მთავარი
კატეგორია
TV ლაივი მენიუ
Loading data...

10 მნიშვნელოვანი სიახლე ბიზნესისთვის GDPR-ის ამოქმედების შემდეგ

5b027fcc27b5a
BM.GE
21.05.18 12:09
6967
მიმდინარე წლის 25 მაისიდან ძალაში შედის მონაცემთა დაცვის ზოგადი ევროპული რეგულაცია ე.წ (GDPR ), რომელიც სრულიად ახალ სტანდარტებს აწესებს მონაცემთა დაცვის სფეროში. უპირველესად, რასაც ხაზი უნდა გაესვას არის ის ფაქტი, რომ GDPR თავისი ფორმით არის რეგულაცია და არა დირექტივა როგორც ეს ცვლილებებამდე იყო. აქედან გამომიდნარე, GDPR-ით დადგენილი წესები არის სავალდებულო შესასრულებლად ყველა წევრი ქვეყნისთვის, ყოველგვარი ცვლილებების შეტანის გარეშე.

აღნიშნული ცვლილების რეგულაცის ფორმით მიღება მეტყველებს იმ ფაქტზე, თუ რამხელა მნიშვნელობას ანიჭებს ევროკავშირი წევრი ქვეყნების მოქალაქეთა პერსონალური მონაცემების დაცვას. გარდა ამისა, რეგულაცია იქნება უფრო მეტად ეფექტური და მოქნილი რაც თვაისთავად გამოიწვევს ადმინისტრაციული ბიუროკრატიის შემცირებას.

1. მოქმედების არეალის გაზრდა

პირველი თვალშისაცემი სიახლე და განსხვავება წინა დირექტივისგან არის ახალი რეგულაციის ძალიან გაზრდილი ტერიოტრიული მოქმედების სფერო. იგი მოიცავს კომპანიებს რომლებიც დაფუძნებულია ევროკავშირში და აგერთვე მის ფარგლებს გარეთ. ცენტრალური საკითხი არის - კომპანია აწვდის თუ არა მომსახურებას ან საქონელს ევროკავშირის ბაზარზე. თუ ორგანიზაცია, რომელიც ევროკავშირის ფარგლებს გარეთ არის დაფუძნებული, აწვდის მომსახურებას ან საქონელს ევროკავშირის ბაზარს, ასეთ შემთხვევაში მათ ექნებათ ვალდებულება შესაბამისობაში მოიყვანონ მათი სამქიანობა GDPR-ის დადგენლ წესებთან. აქედან გამომდინარე, ამ საკითხის გაანალზიება საინტერესო იქნება ქართული კომპანიებისთვისაც.

2. ცნობიერების ამაღლება

უპირველსად, გადაწყვეტილების მიმღები პირები კომპანიში უნდა იყვნენ გათვითცნობიერებულნი იმის შესახებ, რომ ევროკავშირის კანონმდებლობა იცვლება და GDPR-ს შემოაქვს ბევრი მნიშვნელოვანი ცვლილება. კარგი იქნება, თუ კომპანიები წინასწარ განსაზღვრავენ საქმიანობის იმ სფეროს, რომელსაც შეიძლება შეექმნას შესაბიმისობის პრობლემა ახალ რეგულაციასთან, რაც ბუნებრივია გამოიწვევს რესურსების ოპტიმიზაციას რადგანაც, როდესაც კომპანია უკვე ფაქტის წინაშე დადგება, ძალიან რთული იქნება მოკლე დროში ხარვეზების აღმოფხვრა, თუ ამის შესახებ კომპანია წინასწარ არ ფლობს ინფორმაციას.

3. ინფორმაციის დოკუმენტირება და ანალიზი

კომპანიებმა უნდა უზრუნველყონ დოკუმენტირება ნებისმიერი სახის პერსონალური მონაცემის რომელსაც ფლობს, რაც გულისხობს იმის ანალიზს, თუ საიდან იღებს პერსონალურ მონაცმებს, ვის გადასცემს ან უზიარებს და ა.შ. საუკეთესო საშუალება ამისათვის არის ინფორმაციული აუდიტის (IA) ჩატარება. GDPR ავალდებულებს კომპანიებს რომ გააკეთონ და შეინახონ ჩანაწერები მონაცემთა დამუშავების ნებისმიერ პროცესში.

GDPR-ი მოუწოდებს კომპანიებს, რომ დაეყრდნონ მონაცმეთა მინიმიზაციის პრინციპს, რაც გულისხმობს, რომ გათავისუფლდნენ ისეთი მონაცემებისგან, რომლებიც სასიცოცხლოდ მნიშვნელოვანი არ არის კომპანიისთვის. ამის მისაღწევად საუკეთესო გზა არის გადახედვა ძველი მონაცემების და გაანალზიება რამდენად საჭიროა ისინი კომპანიისთვის. ხშირ შემთხვევაში ბიზნესისთვის რთულია გამოუსადეგარი მონაცმების წაშლაც კი, რადგან ფიქრობენ, რომ გარკვეული დროის შემდეგ კვლავ დასჭირდებათ მათი გამოყენება. თუმცა, ასეთი სახის ფიქრი გარკვეულწილად ხაფანგია კომპანიებისთვის. რაც უფრო ნაკლები პერონალური მონაცემი ექნება კომპანიას, მით უფრო ადვილად მოიყვანს მის საქმიანობას GDPR-თან შესაბმისობაში.

ამ ყველაფრის პრაქტიკაში გათვალისწინება ხელს შეუწყობს კომპანიებს არა მარტო იმაში, რომ უფრო მეტი ინფორმაცია ექნებათ თუ რა პეროსნალურ მონაცმებს ფლობენ, ასევე ეს გამოიწვევს კომპანიის შესაბამისობას GDPR-ის ერთ ერთ პრინციპთან როგორც არის ანგარიშვალდებულების პრინიცპი, რაც ავალდებუებს კომპანიებს, რომ დაადასტურონ მათი შესაბამისობა მონაცემთა დაცვის პრინიცპებთან.

4. კონფიდენციალურობის შეტყობინება

კომპანიებმა უნდა გადახედონ კონფიდენციალურობის შესახებ შეტყობინებებს და შეუსაბამამონ GDPR-ის მოთხოვნებს. ასეთი სახის შეტყობინებით ძირითადად ხდება მონაცემთა სუბიექტებისთვის ინფორმაციის მიწოდება იმის შესახებ, თუ რა მიზნით იყენებენ და ამუშვებენ მათს პერონალურ მონაცმებს. თუმცა GDPR-ით კომპანიებს ეკისრებათ უფრო მეტი ვალდებულება, კერძოდ მათ უნდა აუხსნან მონაცემთა სუბიექტებს, თუ რა კანონიერი საფუძვლით ხდება მონაცემთა დამუშავება, რა პერიოდით ხდება ინფორმაციის შენახვა ასევე მათი ინფორმირება, რომ უფლება აქვთ მიმართონ პერონალურ მოანცემთა დაცვის ზედამხედველ ორგანოს, თუ თვლიან, რომ მათი მონაცემები მუშავდება არაკნონიერად. GDPR-ი ავალდებულებს კომპანიებს, რომ ყველა ზემოთაღნიშნული ინფორმაცია მიწოდებულ იქნას მონაცემთა სუბიექტთათვის მარტივ და გასაგებ ენაზე.

5. თანხმობა

ახალი რეგულაციით გამაკაცრებულია თანხმობის მიღების წესი და შესაბამისად, კომპანიებს არ შეუძლიათ დაამუშავონ ინდივიდის პერონალური მონაცემი მისი თანხმობის გარეშე. GDPR-ის თანახმად, თანხმობა უნდა იყოს თავისუფლად გამოთქმული, კონკრეტული, ნათელი და არაორაზროვანი. თანხმობად არ ითვლება დუმილი, უმოქმედობა და რაც ყველაზე საინტერესოა ე.წ. მოსანიშნი ადგილი (preticked boxes). ასევე თანხმობა უნდა იყოს განცალკევებული Terms and condition-ში სხვა პირობებისგან. კომპანიები ვალდებულნი არიან შექმნან მარტივი გზა იმისათვის რომ ინდივიდებს შეეძლოთ მიცემული თანხმობის გაუქმება. ეს გამკაცრებული წესი, ბუნებრივია, არ ნიშნავს, რომ კომპანიებმა სათითაოდ ყველა ადამიანისგან, ვის მოანაცემსაც ამუშავებს, თავიდან მიიღოს თანხმობა. თუ კომპანია თვლის, რომ რეგულაციის ამოქმედებამდე მიღებული თანხმობები არის შესაბამისობაში GDPR-თან, მისი ხელახალი მიღება აღარ არის საჭირო.

6. ბავშვთა პერსონალური მონაცემები

GDPR-მა შემოიტანა მნიშვნელოვანი ცვლილება და სპეციალური დაცვის წესები დაუდგინა ბავშვთა პერონალურ მონაცემებს. თუ კომპანია ახორციელებს ონლაინ სერვისს, მაგალითად საბავშვო სეგმენტზე, მათი პერსონალური მონაცემების დამუშავებისთვის საკამარისი არ არის ზოგადად თანხმობის მიღება, აუცილებელია, თანხმობა იყოს გამოთქმეული მშობლის ან კანონიერი მზრუნველის მიერ. ასეთი თანხმობა სავალდებულოა, როდესაც მუშავდება 16 წლამდე ბავშვის მონაცემები. აქედან გამომდინარე, კომპანიები ვალდებულნი არიან, საკუთარ სისტემაში დანერგონ ისეთი საშუალებები, როლებიც მოახდენენ ასაკის ვერიფიკაციას და მშობლისგან თანხმობის მიღებას. ასევე საინტერესოა, რომ საბავშვო სეგმენტზე მომუშავე კომპანიებმა კონფიდენციალურობის შეტყობინება უნდა დაწერონ ისეთ ენაზე, რომ გასაგები და აღქმადი იყოს ბავშვისთვის.

7. მონაცემთა დარღვევის შეტყბოინება

კიდევ ერთი მნიშვენლოვანი სიახლე ბიზნესისთვის, რაც GDPR-მა გაგვაცნო არის მონაცემთა დამუშავების დარღვევის შემთხვევაში შეტყობინება პერსონალურ მონაცემთა ზედამხედველი ორგანოთვის, ხოლო გარკვეულ შემთხვევებში თავად მონაცემთა სუბიექტისთვისაც. მთავარი განმასხვავებლი ნიშანი არის დარღვევს სიმძიმეში. თუ დარღვევას შეუძლია მნიშვნელოვანი ზიანი მიაყენოს მოანცემთა სუბიექტის რეპუტაციას, ფინანსურ მოდგომარეობას და ა.შ. ასეთ დროს, კომპანიამ ინსპექტორთან ერთად მასაც უნდა შეტაყობინოს დარღვევის შესახებ. შესაბამისად, კომპანიებმა უნდა ჩამოაყლიბონ ისეთი სისტემა და პროცედურები, რომ დარღვევის შემთხვევაში სწრაფად მოხდეს მისი აღმოჩენა და შეტყობინება, ვინაიდან რეგულაცია ითვალსიწინებს კონკრეტულ ვადას, რა ვადაშიც უნდა მოხდეს შეტყობინება. აღნიშნული ვალდებულების დარღვევის შემთხვევაში კომპანიას დაეკისრება ჯარიმა, როგორც შეუტყობინებლობის, ასევე მონაცემთა დარღევევის გამოც, ამიტომ კომპანიები უნდა იყვნენ ფრთხილად და უნდა იზრუნონ იმაზე, რომ განავითარონ საკუთარი მონაცემთა დაცვის პოლიტიკა.

8. One stop shop პრინციპი

თუ კომპანია საქმიანობას ახორციელებს ევროკავშირის ერთზე მეტ წევრ ქვეყანაში, ასეთ დროს მან უნდა განსაზღვროს თუ რომელი ქვეყნის პეროსნალურ მონაცემთა დაცვის ზედამხედველ ორგანოსთან არის ანგარიშვალდებული. აღნიშნულის განსაზღვრა ხდება იმის მიხედვით, თუ სად არის კომპანიის ძირითადი დაწესებულება (main establishment). თავის მხრივ ძირითადი დაწესებულებად მიიჩნევა ადგილი, სადაც არის კომპანიიის ცენტრალური ადმინისტარცია ან სხვა შემთხვევაში ადგილი სადაც ხდება მონაცემთა დამუშავების გადაწყვეტილების მიღება და განხორციელება. ეს პრინციპი მოქმედებს მაშინ, როდესაც კომპანია პერსონალურ მონაცემებს ამუშავებს ე.წ (cross-border) რაც პრაქტიკაში ნიშნავს, რომ კომპანიას აქვს ძირითადი დაწესებულება ერთზე მეტ წევრ ქვეყნაში ან აქვს ერთი ძირითადი დაწესებულება მაგრამ ამუშავებს სხვა წევრი ქვეყნის მოქალაქეთა პერსონალურ მონაცემებს. შესაბამისად, ასეთმა კომპანიებმა უნდა განსაზღვრონ თუ სად არის, მათი ძირითადი დაწესებულება და ამის მიხედვით აირჩიონ ერთი კონკრეტული პერსონალურ მონაცემთა დაცვის ზედმხედველი ორგანო. ეს პრინციპი ამცირებს ბიუროკრატიას და კომპანიებს უადვილებს, რომ მათი საქმიანობა უფრო ადვილად და მოქნილად იყოს შესაბამისობაში ახალ რეგულაციასთან.

9. მონაცემთა დაცვის ოფიცრის დანიშვნა

ახალი რეგულაციით, კომპანიებს ვალდებულება აქვთ დანიშნონ მონაცემთა დაცვის ოფიცერი (DPO), რომელიც პასუხისმგებელი იქნება, რომ კომპანიის საქმიანობა იყოს შეაბამისის რეგულაციით დადგენილ წესებთან. კომპანიებს მაშინ აქვთ ვალდებულება, რომ დანიშნონ მონაცემთა დაცვის ოფიცერი, თუ ისინი დიდი რაოდინებით ახორციელებენ რეგულარულ და სისტემატიურ მონიტრონგს ინდივიდების და შესაბამისად მათი პერსონალური მონაცემების, ან თუ კომპანია ამუშავებს დიდი რაოდენობით განსაკუთრებული კატეგორიის მონაცმებს, მაგალითად როგორიც არის ჯანმრთელობასთან დაკავშირებული ჩანაწერები და ა.შ. ( სადაზღვევო კომპანიები, სამედიცინო დაწესებულებები) აუცილებლია, რომ კომპანიამ დანიშნოს ისეთი კადრი ან ჰყავდეს outsource -ით ისეთი მრჩეველი, რომელიც არის კვალიფიციური და აქვს შესაბამისი ცოდნა, რომ ეფექტურად განახორცელოს საკუთარი საქმიანობა.

10. მონაცემთა სუბიექტების გაზრდილი უფლებები

ახალი რეგულაციით, მნიშვნელოვნად არის გაზრდილი მონაცემთა სუბიექტის უფლებები. გარდა უკვე არსებული უფლებებისა, ასევე GDPR-ს შემოაქვს დამატებით ახალი უფლებები, მაგალითად, როგორიც არის მონაცემთა პორტაბელურობის უფლება (data portabilty), დავიწყების უფლება (right to forgotten). გაზრდილია მონაცემთა სუბიექტის უფლება, რომ ჰქონდეს წვდომა საკუთარ მონაცემებზე, შესაბამისად, კომპანიებს ეკისრებათ დამატებითი ვალდებულება, რომ მოთხოვნის შემთხვევაში, სუბიექტებს არამარტო ინფორმაცია მიაწოდონ იმის შესახებ, თუ რა მონაცემებს ფლობენ და ამუშავვებენ ისინი, არამედ დამატებით აცნობონ აღნიშნული მონაცემების შენახვის ვადები და აგრევთვე სხვა უფლებები, რაც აქვს მონაცემთა სუბეიქტს. საინტერესოა, რომ GDPR-მა გარკვეულწილად გაითვალსიწინა ბიზნესის მოთხოვნა და მისცა მათ უფლება, რომ მონაცემებზე წვდომის უფლების გამოყენების დროს დააწესოს გარკვეული გონივრული გადასახადი დამატებითი ასლების მოთხოვნის შემთხვევაში. მთავარი იდეა აღნიშული საფასურის დაწესების არის ის, რომ თავიდან იქნას აცილებული უსაფუძვლო და ყალბი მოთხოვნები.

GDPR-ის მთავარი მიზანი არის, რომ დაიცვას ინდივიდი და არა თვითონ მონაცემი. სწორედ ამ მიზანს ემსახურება განხორციელებული მნიშვნელოვანი ცვლილელები მონაცემთა სუბიექტების უფლებების კუთხით. უმთავრესი რეკომენდაცია ბიზნესისთვის არის, რომ მოახდინონ მათი კონდიფენციაულრობის და მონაცემთა დაცვის პოლიტიკის მოდერნიზება ახალი ცვლილებების შესაბამისად, აგრეთვე თანამშრომელთა ტრეინინგი, განსაკუთრებით კი იმ თანამშრომლების, რომლებიც პასუხისმგებელნი არიან მონცემთა დამუშავებაზე. ასევე კომპანიებმა უნდა უზურნველყონ მონაცემთა დამუშავების სისტემის ანალიზი და გაუმჯობესება, რათა იგი იყოს უფრო თანამედროვე და მოქნილი. ბევრი ადამიანი მიიჩნევს რომ GDPR-მა თამასა ძალიან მაღლა ასწია და ბიზნესისთვის რთული იქნება ამ ყველაფრის გათვალსიწინება, თუმცა, ჩემი აზრით, ახალი სტანდარტები პირიქით, სასარგებლო იქნება კომპანიებისთვის, რადგანაც თუ ისინი დროულად გაითვალსიწინებენ ყველა მოთხოვნას და ჩამოაყალიბებენ ეფექტურ და საიმედო მონაცემთა დაცვის სისტემას, მომხარებელის თვალში ისინი უფრო მეტად საიმედონი იქნებიან, რაც ერთმნიშვნელოვნად გაზრდის მათ კონკურენტუნარიანობას სხვებთან შედარებით.


ტალინის უნივერსიტეტის
საერთაშორისო ბიზნეს სამართლის მაგისტრი
ბექა ქენქაძე