პერსონალურ მონაცემთა დამუშავების წესი

მუხლი 1. წესის მოქმედების სფერო

ამ წესის მოქმედება ვრცელდება საქართველოს საზოგადოებრივი ასამბლეის (შემდგომში - ასამბლეა) მიერ პერსონალურ მონაცემთა (შემდგომში - მონაცემი) ავტომატური, ნახევრად ავტომატური და არაავტომატური საშუალებებით დამუშავებაზე.

მუხლი 2. ტერმინთა განმარტება

ამ წესში გამოყენებულ ტერმინებს აქვთ „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით (შემდგომში - კანონი) გათვალისწინებული მნიშვნელობა.

მუხლი 3. მონაცემთა დამუშავების პრინციპები

1. ასამბლეა მონაცემებს ამუშავებს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული პრინციპების დაცვით.

2. ასამბლეა მონაცემებს ამუშავებს სამართლიანად, კანონიერად, მონაცემთა სუბიექტის ღირსების შეულახავად, გამჭვირვალედ, უზრუნველყოფს მონაცემთა დამუშავების თაობაზე სუბიექტების ინფორმირებასა და მოთხოვნისთანავე მონაცემებზე მათ ხელმისაწვდომობას საქართველოს კანონმდებლობით განსაზღვრულ ფარგლებში და წესით.

3. ასამბლეა მონაცემებს ამუშავებს მხოლოდ კონკრეტული, წინასწარ და მკაფიოდ განსაზღვრული კანონიერი მიზნების მისაღწევად. ასამბლეა მონაცემებს არ ამუშავებს თავდაპირველ მიზანთან შეუთავსებელი სხვა მიზნებით.

4. ასამბლეა მონაცემებს ამუშავებს მხოლოდ იმ მოცულობით, რაც აუცილებელია მონაცემთა დამუშავების შესაბამისი კანონიერი მიზნის მისაღწევად. ასამბლეის მიერ დამუშავებული მონაცემები დამუშავების მიზნის ადეკვატური და პროპორციული მოცულობისაა.

5. ასამბლეის მიერ დამუშავებული მონაცემები არის ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებადი. ის მონაცემები, რომელსაც არ აქვს დამუშავების საფუძველი და/ან არ არის დამუშავების მიზნის შესაბამისი იბლოკება, იშლება ან ნადგურდება.

6. ასამბლეა მონაცემებს ამუშავებს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების კონკრეტული და კანონიერი მიზნის მისაღწევად. მიზნის მიღწევის შემდეგ მონაცემები იბლოკება, იშლება ან ნადგურდება.

7. ასამბლეა იღებს შესაბამის ორგანიზაციულ და ტექნიკურ ზომებს მონაცემთა უსაფრთხოების უზრუნველსაყოფად, მათ შორის, მონაცემთა უკანონო ან არამართლზომიერი დამუშავებისგან, შემთხვევით დაკარგვის, განადგურების ან დაზიანებისაგან დასაცავად.

8. ასამბლეა, მათ შორის წინამდებარე დოკუმენტით ახდენს ამ მუხლით განსაზღვრული პრინციპების დაცვას და მათთან შესაბამისობის დასაბუთებას.

მუხლი 4. მონაცემთა დამუშავების მიზნები

ასამბლეა პერსონალურ მონაცემებს ამუშავებს შემდეგი კანონიერი მიზნებისთვის:

ა) ასამბლეის წევრების იდენტიფიცირება;

ბ) ასამბლეის მიზნებისათვის ინტერეს ჯგუფების შექმნა და მათი ადმინისტრირება;

გ) ასამბლეის მიზნებისათვის სხვადასხვა კითხვარების შევსება და ინფორმაციის შეგროვება;

დ) ასამბლეის წევრებთან და სხვა დაინტერესებულ პირებთან კომუნიკაცია, მათთვის ინფორმაციის მიწოდება და მათგან უკუკავშირის მიღება;

ე) ასამბლეის მიზნებისთვის პეტიციებისა და განცხადების მომზადება;

ვ) ასამბლეის საქმიანობის შესახებ საზოგადოების ინფორმირება;

ზ) ასამბლეის მიზნებისათვის საბუღალტრო და ფინანსური ანგარიშგება, ანგარიშსწორება, ანაზღაურება და გადარიცხვების წარმოება.

მუხლი 5. მონაცემთა დამუშავების საფუძვლები 

1. ასამბლეა მონაცემებს ამუშავებს თუ არსებობს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით გათვალისწინებული ერთ-ერთი საფუძველი მაინც, კერძოდ:

ა) მონაცემთა სუბიექტმა განაცხადა თანხმობა მის შესახებ მონაცემთა ერთი ან რამდენიმე კონკრეტული მიზნით დამუშავებაზე;

ბ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

გ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

2. განსაკუთრებული კატეგორიის მონაცემებს ასამბლეა ამუშავებს მხოლოდ მონაცემთა სუბიექტის წერილობითი თანხმობის საფუძველზე ან თუ მონაცემთა სუბიექტმა გამოყენების აშკარა აკრძალვის დათქმის გარეშე საჯარო გახადა თავისი მონაცემები.

3. მონაცემთა სუბიექტის თანხმობის საფუძველზე მონაცემთა დამუშავების დროს მონაცემთა დამუშავების საფუძვლის არსებობის მტკიცების ტვირთი ეკისრება ასამბლეას. ასეთი თანხმობა მხოლოდ იმ შემთხვევაში ჩაითვლება ნამდვილად თუ:

ა) ის მონაცემთა სუბიექტის მიერ გაცემულია შესაბამისი ინფორმაციის მიღების შემდეგ ნებაყოფლობით, მის შესახებ მონაცემთა განსაზღვრული და კონკრეტული მიზნით მონაცემთა დამუშავებაზე ზეპირად, წერილობით, სატელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით;

ბ) არ წარმოადგენს მომსახურების გაწევის პირობას;

გ) არ წარმოადგენს ხელშეკრულების განუყოფელ ნაწილს;

დ) მონაცემთა სუბიექტისათვის სათანადოდაა უზრუნველყოფილი თანხმობაზე უარის თქმის საშუალება/უფლება.

მუხლი 7. მონაცემთა სუბიექტების კატეგორიები 

ასამბლეამ შეიძლება დაამუშაოს შემდეგი კატეგორიის მონაცემთა სუბიექტის მონაცემები:

ა) ნებისმიერი პირი, რომელიც გაერთიანდება/შეუერთდება ასამბლეას;

ბ) ნებისმიერი პირი, რომელიც ასამბლეის ვებ-გვერდზე შეავსებს კითხვარს 

გ) ნებისმიერი პირი, რომელიც შეურთდება ასამბლეის მიერ მომზადებულ/გავრცელებულ პეტიციას და/ან განცხადებას

დ) ნებისმიერი პირი, რომელიც მონაწილეობას მიიღებს ასამბლეის ღონისძიებაში;

ე) ნებისმიერი პირი, რომელიც ფინანსურად მიიღებს მონაწილეობას ასამბლეის საქმიანობაში

მუხლი 8. მონაცემთა მიღების წყარო

1. ასამბლეა მონაცემებს, როგორც წესი მოიპოვებს  და იღებს თავად მონაცემთა სუბიექტისგან, მის მიერ სხვადასხვა ფორმების შევსებისას გაზიარებული მონაცემების სახით.

2. ასევე, ასამბლეას უფლება აქვს ამ წესით განსაზღვრული მიზნებისთვის ინფორმაცია შეაგროვოს/მიიღოს ნებისმიერი კანონიერი წყაროსგან. 

მუხლი 9. დამუშავებული მონაცემების კატეგორიები

ასამბლეამ მონაცემთა სუბიექტთან ურთიერთობის ხასიათიდან და მონაცემთა დამუშავების მიზნიდან გამომდინარე შეიძლება დაამუშაოს შემდეგი პერსონალური მონაცემები:

ა) საიდენტიფიკაციო მონაცემები - სახელი, გვარი

ბ) საკონტაქტო მონაცემები - ტელეფონი, ელ.ფოსტა

გ) გეოგრაფიული მონაცემები - საცხოვრებელი რეგიონი,  მუნიციპალიტეტი, იურიდიული და ფაქტობრივი მისამართი

დ) პროფესიული მონაცემები - სამუშაო ადგილი და სპეციალიზაცია

ე) ფოტო/ვიდეო გამოსახულება

მუხლი 10. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა

ასამბლეა სპეციალური ფორმით აღრიცხავს მის მიერ დამუშავებულ მონაცემთა დამუშავებასთან დაკავშირებულ კანონით გათვალისწინებულ ინფორმაციას.

მუხლი 11. მონაცემთა სუბიექტის უფლებები

1. მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში, მოთხოვნის თაობაზე შეტყობინების მიღებიდან არაუგვიანეს 10 (ათი) სამუშაო დღისა, ასამბლეა უზრუნველყოფს მონაცემთა სუბიექტისათვის შემდეგი ინფორმაციის მიწოდებას, ინფორმაციის გაცნობას და/ან ასლების მიწოდებას:

ა) მის შესახებ იმ მონაცემის თაობაზე, რომელიც მუშავდება, აგრეთვე ამ მონაცემის დამუშავების საფუძვლისა და მიზნის შესახებ;

ბ) მონაცემთა შეგროვების/მოპოვების წყაროს შესახებ;

გ) მონაცემთა შენახვის ვადის (დროის) შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

დ) მონაცემთა სუბიექტის უფლებების შესახებ;

ე) მონაცემთა გადაცემის სამართლებრივი საფუძვლისა და მიზნების, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების შესახებ, თუ მონაცემები გადაეცემა სხვა სახელმწიფოს ან საერთაშორისო ორგანიზაციას;

ვ) მონაცემთა მიმღების ვინაობის ან მონაცემთა მიმღებების კატეგორიების შესახებ, მათ შორის, ინფორმაცია მონაცემთა გადაცემის საფუძვლისა და მიზნის თაობაზე, თუ მონაცემები მესამე პირს გადაეცემა;

ზ) ავტომატიზებული დამუშავების, მათ შორის, პროფაილინგის შედეგად მიღებული გადაწყვეტილების და იმ ლოგიკის შესახებ, რომელიც გამოიყენება ამგვარი გადაწყვეტილების მისაღებად, აგრეთვე მონაცემთა დამუშავებაზე მისი გავლენისა და დამუშავების მოსალოდნელი/სავარაუდო შედეგის თაობაზე.

2. ამ მუხლის პირველი პუნქტით განსაზღვრული ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ ეცნობება.

3. ამ მუხლის პირველი პუნქტით განსაზღვრულ მოთხოვნას განიხილავს და ინფორმაციას გასცემს 10 (ათ) სამუშაო დღეში.

4. მონაცემთა სუბიექტს უფლება აქვს ნებისმიერ დროს მოსთხოვოს ასამბლეას მის შესახებ დამუშავებული მცდარი/არაზუსტი მონაცემების დაუყოვნებლივ გასწორება, გაახლება ან მონაცემთა დამუშავების მიზნების გათვალისწინებით, არასრული მონაცემების შევსება, მათ შორის, დამატებითი ცნობის/დოკუმენტის წარდგენის გზით.

5. მონაცემთა სუბიექტს უფლება აქვს მოითხოვოს მისი მონაცემების დამუშავების შეწყვეტა, წაშლა ან განადგურება. ასამბლეა 10 (ათი) სამუშაო დღის ვადაში: ვალდებულია განახორციელოს მონაცემთა დამუშავების შეწყვეტა, წაშლა ან განადგურება (თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი) ან მონაცემთა სუბიექტს აცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განუმარტოს უარის გასაჩივრების წესი. 

6. მონაცემთა სუბიექტს უფლება აქვს კანონმდებლობით დადგენილი წესით მოითხოვოს მისი მონაცემების დამუშავების დაბლოკვა ხოლო მონაცემთა დაბლოკვის თაობაზე მიღებული გადაწყვეტილების ან უარის თქმის საფუძვლის შესახებ მონაცემთა სუბიექტს ეცნობება დაუყოვნებლივ, მაგრამ არაუგვიანეს მოთხოვნიდან 3 სამუშაო დღისა.

7. მონაცემთა სუბიექტს უფლება აქვს ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე, უარი თქვას მის მიერ მონაცემთა დამუშავების თაობაზე გაცემულ თანხმობაზე და მოითხოვოს მონაცემთა დამუშავების შეწყვეტა და/ან დამუშავებული მონაცემების განადგურება. ასეთი შეტყობინების მიღებიდან არაუგვიანეს 10 (ათი) სამუშაო ვადაში ასამბლეა უზრუნველყოფს შესაბამისი ქმედების განხორციელებას იმ შემთხვევაში, თუ არ არსებობს მონაცემთა შემდგომი დამუშავების სხვა სამართლებრივი საფუძვლები.

8. მონაცემთა სუბიექტის უფლებები შეიძლება შეიზღუდოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში. მონაცემთა სუბიექტის უფლებების შეზღუდვისას ასამბლეა შეზღუდვის ზომას იყენებს მხოლოდ შეზღუდვის მიზნის ადეკვატურად და პროპორციული მოცულობით.

9. გარდა ამ წესით გათვალისწინებული უფლებებისა მონაცემთა სუბიექტი სარგებლობს საქართველოს კანონმდებლობით გათვალისწინებული სხვა უფლებებით. 

მუხლი 12. მონაცემთა გამჟღავნება

1. ასამბლეის მიერ დამუშავებული მონაცემები შესაბამისი სამართლებრივი საფუძვლის არსებობისას, კანონმდებლობით დადგენილი წესითა და მოცულობით შეიძლება გადაეცეს შემდეგ მესამე პირებს:

ა) სამართალდამცავ ორგანოებს;

ბ) სასამართლოს;

გ) პერსონალურ მონაცემთა დაცვის სამსახურს;

დ) კანონმდებლობით გათვალისწინებულ სხვა ორგანოებს.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევებში ინფორმაციის გამჟღავნებისას ასამბლეა აღრიცხავს: რომელი მონაცემი იქნა გამჟღავნებული, ვისთვის, როდის და რა სამართლებრივი საფუძვლით. ეს ინფორმაცია ინახება მონაცემთა სუბიექტის შესახებ მონაცემებთან ერთად მათი შენახვის ვადის განმავლობაში.

მუხლი 13. მონაცემთა საერთაშორისო გადაცემა

ასამბლეა მონაცემებს სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციებს გადასცემს მხოლოდ იმ შემთხვევაში, თუ არსებობს მონაცემთა დამუშავების კანონით გათვალისწინებული მოთხოვნები და შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები.

მუხლი 14. მონაცემთა შენახვა

1. ასამბლეა ინახავს მხოლოდ იმ მონაცემებს, რომელიც აუცილებელია მონაცემთა დამუშავების კონკრეტული, კანონიერი მიზნის მისაღწევად და მონაცემთა შენახვის ვადებისა და წესის განსაზღვრისას ითვალისწინებს პერსონალურ მონაცემთა დამუშავების პრინციპებს.

2. მონაცემთა შენახვის ვადები და წესი: 2 წელი ბოლო ინტერაქციიდან.

მუხლი 15. მონაცემთა უსაფრთხოება

1. ასამბლეა უზრუნველყოფს მონაცემთა შენახვას უსაფრთხო და არაკანონიერი წვდომისგან დაცულ სივრცეში. ასამბლეა უზრუნველყოფს მონაცემთა დაცვას შემთხვევითი ან უკანონო განადგურებისგან, შეცვლისაგან, გამჟღავნებისგან, მოპოვებისგან, ნებისმიერი სხვა ფორმით უკანონო გამოყენებისა და შემთხვევითი ან უკანონო დაკარგვისაგან სათანადო ორგანიზაციული და ტექნიკური ზომებით.

2. ასამბლეა იცავს მონაცემების კონფიდენციალურობას. მონაცემებზე წვდომა აქვთ მხოლოდ იმ პირებს და იმ მოცულობით, რომელთაც მონაცემებზე წვდომა ესაჭიროებათ საკუთარი ფუნქცია-მოვალეობების შესასრულებლად. 

3. მონაცემების დამუშავება ხდება მხოლოდ ისეთ სისტემებში, რომელთა დაცვაც შესაძლებელია ინდივიდუალური მომხმარებლის სახელისა და რთული პაროლის საშუალებით და რომელთა ტექნიკური პარამეტრები იძლევა შესრულებული მოქმედებების აღრიცხვა/ლოგირების შესაძლებლობას.

მუხლი 16. პასუხისმგებლობები

ასამბლეა იცავს მონაცემთა დამუშავებისთვის კანონით გათვალისწინებულ მოთხოვნებსა და ვალდებულებებს. ასამბლეის თითოეული წევრი, რომელსაც აქვს წვდომა და მონაწილეობს მონაცემთა დამუშავების პროცესში, ვალდებულია:

ა) უზრუნველყოს მის მიერ დამუშავებული მონაცემების უსაფრთხოება;

ბ) დაამუშაოს მხოლოდ ის მონაცემები, რომელიც აუცილებელია მისი ფუნქციების შესასრულებლად;

გ) არ გახადოს მონაცემები ხელმისაწვდომი არაუფლებამოსილი პირებისათვის, მათ შორის, მონაცემთა უყურადღებოდ დატოვების და/ან არაუფლებამოსილი პირების თანდასწრებით განხილვის გზით.