედამხედველო ორგანო მონაცემთა დაცვის ოფიცრის კომპეტენციას და აქვს თუ არა შემუშავებული რაიმე მეთოდოლოგია ე.წ. „სათანადო ცოდნის“ შესაფასებლად. ანგარიშში აღნიშნულზე საუბარი არ არის.
მონაცემთა უსაფრთხოების დარღვევის (ინციდენტი) შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის თანახმად, ინციდენტი წარმოადგენს მონაცემთა უსაფრთხოების დარღვევას, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას.
კანონის შესაბამისად, დამუშავებისთვის პასუხისმგებელ პირს ეკისრება ვალდებულება აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.
2025 წელს პერსონალურ მონაცემთა დაცვის სამსახურმა მონაცემთა უსაფრთხოების დარღვევის (ინციდენტი) თაობაზე მონაცემთა დამუშავებისთვის პასუხისმგებელი პირებისგან მიიღო ჯამში 35 შეტყობინება.
შეტყობინებების რაოდენობები საქართველოში მნიშვნელოვნად ჩამოუვარდება ევროკავშირის წევრი სახელმწიფოების სტატისტიკას. მაგალითად, 2025 წლის 28 იანვრიდან 2026 წლის 27 იანვრამდე, ინციდენტის თაობაზე საზედამხედველო ორგანოში გერმანიის ფედერაციულ რესპუბლიკაში 34,467 შეტყობინება შევიდა, ესპანეთში – 3,033, შვედეთში – 8,765, ლიეტუვაში – 298, ხოლო ბულგარეთში – 382. აღსანიშნავია, ის ფაქტორიც, რომ 2024 წლიდან 2025 წლამდე ევროკავშირის წევრ ქვეყნებში ინციდენტის შეტყობინებების რაოდენობის მნიშვნელოვანი ზრდა შეინიშნა. შესაძლოა, საქართველოში აღნიშნული რიცხვი 2026 წლისთვის გაიზარდოს, რასაც დრო გვაჩვენებს.
სპეციალური წარმომადგენელი
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 34-ე მუხლის თანახმად, საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოში არსებული ტექნიკური საშუალებებით მონაცემთა დამუშავების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით მონაცემთა დამუშავებამდე საქართველოში დანიშნოს ან განსაზღვროს სპეციალური წარმომადგენელი. სპეციალური წარმომადგენელი რეგისტრირდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ გამოცემული ნორმატიული აქტით დადგენილი წესით.
პერსონალურ მონაცემთა დაცვის სამსახური 2025 წლის სპეციალურ ანგარიშში აღნიშნავს, რომ „კანონის ამ კონკრეტული დანაწესის ამოქმედებიდან დღემდე, სამსახურში არ დაფიქსირებულა არც ერთი მომართვა სპეციალური წარმომადგენლის რეგისტრაციის მოთხოვნით და შესაბამისად არ განხორციელებულა ადმინისტრაციული წარმოება ამ მიზნებისთვის.” მთავარ პრობლემებად დასახელებულია ცნობიერების ნაკლებობა და ხსენებული ვალდებულების შეუსრულებლობის გამო სამსახურის უფროსის მიერ კონკრეტული დამუშავებისთვის პასუხისმგებელი/დამუშავებაზე უფლებამოსილი პირის დაჯარიმების შესახებ მიღებული გადაწყვეტილების აღსრულების საკითხი. ანგარიშის თანახმად, „სააღსრულებო წარმოებათა შესახებ“ საქართველოს კანონის მე-2 მუხლის „ძ“ ქვეპუნქტის თანახმად, სამსახურის უფროსის ინდივიდუალური სამართლებრივი აქტი სახდელის სახით ჯარიმის დაკისრების ნაწილში ექვემდებარება აღსრულებას, თუმცა იმის გათვალისწინებით, რომ სამართალდამრღვევი არ წარმოადგენს საქართველოში დაფუძნებულ სამართალსუბიექტს და არც ქონებას ფლობს საქართველოს ტერიტორიაზე, სააღსრულებო წარმოება ფერხდება. ანგარიშში ხაზგასმულია, რომ „მსგავსად ქართული სამართლებრივი რეალობისა, რეგულაციის გავრცელების შედეგად სპეციალური წარმომადგენლის დაურეგისტრირებლობის გამო დაკისრებული ჯარიმების აღსრულება რამდენიმე გამოწვევის წინაშე დგას, მათ შორისაა იურისდიქციის შეზღუდვები ევროკავშირის არაწევრი სუბიექტების მიმართ, იურისდიქციებს შორის საპასუხო აღსრულების შეთანხმებების არარსებობა და ევროკავშირის ზედამხედველობის ორგანოების რესურსების შეზღუდვა.” ანგარიშში მითითებულია წყარო (სტრატეგიული და საერთაშორისო სწავლების ცენტრის პოსტი), რომელსაც აღნიშნული დასკვნა ეყრდნობა, თუმცა აღსანიშნავია, რომ აღნიშნული წყარო 2021 წლის 13 სექტემბრით თარიღდება, მაშასადამე მოძველებულია და თითქმის 5 წლის გასვლის შემდგომ დღემდე, წესით და რიგით, ამ კუთხით გარკვეული ცვლილებები უნდა განხორციელებულიყო ევროპულ მონაცემთა დაცვის სფეროში.
რა თქმა უნდა აღსრულების მექანიზმი პრობლემურია, თუმცა სანამ ამ პრობლემამდე მივალთ, მინიმუმ ერთი იდენტიფიცირებული დაწესებულება უნდა გვყავდეს სახეზე, რომელსაც „პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის 34-ე მუხლის თანახმად, ევალება, ჰყავდეს სპეციალური წარმომადგენელი. ანგარიში კი ძირითადად ცნობიერების ნაკლებობაზე მიუთითებს და საერთაშორისო აღსრულების პრობლემატიკაზე საუბრობს.
აქ ჩნდება ინსტიტუციური პასუხისმგებლობის საკითხი: არის თუ არა საზედამხედველო ორგანოს ფუნქცია მხოლოდ განაცხადების მიღება? თუ მას უნდა ჰქონდეს პროაქტიული მონიტორინგის მექანიზმები? საერთაშორისო პრაქტიკაში, განსაკუთრებით ევროკავშირში, საზედამხედველო ორგანოები აქტიურად იკვლევენ უცხოურ SaaS (Software as a Service) პლატფორმებს, ონლაინ სერვისებს და ღრუბლოვან (Cloud) ინფრასტრუქტურას. ქართულ ანგარიშში მსგავსი პროაქტიული საქმიანობის თაობაზე საუბარი საერთოდ არ არის.
მონაცემთა დამუშავების პროცესების აღწერა
2025 წლის 7 ივლისის წერილით: პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საჯარო დაწესებულებებს მათ მიერ აღრიცხული ინფორმაციის წარმოდგენა ეთხოვათ, რომლის მიზანს კანონით განსაზღვრული ვალდებულების შესრულებისას არსებული ნაკლოვანი პროცესების გამოსასწორებლად ე. წ. „რბილი სამართლის“ ინსტრუმენტების შემუშავება წარმოადგენდა. მიღებული დოკუმენტების შესწავლის შედეგად, მომზადდა სპეციალური ანგარიში, სადაც არაერთი პოზიტიური თუ ნეგატიური პრაქტიკული ასპექტია გამოკვეთილი. ანგარიშში ვკითხულობთ, რომ „უწყებების მიერ წარმოდგენილ ცალკეულ დოკუმენტში მონაცემთა მიმღებად იდენტიფიცირებადი სახით აღრიცხულია დაწესებულების თანამშრომელი, რაც თავის მხრივ, ქმნის მონაცემთა გამჟღავნების რისკს და რეკომენდებულია მისი გადახედვა”. ბუნდოვანია, რა იგულისხმება მონაცემთა გამჟღავნებში, რამეთუ ერთ-ერთ საკონსულტაციო სახის ღონისძიებაზე საზედამხედველო ორგანოს წარმომადგენლებისთვის ჩემს მიერ დასმულ კითხვაზე, უნდა იყოს თუ არა საჯარო „პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის 28-ე მუხლის საფუძველზე შემუშავებული მონაცემთა დამუშავების პროცესების აღრიცხვის დოკუმენტი, ცალსახა პასუხი ვერ მივიღე. ასევე, უნდა აღვნიშნო, რომ 2024 წლის 23 აგვისტოს საჯარო ინფორმაციის სახით პერსონალურ მონაცემთა დაცვის სამსახურიდან გამოვითხოვე „პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის 28-ე მუხლის საფუძველზე შემუშავებული მონაცემთა დამუშავების პროცესების აღრიცხვის დოკუმენტი, რაზე პასუხადაც არ მიმიღია სრულყოფილი დოკუმენტი, არამედ გამომეგზავნა ექსელის ფორმატის შაბლონი, სადაც პროცესების მხოლოდ მცირე ნაწილი იყო შევსებული. შესაბამისად, არ არსებობს ცალსახა პასუხი საზედამხედველო ორგანოსგან მონაცემთა დამუშავების პროცესების აღწერის დოკუმენტი უნდა იყოს თუ არა კონფიდენციალური და თუ ეს ასეა, რა მიზეზით, ხოლო თუ უნდა იყოს საჯარო და ხელმისაწვდომი, ამ შემთხვევაში, რატომ ასაიდუმლოებს პერსონალურ მონაცემთა დაცვის სამსახური საკუთარ დოკუმენტს. არც ის არის გამორიცხული, რომ 2024 წლის 23 აგვისტოსთვის საზედამხედველო ორგანოში აღნიშნულ დოკუმენტზე მუშაობა დასრულებული არ იყო.
თუ ევროპული პრაქტიკით ვიხელმძღვანელებთ, ევროპის მონაცემთა დაცვის ზედამხედველის მონაცემთა დამუშავების პროცესების აღწერა არამც თუ კონფიდენციალურია, არამედ პროაქტიულად არის გასაჯაროვებული საზედამხედველო ორგანოს ოფიციალურ ვებგვერდზე. რა თქმა უნდა იმ მოსაზრების ვარ, რომ ნებისმიერი საზედამხედველო ორგანო სანამ სხვისგან მოითხოვს გარკვეული ვალდებულებების შესრულებას, ჯერ თავად უნდა იყოს სამაგალითო და გამჭვირვალე აღნიშნული ვალდებულებების შესრულების კუთხით.
აქვე აუცილებლად უნდა აღინიშნოს, რომ საზედამხედველო ორგანოს მხრიდან მონაცემთა დამუშავების პროცესების აღწერის დოკუმენტაციის გამოთხოვა არ მომხდარა კერძო სექტორის წარმომადგენლებისგან, მაშინ, როცა მათი რაოდენობა გაცილებით დიდია, ვიდრე საჯარო დაწესებულებებისა. რა თქმა უნდა, შეუძლებელია ყველა კომპანიასთან კომუნიკაცია, თუმცა საინტერესო იქნებოდა გარკვეულ მსხვილ სექტორებზე აქცენტირებული მიდგომა და სექტორების პრაქტიკის შესწავლა, როგორებიცაა: საბანკო სექტორი, სადაზღვევო სექტორი, სამედიცინო სექტორი და სხვ.
პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის შეუსრულებლობა
საზედამხედველო ორგანოს კანონიერი მოთხოვნის შესრულება სავალდებულო იყო „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს 2011 წელს მიღებული კანონის მიხედვითაც, თუმცა აღნიშნული ყოველთვის პრობლემურ საკითხს წარმოადგენდა, რადგან ასეთი მოთხოვნის შეუსრულებლობა არ ადგენდა ადმინისტრაციულ პასუხისმგებლობას. კანონპროექტის შემუშავების პროცესში, ჩემს, როგორც პარლამენტთან შექმნილი სამუშაო ჯგუფის წევრისა და პერსონალურ მონაცემთა დაცვის სამსახურის წარმომადგენლის ინიციატივას წარმოადგენდა საზედამხედველო ორგანოს კანონიერი მოთხოვნის კვალიფიკაცია ადმინისტრაციულ სამართალდარღვევად და ამისათვის ადმინისტრაციული სახდელის დადგენა. დღეს, ახალი კანონით საზედამხედველო ორგანოს მიეცა მნიშვნელოვანი სამართლებრივი ბერკეტი, გააკონტროლოს მონაცემთა დამუშავების პროცესების კანონმდებლობასთან შესაბამისობის უზრუნველყოფის მიზნით გაცემული დავალებების შესრულება, მათი შეუსრულებლობის შემთხვევაში კი დაიწყოს შემოწმება, გამოიყენოს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 87-ე მუხლით გათვალისწინებული სახდელი და კვლავ გასცეს სავალდებულო დავალება, კანონის 52-ე მუხლის პირველი პუნქტით გათვალისწინებული წესით.
საინტერესოა საზედამხედველო ორგანოს მიერ ზემოაღნიშნული ბერკეტის გამოყენება მონაცემთა დაცვის ოფიცრის განსაზღვრის ვალდებულების დარღვევის კონტექსტში. კერძოდ, საზედამხედველო ორგანოს მიერ საჯარო სკოლების შემოწმების ფარგლებში გარკვეულ სკოლებს კანონის 33-ე მუხლის პირველი პუნქტის მოთხოვნათა საწინააღმდეგოდ, 2024 წლის პირველი ივნისის შემდგომ პერიოდში, არ ჰყავდათ განსაზღვრული ოფიცრები. აღნიშნულის საფუძველზე, სამსახურის უფროსის გადაწყვეტილებებით აღნიშნულ სკოლებს დაევალათ კანონით დადგენილი წესით, ოფიცრის დაუყოვნებლივ განსაზღვრა. გადაწყვეტილებების კანონიერ ძალაში შესვლის შემდგომ, გაცემული დავალებების შესრულებასთან დაკავშირებით, სამსახურის მიერ მოპოვებული ინფორმაციით გამოიკვეთა, რომ სკოლებს კვლავ არ ჰყავდათ განსაზღვრული ოფიცერი. აღნიშნულის საფუძველზე, ოფიცრის განსაზღვრასთან დაკავშირებული ვალდებულების სავარაუდო შეუსრულებლობის ფაქტის შესწავლის მიზნით, სამსახურის მიერ კვლავ დაიწყო შემოწმებები. დასახელებული შემოწმებების ფარგლებში დადასტურდა სკოლების მიერ სამსახურის უფროსის დავალებების შეუსრულებლობის ფაქტი. შემოწმების ფარგლებში სამსახურმა დაადგინა, რომ სკოლებმა კანონის 52-ე მუხლის მე-2 პუნქტის მოთხოვნათა საწინააღმდეგოდ არ შეასრულეს, ამავე მუხლის პირველი პუნქტის „ა“ ქვეპუნქტისა და 33-ე მუხლის პირველი პუნქტის მოთხოვნათა შესაბამისად, სამსახურის უფროსის გადაწყვეტილებებით მიცემული დავალებები. ამდენად, სამსახურის კანონიერი მოთხოვნის შეუსრულებლობისთვის სკოლებს დაეკისრათ ადმინისტრაციული პასუხისმგებლობა. ამასთან, სამსახურის მიერ გაიცა დავალება სამსახურის გადაწყვეტილებით განსაზღვრულ ვადაში ოფიცრის განსაზღვრასთან დაკავშირებით.
საინტერესოა „პერსონალურ მონაცემთა დაცვის შესახებ” საქართველოს კანონის 82-ე მუხლი, რომლის თანახმადაც, პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა გამოიწვევს სამართალდამრღვევის გაფრთხილებას, ხოლო ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ ადმინისტრაციული სახდელის დადებიდან ერთი წლის განმავლობაში, გამოიწვევს სამართალდამრღვევის დაჯარიმებას 3 000 ლარის ოდენობით.
აღნიშნული ნორმა ბადებს გარკვეული ინტერპრეტაციების საშუალებას. კერძოდ, გაფრთხილების შემთხვევაში, კანონმდებელი ხომ არ აწესებს ერთწლიან ვადას ოფიცრის განსაზღვრისთვის და ამის ფონზე რამდენად ჰქონდა სამსახურს ოფიცრის დაუყოვნებლივ დანიშვნის მოთხოვნის უფლებამოსილება და შემდგომ რამდენად მართებული და კანონიერი იყო ადმინისტრაციული პასუხისმგებლობის გამოყენება ამ მოთხოვნის შეუსრულებლობისათვის. რა თქმა უნდა ერთი წელი ძალიან დიდი დრო არის მონაცემთა დაცვის ოფიცრის განსაზღვრისათვის, განსაკუთებით იმის ფონზე, როდესაც ახალი კანონი აღნიშნული ვალდებულებისთვის თითქმის ერთწლიან გარდამავალ პერიოდს აწესებდა. შესაბამისად, საზედამხედველო ორგანოს მიდგომა მოცემულ შემთხვევაში სრულიად პასუხობს ადამიანის უფლებების დარღვევის რისკებს და ქმედითი ზედამხედველობის რეალურ საშუალებებსა და საჭიროებებს.
დასკვნა
„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს ახალმა კანონმა მნიშვნელოვანი ინსტიტუციური და ნორმატიული წინსვლა მოიტანა, გააძლიერა საზედამხედველო მექანიზმები და ქართული სამართლებრივი სივრცე უფრო მეტად დააახლოვა ევროკავშირის სტანდარტებთან.
თუმცა, პრაქტიკამ აჩვენა, რომ ფორმალური შესაბამისობა ავტომატურად არ ნიშნავს ეფექტიან იმპლემენტაციას. გამოწვევები კვლავ თვალსაჩინოა მონაცემთა დაცვის ოფიცრის დამოუკიდებლობისა და კომპეტენციის, ინციდენტების შეტყობინების კულტურის, სპეციალური წარმომადგენლის ინსტიტუტის რეალური ამოქმედებისა და მონაცემთა დამუშავების პროცესების გამჭვირვალობის მიმართულებით. განსაკუთრებულ მნიშვნელობას იძენს პროაქტიული ზედამხედველობის გაძლიერება და ერთგვაროვანი, მკაფიო მეთოდოლოგიური სტანდარტების ჩამოყალიბება.
შემდეგი ეტაპი უნდა იყოს არა მხოლოდ ნორმატიული ჩარჩოს შენარჩუნება, არამედ მისი პრაქტიკული ეფექტიანობის უზრუნველყოფა — ცნობიერების ამაღლებით, ინსტიტუციური პასუხისმგებლობის გაძლიერებით და აღსრულების მექანიზმების დახვეწით. სწორედ ეს განაპირობებს, გადაიქცევა თუ არა ახალი კანონი რეალურად მოქმედ ინსტრუმენტად ადამიანის ძირითადი უფლებების დაცვისათვის საქართველოში.
წყაროები:
[1] დოკუმენტის ნომერი: 3144-XIმს-Xმპ, გამოქვეყნების თარიღი 03/07/2023, სარეგისტრაციო კოდი: 010100000.05.001.020936
[2] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია (2025), თავი IV, გვ. 95-96, ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[3] იხ. იქვე, გვ. 96.
[4] „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი, 29-ე მუხლის პირველი პუნქტი.
[5] პერსონალურ მონაცემთა დაცვის სამსახური, პერსონალურ მონაცემთა დაცვის სამსახურის 2025 წლის 12 თვის საქმიანობის სტატისტიკა, გვ. 00, (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[6] DLA Piper Data, Privacy and Cybersecurity Team. (2026, January). GDPR fines and data breach survey. DLA Piper. URL: https://www.compliancehub.wiki/content/files/2026/01/gdprfinesjan2026-compressed.pdf
[7] “პერსონალურ მონაცემთა დაცვის სამსახურის მიერ სპეციალური წარმომადგენლის რეგისტრაციის წესის დამტკიცების შესახებ” პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის 2024 წლის 28 თებერვლის №20 ბრძანება.
[8] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[9] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია, გვ. 92, (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[10] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია, გვ.92, (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[11] იხ. იქვე.
[12] იხ. წყარო https://www.csis.org/blogs/strategic-technologies-blog/3-years-later-analysis-gdpr-enforcement
[13] პერსონალურ მონაცემთა დაცვის სამსახურის 2025 წლის 7 ივლისის №PDPS 6 25 00011808 წერილი.
[14] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია, გვ.92, (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
[15] იხ. ბმულზე: https://www.edps.europa.eu/about/data-protection-within-edps/records-register_en
[16] პერსონალურ მონაცემთა დაცვის სამსახური, სპეციალური ანგარიში – „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის იმპლემენტაცია, გვ. 45, (2025). ხელმისაწვდომია: https://pdps.ge/ka/content/988/angariSebi
