Law of Georgia on Personal Data Protection

Document structure

View explanations

Referenced documents

Document comments

Document Highlights

Consolidated publications

30/11/2023 30/11/2023 21/09/2023 14/06/2023 13/06/2023 13/06/2023 31/05/2023 17/05/2023 09/02/2023 30/11/2022 30/12/2021 29/11/2019 20/09/2019 07/06/2019 08/05/2019 26/12/2018 27/12/2018 06/12/2018 20/09/2018 21/07/2018 21/07/2018 29/06/2018 21/04/2017 22/03/2017 01/12/2016 27/04/2016 08/07/2015 01/05/2015 20/03/2015 30/11/2014 01/08/2014 01/08/2014 25/05/2012 16/01/2012
Return back

Consolidated versions (30/12/2021 - 30/11/2022)

საქართველოს კანონი

პერსონალურ მონაცემთა დაცვის შესახებ

 

თავი I. ზოგადი დებულებები

    მუხლი 1. კანონის მიზანი

ამ კანონის მიზანია, პერსონალურ მონაცემის დამუშავებისას უზრუნველყოს ადამიანის უფლებათა და თავისუფლებათა, მათ შორის, პირადი ცხოვრების ხელშეუხებლობის დაცვა.

    მუხლი 2. ტერმინთა განმარტება

ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს. პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, კერძოდ, საიდენტიფიკაციო ნომრით ან პირის მახასიათებელი ფიზიკური, ფიზიოლოგიური, ფსიქოლოგიური, ეკონომიკური, კულტურული ან სოციალური ნიშნებით ;

ბ) განსაკუთრებული კატეგორიის მონაცემი − მონაცემი, რომელიც დაკავშირებულია პირის რასობრივ ან ეთნიკურ კუთვნილებასთან, პოლიტიკურ შეხედულებებთან, რელიგიურ ან ფილოსოფიურ მრწამსთან, პროფესიულ კავშირში გაწევრებასთან, ჯანმრთელობის მდგომარეობასთან, სქესობრივ ცხოვრებასთან, ნასამართლობასთან, ადმინისტრაციულ პატიმრობასთან, პირისთვის აღკვეთის ღონისძიების შეფარდებასთან, პირთან საპროცესო შეთანხმების დადებასთან, განრიდებასთან, დანაშაულის მსხვერპლად აღიარებასთან ან დაზარალებულად ცნობასთან, აგრეთვე ბიომეტრიული და გენეტიკური მონაცემები, რომლებიც ზემოაღნიშნული ნიშნებით ფიზიკური პირის იდენტიფიცირების საშუალებას იძლევა;

გ) ბიომეტრიული მონაცემი − ფიზიკური, ფსიქიკური ან ქცევის მახასიათებელი, რომელიც უნიკალური და მუდმივია თითოეული ფიზიკური პირისათვის და რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება (თითის ანაბეჭდი, ტერფის ანაბეჭდი, თვალის ფერადი გარსი, თვალის ბადურის გარსი (თვალის ბადურის გამოსახულება), სახის მახასიათებელი);

1) გენეტიკური მონაცემი − მონაცემთა სუბიექტის უნიკალური და მუდმივი მონაცემი გენეტიკური მემკვიდრეობის ან/და დნმ-ის კოდის შესახებ, რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება;

დ) მონაცემთა დამუშავება − ავტომატური, ნახევრად ავტომატური ან არაავტომატური საშუალებების გამოყენებით მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, კერძოდ, შეგროვება, ჩაწერა, ფოტოზე აღბეჭდვა, აუდიოჩაწერა, ვიდეოჩაწერა, ორგანიზება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება ან გამჟღავნება მონაცემთა გადაცემის, გავრცელების ან სხვაგვარად ხელმისაწვდომად გახდომის გზით, დაჯგუფება ან კომბინაცია, დაბლოკვა, წაშლა ან განადგურება;

ე) მონაცემთა ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიების გამოყენებით დამუშავება;

1) მონაცემთა ნახევრად ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიების გამოყენებით და არაავტომატური საშუალებებით დამუშავება;

ვ) მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემიც მუშავდება;

ზ) თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე ზეპირად, სა ტელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით გამოხატული ნებაყოფლობითი თანხმობა, რომლითაც შესაძლებელია ნათლად დადგინდეს მონაცემთა სუბიექტის ნება ;

თ) მონაცემთა სუბიექტის წერილობითი თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე გამოხატული ნებაყოფლობითი თანხმობა, რომელსაც მონაცემთა სუბიექტმა ხელი მოაწერა ან სხვაგვარად აღნიშნა წერილობით ან მასთან გათანაბრებული ფორმით ;

ი) მონაცემთა დამმუშავებელი − საჯარო დაწესებულება, ფიზიკური ან იურიდიული პირი, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

კ) უფლებამოსილი პირი − ნებისმიერი ფიზიკური ან იურიდიული პირი, რომელიც ამუშავებს მონაცემებს მონაცემთა დამმუშავებლისათვის ან მისი სახელით;

ლ) მონაცემთა მიმღები − კერძო ან საჯარო დაწესებულება, ფიზიკური ან იურიდიული პირი, კერძო ან საჯარო სექტორის თანამშრომელი, რომელსაც გადაეცა მონაცემები, გარდა პერსონალურ მონაცემთა დაცვის სამსახურისა;

მ) მესამე პირი − ფიზიკური ან იურიდიული პირი, საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, პერსონალურ მონაცემთა დაცვის სამსახურისა, მონაცემთა დამმუშავებლისა და უფლებამოსილი პირისა; 

ნ) ფაილური სისტემა − მონაცემთა სტრუქტურიზებული წყება, რომელშ იც ისინი დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმის მიხედვით;

ო) ფაილური სისტემის კატალოგი − ფაილური სისტემის სტრუქტურისა და შინაარსის დეტალური აღწერილობა;

პ) ფაილურ სისტემათა კატალოგებ ის რეესტრი − რეესტრი, რომელიც უზრუნველყოფს არსებული ფაილური სისტემების დეტალურ აღრიცხვას;

ჟ) მონაცემთა დაბლოკვა − მონაცემთა დამუშავების დროებით შეჩერება ;

რ) მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი მოდიფიკაცია , რომ შეუძლებელი იყოს მათი დაკავშირება მონაცემთა სუბიექტთან ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას , ხარჯებსა და დროს საჭიროებდეს;

ს) საიდენტიფიკაციო ნომერი − პირადი საიდენტიფიკაციო ნომერი ან კანონით განსაზღვრული, ფიზიკურ პირთან დაკავშირებული ნებისმიერი სხვა საიდენტიფიკაციო ნომერი, რომლითაც შესაძლებელია ფაილური სისტემიდან ( სადაც საიდენტიფიკაციო ნომერი ასევე დამუშავებულია) მონაცემთა მოძიება ან გამჟღავნება;

ტ) პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი − პერსონალურ მონაცემთა დაცვის სამსახურის ხელმძღვანელი, რომელიც თანამდებობაზე აირჩევა ამ კანონითა და საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით და ახორციელებს ამ კანონით ან/და სხვა საკანონმდებლო აქტით გათვალისწინებულ უფლებამოსილებებს; 

უ) პირდაპირი მარკეტინგი − ფოსტის, სატელეფონო ზარების, ელექტრონული ფოსტის ან სხვა სატელეკომუნიკაციო საშუალებით საქონლის, მომსახურების, დასაქმების ან დროებითი სამუშაოს შეთავაზება;

1) ფარული საგამოძიებო მოქმედება − საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილით გათვალისწინებული საგამოძიებო მოქმედება;

2) საჯარო სამართლის იურიდიული პირი − საქართველოს ოპერატიულ-ტექნიკური სააგენტო (შემდგომ – სააგენტო) – საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“–„დ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების ექსკლუზიური უფლებამოსილების მქონე ორგანო;

3) კონტროლის ელექტრონული სისტემა – „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ი“ ქვეპუნქტით გათვალისწინებული სისტემა;

4) ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემა – „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ლ“ ქვეპუნქტით გათვალისწინებული სისტემა;

5) გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემა – „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ო“ ქვეპუნქტით გათვალისწინებული სისტემა;

6) კონტროლის სპეციალური ელექტრონული სისტემა – „საჯარო სამართლის იურიდიული პირის – საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „კ“ ქვეპუნქტით გათვალისწინებული სისტემა; 

ფ) (ამოღებულია - 21.07.2018, №3274); 

ქ) (ამოღებულია - 21.07.2018, №3274);  

ღ) (ამოღებულია - 21.07.2018, №3274);  

ყ) (ამოღებულია - 21.07.2018, №3300);

შ) (ამოღებულია - 21.07.2018, №3274);  

ჩ) (ამოღებულია - 21.07.2018, №3274);  

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.
საქართველოს 2017 წლის 22 მარტის კანონი №479 - ვებგვერდი, 27.03.2017წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3300 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 3. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება საქართველოს ტერიტორიაზე ავტომატური და ნახევრად ავტომატური საშუალებებით მონაცემთა დამუშავებაზე, არაავტომატური საშუალებებით იმ მონაცემთა დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შეტანის მიზნით მუშავდება, აგრეთვე დანაშაულის თავიდან აცილებისა და გამოძიების, ოპერატიულ-სამძებრო ღონისძიებებისა და მართლწესრიგის დაცვის მიზნებისათვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა ავტომატურ დამუშავებაზე, გარდა ამ მუხლით გათვალისწინებული გამონაკლისებისა.

11. მონაცემთა არაავტომატური საშუალებებით დამუშავება დაუშვებელია, თუ მისი მიზანია ამ კანონის მოთხოვნების შესრულებისათვის თავის არიდება.

2. ამ კანონის მოქმედება აგრეთვე ვრცელდება:

ა) საზღვარგარეთ საქართველოს დიპლომატიური წარმომადგენლობებისა და საკონსულო დაწესებულებების მიერ მონაცემთა დამუშავებაზე;

ბ) მონაცემთა იმ დამმუშავებლის საქმიანობაზე, რომელიც რეგისტრირებული არ არის საქართველოს ტერიტორიაზე, მაგრამ მონაცემთა დამუშავებისათვის იყენებს საქართველოში არსებულ ტექნიკურ საშუალებებს, გარდა იმ შემთხვევისა, როდესაც ეს ტექნიკური საშუალებები გამოი ყენება მხოლოდ მონაცემთა ტრანზიტისათვის. ასეთ შემთხვევაში მონაცემთა დამმუშავებელმა უნდა დანიშნოს/განსაზღვროს საქართველოში რეგისტრირებული წარმომადგენელი.

3. ამ კანონის მოქმედება არ ვრცელდება:

ა) ფიზიკური პირის მიერ მონაცემთა აშკარად პირადი მიზნებისათვის დამუშავებაზე, როდესაც მათი დამუშავება დაკავშირებული არ არის მის სამეწარმეო ან პროფესიულ საქმიანობასთან;

ბ) სასამართლოში სამართალწარმოების მიზნებისათვის მონაცემთა დამუშავებაზე, რადგან ამან შეიძლება დააზიანოს სამართალწარმოება სასამართლოს მიერ საბოლოო გადაწყვეტილების გამოტანამდე;

გ) სახელმწიფო უსაფრთხოების (მათ შორის, ეკონომიკური უსაფრთხოების), თავდაცვის, სადაზვერვო და კონტრდაზვერვითი საქმიანობების მიზნებისათვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა დამუშავებაზე;

დ) სახელმწიფო საიდუმლოებისთვის მიკუთვნებული ინფორმაციის  (გარდა ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემებისა) დამუშავებაზე.

4. ამ კანონის (გარდა მე-17 მუხლისა) მოქმედება არ ვრცელდება მონაცემთა მედიასაშუალებების მიერ საზოგადოების ინფორმირების მიზნით დამუშავებაზე, აგრეთვე მონაცემთა სახელოვნებო და ლიტერატურული მიზნებისათვის დამუშავებაზე.

5. ამ კანონის მე-19 და მე-20 მუხლების მოქმედება არ ვრცელდება პოლიტიკური პარტიების, პროფესიული და სხვა კავშირებისა და რელიგიური ორგანიზაციების მიერ მათ წევრებთან დაკავშირებულ მონაცემთა დამუშავებაზე.

6. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება საზოგადოებრივი უსაფრთხოების, ოპერატიულ-სამძებრო ღონისძიებებისა და დანაშაულის გამოძიების მიზნით მონაცემთა დამუშავებაზე, თუ საკითხი პირდაპირ და სპეციალურად რეგულირდება საქართველოს სისხლის სამართლის საპროცესო კოდექსით ან „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონით ან სხვა სპეციალური კანონით.

7. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება „ოფიციალური სტატისტიკის შესახებ“ საქართველოს კანონით გათვალისწინებული მოსახლეობის საყოველთაო აღწერის მიზნით მონაცემთა დამუშავებაზე.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

    მუხლი 31. (ამოღებულია)

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 4. მონაცემთა დამუშავების პრინციპები

მონაცემთა დამუშავებისას დაცული უნდა იქნე ს შემდეგი პრინციპები:

ა) მონაცემები უნდა დამუშავდეს სამართლიანად და კანონიერად, მონაცემთა სუბიექტის ღირსების შეულახავად;

ბ) მონაცემები შეიძლება დამუშავდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული, კანონიერი მიზნებისათვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, თავდაპირველ მიზანთან შეუთავსებელი მიზნით;

გ) მონაცემები შეიძლება დამუშავდეს მხოლოდ იმ მოცულობით, რომელი ც აუცილებელია შესაბამისი კანონიერი მიზნის მისაღწევად. მონაცემები უნდა იყოს იმ მიზნის ადეკვატური და პროპორციული, რომლის მისაღწევადაც მუშავდ ება ისინი;

დ) მონაცემები ნამდვილი და ზუსტი უნდა იყოს და, საჭიროების შემთხვევაში, უნდა განახლდეს. კანონიერი საფუძვლის გარეშე შეგროვებული და დამუშავების მიზნის შეუსაბამო მონაცემები უნდა დაიბლოკოს, წაიშალოს ან განადგურდეს;

ე) მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა დაიბლოკოს, წაიშალოს ან განადგურდეს ან შენახული უნდა იქნეს პირის იდენტიფიცირების გამომრიცხავი ფორმით, თუ კანონით სხვა რამ არ არის დადგენილი.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

 

თავი II. მონაცემთა დამუშავების წესები

    მუხლი 5. მონაცემთა დამუშავების საფუძვლები

მონაცემთა დამუშავება დასაშვებია, თუ:

ა) არსებობს მონაცემთა სუბიექტის თანხმობა;

ბ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

გ) მონაცემთა დამუშავება საჭიროა მონაცემთა დამმუშავებლის მიერ მისთვის კანონმდებლობით დაკისრებული მოვალეობების შესასრულებლად;

დ) მონაცემთა დამუშავება საჭიროა მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად;

) მონაცემთა დამუშავება აუცილებელია მონაცემთა დამმუშავებლის ან მესამე პირის კანონიერი ინტერესების დასაცავად, გარდა იმ შემთხვევისა, როდესაც არსებობს მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის აღმატებული ინტერესი;

) კანონის თანახმად, მონაცემები საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა ისინი ხელმისაწვდომი გახადა;

) მონაცემთა დამუშავება აუცილებელი კანონის შესაბამისად მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

თ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

(ძალადაკარგულია მე-5 მუხლის ის ნორმატიული შინაარსი, რომელიც გამორიცხავს ღია სასამართლო სხდომის შედეგად მიღებული სასამართლო აქტების სრული ტექსტის საჯარო ინფორმაციის სახით გაცემას) - საქართველოს საკონსტიტუციო სასამართლოს 2019 წლის 7 ივნისის გადაწყვეტილება №1/4/693,857 – ვებგვერდი, 12.06.2019წ.

 

მუხლი 6. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება 

1. აკრძალულია განსაკუთრებული კატეგორიის მონაცემთა დამუშავება.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემთა დამუშავება შესაძლებელია მონაცემთა სუბიექტის წერილობითი თანხმობით ან იმ შემთხვევებში, როცა:

ა) ნასამართლობასთან და ჯანმრთელობის მდგომარეობასთან დაკავშირებული მონაცემების დამუშავება აუცილებელია შრომითი ვალდებულებების და ურთიერთობის ხასიათიდან გამომდინარე, მათ შორის, დასაქმების თაობაზე გადაწყვეტილების მისაღებად;

ბ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არა აქვს, მონაცემთა დამუშავებაზე თანხმობა განაცხადოს;

გ) მონაცემები მუშავდება საზოგადოებრივი ჯანმრთელობის დაცვის, ჯანმრთელობის დაცვის ან დაწესებულების (მუშაკის) მიერ ფიზიკური პირის ჯანმრთელობის დაცვის მიზნით, აგრეთვე თუ ეს აუცილებელია ჯანმრთელობის დაცვის სისტემის მართვისათვის ან ფუნქციონირებისათვის;

დ) მონაცემთა სუბიექტმა საჯარო გახადა მის შესახებ მონაცემები მათი გამოყენების აშკარა აკრძალვის გარეშე;

ე) მონაცემები მუშავდება პოლიტიკური, ფილოსოფიური, რელიგიური ან პროფესიული გაერთიანების ან არაკომერციული ორგანიზაციის მიერ ლეგიტიმური საქმიანობის განხორციელებისას. ასეთ შემთხვევაში მონაცემთა დამუშავება შეიძლება დაკავშირებული იყოს მხოლოდ ამ გაერთიანების/ორგანიზაციის წევრებთან ან პირებთან, რომლებსაც მუდმივი კავშირი აქვთ ამ გაერთიანებასთან/ორგანიზაციასთან;

ვ) ხდება მონაცემთა დამუშავება ბრალდებულთა/მსჯავრდებულთა პირადი საქმეებისა და რეესტრების წარმოების, მსჯავრდებულის მიმართ მის მიერ სასჯელის მოხდის ინდივიდუალური დაგეგმვის ან/და მსჯავრდებულის სასჯელის მოხდისგან პირობით ვადამდე გათავისუფლებასთან და მისთვის სასჯელის მოუხდელი ნაწილის უფრო მსუბუქი სახის სასჯელით შეცვლასთან დაკავშირებული საკითხების განხილვის მიზნით;

ზ) მონაცემები მუშავდება „დანაშაულის პრევენციის, არასაპატიმრო სასჯელთა აღსრულების წესისა და პრობაციის შესახებ“ საქართველოს კანონის მე-2 მუხლით გათვალისწინებული სამართლებრივი აქტების აღსრულების მიზნით;

1) მონაცემები მუშავდება მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, დანაშაულის პრევენციის ღონისძიებების განხორციელებისა და არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის მიზნით;

თ) მონაცემები მუშავდება „საერთაშორისო დაცვის შესახებ“ საქართველოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში;

ი) მონაცემები მუშავდება მიგრაციის მონაცემთა ერთიანი ანალიტიკური სისტემის ფუნქციონირებისათვის;

კ) მონაცემები მუშავდება სპეციალური საგანმანათლებლო საჭიროების მქონე პირთა განათლების უფლების რეალიზების მიზნით;

ლ) მონაცემები მუშავდება „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტით გათვალისწინებული საკითხის განხილვის მიზნით.

3. ამ მუხლის მე-2 პუნქტის საფუძველზე მონაცემთა დამუშავების შემთხვევაში დაუშვებელია მონაცემთა სუბიექტის თანხმობის გარეშე მონაცემთა გასაჯაროება და მესამე პირისათვის გამჟღავნება.

(ძალადაკარგულად იქნა  ცნობილი მე-6 მუხლის პირველი და მე-3 პუნქტების ის ნორმატიული შინაარსი, რომელიც გამორიცხავს ღია სასამართლო სხდომის შედეგად მიღებული სასამართლო აქტების სრული ტექსტის საჯარო ინფორმაციის სახით გაცემას)საქართველოს საკონსტიტუციო სასამართლოს 2019 წლის 7 ივნისის გადაწყვეტილება №1/4/693,857 – ვებგვერდი, 12.06.2019წ.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2015 წლის 1 მაისის კანონი №3534 - ვებგვერდი, 18.05.2015წ.
საქართველოს 2016 წლის 27 აპრილის კანონი №5017 - ვებგვერდი, 13.05.2016წ.
საქართველოს 2016 წლის 1 დეკემბრის კანონი №54 - ვებგვერდი, 15.12.2016წ.
საქართველოს 2017 წლის 21 აპრილის კანონი №669 - ვებგვერდი, 03.05.2017წ.
საქართველოს 2018 წლის 20 სექტემბრის კანონი №3451 – ვებგვერდი, 09.10.2018წ.
საქართველოს საკონსტიტუციო სასამართლოს 2019 წლის 7 ივნისის გადაწყვეტილება №1/4/693,857 – ვებგვერდი, 12.06.2019წ.
საქართველოს 2019 წლის 20 სექტემბრის კანონი №5031 – ვებგვერდი, 01.10.2019წ.
საქართველოს 2019 წლის 29 ნოემბრის კანონი №5403 – ვებგვერდი, 10.12.2019წ.

    მუხლი 7. გარდაცვლილი პირის შესახებ მონაცემების დაცვა

1. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება, გარდა ამ კანონის მე-5 და მე-6 მუხლებით განსაზღვრული საფუძვლებისა, დასაშვებია მონაცემთა სუბიექტის მშობლის, შვილის, შვილიშვილის ან მეუღლის თანხმობით ან თუ მონაცემთა სუბიექტის გარდაცვალებიდან გასულია 30 წელი.

2. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება აგრეთვე დასაშვებია, თუ ეს აუცილებელია მემკვიდრეობასთან დაკავშირებული უფლებების რეალიზაციისათვის.

3. მონაცემთა ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული საფუძვლებით დამუშავება დაუშვებელია, თუ მონაცემთა სუბიექტმა გარდაცვალებამდე წერილობითი ფორმით აკრძალა მის შესახებ მონაცემთა მისი გარდაცვალების შემდეგ დამუშავება, გარდა მონაცემთა ამ კანონის მე-5 და მე-6 მუხლებით გათვალისწინებული საფუძვლებით დამუშავებისა.

4. გარდაცვლილი პირის სახელის, სქესის, დაბადებისა და გარდაცვალების თარიღების დამუშავებისათვის არ არის საჭირო ამ კანონით გათვალისწინებული მონაცემთა დამუშავების საფუძვლის არსებობა.

5. გარდაცვლილი პირის შესახებ მონაცემები შეიძლება გამჟღავნდეს ისტორიული, სტატისტიკური და კვლევითი მიზნებისათვის, გარდა იმ შემთხვევისა, როდესაც გარდაცვლილმა პირმა წერილობითი ფორმით აკრძალა მათი გამჟღავნება.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.

    მუხლი 8. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავება

1. პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება დამუშავდეს საჯაროდ ხელმისაწვდომი წყაროებიდან მოპოვებული მონაცემები.

2. მონაცემთა შეგროვების მიზნის მიუხედავად, პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება დამუშავდეს შემდეგ ი მონაცემები: სახელი (სახელები), მისამართი, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი, ფაქსის ნომერი.

3. მონაცემთა სუბიექტის მიერ ამ კანონით დადგენილი წესით გაცემული წერილობითი თანხმობის საფუძველზე პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება ნებისმიერი მონაცემი დამუშავდეს.

4. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამმუშავებელს ნებისმიერ დროს მოსთხოვოს მის შესახებ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენების შეწყვეტა.

5. მონაცემთა დამმუშავებელი ვალდებულია შეწყვიტოს მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავება ან/და უზრუნველყოს უფლებამოსილი პირის მიერ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების შეწყვეტა მონაცემთა სუბიექტის მოთხოვნის მიღებიდან არაუგვიანეს 10 სამუშაო დღისა.

6. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავებისას მონაცემთა დამმუშავებელი ვალდებულია შეატყობინოს მონაცემთა სუბიექტს ამ მუხლის მე-4 პუნქტით გათვალისწინებული უფლების შესახებ და უზრუნველყოს, რომ მონაცემთა სუბიექტს ჰქონდეს შესაძლებლობა მონაცემთა პირდაპირი მარკეტინგული მიზნებისათვის დამუშავების შეწყვეტის მოთხოვნისა იმავე ფორმით, რა ფორმითაც ხორციელდება პირდაპირი მარკეტინგი, ან/და განსაზღვროს ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების შეწყვეტის მოთხოვნისთვის.  

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

    მუხლი 9. ბიომეტრულ მონაცემთა დამუშავება საჯარო დაწესებულების მიერ

1. საჯარო დაწესებულების მიერ ბიომეტრულ მონაცემთა დამუშავება შეიძლება მხოლოდ პირის უსაფრთხოებისა და საკუთრების დაცვის მიზნებისათვის, აგრეთვე საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნით, თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული პირობების მიუხედავად, ბიომეტრიულ მონაცემთა დამუშავება შეიძლება კანონით დადგენილი წესით პირადობის დამადასტურებელი დოკუმენტის გაცემის ან სახელმწიფო საზღვრის გადამკვეთი პირის იდენტიფიკაციის მიზნით, აგრეთვე საქართველოს საკანონმდებლო აქტით პირდაპირ გათვალისწინებულ სხვა შემთხვევაში.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ. 
საქართველოს 2016 წლის 1 დეკემბრის კანონი №54 - ვებგვერდი, 15.12.2016წ.

    მუხლი 10. კერძო სამართლის იურიდიული პირისა და ფიზიკური პირის მიერ ბიომეტრიულ მონაცემთა დამუშავება

კერძო სამართლის იურიდიული პირისა და ფიზიკური პირის მიერ ბიომეტრიულ მონაცემთა დამუშავება შეიძლება მხოლოდ იმ შემთხვევაში, თუ ეს აუცილებელია საქმიანობის განხორციელების, უსაფრთხოებისა და საკუთრების დაცვის, აგრეთვე საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნებისთვის, თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან გაუმართლებლად დიდ ძალისხმევას საჭიროებს. თუ კანონით სხვა რამ არ არის დადგენილი, ბიომეტრიულ მონაცემთა გამოყენებამდე მონაცემთა დამმუშავებელმა პერსონალურ მონაცემთა დაცვის სამსახურს უნდა მიაწოდოს იგივე ინფორმაცია, რომელიც მიეწოდება მონაცემთა სუბიექტს, კერძოდ, ინფორმაცია მონაცემთა დამუშავების მიზნისა და მონაცემთა დასაცავად მიღებული უსაფრთხოების ზომების შესახებ. 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 11. ქუჩაში და საზოგადოებრივ ტრანსპორტში ვიდეოთვალთვალის განხორციელება

1. ქუჩაში (მათ შორის, პარკში, სკვერში, სათამაშო მოედანთან, საზოგადოებრივი ტრანსპორტის გაჩერებასთან და სხვა თავშეყრის ადგილზე) და საზოგადოებრივ ტრანსპორტში ვიდეოთვალთვალის განხორციელება დასაშვებია მხოლოდ დანაშაულის თავიდან აცილების, აგრეთვე პირის უსაფრთხოებისა და საკუთრების, საზოგადოებრივი წესრიგისა და არასრულწლოვნის მავნე ზეგავლენისაგან დაცვის მიზნებისათვის.

2. ვიდეოთვალთვალის სისტემის დაყენების შემთხვევაში საჯარო და კერძო დაწესებულებები ვალდებული არიან, თვალსაჩინო ადგილას განათავსონ შესაბამისი გამაფრთხილებელი ნიშანი. ამ შემთხვევაში მონაცემთა სუბიექტი ითვლება მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად.

3. ვიდეოთვალთვალის სისტემა და ვიდეო ჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისაგან.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

    მუხლი 12. საჯარო და კერძო დაწესებულებათა შენობების ვიდეო თვალთვალი

1. საჯარო და კერძო დაწესებულებებს შესაბამისი მონიტორინგის განხორციელების მიზნით შეუძლიათ განახორციელონ თავიანთი შენობების ვიდეოთვალთვალი, თუ ეს აუცილებელია პირის უსაფრთხოებისა და საკუთრების დაცვის, არასრულწლოვნის მავნე ზეგავლენისგან დაცვის, საიდუმლო ინფორმაციის დაცვის და გამოცდის/ტესტირების მიზნებისათვის.

2. ვიდეოთვალთვალის სისტემის მეშვეობით შესაძლებელია  მხოლოდ შენობის გარე პერიმეტრისა და შესასვლელის მონიტორინგის განხორციელება. მონაცემთა დამმუშავებელი ვალდებულია თვალსაჩინო ადგილას განათავსოს შესაბამისი გამაფრთხილებელი ნიშანი. ამ შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად ითვლება.

3. სამუშაო ადგილზე ვიდეოთვალთვალის სისტემის დაყენება შეიძლება მხოლოდ გამონაკლის შემთხვევებში, თუ ეს აუცილებელია პირის უსაფრთხოებისა და საკუთრების დაცვის, საიდუმლო ინფორმაციის დაცვის და გამოცდის/ტესტირების მიზნებისათვის და თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია.

4. ვიდეოთვალთვალის განხორციელება დაუშვებელია გამოსაცვლელ ოთახებსა და ჰიგიენისათვის განკუთვნილ ადგილებში .

5. ამ მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში სამუშაო ადგილზე ვიდეოთვალთვალის სისტემის გამოყენებისას შესაბამის კერძო ან საჯარო დაწესებულებაში დასაქმებული ყველა პირი წერილობითი ფორმით უნდა იყოს ინფორმირებული ვიდეოთვალთვალის განხორციელებისა და მისი უფლებების შესახებ.

6. მონაცემთა დამმუშავებელი ვალდებულია შექმნას ვიდეოჩანაწერების შენახვისათვის განკუთვნილი ფაილური სისტემა. ჩანაწერების (სურათები/ხმა) გარდა, სისტემა უნდა შეიცავდეს ინფორმაციას მონაცემთა დამუშავების თარიღის, ადგილისა და დროის შესახებ.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 26 დეკემბრის კანონი №4145 – ვებგვერდი, 10.01.2019წ.

    მუხლი 13. საცხოვრებელი შენობის ვიდეო თვალთვალი

1. საცხოვრებელ შენობაში ვიდეოთვალთვალის სისტემის დასაყენებლად აუცილებელია ამ შენობის მესაკუთრეთა ნახევარზე მეტის წერილობითი თანხმობა. ვიდეოთვალთვალის სისტემის დაყენების შესახებ უნდა ეცნობოთ შენობაში მცხოვრებთ.

2. საცხოვრებელ შენობაში ვიდეოთვალთვალის სისტემის დაყენება დასაშვებია მხოლოდ პირისა და ქონების უსაფრთხოების მიზნებისათვის .

3. საცხოვრებელ შენობაში დაყენებული ვიდეოთვალთვალის სისტემის მეშვეობით შესაძლებელია განხორციელდეს მხოლოდ შესასვლელისა და საერთო სივრცის მონიტორინგი . მესაკუთრეთა ბინების მონიტორინგ დაუშვებელია .

4. ვიდეო თვალთვალის სისტემის მეშვეობით ბინის შესასვლელის მონიტორინგის განხორციელება დასაშვებია მხოლოდ ამ ბინის მესაკუთრის გადაწყვეტილებით ან მისი წერილობითი თანხმობის საფუძველზე.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

    მუხლი 14. მონაცემთა დამუშავება საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გასვლის აღრიცხვის მიზნით

1. საჯარო და კერძო დაწესებულებებს შენობაში შესვლისა და შენობიდან გასვლის აღრიცხვის მიზნით შეუძლიათ შეაგროვონ შემდეგი მონაცემები: სახელი, საიდენტიფიკაციო დოკუმენტის ნომერი და სახე, მისამართი, შესვლისა და გასვლის თარიღები და დრო, ასევე შენობაში შესვლისა და შენობიდან გასვლის მიზეზები.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემთა შენახვის ვადა არ უნდა აღემატებოდეს მათი ჩაწერის დღიდან სამ წელს, თუ კანონით სხვა რამ არ არის დადგენილი. სამწლიანი ვადის გასვლის შემდეგ ისინი უნდა წაიშალოს ან განადგურდეს.

 

თავი III. მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის უფლებები და მოვალეობები

    მუხლი 15. მონაცემთა სუბიექტისათვის ინფორმაციის მიწოდება

1. თუ მონაცემთა შეგროვება ხორციელდება უშუალოდ მონაცემთა სუბიექტისაგან, მონაცემთა დამმუშავებელი ან უფლებამოსილი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს შემდეგი ინფორმაცია:

ა) მონაცემთა დამმუშავებლის და უფლებამოსილი პირის ( ასეთის არსებობის შემთხვევაში) ვინაობა და რეგისტრირებული მისამართი;

ბ) მონაცემთა დამუშავების მიზანი;

გ) სავალდებულოა თუ ნებაყოფლობითი მონაცემთა მიწოდება; თუ სავალდებულოა − მასზე უარის თქმის სამართლებრივი შედეგები;

დ) მონაცემთა სუბიექტის უფლება, მიიღოს ინფორმაცია მის შესახებ დამუშავებულ მონაცემთა თაობაზე , მოითხოვოს მათი გასწორება, განახლება, დამატება, დაბლოკვა, წაშლა და განადგურება.

2. ამ მუხლის პირველ პუნქტში აღნიშ ული ინფორმაციის მიწოდება არ არის სავალდებულო, თუ მონაცემთა სუბიექტ უკვე აქვს იგი .

3. თუ მონაცემთა შეგროვება არ ხორციელდება უშუალოდ მონაცემთა სუბიექტისაგან, მონაცემთა დამმუშავებელი ან უფლებამოსილი პირი ვალდებულია მოთხოვნის შემთხვევაში მონაცემთა სუბიექტს მიაწოდოს ამ მუხლის პირველ პუნქტში აღნიშნული ინფორმაცია.

4. სტატისტიკური, სამეცნიერო და ისტორიული მიზნებისათვის ინფორმაციის შეგროვებისას მისი მიწოდება არ არის სავალდებულო, თუ მონაცემთა სუბიე ტის თვის ინფორმაციის მიწოდება დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

    მუხლი 16. უფლებამოსილი პირის მიერ მონაცემთა დამუშავება

1. უფლებამოსილმა პირმა შეიძლება დაამუშაოს მონაცემები სამართლებრივი აქტის ან მონაცემთა დამმუშავებელთან დადებული წერილობითი ხელშეკრულების საფუძველზე, რომელიც უნდა შეესაბამებოდეს ამ კანონითა და სხვა ნორმატიული აქტებით დადგენილ მოთხოვნებს და უნდა ითვალისწინებდეს ამ კანონით დადგენილ წესებსა და აკრძალვებს.

2. უფლებამოსილმა პირმა მონაცემები უნდა დაამუშაოს შესაბამისი სამართლებრივი აქტით ან ხელშეკრულებით დადგენილ ფარგლებში. დაუშვებელია უფლებამოსილი პირის მიერ ნებისმიერი სხვა მიზნით მონაცემთა შემდგომი დამუშავება. დაუშვებელია, უფლებამოსილმა პირმა მონაცემთა დამუშავების უფლება სხვა პირს მონაცემთა დამმუშავებლის თანხმობის გარეშე გადასცეს.

3. დაუშვებელია მონაცემთა დამუშავების შესახებ ხელშეკრულების დადება, თუ, უფლებამოსილი პირის საქმიანობიდან ან/და მიზნებიდან გამომდინარე, არსებობს მონაცემთა არამიზნობრივი დამუშავების საფრთხე.

4. მონაცემთა დამმუშავებელი უნდა დარწმუნდეს, რომ უფლებამოსილი პირი მონაცემთა დასაცავად მიიღებს შესაბამის ორგანიზაციულ და ტექნიკურ ზომებს. იგი ვალდებულია მონიტორინგი გაუწიოს უფლებამოსილი პირის მიერ მონაცემთა დამუშავებას.

5. უფლებამოსილ პირსა და მონაცემთა დამმუშავებელს შორის დავის წარმოშობის შემთხვევაში უფლებამოსილი პირი ვალდებულია მოთხოვნისთანავე გადასცეს მონაცემთა დამმუშავებე ლს მის ხელთ არსებული მონაცემები.

6. უფლებამოსილი პირის მიერ ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლის გაუქმების ან საქმიანობის შეწყვეტის შემთხვევაში მონაცემთა დამუშავება უნდა შეწყდეს და აღნიშნული საფუძვლის გაუქმებამდე ან საქმიანობის შეწყვეტამდე დამუშავებული მონაცემები დაუყოვნებლივ უნდა გადაეცეს მონაცემთა დამმუშავებელს.

7. უფლებამოსილ პირთან დადებულ ხელშეკრულებაში გათვალისწინებული უნდა იყოს მონაცემთა უსაფრთხოებისათვის ზომების მიღების ვალდებულება.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

    მუხლი 17. მონაცემთა უსაფრთხოება

1. მონაცემთა დამმუშავებელი ვალდებულია მიიღოს ისეთი ორგანიზაციული და ტექნიკური ზომები, რომლებ იც უზრუნველყოფს მონაცემთა დაცვას შემთხვევითი ან უკანონო განადგურებისაგან , შეცვლისაგან , გამჟღავნებისაგან , მოპოვებისაგან , ნებისმიერი სხვა ფორმით უკანონო გამოყენებისა და შემთხვევ თი ან უკანონო დაკარგვისაგან .

2. მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების აღრიცხვა. არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების აღრიცხვა.

3. მონაცემთა უსაფრთხოებისათვის მიღებული ზომები მონაცემთა დამუშავებასთან დაკავშირებული რისკების ადეკვატური უნდა იყოს.

4. მონაცემთა დამმუშავებლის და უფლებამოსილი პირის ნებისმიერი თანამშრომელი, რომელიც მონაწილეობს მონაცემთა დამუ ავებაში, ვალდებულია არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს. ამასთანავე , მას ეკისრება ვალდებულება, დაიცვას მონაცემთა საიდუმლოება, მათ შორის, მისი სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.

5. მონაცემთა უსაფრთხოების დაცვის ზომები განისაზღვრება საქართველოს კანონმდებლობით.

    მუხლი 18. მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ვალდებულებები მონაცემთა გამჟღავნებასთან დაკავშირებით

მონაცემთა გამჟღავნებისას მონაცემთა დამმუშავებელი და უფლებამოსილი პირი ვალდებული არიან, უზრუნველყონ შემდეგი ინფორმაციის რეგისტრაცია: რომელი მონაცემი იქნა გამჟღავნებული, ვისთვის, როდის და რა სამართლებრივი საფუძვლით. ეს ინფორმაცია უნდა ინახებოდეს მონაცემთა სუბიექტის შესახებ მონაცემებთან ერთად მათი შენახვის ვადის განმავლობაში.

    მუხლი 19. ფაილური სისტემის კატალოგი

1. მონაცემთა დამმუშავებელი ვალდებულია თითოეულ ფაილურ სისტემასთან დაკავშირებით აწარმოოს ფაილური სისტემის კატალოგი და აღრიცხოს შემდეგი ინფორმაცია:

ა) ფაილური სისტემის სახელწოდება;

ბ) მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის დასახელებები და მისამართები, მონაცემთა შენახვის ან/და დამუშავების ადგილი;

გ) მონაცემთა დამუშავების სამართლებრივი საფუძველი;

დ) მონაცემთა სუბიექტის კატეგორია;

ე) მონაცემთა კატეგორია ფაილურ სისტემაში;

ვ) მონაცემთა დამუშავების მიზანი;

ზ) მონაცემთა შენახვის ვადა;

თ) მონაცემთა სუბიექტის უფლების შეზღუდვის ფაქტი და საფუძვლები;

ი) ფაილურ სისტემაში განთავსებულ მონაცემთა მიმღები და მათი კატეგორიები;

კ) ინფორმაცია მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის შესახებ და ასეთი გადაცემის სამართლებრივი საფუძველი;

ლ) მონაცემთა უსაფრთხოების დაცვისათვის დადგენილი პროცედურის ზოგადი აღწერილობა.

11. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია აწარმოოს ფაილურ სისტემათა კატალოგების რეესტრი. აღნიშნულ რეესტრში შეტანილი უნდა იყოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია. ფაილურ სისტემათა კატალოგების რეესტრში შეტანილი ინფორმაცია საჯაროა. პერსონალურ მონაცემთა დაცვის სამსახური უზრუნველყოფს ამ ინფორმაციის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ დადგენილი წესით გამოქვეყნებას. 

2. მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის სისტემატური განახლება.

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 20. პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება

1. მონაცემთა დამმუშავებელი ვალდებულია ფაილური სისტემის შექმნამდე და მასში ახალი კატეგორიის მონაცემთა შეტანამდე წერილობითი ან ელექტრონული ფორმით მიაწოდოს პერსონალურ მონაცემთა დაცვის სამსახურს ამ კანონის მე-19 მუხლით გათვალისწინებული ინფორმაცია.

2. მონაცემთა დამმუშავებელი ვალდებულია შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს ამ კანონის მე-19 მუხლით გათვალისწინებულ ინფორმაციაში ცვლილების შეტანის შესახებ აღნიშნული ცვლილების შეტანიდან არაუგვიანეს 30 დღისა.

3. სამართალდამცავი ორგანოს მიერ მოთხოვნილი ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის ან მისი ჩატარების ნებართვის გაცემაზე უარის თქმის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, აგრეთვე სამართალდამცავი ორგანოს მიერ სასამართლოს ნებართვის გარეშე ჩატარებული ფარული საგამოძიებო მოქმედების კანონიერად/უკანონოდ ცნობის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, წარედგინება პერსონალურ მონაცემთა დაცვის სამსახურს საქართველოს სისხლის სამართლის საპროცესო კოდექსით დადგენილი წესით.

4. ელექტრონული კომუნიკაციის კომპანიამ სამართალდამცავი ორგანოსთვის ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემების საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე მუხლით დადგენილი წესით გადაცემის შესახებ უნდა აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს ამ მონაცემების გადაცემიდან 24 საათში.

5. გადაუდებელი აუცილებლობის შემთხვევაში ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილებას, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, ფარული საგამოძიებო მოქმედების დადგენილებაში მითითებული დაწყების დროიდან არაუგვიანეს 12 საათისა პროკურორი ან პროკურორის დავალებით გამომძიებელი მატერიალური (დოკუმენტური) სახით წარუდგენს პერსონალურ მონაცემთა დაცვის სამსახურს.

6. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის შესახებ მოსამართლის განჩინების ელექტრონულ ეგზემპლარს, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, აგრეთვე ამ ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილების ელექტრონულ ეგზემპლარს, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, სააგენტო მისი მიღებისთანავე აწვდის პერსონალურ მონაცემთა დაცვის სამსახურს კონტროლის ელექტრონული სისტემის მეშვეობით. 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2017 წლის 22 მარტის კანონი №479 - ვებგვერდი, 27.03.2017წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

 

თავი IV. მონაცემთა სუბიექტის უფლებები 

    მუხლი 21. მონაცემთა სუბიექტის მიერ ინფორმაციის მოთხოვნის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამმუშავებელს მოსთხოვოს ინფორმაცია მის შესახებ მონაცემთა დამუშავების თაობაზე. მონაცემთა დამმუშავებელმა მონაცემთა სუბიექტს უნდა მიაწოდოს შემდეგი ინფორმაცია:

ა) მის შესახებ რომელი მონაცემები მუშავდება;

ბ) მონაცემთა დამუშავების მიზანი;

გ) მონაცემთა დამუშავების სამართლებრივი საფუძველი;

დ) რა გზით შეგროვდა მონაცემები;

ე) ვისზე გაიცა მის შესახებ მონაცემები, მონაცემთა გაცემის საფუძველი და მიზანი.

2. მონაცემთა სუბიექტისათვის ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაციის მიწოდება სავალდებულო არ არის, თუ მონაცემები, კანონის თანახმად, საჯაროა.

3. მონაცემთა სუბიექტს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია უნდა მიეწოდოს მოთხოვნისთანავე, დაუყოვნებლივ, ან მოთხოვნიდან არაუგვიანეს 10 დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ა) ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან მასთან კონსულტაციას;

ბ) მნიშვნელოვანი მოცულობის, ერთმანეთთან დაუკავშირებელი დოკუმენტების მოძიებასა და დამუშავებას;

გ) სხვა დასახლებულ პუნქტში არსებულ მის სტრუქტურულ ქვედანაყოფთან ან სხვა საჯარო დაწესებულებასთან კონსულტაციას.

4. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ფორმას ირჩევს მონაცემთა სუბიექტი.

5. პირს უფლება აქვს, გაეცნოს მის შესახებ საჯარო დაწესებულებაში არსებულ პერსონალურ მონაცემებს და უსასყიდლოდ მიიღოს ამ მონაცემების ასლები, გარდა იმ მონაცემებისა, რომელთა გაცემისათვის საქართველოს კანონმდებლობით გათვალისწინებულია საფასური.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

    მუხლი 22. მონაცემთა სუბიექტის მიერ მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლისა და განადგურების მოთხოვნის უფლება

1. მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში მონაცემთა დამმუშავებელი ვალდებულია გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები, თუ ისინი არასრულია, არაზუსტია, არ არის განახლებული ან თუ მათი შეგროვება და დამუშავება განხორციელდა კანონის საწინააღმდეგოდ.

2. მონაცემთა დამმუშავებელმა ყველა მონაცემთა მიმღებს უნდა აცნობოს მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლის ან განადგურების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია მონაცემთა მიმღებების სიმრავლისა და არაპროპორციულად დიდი ხარჯების გამო. ამ უკანასკნელი გარემოების შესახებ უნდა ეცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს. 

3. ამ მუხლის მე-2 პუნქტის თანახმად ინფორმაციის მიღების შემთხვევაში მისი მიმღები მხარე ვალდებულია შესაბამისად გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები.

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 23. მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლისა და განადგურების პროცედურა

1. ამ კანონის 22-ე მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენა შესაძლებელია წერილობით, ზეპირად ან ელექტრონული საშუალების გამოყენებით.

2. მონაცემთა სუბიექტის მოთხოვნის მიღებიდან 15 დღის ვადაში მონაცემთა დამმუშავებელი ვალდებულია გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები ან მონაცემთა სუბიექტს აცნობოს უარის თქმის საფუძველი .

3. თუ მონაცემთა დამმუშავებელი მონაცემთა სუბიექტის მოთხოვნის გარეშე, თავად ჩათვლის, რომ მის ხელთ არსებული მონაცემები არასრულია, არაზუსტია ან არ არის განახლებული, მან შესაბამისად უნდა გაასწოროს ან განაახლოს მონაცემები და ეს აცნობოს მონაცემთა სუბიექტს.

4. მონაცემთა სუბიექტის მიერ ამ კანონის 22-ე მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენის შემდეგ მონაცემთა დამმუშავებელი უფლებამოსილია განმცხადებლის თხოვნის საფუძველზე დაბლოკოს მონაცემები.

5. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება მიიღება შესაბამისი მოთხოვნის წარდგენიდან 3 დღის ვადაში და ძალაშია მონაცემთა დამმუშავებლის მიერ მონაცემთა გასწორების, განახლების, დამატების, წაშლისა და განადგურების შესახებ გადაწყვეტილების მიღებამდე.

6. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება დაბლოკვის მიზეზის არსებობის განმავლობაში უნდა ერთოდეს შესაბამის მონაცემებს.

    მუხლი 24. მონაცემთა სუბიექტის უფლების შეზღუდვა

1. მონაცემთა სუბიექტის ამ კანონის მე-15, 21-ე და 22-ე მუხლებით გათვალისწინებული უფლებები საქართველოს კანონმდებლობით შეიძლება შეიზღუდოს, თუ ამ უფლებების რეალიზაციამ შეიძლება საფრთხე შეუქმნას:

ა) სახელმწიფო უსაფრთხოების ან თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის გამოვლენას, გამოძიებასა და აღკვეთას;

დ) ქვეყნის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო საკითხებთან დაკავშირებულ) ინტერესებს;

ე) მონაცემთა სუბიექტისა და სხვათა უფლებებსა და თავისუფლებებს.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლის არსებობისას მონაცემთა დამმუშავებლის ან პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება მონაცემთა სუბიექტს ისე უნდა ეცნობოს, რომ ზიანი არ მიადგეს უფლების შეზღუდვის მიზანს. 

საქართველოს 2018 წლის 29 ივნისის კანონი №2765 – ვებგვერდი, 19.07.2018წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 25. თანხმობაზე უარი

1. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, განმარტების გარეშე უარი განაცხადოს მის მიერვე მიცემულ თანხმობაზე და მოითხოვოს მონაცემთა დამუშავების შეწყვეტა ან/და დამუშავებულ მონაცემთა განადგურება.

2. მონაცემთა დამმუშავებელი ვალდებულია მონაცემთა სუბიექტის მოთხოვნის შესაბამისად შეწყვიტოს მონაცემთა დამუშავება ან/და გაანადგუროს დამუშავებული მონაცემები განცხადების წარდგენიდან 5 დღის ვადაში, თუ არ არსებობს მონაცემთა დამუშავების სხვა საფუძველი.

3. ამ მუხლის მოქმედება არ ვრცელდება მონაცემთა სუბიექტის მიერ ფულადი ვალდებულებების შესრულების შესახებ მისივე თანხმობით დამუშავებულ ინფორმაციაზე.

    მუხლი 26. გასაჩივრების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ამ კანონით გათვალისწინებული უფლებების დარღვევის შემთხვევაში კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს ან სასამართლოს, ხოლო თუ მონაცემთა დამმუშავებელი საჯარო დაწესებულებაა, საჩივრის წარდგენა შესაძლებელია აგრეთვე იმავე ან ზემდგომ ადმინისტრაციულ ორგანოში. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი მონაცემთა სუბიექტის მიმართვას განიხილავს ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის  ნორმატიული აქტებით დადგენილი წესით. 

2. მონაცემთა სუბიექტს უფლება აქვს, საქმის განმხილველ ორგანოს მოსთხოვოს მონაცემთა დაბლოკვა გადაწყვეტილების გამოტანამდე.

3. მონაცემთა სუბიექტს უფლება აქვს, ზემდგომი ადმინისტრაციული ორგანოს ან პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება კანონით დადგენილი წესით გაასაჩივროს სასამართლოში. 

4. მონაცემთა დამუშავებაზე მონაცემთა სუბიექტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში მონაცემთა დამმუშავებელს ეკისრება მონაცემთა სუბიექტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 261. (ამოღებულია)

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2017 წლის 22 მარტის კანონი №479 - ვებგვერდი, 27.03.2017წ.

თავი V. (ამოღებულია)  

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.

საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 

მუხლი 27. (ამოღებულია) 

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

    მუხლი 28. (ამოღებულია) 

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

   მუხლი 29. (ამოღებულია 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 30. (ამოღებულია) 

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2015 წლის 20 მარტის კანონი №3350 - ვებგვერდი, 31.03.2015წ.
საქართველოს 2018 წლის 6 დეკემბრის კანონი №3879 - ვებგვერდი, 14.12.2018წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 31. (ამოღებულია) 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 32. (ამოღებულია)

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.

საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 33. (ამოღებულია)  

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.

საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 34. (ამოღებულია)  

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ. 
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 მუხლი 35. (ამოღებულია) 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 მუხლი 351. (ამოღებულია)  

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.
საქართველოს 2015 წლის 8 ივლისის კანონი №3940 - ვებგვერდი, 15.07.2015წ.
საქართველოს 2017 წლის 22 მარტის კანონი №479 - ვებგვერდი, 27.03.2017წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3300 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

  მუხლი 36. (ამოღებულია)  

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 მუხლი 37. (ამოღებულია)  

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

   მუხლი 38. (ამოღებულია) 

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

საქართველოს 2018 წლის 21  ივლისის  კანონი №3274   –  ვებგვერდი, 09.08.2018წ.

საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.

საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 მუხლი 39. (ამოღებულია)

საქართველოს 2018 წლის 21  ივლისის  კანონი №3274   –  ვებგვერდი, 09.08.2018წ.

საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.

 მუხლი 40. (ამოღებულია)  

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
 

თავი V1. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპები და უფლებამოსილებათა განხორციელების გარანტიები, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები, მისი არჩევა, ხელშეუხებლობა, თანამდებობრივი შეუთავსებლობა და უფლებამოსილების ვადამდე შეწყვეტა

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 401. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპები

1. პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას ხელმძღვანელობს საქართველოს კონსტიტუციით, საქართველოს საერთაშორისო ხელშეკრულებებით, საერთაშორისო სამართლის საყოველთაოდ აღიარებული პრინციპებითა და ნორმებით, ამ კანონითა და სხვა სათანადო სამართლებრივი აქტებით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპებია:

ა) კანონიერება;

ბ) ადამიანის უფლებათა და თავისუფლებათა დაცვა;

გ) დამოუკიდებლობა და პოლიტიკური ნეიტრალიტეტი;

დ) ობიექტურობა და მიუკერძოებლობა;

ე) პროფესიონალიზმი;

ვ) საიდუმლოებისა და კონფიდენციალურობის დაცვა.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 402. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი:

ა) ხელმძღვანელობს პერსონალურ მონაცემთა დაცვის სამსახურს და იღებს გადაწყვეტილებებს ამ სამსახურის საქმიანობასთან დაკავშირებულ საკითხებზე;

ბ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურას, სტრუქტურული ერთეულებისა და თანამშრომლების უფლებამოსილებებს;

გ) საქართველოს კანონმდებლობის შესაბამისად ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელთა საშტატო ნუსხას და შრომის ანაზღაურების წესსა და ოდენობებს;

დ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილისა და მოადგილის ფუნქციებსა და მოვალეობებს და ახდენს უფლებამოსილების მათთვის დელეგირებას;

ე) თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლებს;

ვ) პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელს საქართველოს კანონმდებლობით დადგენილი წესით ანიჭებს სახელმწიფო სპეციალურ წოდებას (შემდგომ − სპეციალური წოდება) და აქვეითებს სპეციალურ წოდებაში;

ზ) წარმოადგენს პერსონალურ მონაცემთა დაცვის სამსახურს სახელმწიფო ორგანოებთან, საერთაშორისო და სხვა ორგანიზაციებთან ურთიერთობებში;

თ) უზრუნველყოფს პერსონალურ მონაცემთა დაცვის სამსახურისთვის გადაცემული სახელმწიფო ქონების დაცვასა და მიზნობრივ გამოყენებას;

ი) კანონის შესაბამისად ახორციელებს სხვა უფლებამოსილებებს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობასთან დაკავშირებულ საკითხზე თავისი უფლებამოსილებების ფარგლებში გამოსცემს კანონქვემდებარე ნორმატიულ აქტს − ბრძანებას.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი სათანადო ნორმატიული აქტის საფუძველზე და მის შესასრულებლად თავისი უფლებამოსილებების ფარგლებში გამოსცემს ინდივიდუალურ სამართლებრივ აქტებს, მათ შორის, გადაწყვეტილებას, ბრძანებას, მითითებას. 

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 403. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევა და მისი უფლებამოსილების ვადა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე შეიძლება არჩეულ იქნეს საქართველოს მოქალაქე, რომელიც არ არის ნასამართლევი და რომელსაც აქვს უმაღლესი იურიდიული განათლება და მართლმსაჯულების ან სამართალდამცავი ორგანოების სისტემაში ან ადამიანის უფლებათა დაცვის სფეროში მუშაობის არანაკლებ 5 წლის გამოცდილება და მაღალი პროფესიული და მორალური რეპუტაცია.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი კონკურსი ცხადდება და საკონკურსო კომისია იქმნება საქართველოს პრემიერ-მინისტრის ბრძანებით. ამ საკონკურსო კომისიის წევრები არიან:

ა) საქართველოს მთავრობის წარმომადგენელი;

ბ) საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტის თავმჯდომარე;

გ) საქართველოს პარლამენტის იურიდიულ საკითხთა კომიტეტის თავმჯდომარე;

დ) საქართველოს უზენაესი სასამართლოს თავმჯდომარის მოადგილე;

ე) საქართველოს გენერალური პროკურორის პირველი მოადგილე ან მოადგილე;

ვ) საქართველოს სახალხო დამცველი ან საქართველოს სახალხო დამცველის წარმომადგენელი;

ზ) საქართველოს სახალხო დამცველის მიერ იმ არასამეწარმეო (არაკომერციული) იურიდიული პირის წევრთაგან ღია კონკურსის წესით შერჩეული, სათანადო გამოცდილების მქონე პირი, რომელსაც აქვს ადამიანის უფლებათა დაცვის სფეროში ან/და მონაცემთა დაცვის სფეროში მუშაობის გამოცდილება.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე არაუადრეს 11 კვირისა და არაუგვიანეს 10 კვირისა, ხოლო მისი უფლებამოსილების ვადამდე შეწყვეტის შემთხვევაში − უფლებამოსილების შეწყვეტიდან 1 კვირის ვადაში ამ მუხლის მე-2 პუნქტით განსაზღვრული უწყებები და დაწესებულებები საქართველოს პრემიერ-მინისტრს აცნობებენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის წევრთა ვინაობას. საკონკურსო კომისიის წევრთა წარდგენის ვადის გასვლიდან 7 დღეში საქართველოს პრემიერ-მინისტრი იწვევს საკონკურსო კომისიის პირველ სხდომას. საკონკურსო კომისიის სხდომა უფლებამოსილია, თუ მას ესწრება საკონკურსო კომისიის სრული შემადგენლობის უმრავლესობა. საკონკურსო კომისია პირველ სხდომაზე ხმათა უმრავლესობით თავის წევრთაგან ირჩევს საკონკურსო კომისიის თავმჯდომარეს და 1 კვირის ვადაში ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის დებულებას, რომლითაც განისაზღვრება საკონკურსო კომისიის საქმიანობის წესი, აგრეთვე მისთვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის კანდიდატურების წარდგენის ვადა და წესი.

4. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისია ხმათა უმრავლესობით შეარჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არანაკლებ 2 და არაუმეტეს 5 კანდიდატურას და მათ წარუდგენს საქართველოს პრემიერ-მინისტრს. შერჩეული კანდიდატურების რაოდენობის გათვალისწინებით, მაქსიმალურად თანაბრად უნდა იქნეს უზრუნველყოფილი სხვადასხვა სქესის კანდიდატების წარდგენა.

5. საქართველოს პრემიერ-მინისტრი 10 დღის ვადაში საქართველოს პარლამენტს წარუდგენს 2 კანდიდატურას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე ასარჩევად.

6. საქართველოს პარლამენტი კანდიდატურების წარდგენიდან არაუგვიანეს 14 დღისა, საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით ირჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. თუ ეს ვადა მთლიანად ან ნაწილობრივ დაემთხვა საქართველოს პარლამენტის სესიებს შორის პერიოდს, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევისთვის ამ პუნქტით განსაზღვრული ვადა შესაბამისი დროით გაგრძელდება. თუ საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს კენჭისყრით ვერ აირჩევს ან თუ ორივე კანდიდატი კენჭისყრამდე უარს იტყვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩევაზე, საქართველოს პრემიერ-მინისტრი 2 კვირის ვადაში აცხადებს ხელახალ კონკურსს.

7. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის მომდევნო დღიდან. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება მისი არჩევის მომდევნო დღიდან.

8. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადაა 6 წელი. პირი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არ შეიძლება არჩეულ იქნეს ზედიზედ ორჯერ. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა არ შეიძლება შეასრულოს თავისი მოვალეობა უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 404. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ჰყავს პირველი მოადგილე და მოადგილე, რომლებსაც იგი თანამდებობებზე ნიშნავს ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლისას ან უფლებამოსილების ვადამდე შეწყვეტისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველ მოადგილესა და მოადგილეს უფლებამოსილება შეუწყდებათ, როგორც კი პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსი შეუდგება უფლებამოსილების განხორციელებას ამ კანონით დადგენილი წესით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არყოფნის, მის მიერ უფლებამოსილების განუხორციელებლობის, მისი უფლებამოსილების შეჩერების, ვადის გასვლის ან ვადამდე შეწყვეტის შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებას ახორციელებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე, ხოლო მისი პირველი მოადგილის არყოფნის შემთხვევაში − პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოადგილე. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოვალეობის შესრულების დროს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე სარგებლობენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის მინიჭებული უფლებამოსილებებითა და სამართლებრივი გარანტიებით. 

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 405. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ხელშეუხებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ხელშეუხებელია. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის სისხლის სამართლის პასუხისგებაში მიცემა, დაკავება ან დაპატიმრება, მისი საცხოვრებელი ან სამუშაო ადგილის, მანქანის ან პირადი გაჩხრეკა შეიძლება მხოლოდ საქართველოს პარლამენტის წინასწარი თანხმობით. გამონაკლისია დანაშაულზე წასწრების შემთხვევა, რაც დაუყოვნებლივ უნდა ეცნობოს საქართველოს პარლამენტს. თუ საქართველოს პარლამენტი 48 საათის განმავლობაში არ მისცემს თანხმობას, დაკავებული ან დაპატიმრებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი დაუყოვნებლივ უნდა გათავისუფლდეს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის დაკავებაზე ან დაპატიმრებაზე საქართველოს პარლამენტის მიერ თანხმობის მიცემის შემთხვევაში მას საქართველოს პარლამენტის დადგენილებით შეუჩერდება უფლებამოსილება სისხლისსამართლებრივი დევნის შეწყვეტის შესახებ დადგენილების/განჩინების გამოტანამდე ან სასამართლოს განაჩენის კანონიერ ძალაში შესვლამდე.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირად უსაფრთხოებას დადგენილი წესით უზრუნველყოფენ შესაბამისი სახელმწიფო ორგანოები.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 406. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობრივი შეუთავსებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობა შეუთავსებელია სახელმწიფო ხელისუფლების ორგანოსა და მუნიციპალიტეტის წარმომადგენლობითი ორგანოს წევრობასთან, სახელმწიფო სამსახურსა და საჯარო სამსახურში ნებისმიერ თანამდებობასთან და სხვა ანაზღაურებად საქმიანობასთან, გარდა სამეცნიერო, პედაგოგიური და სახელოვნებო საქმიანობებისა. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი არ შეიძლება ეწეოდეს სამეწარმეო საქმიანობას, უშუალოდ ახორციელებდეს სამეწარმეო საქმიანობის სუბიექტის მუდმივმოქმედი ხელმძღვანელის, სამეთვალყურეო, საკონტროლო, სარევიზიო ან საკონსულტაციო ორგანოს წევრის უფლებამოსილებას, იყოს პოლიტიკური პარტიის წევრი ან მონაწილეობდეს პოლიტიკურ საქმიანობაში.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ეკრძალება მოქალაქეთა პოლიტიკური გაერთიანების მხარდამჭერ ან საწინააღმდეგო შეკრებასა და მანიფესტაციაში მონაწილეობა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი ვალდებულია არჩევიდან 10 დღის ვადაში შეწყვიტოს თანამდებობასთან შეუთავსებელი საქმიანობა ან გადადგეს მის სტატუსთან შეუთავსებელი თანამდებობიდან. სანამ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი არ შეწყვეტს თანამდებობასთან შეუთავსებელ საქმიანობას ან არ გადადგება მის სტატუსთან შეუთავსებელი თანამდებობიდან, იგი არ არის უფლებამოსილი, შეუდგეს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების განხორციელებას. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი აღნიშნულ ვადაში არ შეასრულებს ამ პუნქტით დადგენილ მოთხოვნას, მას უფლებამოსილება ვადამდე შეუწყდება.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 407. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადამდე შეწყვეტა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილება ვადამდე შეუწყდება, თუ:

ა) მან დაკარგა საქართველოს მოქალაქეობა;

ბ) იგი ჯანმრთელობის მდგომარეობის გამო ზედიზედ 4 თვის განმავლობაში ვერ ახორციელებს თავის უფლებამოსილებას;

გ) მის მიმართ კანონიერ ძალაში შევიდა სასამართლოს გამამტყუნებელი განაჩენი;

დ) იგი სასამართლომ ცნო მხარდაჭერის მიმღებად (თუ სასამართლოს გადაწყვეტილებით სხვა რამ არ არის განსაზღვრული), აღიარა უგზო-უკვლოდ დაკარგულად ან გამოაცხადა გარდაცვლილად;

ე) მან დაიკავა მის სტატუსთან შეუთავსებელი თანამდებობა ან ახორციელებს თანამდებობასთან შეუთავსებელ საქმიანობას;

ვ) იგი ნებაყოფლობით გადადგა თანამდებობიდან;

ზ) იგი გარდაიცვალა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილება ვადამდე შეწყვეტილად ჩაითვლება შესაბამისი გარემოების დადგომის მომენტიდან, რის შესახებაც საქართველოს პარლამენტის თავმჯდომარე დაუყოვნებლივ აცნობებს საქართველოს პარლამენტს. საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილებას უწყვეტს საქართველოს პარლამენტის თავმჯდომარის ინფორმაციის ცნობად მიღების საფუძველზე.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 408. პერსონალურ მონაცემთა დაცვის სამსახურის ორგანიზაციული და ფინანსური უზრუნველყოფა

1. პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურა, საქმიანობისა და თანამშრომელთა შორის უფლებამოსილებების განაწილების წესები დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის დებულებით, რომელსაც ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი არის საჯარო მოსამსახურე და მასზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონის მოქმედება, თუ ამ კანონით ან ამ კანონის საფუძველზე გამოცემული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით სხვა რამ არ არის დადგენილი. პერსონალურ მონაცემთა დაცვის სამსახურის სხვა თანამშრომლები არიან საჯარო მოსამსახურეები და მათზე დადგენილი წესით ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონის მოქმედება. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის მიერ პერსონალურ მონაცემთა დაცვის სამსახურში სამსახურის გავლის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

3. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობა ფინანსდება საქართველოს სახელმწიფო ბიუჯეტიდან. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობისთვის საჭირო ასიგნებები განისაზღვრება საქართველოს სახელმწიფო ბიუჯეტის ცალკე კოდით. საქართველოს სახელმწიფო ბიუჯეტში პერსონალურ მონაცემთა დაცვის სამსახურისთვის განკუთვნილი მიმდინარე ხარჯების შემცირება წინა წლის საბიუჯეტო სახსრების ოდენობასთან შედარებით შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის წინასწარი თანხმობით.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 409. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილებების განხორციელებისას დამოუკიდებელია და არ ექვემდებარება არცერთ ორგანოს და თანამდებობის პირს. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსსა და პერსონალურ მონაცემთა დაცვის სამსახურის მოსამსახურეზე რაიმე ზემოქმედება და მათ საქმიანობაში უკანონო ჩარევა აკრძალულია და კანონით ისჯება.

2. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობის უზრუნველყოფის მიზნით სახელმწიფო ვალდებულია შეუქმნას მას საქმიანობის სათანადო პირობები.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლება აქვს, მონაცემთა დამუშავების კანონიერების კონტროლის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობების კონტროლის ფუნქციების შესრულებასთან დაკავშირებით არ მისცეს ჩვენება იმ ფაქტის გამო, რომელიც მას გაანდეს, როგორც პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. ეს უფლება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4010. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი საქართველოს პარლამენტს წელიწადში ერთხელ, არაუგვიანეს 31 მარტისა, წარუდგენს ანგარიშს საქართველოში მონაცემთა დაცვის მდგომარეობის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობების კონტროლის შესახებ.

2. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში უნდა შეიცავდეს ინფორმაციას საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა დაცვის სფეროში განხორციელებული საქმიანობის შესახებ, საქართველოში მონაცემთა დაცვის მდგომარეობასთან დაკავშირებულ ზოგად შეფასებებს, დასკვნებსა და რეკომენდაციებს, ინფორმაციას წლის განმავლობაში გამოვლენილი მნიშვნელოვანი დარღვევებისა და განხორციელებული ღონისძიებების თაობაზე, ზოგად სტატისტიკურ ინფორმაციას ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში განხორციელებული საქმიანობის შესახებ.

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე–138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებებისა და იმავე კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის შედეგების შესახებ ანგარიშს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი წელიწადში ერთხელ წარუდგენს საქართველოს პარლამენტის ბიუროს მიერ საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით განსაზღვრულ პარლამენტის კომიტეტსა და ნდობის ჯგუფს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ განხორციელებული საქმიანობის შესახებ ინფორმაცია, ამ მუხლით დადგენილი შეზღუდვების გათვალისწინებით, მიეწოდება საზოგადოებას პერსონალურ მონაცემთა დაცვის სამსახურის ვებგვერდის მეშვეობით.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.
 

თავი V2. პერსონალურ მონაცემთა დაცვის სამსახურის უფლებამოსილებები მონაცემთა დაცვის სფეროსა და ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4011. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებები

პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საქართველოში მონაცემთა დამუშავების კანონიერების კონტროლს. ამ სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებებია:

ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე კონსულტაციის გაწევა;

ბ) მონაცემთა დაცვასთან დაკავშირებული განცხადებების განხილვა;

გ) მონაცემთა დამუშავების კანონიერების შემოწმება (ინსპექტირება);

დ) საქართველოში მონაცემთა დაცვის მდგომარეობისა და მასთან დაკავშირებული მნიშვნელოვანი მოვლენების შესახებ ინფორმაციის საზოგადოებისთვის მიწოდება და მისი ინფორმირებულობის გაზრდა.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4012. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვა

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია განიხილოს მონაცემთა სუბიექტის განცხადება მონაცემების დამუშავებასთან დაკავშირებით და გამოიყენოს საქართველოს კანონმდებლობით გათვალისწინებული ღონისძიებები.

2. მონაცემთა სუბიექტის განცხადების მიღებიდან 10 დღის ვადაში პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას გამოსაყენებელი ღონისძიებების შესახებ, რის თაობაზედაც აცნობებს განმცხადებელს.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადებასთან დაკავშირებული გარემოებების შესწავლისა და გამოკვლევის მიზნით განახორციელოს შემოწმება. ნებისმიერი მონაცემთა დამმუშავებელი ან/და უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნის შემთხვევაში გადასცეს მას შესაბამისი მასალა, ინფორმაცია ან/და დოკუმენტი.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვის ვადა 2 თვეს არ უნდა აღემატებოდეს. პერსონალურ მონაცემთა დაცვის სამსახურის დასაბუთებული გადაწყვეტილებით მონაცემთა სუბიექტის განცხადების განხილვის ვადა შეიძლება გაგრძელდეს არაუმეტეს 1 თვით.

5​​. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვისას შეაჩეროს შესაბამისი საქმის წარმოება დამატებითი მასალის, ინფორმაციის ან/და დოკუმენტაციის გამოთხოვის საფუძვლით, რის შესახებაც აცნობებს მონაცემთა სუბიექტს. მონაცემთა სუბიექტის განცხადების განხილვა გაგრძელდება ამ საფუძვლის გაუქმებისთანავე. საქმის წარმოების შეჩერების პერიოდი არ ჩაითვლება ამ მუხლის მე-4 პუნქტით გათვალისწინებულ ვადაში.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვის დასრულებამდე მიიღოს გადაწყვეტილება მონაცემთა დაბლოკვის შესახებ. მონაცემთა დაბლოკვის მიუხედავად, ამ მონაცემთა დამუშავება შეიძლება გაგრძელდეს, თუ ეს აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად, აგრეთვე სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისთვის.

7. მონაცემთა სუბიექტის განცხადების განხილვის შემდეგ პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას ამ კანონის 4014 მუხლით გათვალისწინებული ერთ-ერთი ღონისძიების გამოყენების შესახებ, რის თაობაზედაც საქართველოს კანონმდებლობით დადგენილი წესით და დადგენილ ვადაში აცნობებს მონაცემთა სუბიექტს და მონაცემთა დამმუშავებელს ან/და უფლებამოსილ პირს.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4013. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია საკუთარი ინიციატივით ან დაინტერესებული პირის განცხადების საფუძველზე განახორციელოს ნებისმიერი მონაცემთა დამმუშავებლის ან/და უფლებამოსილი პირის შემოწმება. ამ მუხლით გათვალისწინებული შემოწმების განხორციელების შესახებ გადაწყვეტილებას იღებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება გულისხმობს:

ა) მონაცემთა დამუშავების პრინციპების დაცვისა და მონაცემთა დამუშავების კანონიერი საფუძვლების არსებობის დადგენას;

ბ) მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ორგანიზაციული და ტექნიკური ღონისძიებებისა და პროცედურების საქართველოს კანონმდებლობით დადგენილ მოთხოვნებთან შესაბამისობის შემოწმებას;

გ) ფაილური სისტემის კატალოგთან, ფაილურ სისტემათა კატალოგების რეესტრსა და მონაცემთა გაცემის აღრიცხვასთან დაკავშირებით ამ კანონით დადგენილი მოთხოვნების შესრულების შემოწმებას;

დ) მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის კანონიერების შემოწმებას;

ე) მონაცემთა დაცვისთვის ამ კანონით, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონითა და სხვა ნორმატიული აქტებით დადგენილი წესებისა და მოთხოვნების დაცვის შემოწმებას.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განხორციელებისას ნებისმიერი დაწესებულებისგან, ფიზიკური პირისგან ან/და იურიდიული პირისგან გამოითხოვოს დოკუმენტი ან/და ინფორმაცია, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველი ინფორმაცია, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველი მასალა ან/და დოკუმენტაცია ან/და ინფორმაცია, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება და აუცილებელია შემოწმების ამ მუხლის მე-2 პუნქტით დადგენილ ფარგლებში განსახორციელებლად.

4. მონაცემთა დამმუშავებელი ან/და უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურს ნებისმიერი მასალა, ინფორმაცია ან/და დოკუმენტი მიაწოდოს დაუყოვნებლივ, არაუგვიანეს 10 სამუშაო დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ა) ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან ამ დაწესებულებასთან ან ერთეულთან კონსულტაციას;

ბ) მნიშვნელოვანი მოცულობის ინფორმაციის/დოკუმენტის მოძიებასა და დამუშავებას.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა დამმუშავებლის ან/და უფლებამოსილი პირის დასაბუთებული მიმართვის საფუძველზე ამ მუხლის მე-4 პუნქტში აღნიშნული ვადა გააგრძელოს არაუმეტეს 10 სამუშაო დღით.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განსახორციელებლად შევიდეს ნებისმიერ დაწესებულებასა და ორგანიზაციაში და გაეცნოს ნებისმიერ დოკუმენტსა და ინფორმაციას, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველ ინფორმაციას, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველ მასალას ან/და დოკუმენტაციას ან/და ინფორმაციას, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება, მიუხედავად მათი შინაარსისა და შენახვის ფორმისა.

7. შემოწმების შედეგების გათვალისწინებით, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია გამოიყენოს ამ კანონის 4014 მუხლით გათვალისწინებული ღონისძიებები.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი ვალდებულია დაიცვას ნებისმიერი სახის საიდუმლოების შემცველი ინფორმაციის უსაფრთხოება და არ გაამჟღავნოს საიდუმლო ინფორმაცია, რომელიც მისთვის სამსახურებრივი მოვალეობის შესრულების დროს გახდა ცნობილი. ეს ვალდებულება პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4014. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ ღონისძიებების გამოყენება

1. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ამ კანონის ან მონაცემთა დამუშავების მომწესრიგებელი სხვა ნორმატიული აქტის დარღვევას, იგი უფლებამოსილია გამოიყენოს შემდეგ ღონისძიებათაგან ერთ-ერთი ან ერთდროულად რამდენიმე:

ა) მოითხოვოს დარღვევისა და მონაცემთა დამუშავებასთან დაკავშირებული ნაკლოვანებების მის მიერ მითითებული ფორმით და მითითებულ ვადაში გამოსწორება;

ბ) მოითხოვოს მონაცემთა დამუშავების დროებით ან სამუდამოდ შეწყვეტა, თუ მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ღონისძიებები და პროცედურები არ შეესაბამება საქართველოს კანონმდებლობით დადგენილ მოთხოვნებს;

გ) მოითხოვოს მონაცემთა დამუშავების შეწყვეტა, მონაცემთა დაბლოკვა, წაშლა, განადგურება ან დეპერსონალიზაცია, თუ მიიჩნევს, რომ მონაცემთა დამუშავება საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

დ) მოითხოვოს მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის შეწყვეტა, თუ მონაცემთა გადაცემა საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

ე) წერილობით მისცეს რჩევები და გაუწიოს რეკომენდაცია მონაცემთა დამმუშავებელს ან/და უფლებამოსილ პირს მის მიერ მონაცემთა დამუშავებასთან დაკავშირებული წესების უმნიშვნელოდ დარღვევის შემთხვევაში;

ვ) დამრღვევს დააკისროს ადმინისტრაციული პასუხისმგებლობა.

2. მონაცემთა დამმუშავებელი ან/და უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მითითებულ ვადაში შეასრულოს მისი მოთხოვნები და მათი შესრულების შესახებ აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს.

3. თუ მონაცემთა დამმუშავებელი ან/და უფლებამოსილი პირი არ შეასრულებს პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნებს, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მიმართოს სასამართლოს, სამართალდამცავ ორგანოს ან/და შესაბამისი სფეროს საქართველოს კანონმდებლობით განსაზღვრულ ზედამხედველ (მარეგულირებელ) სახელმწიფო დაწესებულებას.

4. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ადმინისტრაციულ სამართალდარღვევას, იგი უფლებამოსილია შეადგინოს ადმინისტრაციული სამართალდარღვევის ოქმი და, შესაბამისად, მონაცემთა დამმუშავებელს ან/და უფლებამოსილ პირს დააკისროს ადმინისტრაციული პასუხისმგებლობა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონითა და საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას მიიჩნევს, რომ არსებობს დანაშაულის ნიშნები, იგი ვალდებულია ამის შესახებ კანონით დადგენილი წესით აცნობოს უფლებამოსილ სახელმწიფო ორგანოს.

6. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილების შესრულება სავალდებულოა და იგი კანონით დადგენილი წესით შეიძლება გასაჩივრდეს მხოლოდ სასამართლოში.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 4015. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ კონსულტაციის გაწევა და საგანმანათლებლო საქმიანობის განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია შესაბამისი თხოვნის არსებობის შემთხვევაში კონსულტაცია გაუწიოს სახელმწიფო ხელისუფლების ორგანოებს, მუნიციპალიტეტის ორგანოებს, სხვა საჯარო დაწესებულებებს, კერძო სამართლის იურიდიულ პირებსა და ფიზიკურ პირებს მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე.

2. პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საგანმანათლებლო საქმიანობას მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ საკითხებზე.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4016. ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობების კონტროლი

1. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების – სატელეფონო კომუნიკაციის ფარული მიყურადებისა და ჩაწერის − ჩატარების დროს პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს:

ა) კონტროლის ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

ბ) კონტროლის სპეციალური ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

გ) მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერებას (ინსპექტირება).

2. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე−138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს სასამართლოს, პროკურატურისა და ელექტრონული საკომუნიკაციო მომსახურების მიმწოდებლის მიერ მიწოდებული ინფორმაციის შედარებით და მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ბ“, „დ“ და „ვ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

4​​. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ე“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით), ამ კანონით დადგენილი წესით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელებისას ფარული საგამოძიებო მოქმედების ჩატარებაში მონაწილე პირის (გარდა მონაცემთა სუბიექტისა, გამომძიებლისა და პროკურორისა) ვინაობის შესახებ ინფორმაციის გამოთხოვა და მისი შემოწმების (ინსპექტირების) განხორციელების პროცესში მონაწილეობა, აგრეთვე ამ პუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების დროს გამოყენებული ოპერატიული და ოპერატიულ-ტექნიკური აღჭურვილობის მახასიათებლების შესახებ ინფორმაციის გამოთხოვა შესაძლებელია მხოლოდ ფარული საგამოძიებო მოქმედების ჩამტარებელი ორგანოს ხელმძღვანელის თანხმობით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელება არ მოიცავს ფარული საგამოძიებო მოქმედების მომზადების/ჩატარების პროცესში უშუალო მონაწილეობას და შენიღბული საცხოვრებელი ან სამსახურებრივი ან სხვა შენიღბული ობიექტისა და შენობა-ნაგებობის ადგილზე შემოწმებას.

5. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „გ“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარებას, აგრეთვე „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-3 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებული ღონისძიების განხორციელებას პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემით და მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

6. ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებულ აქტივობებს პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემით და მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

7. სააგენტოს შემოწმების (ინსპექტირების) განხორციელებისას პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია:

ა) შევიდეს სააგენტოს შეზღუდული დაშვების არეალში და მიმდინარე რეჟიმში დააკვირდეს უფლებამოსილი ორგანოების მიერ საქმიანობის განხორციელებას;

ბ) გაეცნოს სააგენტოს საქმიანობის მომწესრიგებელ (მათ შორის, სახელმწიფო საიდუმლოების შემცველ) სამართლებრივ დოკუმენტებსა და ტექნიკურ ინსტრუქციებს;

გ) მიიღოს ინფორმაცია ფარული საგამოძიებო მოქმედებების მიზნებისთვის გამოყენებული ტექნიკური ინფრასტრუქტურის შესახებ და შეამოწმოს ეს ინფრასტრუქტურა;

დ) სააგენტოს მოსამსახურეებს მოსთხოვოს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით;

ე) განახორციელოს ამ კანონით გათვალისწინებული სხვა უფლებამოსილებები.

8. სააგენტოს მოსამსახურე ვალდებულია ითანამშრომლოს პერსონალურ მონაცემთა დაცვის სამსახურთან − პერსონალურ მონაცემთა დაცვის სამსახურს სრულად მიაწოდოს მოთხოვნილი ინფორმაცია და დოკუმენტები, აგრეთვე მისცეს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.
 

თავი V3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი და სოციალური დაცვა, პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4017. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი სამსახურებრივი მოვალეობის შესრულებისას სახელმწიფო ხელისუფლების წარმომადგენელია და მას სახელმწიფო იცავს. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის კანონიერი მოთხოვნის შესრულება ყველასთვის სავალდებულოა.

2. არავის არა აქვს უფლება, ჩაერიოს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამსახურებრივ საქმიანობაში, გარდა კანონით გათვალისწინებული შემთხვევებისა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის მიერ სამსახურებრივი მოვალეობის შესრულებისას მისთვის ხელის შეშლა, მისი პატივისა და ღირსების შელახვა, მისთვის წინააღმდეგობის გაწევა, მის მიმართ მუქარა, ძალადობა ან მისი სიცოცხლის, ჯანმრთელობის ან ქონების ხელყოფა იწვევს საქართველოს კანონმდებლობით დადგენილ პასუხისმგებლობას. სამსახურებრივი უფლებამოსილებების განხორციელებასთან დაკავშირებით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილის ან მოადგილის, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის ან მისი ოჯახის წევრის სიცოცხლის, ჯანმრთელობისა და ქონების ხელყოფის შესახებ ინფორმაციის მიღების შემთხვევაში სახელმწიფო ორგანოები ვალდებული არიან განახორციელონ კანონით გათვალისწინებული ღონისძიებები მისი/მათი პირადი და ქონებრივი უსაფრთხოების დასაცავად.

4. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა უარი უნდა თქვას აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, თუ მან იცოდა ან უნდა სცოდნოდა მისი უკანონობის შესახებ, და უნდა იმოქმედოს კანონის ფარგლებში.

5. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა აშკარად უკანონო ბრძანების ან განკარგულების მიღების შემთხვევაში ამის შესახებ უნდა აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს.

6. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს, რომელიც უარს ამბობს აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, პასუხისმგებლობა არ დაეკისრება.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლისთვის აშკარად უკანონო ბრძანების ან განკარგულების მიმცემ პირს დაეკისრება პასუხისმგებლობა კანონით დადგენილი წესით.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლება აქვს, თავისი უფლებებისა და თავისუფლებების დასაცავად მიმართოს სასამართლოს.

9. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს მისი სამსახურებრივი უფლებამოსილების დასადასტურებლად ეძლევა პირადობის მოწმობა ან/და სპეციალური ჟეტონი, რომლის ფორმასა და გაცემის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 4018. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომლის სოციალური დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომლის სოციალურ დაცვას სახელმწიფო უზრუნველყოფს.

2. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომელზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონით გათვალისწინებული მოხელის სოციალური დაცვის გარანტიები (მათ შორის, სამსახურებრივი მოვალეობის შესრულებასთან დაკავშირებით სხეულის დაზიანებასთან ან დაღუპვასთან დაკავშირებული სოციალური დაცვის გარანტიები).

3. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომელი იღებს:

ა) ამ მუხლის მე-5 პუნქტით დადგენილი წესით განსაზღვრულ თანამდებობრივ სარგოს;

ბ) ამ მუხლის მე-5 პუნქტისა და „საჯარო დაწესებულებაში შრომის ანაზღაურების შესახებ“ საქართველოს კანონის შესაბამისად დადგენილ სახელფასო დანამატსა და ფულად ჯილდოს;

გ) სპეციალური წოდების შესაბამის წოდებრივ სარგოს;

დ) წელთა ნამსახურობის დანამატს;

ე) საქართველოს კანონმდებლობით გათვალისწინებულ სხვა დანამატებსა და კომპენსაციებს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომელს, რომელიც გათავისუფლდა სამსახურიდან ზღვრული ასაკის მიღწევის ან შეზღუდული შესაძლებლობის მქონე პირად აღიარების გამო, უფლება აქვს, საქართველოს კანონმდებლობის თანახმად, მიიღოს შესაბამისი სახელმწიფო კომპენსაცია ან სახელმწიფო პენსია.

5. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომლის შრომის ანაზღაურების წესი და ოდენობა, წოდებრივი სარგოსა და წელთა ნამსახურობის დანამატის ოდენობები, აგრეთვე საქართველოს კანონმდებლობით გათვალისწინებული სხვა დანამატებისა და კომპენსაციების ოდენობები განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებითა და საქართველოს სხვა საკანონმდებლო და კანონქვემდებარე ნორმატიული აქტებით.

6. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომელი ექვემდებარება სავალდებულო სახელმწიფო დაზღვევას. პერსონალურ მონაცემთა დაცვის სამსახურის სპეციალური წოდების მქონე თანამშრომლის ოჯახის წევრთა სახელმწიფო დაზღვევასთან დაკავშირებულ საკითხებს (მათ შორის, ოჯახის წევრთა წრეს) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სპეციალური წოდებები განისაზღვრება „სახელმწიფო სპეციალური წოდებების შესახებ“ საქართველოს კანონით.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

     მუხლი 4019. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შერჩევა, თანამდებობაზე დანიშვნა და უფლებამოსილებანი

1. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი (გარდა ამ მუხლის მე-2 პუნქტით გათვალისწინებული შემთხვევისა) თანამდებობაზე ინიშნება კონკურსის საფუძველზე, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების წესი და პირობები, აგრეთვე დასანიშნი პირის საკვალიფიკაციო მოთხოვნები (ძირითადი მოთხოვნები, რომლებიც არ უნდა იყოს „საჯარო სამსახურის შესახებ“ საქართველოს კანონის 27-ე მუხლით დადგენილ ძირითად მოთხოვნებზე ნაკლები, სპეციალური მოთხოვნები და დამატებითი მოთხოვნები) განისაზღვრება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების მიზნით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ქმნის საკონკურსო კომისიას და ადგენს მისი საქმიანობის წესს.

2. დასაშვებია პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის უკონკურსოდ „საჯარო სამსახურის შესახებ“ საქართველოს კანონით განსაზღვრული მობილობით გადაყვანა ან ჰორიზონტალური გადაყვანა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელზე ვრცელდება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით გათვალისწინებული უფლებამოსილებები და მოვალეობები. 

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

 

თავი VI.  მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა

    მუხლი 41. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა

1. მონაცემთა სხვა სახელმწიფო სა და საერთაშორისო ორგანიზაციისათვის გადაცემა შეიძლება იმ შემთხვევაში, თუ არსებობს ამ კანონით გათვალისწინებული მონაცემთა დამუშავების საფუძვლები და თუ შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები.

2. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა, გარდა ამ მუხლის პირველი პუნქტისა, შეიძლება აგრეთვე იმ შემთხვევაში, თუ:

ა) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს საერთაშორისო ხელშეკრულებით და შეთანხმებით;

ბ) მონაცემთა დამმუშავებელი უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს და მონაცემთა სუბიექტის ძირითადი უფლებების დაცვას მონაცემთა დამმუშავებელსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს იურიდიულ ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულების საფუძველზე.

3. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემა შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის მიღების შემდეგ. 

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 42. მონაცემთა დაცვის სათანადო გარანტიების დადგენა

სხვა სახელმწიფოში ან/და საერთაშორისო ორგანიზაციაში მონაცემთა დაცვის სათანადო გარანტიების არსებობას აფასებს და გადაწყვეტილებას იღებს პერსონალურ მონაცემთა დაცვის სამსახური მონაცემთა დამუშავების მომწესრიგებელი კანონმდებლობისა და პრაქტიკის ანალიზის საფუძველზე. 

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

 

თავი VII. ადმინისტრაციული პასუხისმგებლობა ამ კანონის დარღვევისათვის

    მუხლი 43. მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

1. მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით .

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

    მუხლი 44. მონაცემთა დამუშავების პრინციპების დარღვევა

1. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების პრინციპების დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით .

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

    მუხლი 45. განსაკუთრებული კატეგორიის მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

1. განსაკუთრებული კატეგორიის მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

გამოიწვევს დაჯარიმებას 1 000 ლარის ოდენობით .

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 5 000 ლარის ოდენობით .

    მუხლი 46. მონაცემთა უსაფრთხოების დაცვის მოთხოვნების შეუსრულებლობა

1. მონაცემთა უსაფრთხოების დაცვისათვის ამ კანონით დადგენილი მოთხოვნების შეუსრულებლობა

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით .

    მუხლი 47. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენება წესების დარღვევით

1. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენება ამ კანონით დადგენილი წესების დარღვევით –

გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით .

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით .

    მუხლი 48. ვიდეოთვალთვალის წესების დარღვევა

1. ამ კანონით დადგენილი ვიდეოთვალთვალის წესების დარღვევა

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

    მუხლი 49. საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გამოსვლის შესახებ მონაცემთა დამუშავების წესების დარღვევა

საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გამოსვლის შესახებ მონაცემთა დამუშავების ამ კანონით დადგენილი წესების დარღვევა

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 100 ლარის ოდენობით.

    მუხლი 50. მონაცემთა დამმუშავებლის მიერ მონაცემთა სუბიექტის ინფორმირების წესების დარღვევა

1. მონაცემთა დამმუშავებლის მიერ მონაცემთა სუბიექტის ინფორმირების ამ კანონით დადგენილი წესებ ის დარღვევა

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 100 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით .

    მუხლი 51. მონაცემთა დამმუშავებლის მიერ მონაცემთა დამუშავების უფლებამოსილი პირისათვის დავალება წესების დარღვევით

1. მონაცემთა დამმუშავებლის მიერ მონაცემთა დამუშავების უფლებამოსილი პირისათვის დავალება ამ კანონით დადგენილი წესების დარღვევით

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინე ული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით .

    მუხლი 52. უფლებამოსილი პირის მიერ ამ კანონის მე-16 მუხლით გათვალისწინებული წესების დარღვევა

1. უფლებამოსილი პირის მიერ ამ კანონის მე-16 მუხლით გათვალისწინებული წესების დარღვევა −

გამოიწვევს დაჯარიმებას 1000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით.

     მუხლი 521. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის წესის დარღვევა

1. მონაცემთა ამ კანონის 41-ე მუხლით დადგენილი წესის დარღვევით  გადაცემა −

გამოიწვევს დაჯარიმებას 1000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის, –

  გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

      მუხლი 53. პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნის შეუსრულებლობა 

1. მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინფორმაციისა და დოკუმენტის წარდგენის წესის დარღვევა, მათ შორის, ამ კანონის მე-10 მუხლით განსაზღვრული ინფორმაციის მიუწოდებლობა და მე-20 მუხლით გათვალისწინებული შეტყობინების ვალდებულების შეუსრულებლობა, −

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის,

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.
საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

    მუხლი 54. მონაცემთა დამუშავებასთან დაკავშირებული სხვა წესების დარღვევა

1. ამ კანონის მე-3 მუხლის 1პუნქტით დადგენილი წესის დარღვევა −

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის, –

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.

     მუხლი 55. ადმინისტრაციული სამართალდარღვევის საქმის განხილვა

1. ამ კანონის 43-ე−54-ე მუხლებით გათვალისწინებულ ადმინისტრაციულ სამართალდარღვევათა საქმეების განხილვისა და ადმინისტრაციული სახდელების დადების უფლება აქვს პერსონალურ მონაცემთა დაცვის სამსახურს.

2. ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საამისოდ უფლებამოსილი პირი.

3. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ უფლებამოსილი პირი ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს და ადმინისტრაციული სამართალდარღვევის საქმეს განიხილავს ამ კანონით, საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებით დადგენილი წესით. 

საქართველოს 2018 წლის 21 ივლისის კანონი №3274 – ვებგვერდი, 09.08.2018წ.
საქართველოს 2018 წლის 27 დეკემბრის კანონი №4253 – ვებგვერდი, 29.12.2018წ.
საქართველოს 2019 წლის 8 მაისის კანონი №4597 - ვებგვერდი, 08.05.2019წ.
საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

თავი VII1. გარდამავალი დებულებები

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

   მუხლი 551. გარდამავალი დებულებები 

საქართველოს შინაგან საქმეთა სამინისტრომ 2015 წლის 31 მარტამდე უზრუნველყოს კონტროლის ელექტრონული სისტემის და მონაცემთა ბანკების კონტროლის სპეციალური ელექტრონული სისტემის ფუნქციონირებისათვის აუცილებელი ტექნიკურ-ორგანიზაციული ღონისძიებების განხორციელება და შესაბამისი პროგრამული უზრუნველყოფის საშუალების შექმნა.

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

     მუხლი 552. გარდამავალ პერიოდში განსახორციელებელი ღონისძიებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველად არჩევამდე პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის კანდიდატურები შეირჩეს და საქართველოს პარლამენტს ასარჩევად წარედგინოს ამ კანონის 403 მუხლის შესაბამისად, შემდეგი ვადების დაცვით:

ა) საქართველოს პრემიერ-მინისტრმა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი კონკურსი გამოაცხადოს და ამ კანონის 403 მუხლის მე-2 პუნქტით განსაზღვრულმა უწყებებმა და დაწესებულებებმა საქართველოს პრემიერ-მინისტრს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის წევრთა ვინაობა გააცნონ ამ მუხლის ამოქმედებიდან 1 კვირის ვადაში;

ბ) საქართველოს პრემიერ-მინისტრმა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისია შექმნას და  საკონკურსო კომისიის პირველი სხდომა მოიწვიოს ამ მუხლის ამოქმედებიდან 2 კვირის ვადაში;

გ) ამ კანონის 403 მუხლის მე-6 პუნქტის შესაბამისად ხელახალი კონკურსის გამოცხადების შემთხვევაში ამ პუნქტის „ა“ და „ბ“ ქვეპუნქტებით დადგენილმა ვადებმა შეინარჩუნოს მოქმედება და ისინი ხელახალი კონკურსის გამოცხადების მომენტიდან აითვალოს.

2. თუ საქართველოს პარლამენტი მისთვის ამ მუხლის პირველი პუნქტისა და ამ კანონის 403 მუხლის შესაბამისად წარდგენილ კანდიდატთაგან პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს 2022 წლის 1 მარტამდე აირჩევს, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება დაიწყოს 2022 წლის 1 მარტიდან. თუ საქართველოს პარლამენტი აღნიშნულ კანდიდატთაგან პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს 2022 წლის 1 მარტის შემდეგ აირჩევს, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება დაიწყოს მისი არჩევის მომდევნო დღიდან.

3. შესაბამისმა ორგანოებმა/თანამდებობის პირებმა დაუყოვნებლივ, მაგრამ არაუგვიანეს 2022 წლის 1 აპრილისა, მიიღონ/გამოსცენ ამ კანონის შესასრულებლად საჭირო კანონქვემდებარე ნორმატიული აქტები.

4. საქართველოს მთავრობამ 2022 წლის 1 აპრილამდე უზრუნველყოს პერსონალურ მონაცემთა დაცვის სამსახურის სათანადო ქონებით აღჭურვისთვის საჭირო ღონისძიებების განხორციელება.

5. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობა 2022 წელს ფინანსდება „საქართველოს 2022 წლის სახელმწიფო ბიუჯეტის შესახებ“ საქართველოს კანონით სახელმწიფო ინსპექტორის სამსახურისთვის დამტკიცებული პროგრამული კოდიდან (51 00).

6. ამ კანონის 4010 მუხლით გათვალისწინებული პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში საქართველოს პარლამენტს 2022 წელს არ წარედგინება.

საქართველოს 2021 წლის 30 დეკემბრის კანონი №1313 – ვებგვერდი, 13.01.2022წ.

 

თავი VIII. დასკვნითი დებულებები

    მუხლი 56. კანონის ამოქმედება

1. ეს კანონი , გარდა ამ კანონის 43-ე−55-ე მუხლებისა , ამოქმედდეს 2012 წლის 1 მაისიდან.

2. ამ კანონის 43-ე−55-ე მუხლები ამოქმედდეს 2013 წლის 1 იანვრიდან.

3. ამ კანონის 34-ე, 35-ე და 39-ე მუხლები კერძო სექტორის მიმართ ამოქმედდეს 2014 წლის 1 ნოემბრიდან.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.

საქართველოს პრეზიდენტი მ . სააკაშვილი

თბილისი,

2011 წლის 28 დეკემბერი.

№5669-რს

 

LAW OF GEORGIA

ON PERSONAL DATA PROTECTION

 

Chapter I – General Provisions

Article 1 – Purpose of this Law

This Law is intended to ensure protection of human rights and freedoms, including the right to privacy, in the course of personal data processing.                  

Article 2 – Definition of terms

The terms used in this Law have the following meanings:

a) personal data (‘the data’) – any information connected to an identified or identifiable natural person. A person shall be identifiable when he/she may be identified directly or indirectly, in particular by an identification number or by any physical, physiological, psychological, economic, cultural or social features specific to this person;

b) special categories of data – data connected to a person’s racial or ethnic origin, political views, religious or philosophical beliefs, membership of professional organisations, state of health, sexual life, criminal history, administrative detention, putting a person under restraint, plea bargains, abatement, recognition as a victim of crime or as a person affected, also biometric and genetic data that allow to identify a natural person by the above features;

c) biometric data – any physical, mental or behavioural feature which is unique and constant for each natural person and which can be used to identify this person (fingerprints, foot prints, iris, retina (retinal image), facial features);

c1) genetic datum – a unique and constant datum of a data subject on genetic inheritance and/or DNA code that makes it possible to identify this person;

d) data processing – any operation performed in relation to the data by automated, semi-automatic or non-automatic means, in particular collection, recording, photographing, audio recording, video recording, organisation, storage, alteration, restoration, request for access to, use or disclosure by way of data transmission, dissemination or otherwise making them available, grouping or combination, locking, deletion, or destruction;

e) automated data processing – data processing by means of information technologies;

e1) semi-automatic data processing – data processing by means of information technologies and non-automatic means;

f) data subject – any natural person whose data is being processed;

g) consent – a voluntary consent of a data subject, after receipt of the respective information, on his/her personal data processing for specific purposes expressed orally, through telecommunication or other appropriate means, which enables clearly establishing the will of the data subject;

h) written consent of the data subject – a voluntary consent expressed by a data subject, after receipt of the respective information on his/her personal data processing for specific purposes, which was signed or otherwise acknowledged by the data subject in writing or in any other equivalent form;

i) data controller – a public agency, a natural or legal person who individually or in collaboration with others determines purposes and means of personal data processing and who, directly or through a data processor, processes personal data;

j) data processor – any natural or legal person who processes personal data for or on behalf of the data controller;

k) data recipient – a private or public agency, a natural or legal person, an employee of the private or public sector to whom the data were transferred, except for the Personal Data Protection Service;

l) third party – any natural or legal person, a public agency, except for a data subject, the Personal Data Protection Service, a data processor, and a data processor;

m) filing system – a structured set of data where they are arranged and available according to specific criteria;

n) filing system catalogue – a detailed description of structure and contents of the filing system;

o) registry of filing system catalogues – a registry providing a detailed record of the existing filing systems;

p) blocking of data – temporary suspension of data processing;

q) data depersonalisation – data modification in a way to make it impossible to link the data to the data subject or to require disproportionately great effort, expense and time to establish such a link;

r) identification number – a personal identification number or any other identification number defined by law, which is connected to a natural person and may be used to retrieve data from the filing system (where the identification number is also processed) or to disclose them;

s) Head of the Personal Data Protection Service – the Head of the Personal Data Protection Service, who is elected to the position in accordance with this Law and the Rules of Procedure of the Parliament of Georgia and exercises the powers provided for by this Law and/or other legislative act;

t) direct marketing – offering goods, services, employment or temporary jobs by mail, telephone calls, e-mail or other means of telecommunication;

t1) covert investigative action – an investigative action provided for by Article 1431(1) of the Criminal Procedure Code of Georgia;

t2) the legal entity under public law called Operative-Technical Agency of Georgia (the Agency) - a body with exclusive authority to conduct covert investigative activities provided for by Article 1431(1) (a-d) of the Criminal Procedure Code of Georgia;

t3) electronic control system - the system provided for by Article 2 (i) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;

t4) the electronic system of monitoring of the electronic data identification central bank - the system provided for by Article 2 (k) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;

t5) special electronic system for monitoring the identification of geolocation in real time - the system provided for by Article 2 (n) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;

t6) special electronic control system - the system provided for by Article 2 (j) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;

u) (deleted);

v) (deleted);

w) (deleted);

x) (deleted);

y) (deleted);

z) (deleted);

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 3300 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

Article 3 – Scope of the Law

1. This Law shall apply to the processing of data through automatic or semi-automatic means, and to the processing of data through non-automatic means within the territory of Georgia, which data form part of the filing system or are intended to form part of the filing system. This Law shall also apply to automatic processing of data defined as a state secret for the crime prevention and investigation, operational-investigative activities and protection of the rule of law, except as provided in this article.

11. Non-automatic data processing shall be inadmissible if it is intended to avoid performance of the requirements of this Law.

2. This Law shall also apply to:

a) data processing by diplomatic representations and consular offices of Georgia abroad;

b) activities of a data processor who is not registered in the territory of Georgia but employs technical means existing in Georgia for data processing, except when these technical means are used only for data transfer. In this case, the data controller must appoint/designate a registered representative in Georgia.

3. This Law shall not apply to:

a) data processing by a natural person clearly for personal purposes when the data processing is not related to his/her entrepreneurial or professional activity;

b) data processing for court proceedings as far as it may prejudice the proceedings before the final decision of the court;

c) processing of the data defined as a state secret for the purposes of state security (including economic security), defence, intelligence and counter-intelligence activities;

d) processing of information defined as a state secret (except for the data specified in paragraph 1 of this article).

4. This Law (except for Article 17) shall not apply to processing of data by media for public information, also to processing of data in the fields of art and literature.

5. Articles 19 and 20 of this Law shall not apply to processing of data by political parties, professional and other unions, and religious organisations with respect to their members.

6. Article 6 of this Law shall not apply to data processing for public safety, operational and investigative activities and criminal investigations if the issue is directly and specifically regulated under the Criminal Procedure Code of Georgia or the Law of Georgia on Operational and Investigative Activities or other special laws.

7. Article 6 of this Law shall not apply to data processing for the national population census under the Law of Georgia on Official Statistics.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 31 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

Article 4 – Principles of data processing

The following principles must be observed during data processing:

a) data must be processed fairly and lawfully, without impinging on the dignity of a data subject;

b) data may be processed only for specific, clearly defined and legitimate purposes. Further processing of data for purposes that are incompatible with the original purpose shall be inadmissible;

c) data may be processed only to the extent necessary to achieve the respective legitimate purpose. The data must be adequate and proportionate to the purpose for which they are processed;

d) data must be valid and accurate, and must be updated, if necessary. Data that are collected without legal grounds and irrelevant to the processing purpose must be blocked, deleted or destroyed;

e) data may be kept only for the period necessary to achieve the purpose of data processing. After the purpose of data processing is achieved, the data must be locked, deleted or destroyed, or stored in a form that excludes identification of a person, unless otherwise determined by Law.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

          Chapter II – Rules for Data Processing                  

Article 5 – Grounds for data processing

Data processing shall be admissible if:

a) there is a data subject’s consent;

b) data processing is provided for by Law;

c) data processing is necessary for a data controller to perform his/her statutory duties;

d) data processing is necessary to protect vital interests of a data subject;

e) data processing is necessary to protect legitimate interests of a data controller or a third person, except when there is a prevalent interest to protect the rights and freedoms of the data subject;

f) according to the Law, data are publicly available or a data subject has made them publicly available;

g) data processing is necessary to protect a significant public interest under the Law;

h) data processing is necessary to deal with the application of a data subject (to provide services to him/her).

(The normative content of the Article 5 which excludes the provision of the full text of the judicial acts in the form of public information which were adopted at the open court hearing shall be declared invalid from 1 May 2020)

Decision of the Constitutional Court No 1/4/693,857 of 7 June 2019 – website, 12.6.2019

                  

Article 6 – Processing of special category data

1. Special category data processing shall be prohibited.

2. Processing of data under paragraph 1 of this article shall be possible with written consent of a data subject or when:

a) processing of the data related to previous convictions and state of health is necessary for labour obligations and labour relations, including making a decision regarding employment;

b) data processing is necessary to protect the vital interests of a data subject or a third person and when the data subject is physically or legally unable to give his/her consent to data processing;

c) the data are processed for public health protection, health care or protection of health of a natural person by an institution (employee), and if it is necessary to manage or operate the health care system;

d) a data subject has made his/her data publicly available without an explicit prohibition of their use;

e) data are processed by a political, philosophical, religious or professional union or a non-commercial organisation when implementing legitimate activities; In this case, the data processing may only be connected with the members of this union/organisation or persons who have regular contacts with this union/organisation;

f) data are processed to consider the issues related to the maintenance of personal files and registers of the accused/convicted persons; to the individual planning for a convicted person to serve his/her sentence, and/or the release of a convicted person on parole and the change of an unserved term of his/her sentence with a lighter punishment;

g) data are processed for the purpose of enforcing legal acts under Article 2 of the Law of Georgia on Crime Prevention, Enforcement Procedure of Non-custodial Sentences and Probation;

g1) data are processed for the purpose of resocialisation and rehabilitation of convicts and ex-prisoners, for the realisation of crime prevention measures and for coordination of the process of referral;

h) data are processed in the cases directly provided for by the Law of Georgia on International Protection;

i) data are processed for the functioning of the integrated analytical system of migration data;

j) data are processed for the purpose of the realisation of the right of the education of the persons with special educational needs.

k) data are processed for the purpose of the review of the issue provided for by Article 11(2) of the Law of Georgia on Violence against Women and/or Elimination of Domestic Violence, Protection and Support of Victims of Violence.

3. When data are processed under paragraph 2 of this article, it shall be prohibited to make the data publicly available and to disclose the data to a third party without the consent of the data subject.

(The normative content of the Article 6(1) and (3) which excludes the provision of the full text of the judicial acts in the form of public information which were adopted at the open court hearing shall be declared invalid from 1 May 2020)

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3534 of 1 May 2015 – website, 18.5.2015

Law of Georgia No 5017 of 27 April 2016 – website, 13.5.2016

Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016

Law of Georgia No 669 of 21 April 2017 – website, 3.5.2017

Law of Georgia No 3451 of 20 September 2018 – website, 9.10.2018

Decision of the Constitutional Court No 1/4/693,857 of 7 June 2019 – website, 12.6.2019

Law of Georgia No 5031 of 20 September 2019 – website, 1.10.2019

Law of Georgia No 5403 of 29 November 2019 – website, 10.12.2019

         

Article 7 – Protection of personal data of a deceased person

1. After a data subject dies, processing of his/her data, except for the grounds specified in Articles 5 and 6 of this Law, shall be permissible with the consent of a parent, child, grandchild or spouse of the data subject, or when 30 years have passed since the death of the data subject.

2. Data processing of a data subject after his/her death shall also be permissible if it is necessary to realise inheritance rights.

3. Data processing under the grounds defined in paragraphs 1 and 2 of this article shall be inadmissible if a data subject, before he/she died, had prohibited in writing having his/her data processed after death, except when data are processed on the grounds specified in Articles 5 and 6 of this Law.

4. To process the name, gender or birth and death dates of a deceased person, existence of grounds under this Law for data processing shall not be necessary.

5. The data of a deceased person may be disclosed for historical, statistical and research purposes, except when the deceased person had prohibited in writing disclosure of his/her data.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

                  

Article 8 – Data processing for direct marketing purposes

1. Data obtained from publicly available sources may be processed for direct marketing purposes.

2. Regardless of the purpose of data collection, the following data may be processed for direct marketing purposes: name (names), address, telephone number, e-mail address, fax number.

3. Any data may be processed for direct marketing purposes on the basis of a written consent given by a data subject as determined by this Law.

4. A data subject shall have the right to require at any time that a data controller stop to use of his/her data for direct marketing purposes.

5. A data processor shall be obliged to stop data processing for direct marketing purposes and/or ensure that a data processor stop data processing for direct marketing purposes not later than 10 working days after the request of a data subject is received.

6. When data are processed for direct marketing purposes a data controller shall be obliged to notify a data subject of the right under paragraph 4 of this article and to ensure the possibility to stop data processing for direct marketing purposes in the same form as the direct marketing is conducted, and/or to determine the available and adequate means to require discontinuation of data processing for direct marketing purposes.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

                  

Article 9 – Biometric data processing by public agencies

1. A public agency may process biometric data only for human security and property protection purposes, also to prevent disclosure of secret information if these goals may not be reached by other means or require disproportionately great efforts.

2. Regardless of the conditions under paragraph 1 of this article, biometric data may be processed to issue an identity document under procedures established by Law, or to identify a person crossing the state border, as well as in other cases directly provided for by a legislative act of Georgia.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016

         

Article 10 – Biometric data processing by legal entities under private law and natural persons

A legal entity under private law and a natural person may only process biometric data if it is necessary to perform activities, provide human safety and property protection, also to prevent disclosure of secret information, if these goals may not be reached by other means or require unjustifiably great efforts. Unless otherwise determined by law, before using biometric data, a data processor shall provide the Personal Data Protection Service with the same information that is provided to the data subject, in particular on the purpose of data processing and the security measures taken to protect the data.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 11 – Video surveillance in the streets and public transport

1. Video surveillance in streets (including in parks, public gardens, near playgrounds, public transport stops and other public gathering places) and in public transport shall only be permissible to prevent crime, also for human safety reasons, protection of property and public order, or to prevent minors from harmful influence.

2. If a video surveillance system is installed, public and private institutions shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject has been informed about the processing of his/her data.

3. The video surveillance system and video recordings must be protected from unlawful trespass and use.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

         

Article 12 – Video surveillance of buildings of public and private institutions

1. For monitoring purposes, public and private institutions may implement video surveillance of their buildings if it is necessary for human security and property protection, and also to prevent minors from harmful influences, protect secret information and for examination/testing purposes.

2. A video surveillance system may only be used to monitor outside perimeters and entrances of buildings. A data processor shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject is informed about processing of his/her data.

3. A video surveillance system may be installed at a workplace only in exceptional cases if it is necessary for human security and property protection, for the protection of secret information and for examination/testing purposes, and if these goals may not be reached by other means.

4. Video surveillance shall be inadmissible in cloak rooms and hygiene facilities.

5. When using a video surveillance system at the workplace under paragraph 3 of this article, all persons working in their respective private or public institutions must be informed in writing about the video surveillance and their rights.

6. A data processor shall be obliged to create a filing system to store video recordings. In addition to the recordings (images/voice), the system must include information about the date, place and time of data processing.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 4145 of 26 December 2018 – website, 10.1.2019

                  

Article 13 – Video surveillance of residential buildings

1. To install a video surveillance system within a residential building, a written consent of more than a half of the building owners shall be necessary. Residents of the building must be notified of the video surveillance system installation.

2. Installation of a video surveillance system within residential buildings shall only be permissible for human security and property protection.

3. A video surveillance system installed within a residential building may only monitor the entrance and common spaces. Monitoring of owners’ apartments shall not be allowed.

4. Monitoring of the hallway of an apartment by a video surveillance system shall be allowed only by the apartment owner's decision or based on his/her written consent.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

                  

Article 14 – Data processing for registration of entry into and exit from buildings of public and private institutions

1. Public and private institutions may collect the following data for registration of entry into and exit from buildings: name, number and type of the identity document, address, date and time of entry and exit, and reasons for entry into and exit from the building.

2. The storage period for the data under paragraph 1 of this article must not exceed three years after they were recorded unless otherwise provided by law. The data must be deleted or destroyed after three years.

         

Chapter III – Rights and Obligations of Data Controllers and Data Processors

         

Article 15 – Provision of data subjects with data

1. If data are collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the following information:

a) identities and registered addresses of the data controller and the data processor (if applicable);

b) purpose of data processing;

c) whether provision of data is mandatory or voluntary; if mandatory – the legal consequences of refusal to submit them;

d) the right of the data subject to obtain information on his/her personal data processed, request their correction, updating, addition, blocking, deletion and destruction.

2. Provision of the information mentioned in paragraph 1 of this article shall not be mandatory if the data subject already has it.

3. If the data are not collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the information in paragraph 1 of this article upon request.

4. When collecting data for statistic, scientific and historic purposes, provision of information shall not be mandatory if this requires disproportionately great efforts.

                  

Article 16 – Processing of data by data processors

1. A data processor may process data on the basis of a legal act or a written contract concluded with a data controller, which must comply with the requirements established by this Law and other normative acts and must take account of the rules and restrictions established by this Law.

2. A data processor must process data within the scope determined by a respective normative act or an agreement. Any further data processing by a data processor for any other purposes shall be inadmissible. A data processor may not transfer the right to process data to any other person without the consent of a data controller.

3. Conclusion of an agreement for data processing shall be inadmissible if, due to the activities and/or aims of a data processor, there is a risk of inappropriate data processing.

4. A data controller must be assured that a data processor applies appropriate organisational and technical measures to protect data. It shall be obliged to monitor data processing by a data processor.

5. In case of a dispute between a data processor and a data controller, the data processor shall be obliged to transfer all available data to the data controller upon request.

6. In the case of cancellation by a data processor of the grounds mentioned in paragraph 1 of this article or termination of activities, the data processing must be stopped and the data that were processed before cancellation of these grounds or termination of the activities shall be immediately transferred to the data controller.

7. The agreement with a data processor must include the obligation to apply measures for data security.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

                  

Article 17 – Data security

1. A data controller shall be obliged to take appropriate organisational and technical measures to ensure protection of data against accidental or unlawful destruction, alteration, disclosure, collection or any other form of unlawful use, and accidental or unlawful loss.

2. A data controller shall be obliged to ensure registration of all operations performed in relation to electronic data. When processing non-electronic data, a data controller shall be obliged to register all operations with respect to disclosure and/or alteration of data.

3. Measures taken to ensure data security must be adequate to the risks related to processing of data.

4. Any employee of a data controller and of a data processor, who is involved in processing of data, shall be obliged to stay within the scope of powers granted to him/her. In addition, he/she shall be obliged to protect data secrecy, including after his/her term of office terminates.

5. The data security measures shall be defined by the legislation of Georgia.

         

Article 18 – Obligations of data controllers and data processors for the disclosure of data

When disclosing data, a data controller and a data processor shall be obliged to ensure registration of the following information: the data that were disclosed, to whom, when and on what legal grounds they were disclosed. This information must be stored together with the data on a data subject for the entire storage period.

                  

Article 19 – Filing system catalogue

1. A data controller shall be obliged to keep a filing system catalogue for each filing system and to register the following information:

a) the name of a filing system

b) the names and addresses of a data controller and a data processor, place of storing and/or processing of data

c) the legal grounds for data processing

d) the category of a data subject

e) the category of data in a filing system

f) the purpose of data processing

g) the period for data storage

h) the fact and grounds for the restriction of a right of a data subject

i) the recipient of data stored in a filing system, and their categories

j) the information on the transborder flows of data and transmission of data to international organisation, and the legal grounds for the transfer

k) the general description of the procedure established to ensure data security.

11. The Personal Data Protection Service is obliged to maintain the register of filing system catalogues. This register shall include the information provided for by paragraph 1 of this article. The information entered into the register of filing system catalogues shall be public. The Personal Data Protection Service shall ensure the publication of the information in accordance with the procedure established by the Head of the Personal Data Protection Service.

2. A data controller shall be obliged to ensure that the information under paragraph 1 of this article is regularly updated.

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 20 – Obligation to notify the Personal Data Protection Service

1. A data processor is obliged, before creation of a filing system and entry of a new category of data therein, to notify the Personal Data Protection Service, in writing or electronically, of the information required under Article 19 of this Law.

2. A data processor is obliged to notify the Personal Data Protection Service of any alteration made to the information under Article 19 of this Law not later than 30 days after the alteration.

3. One copy of a court ruling on issuance of a permit or refusal to issue a permit to conduct a covert investigative action requested by a law enforcement body, which contains only the details and the resolution part, as well as one copy of a court ruling on recognition as lawful or unlawful of a covert investigative action conducted by a law enforcement body without court permission, which contains only the details and the resolution part, shall be submitted to the Personal Data Protection Service in accordance with the procedure established by the Criminal Procedure Code of Georgia.

4. An electronic communications company shall notify the Personal Data Protection Service of the transfer to a law enforcement body of identification data of electronic communication in accordance with the procedure established by Article 136 of the Criminal Procedure Code of Georgia within 24 hours after the transfer.

5. In the case of urgent necessity the prosecutor’s decree on conducting covert investigative action which contains only the details and the resolution part shall be submitted to the Personal Data Protection Service no later than 12 hours (indicated in the ordinance) after the beginning of the covert investigative action by the prosecutor or the investigator on behalf of the prosecutor as a tangible document.

6. The electronic copy of a court ruling on issuance of a permit for conducting covert investigative action provided for by Article 1431(1)(a) of the Criminal Procedure Code of Georgia which contains only the details and the resolution part, also the electronic copy of the prosecutor’s decree on conducting covert investigative action which contains only the details and the resolution part shall be submitted to the Personal Data Protection Service directly after receiving by the Agency.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter IV – Rights of Data Subjects

         

Article 21 – Right of data subjects to request information

1. A data subject shall have the right to request information from a data processor on processing of his/her data. The data processor must provide the data subject with the following information:

a) which personal data are being processed;

b) the purpose of data processing;

c) the legal grounds for data processing;

d) the ways in which the data were collected;

e) to whom his/her personal data were disclosed, and the grounds and purpose of the disclosure.

2. Provision of the data specified in paragraph 1(e) of this article, to a data subject shall not be mandatory if the data are public under law.

3. A data subject must be provided with the information under paragraph 1 of this article upon request immediately or not later than 10 days after the request if for responding to the information request it is required to:

a) retrieve and process the information at another institution or structural unit or consult with either one;

b) retrieve and process voluminous documents not linked to each other;

c) consult with its structural unit located in another populated place, or with other public agency.

4. A data subject shall opt for the way in which the information under paragraph 1 of this article is provided to him/her.

5. A person shall have the right to review his/her personal data kept at a public institution and obtain copies of the data for free, except for information when payment of a fee is required under the legislation of Georgia to issue it.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

         

Article 22 – The right of data subjects to request for correction, update, addition, blocking, deletion and destruction of data

1. When requested by a data subject, a data controller shall be obliged to correct, update, add, block, delete, or destroy data if the data are incomplete, inaccurate, not updated, or were illegally collected and processed.

2. A data processor must inform all data recipients of correction, update, addition, blocking, deletion, and destruction of the data, except when provision of this information is impossible due to large number of data recipients or disproportionately high costs. The Personal Data Protection Service shall be notified of the latter circumstance.

3. If information is received in accordance with paragraph 2 of this article, the recipient party shall be obliged to correct, update, add, block, delete, or destroy the data, respectively.

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 23 – Procedure for correction, update, addition, blocking, deletion and destruction of data

1. A request under Article 22(1) of this Law shall be submitted either in writing, orally or by electronic means.

2. Within 15 days after the request of a data subject is received, a data processor shall be obliged to correct, update, add, block, delete or destroy the data or inform the data subject of the grounds for refusal.

3. If a data processor, without a request from a data subject, considers on its own that the data at his/her disposal are incomplete, inaccurate, or not updated, the data processor shall correct or update the data accordingly and inform the data subject.

4. After a data subject submits a request under Article 22(1) of this Law, a data processor shall have the right to block the data based on the applicant's request.

5. A decision to block data shall be made within three days after an appropriate request is submitted and shall be valid until a data controller decides to correct, update, add, delete or destroy the data.

6. The decision to block data shall be attached to the relevant data for as long as the reason of blocking the data exists.

         

Article 24 – Limitation of rights of data subjects

1. The rights of a data subject under Articles 15, 21 and 22 of this Law may be limited by the legislation of Georgia if the exercise of these rights endangers:

a) the interests of State security and defence

b) the interests of public security

c) crime detection, investigation and prevention

d) significant financial and economic interests of the country (including those related to monetary, budgetary and taxation issues)

e) the rights and freedoms of a data subject and others.

2. A measure under paragraph 1 of this article may be applied only to the extent necessary to achieve the intent of the limitation.

3. If the grounds in paragraph 1 of this article exist, the decision of a data processor or the Personal Data Protection Service must be provided to a data subject without prejudice to the intent of the limitation of a right.

Law of Georgia No 2765 of 29 June 2018 – website, 19.7.2018

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

         

Article 25 – Withdrawal of consent

1. A data subject shall have the right to, at any time and without explanation, withdraw his/her consent given and to request that the data processing be stopped and/or the processed data be destroyed.

2. A data controller shall be obliged to stop the data processing and/or destroy the processed data according to the request of a data subject within five days after the application is submitted, unless there are other grounds to process data.

3. This Article shall not apply to information that is related to fulfilment of a data subject’s financial obligations and processed with his/her consent.

         

Article 26 – Right to appeal

1. If the rights under this Law are violated, a data subject shall have the right to apply to the Personal Data Protection Service or to the court under procedures determined by law, and if a data processor is a public institution, an appeal may be submitted to the same or senior administrative body. The Head of the Personal Data Protection Service shall review the application of the data subject in accordance with the procedure established by this Law and normative acts issued by the Head of the Personal Data Protection Service.

2. A data subject shall have the right to require from a body considering the case to block data until a decision is made.

3. A data subject shall have right to appeal the decision of a higher administrative body or the Personal Data Protection Inspector to the court under procedures determined by law.

3. A data subject shall have right to appeal the decision of a higher administrative body or the Personal Data Protection Service to the court under procedures determined by law.

4. In case of a dispute with respect to the existence of a data subject’s consent to process data, a data processor shall carry the burden of proof for the existence of the data subject's consent.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 261 – (deleted)

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017

         

Chapter V – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 27 – (Deleted)

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 28 – (Deleted)

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 29 – (Deleted)

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

         

Article 30 – (Deleted)

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3350 of 20 March 2015 – website, 31.3.2015

Law of Georgia No 3879 of 6 December 2018 – website, 14.12.2018

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 31 – (Deleted)

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 32 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 33 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 34 – (Deleted)

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 35 – (Deleted)

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 351 – (Deleted)

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Law of Georgia No 3940 of 8 July 2015 – website, 15.7.2015

Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017

Law of Georgia No 3300 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 36 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 37 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 38 – (Deleted)

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 39 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 

Article 40 – (Deleted)

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

                  

Chapter VI – The Principles of Activities of the Personal Data Protection Service and Guarantees of the Exercise of Powers, the Powers of the Head of the Personal Data Protection Service, his/her Election, Inviolability, Incompatibility of Positions and Termination of Powers

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 401 – The principles of activities of the Personal Data Protection Service

1. When carrying out its activities, the Personal Data Protection Service shall be guided by the Constitution of Georgia, international treaties of Georgia, generally recognised principles and norms of international law, this Law and other relevant legal acts.

2. The principles of activities of the Personal Data Protection Service are:

a) lawfulness

b) respect of human rights and freedoms

c) independence and political neutrality;

d) fairness and impartiality;

e) professionalism;

f) respect of secrecy and privacy.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 402 – The Powers of the Head of the Personal Data Protection Service

1. The Head of the Personal Data Protection Service shall:

a) manage the Personal Data Protection Service and take decisions on issues related to the activities of the Service;

b) determines the structure of the Personal Data Protection Service, and the powers of structural units and employees;

c) approve, in accordance with the legislation of Georgia, the staff list of employees of the Personal Data Protection Service, and the procedures and amounts of remuneration;

d) determine the functions and duties of the First Deputy and Deputy Head of the Personal Data Protection Service and delegate powers to them;

e) appoint and dismiss employees of the Personal Data Protection Service;

f) grant and strip a special state rank (the special rank) to an employee of the structural unit carrying out official inspection of the Personal Data Protection Service in accordance with the procedure established by the legislation of Georgia;

g) represent personal data protection service in relations with state bodies, international and other organisations;

h) ensure the protection and targeted use of state property transferred to the Personal Data Protection Service;

i) exercises other powers in accordance with law.

2. The Head of the Personal Data Protection Service shall, within the scope of his/her powers, issue a subordinate normative act, an order on matters related to the activities of the Personal Data Protection Service.

3. The Head of the Personal Data Protection Service shall issue individual legal acts, including resolutions, orders and instructions, based on the appropriate normative act and within the scope of its powers to execute such normative act.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 403 – Election of the Head of the Personal Data Protection Service and his /her term of office

1. A citizen of Georgia who has not been convicted and who has a higher legal education and at least 5 years of experience in the system of justice or law enforcement bodies, or in the field of the protection of human rights, and a high professional and moral reputation, may be elected to the position of Head of the Personal Data Protection Service.

2. The competition for the selection of the Head of the Personal Data Protection Service shall be announced and the competition commission shall be established by the order of the Prime Minister of Georgia. The members of the competition commission shall be:

a) a representative of the Government of Georgia

b) the Chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia

c) the Chairperson of the Legal Issues Committee of the Parliament of Georgia

d) Deputy Chairperson of the Supreme Court of Georgia

e) First Deputy or Deputy Prosecutor General of Georgia

f) the Public Defender of Georgia or the representative of the Public Defender of Georgia

g) a person with relevant experience, who has work experience in the field of human rights and/or data protection, and who has been selected by the Public Defender of Georgia from the members of the non-entrepreneurial (non-commercial) legal entity through an open competition.

3. Not earlier than 11 weeks and not later than 10 weeks before the expiry of the term of office of the Head of the Personal Data Protection Service, and in the case of termination of his/her term of office, within 1 week after the termination of the term of office, the agencies and institutions specified in paragraph 2 of this article shall inform the Prime Minister of Georgia on the names of the members of the competition commission for the selection of the Head of the Personal Data Protection Service. 7 days after the expiry of the deadline for nomination of the members of the competition commission, the Prime Minister of Georgia shall convene the first meeting of the competition commission. The meeting of the competition commission shall quorate if the majority of the full composition of the competition commission is present. The competition commission shall elect the chairperson of the competition commission from among its members at the first meeting and shall approve the regulations of the competition commission for the selection of the Head of the Personal Data Protection Service within 1 week, which shall determine the rules of activity of the competition commission, as well as the deadline and procedures for nomination of candidacies for the Head of the Personal Data Protection Service.

4. The competition commission for the selection of the Head of the Personal Data Protection Service shall select no less than 2 and no more than 5 candidates for the Head of the Personal Data Protection Service by the majority of votes, and shall nominate them to the Prime Minister of Georgia. Taking into account the number of selected candidacies, the nomination of candidates of different genders shall be maximally equal.

5. The Prime Minister of Georgia shall, within 10 days, nominate 2 candidates to the Parliament of Georgia for the selection to the position of the Head of the Personal Data Protection Service.

6. The Parliament of Georgia shall elect the Head of the Personal Data Protection Service in accordance with the procedures established by the Rules of Procedure of the Parliament of Georgia no later than 14 days after the nomination of candidates. If the term fully or partially coincides with the period between the sessions of the Parliament of Georgia, the term specified by this paragraph for the election of the Head of the Personal Data Protection Service shall be extended by the appropriate time. If the Parliament of Georgia fails to elect the Head of the Personal Data Protection Service through the voting or if both candidates refuse to be elected to the position of the Head of the Personal Data Protection Service before the voting, the Prime Minister of Georgia shall announce a new competition within 2 weeks.

7. If the Head of the Personal Data Protection Service was elected before the expiry of the term of office of the current Head of the Personal Data Protection Service, the powers of the newly elected Head of the Personal Data Protection Service shall take effect on the day following the expiry of the term of office of the current Head of the Personal Data Protection Service. If the Head of the Personal Data Protection Service was elected after the expiry of the term of office of the Head of the Personal Data Protection Service or before the termination of his/her term of office, the powers of the newly elected Head of the Personal Data Protection Service shall take effect on the day following his/her election.

8. The term of office of the Head of the Personal Data Protection Service shall be 6 years. A person may not be elected to the position of Head of the Personal Data Protection Service twice in succession. The Head of the Personal Data Protection Service may not perform his/her duties after the expiry or the termination of the term of office.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 404 – First Deputy and Deputy Head of the Personal Data Protection Service

1. The Head of the Personal Data Protection Service has a First Deputy and a Deputy, whom he/she appoints to the positions by order. Upon the expiry or the termination of the term of office of the Head of the Personal Data Protection Service, the term of office of the First Deputy and Deputy Head of the Personal Data Protection Service shall cease as soon as the newly elected Head of the Personal Data Protection Service starts the exercise of powers in accordance with the procedure established by this Law.

2. In the case of the absence of the Head of the Personal Data Protection Service, his/her failure to exercise powers, the suspension, expiry or termination of his/her powers, the powers of the Head of the Personal Data Protection Service shall be exercised by the First Deputy Head of the Personal Data Protection Service, and in the absence of the First Deputy - the Deputy Head of the Personal Data Protection Service. During the performance of the duties of the Head of the Personal Data Protection Service, the First Deputy and the Deputy Head of the Personal Data Protection Service shall enjoy the powers and legal guarantees granted to the Head of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 405 – Inviolability of the Head of the Personal Data Protection Service

1. The Head of the Personal Data Protection Service shall be inviolable. Criminal prosecution, detention or arrest of the Head of the Personal Data Protection Service, the search of his/her residence or workplace, car or personal search can only be done with the prior consent of the Parliament of Georgia. An exception is the case when he/she has been caught in action, which shall be immediately reported to the Parliament of Georgia. If the Parliament of Georgia does not give its consent within 48 hours, the arrested or detained Head of the Personal Data Protection Service shall be released immediately.

2. In the event that the Parliament of Georgia gives consent to the arrest or detention of the Head of the Personal Data Protection Service, his/her powers shall be suspended by the resolution of the Parliament of Georgia before the resolution/judgment on termination of the criminal prosecution is issued or the court judgment enters into legal force.

3. The personal security of the Head of the Personal Data Protection Service shall be ensured by the relevant state bodies in the prescribed manner.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 406 – Incompatibility of the position of the Head of the Personal Data Protection Service

1. The position of the Head of the Personal Data Protection Service shall be incompatible with the membership of the representative bodies of state authorities and municipalities, any position in the public and state services, and other paid activities, except for scientific, pedagogical and artistic activities. The Head of the Personal Data Protection Service may not engage in entrepreneurial activities, directly exercise the powers of a permanent head of a business entity, a member of a supervisory, control, audit or advisory body, be a member of a political party or participate in political activities.

2. The Head of the Personal Data Protection Service shall be prohibited from participating in gatherings and demonstrations supporting or opposing the political union of citizens.

3. The person elected to the position of the Head of the Personal Data Protection Service is obliged to stop the activities incompatible with the position or to resign from the position incompatible with his/her status within 10 days after the election. Until the person elected to the position of the Head of the Personal Data Protection Service does not stop the activities incompatible with the position or resigns from the position incompatible with his/her status, he/she shall not be authorised to start exercising the powers of the Head of the Personal Data Protection Service. If the Head of the Personal Data Protection Service does not comply with the requirements established by this paragraph within the mentioned period, his/her powers shall be terminated.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 407 – Termination of powers of the Head of the Personal Data Protection Service

1. The powers of the Head of the Personal Data Protection Service shall be terminated if:

a) he/she lost the citizenship of Georgia;

b) he/she has not been able to exercise his/her powers for 4 consecutive months due to his/her health condition;

c) the court's judgement of conviction has entered into legal force;

d) he/she was recognised by the court as a recipient of support (unless otherwise determined by the court's judgment), as missing or declared dead;

e) he/she has occupied a position incompatible with his/her status or carries out activities incompatible with the position;

f) he /she has resigned voluntarily;

g) he/she has died.

2. In the case provided for by paragraph 1 of this article, the powers of the Head of the Personal Data Protection Service shall be considered terminated from the moment of the occurrence of the relevant circumstances, of which the Chairperson of the Parliament of Georgia shall immediately inform the Parliament of Georgia. The Parliament of Georgia shall terminate the powers of the Head of the Personal Data Protection Service on the basis of receiving information from the Chairperson of the Parliament of Georgia.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 408 – Organisational and financial support of the Personal Data Protection Service

1. The structure of the Personal Data Protection Service, the rules for activities and the distribution of powers among employees shall be established by the regulations of the Personal Data Protection Service, which shall be approved by the Head of the Personal Data Protection Service.

2. An employee of the structural unit carrying out the official inspection of the Personal Data Protection Service shall be a public servant and the Law of Georgia ‘On Public Service’ shall apply, unless otherwise established by this Law or by the normative act of the Head of the Personal Data Protection Service issued on the basis of this Law. Other employees of the Personal Data Protection Service shall be public servants and the Law of Georgia ‘On Public Service’ shall apply in accordance with the established rules. The Head of the Personal Data Protection Service shall establish the procedures for serving at the Personal Data Protection Service by employees of the structural unit carrying out the official inspection of the Personal Data Protection Service.

3. The activities of the Personal Data Protection Service shall be financed from the state budget of Georgia. Allocations necessary for the activities of the Personal Data Protection Service shall be determined by a separate unit of the state budget of Georgia. The current expenses allocated from the state budget of Georgia for the Personal Data Protection Service compared to the amount of budget funds of the previous year may be reduced only with the prior approval of the Head of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 409 – Independence of the Personal Data Protection Service

1. The Personal Data Protection Service shall be independent in exercising its powers and shall not be subject to any body or official. Any influence on the Head of the Personal Data Protection Service and employees of the Personal Data Protection Service and illegal interference in their activities shall not be allowed and shall be punishable by law.

2. In order to ensure the independence of the Personal Data Protection Service, the State is obliged to create appropriate conditions for activities.

3. The Head of the Personal Data Protection Service has the right not to testify in connection with the performance of the functions of monitoring the legality of data processing, conducting covert investigative actions and the activities carried out in the electronic data identification central bank due to the fact that he/she has been disclosed such information as the Head of the Personal Data Protection Service. Such right shall be preserved even after the termination of the powers of the Head of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4010 – Annual report of the Personal Data Protection Service

1. The Head of the Personal Data Protection Service shall submit to the Parliament of Georgia once a year, not later than 31 March, a report on the status of data protection in Georgia, the monitoring of the conduct of covert investigative actions, and the activities carried out in the electronic data identification central bank.

2. The annual report of the Personal Data Protection Service shall contain information on the activities carried out by the Personal Data Protection Service in the field of data protection during the reporting period, general assessments related to the status of data protection in Georgia, conclusions and recommendations, information on significant violations identified during the year and measures taken, general statistical information on the activities carried out in the field of monitoring the conduct of covert investigative actions.

3. Once a year, the Head of the Personal Data Protection Service shall submit a report on the results of monitoring the investigative actions provided for by Articles 136-138 of the Criminal Procedure Code of Georgia and the covert investigative actions provided for by Article 1431 (a and b) of the same code, to the Parliamentary Committee and the Trust Group set in accordance with the procedures established by the Parliamentary Bureau based on the Rules of Procedure of the Parliament of Georgia.

4. Information on the activities carried out by the Personal Data Protection Service, taking into account the limitations established by this article, shall be provided to the public through the website of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter V2 – Powers of the Personal Data Protection Service in the Field of Data Protection and Monitoring the Conduct of Covert Investigative Actions

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4011 – Main fields of activities of the Personal Data Protection Service in the area of data protection

The Personal Data Protection Service shall monitor the legality of data processing in Georgia. The main fields of activity of the Personal Data Protection Service in this area shall be:

a) consulting on issues related to data protection;

b) reviewing applications related to data protection;

c) checking the legality of data processing (inspection);

d) providing information to the public on the state of data protection in Georgia, important events related thereto, and raising the awareness.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4012 – Review of the application of the data subject by the Personal Data Protection Service

1. The Personal Data Protection Service is obliged to review the application of the data subject regarding the processing of data and to apply the measures provided for by the legislation of Georgia.

2. Within 10 days of receiving the data subject's application, the Personal Data Protection Service shall take a decision on the measures to be applied, and inform the applicant thereof.

3. The Personal Data Protection Service shall be authorised to carry out an inspection in order to study and investigate the circumstances related to the data subject's application. Any data processor and/or data controller is obliged to hand over relevant material, information and/or documents to the Personal Data Protection Service upon request.

4. The term of reviewing the application of the data subject by the Personal Data Protection Service shall not exceed 2 months. Based on the grounded decision of the Personal Data Protection Service, the period of review of the application of the data subject may be extended for no more than 1 month.

5. The Personal Data Protection Service shall be authorised to suspend the relevant proceedings during the review of the data subject's application on the basis of requesting additional material, information and/or documentation, of which the data subject shall be informed. The review of the data subject's application will continue upon the cancellation of the said grounds. The period of suspension of proceedings shall not be included in the period provided for by paragraph 4 of this article.

6. The Personal Data Protection Service shall be authorised to take a decision on data blocking before the review of the data subject's application is completed. Despite the blocking of data, the processing of the data may continue if it is necessary to protect the vital interests of the data subject or a third party, as well as for the purposes of state security and state defence.

7. After reviewing the application of the data subject, the Personal Data Protection Service shall take a decision on the use of one of the measures provided for by Article 4014 of this Law, and inform the data subject and the data processor and/or the data controller thereof in accordance with the procedure established by the legislation of Georgia and within the established period.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4013 – Inspection by the Personal Data Protection Service

1. The Personal Data Protection Service shall authorised to carry out an inspection of any data processor and/or data controller on its own initiative or based on the application of an interested person. The Head of the Personal Data Protection Service shall take a decision to carry out the inspection provided for in this article.

2. Inspection by the Personal Data Protection Service involves:

a) the determination of compliance with the principles of data processing and the existence of legal grounds for data processing;

b) the checking of the conformity of organisational and technical measures and procedures conducted for data security with the requirements established by the legislation of Georgia;

c) The checking of the fulfilment of the requirements established by this Law regarding the file system catalogue, the file system catalogue registry, and the registry of data release;

d) the checking of the legality of data transfer to another state and international organisation;

e) the checking of the compliance with the rules and requirements established by this Law, the Law of Georgia ‘On Personal Data Protection’, and other normative acts;

3. The Personal Data Protection Service shall be authorised to request documents and/or information, including information containing state, tax, banking, commercial, professional secrets and/or data, from any institution, natural and/or legal person during the inspection, as well as, the material and/or documentation and/or information describing operative and investigative activities and crime investigation, which belong to the State secret and which are necessary to carry out the inspection within the scope established by paragraph 2 of this article.

4. The data processor and/or data controller is obliged to provide any material, information and/or document to the Personal Data Protection Service immediately, no later than 10 working days, if the response to the request of information requires:

a) the finding and processing information in another institution or structural unit or the consulting with the said institution or unit;

b) the search for and the processing of a significant volume of information/documents.

5. The Personal Data Protection Service shall be authorised to extend the period referred to in paragraph 4 of this article by no more than 10 working days based on the reasonable application by the data processor and/or data controller.

6. The Personal Data Protection Service shall be authorised to visit any institution and organisation for inspection and to obtain any document and information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as the material and/or documentation and/or information describing operative and investigative activities and crime investigation, which belong to the State secret, despite their content and the mode of storage.

7. Taking into account the results of the inspection, the Personal Data Protection Service shall be authorised to apply the measures provided for in Article 4014 of this Law.

8. An employee of the Personal Data Protection Service is obliged to secure information containing any kind of secret and not to disclose the secret information that he/she has become aware of during the performance of his/her official duties. Such obligation shall survive after the termination of the authority of the employee of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4014 – Use of measures by the Personal Data Protection Service

1. If the Personal Data Protection Service identifies a violation of this Law or another normative act regulating data procession, the Service shall be authorised to use one or several of the following measures at the same time:

a) request the eradication of violations and deficiencies related to data processing in the form and within the period specified by it;

b) request the suspension or termination of data processing, if the measures and procedures for the protection of data carried out by the data processor or a data controller do not comply with the requirements established by the legislation of Georgia;

c) request the termination of data processing, blocking, deletion, destruction or depersonalisation of data, if the Service believes that data processing is carried out in violation of the legislation of Georgia;

d) request the termination of data transfer to another state and international organisation, if data transfer is carried out in violation of the legislation of Georgia;

e) give written advice and make recommendations to the data processor and/or the data controller in the case of minor violation of the procedures related to data processing;

f) impose administrative liability on the violator.

2. The data processor and/or data controller is obliged to fulfil the requirements within the period specified by the Personal Data Protection Service, and to inform the Personal Data Protection Service thereof.

3. If the data processor and/or data controller does not comply with the requirements of the Personal Data Protection Service, the Personal Data Protection Service has the right to apply to a court, a law enforcement body and/or a supervisory (regulatory) state institution determined by the relevant legislation of Georgia.

4. If the Personal Data Protection Service identifies an administrative offense, it shall be authorised to draw up an administrative offense report and, accordingly, impose the administrative liability on the data processor and/or data controller in accordance with the law of Georgia ‘On Personal Data Protection’ and the Administrative Offenses Code of Georgia.

5. If the Personal Data Protection Service believes that there are signs of a crime during performance of its activities, it is obliged to inform the authorised state body thereof in accordance with law.

6. The compliance with the decision of the Personal Data Protection Service in the field of data protection shall be mandatory and may only be appealed in a court in accordance with law.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4015 – Consultation and implementation of educational activities by the Personal Data Protection Service

1. The Personal Data Protection Service is obliged to advise state authorities, municipal authorities, other public institutions, legal entities under private law and natural persons on any issue related to data processing and data protection in the event of a relevant request.

2. The Personal Data Protection Service shall carry out educational activities on issues related to data processing and data protection.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4016 – Monitoring of the conduct of covert investigative actions and the activities carried out in the electronic data identification central bank

1. During the conduct of the covert investigative action - secret eavesdropping and recording of the telephone communication provided for by Article 1431(1)(a) of the Criminal Procedure Code of Georgia, the Personal Data Protection Service shall monitor:

a) through the electronic control system – the legality of data processing;

b) through the special electronic control system – the legality of data processing;

c) the legality of data processing by the data processor/data controller (inspection).

2. The Personal Data Protection Service shall carry out the monitoring of the investigative activities provided for by Articles 136-138 of the Criminal Procedure Code of Georgia by comparing the information provided by the court, the prosecutor's office and the electronic communication service provider and by checking (inspecting) the legality of data processing by the data processor/data controller.

3. The monitoring of covert investigative actions provided for by Article 1431 (1) (b, d, and f) of the Criminal Procedure Code of Georgia shall be carried out by the Personal Data Protection Service by checking (inspecting) the legality of data processing by the data processor/data controller.

4. The monitoring of covert investigative actions provided for by Article 1431 (1) (e) of the Criminal Procedure Code of Georgia shall be carried out by the Personal Data Protection Service by checking (inspecting) the legality of data processing by the data processor/data controller, in accordance with the procedures provided for by this Law. In the case provided for by this paragraph, when carrying out checking (inspection), information about the identity of a person participating in the conduct of covert investigative actions (except for a data subject, an investigator and a prosecutor) and the permit to participate in the process of carrying out inspection, as well as information on the characteristics of operational and operational-technical equipment used during the conduct of the covert investigative actions provided for in this paragraph, may be requested only with the approval of the head of the body conducting the covert investigative action. In the case provided by this paragraph, the implementation of the inspection shall not cover the direct participation in the process of preparing/conducting the covert investigative action and the on-site inspection of a disguised residential or service place or other disguised facility and building.

5. The Personal Data Protection Service shall monitor the conduct of covert investigative actions provided for by Article 1431(1) (c) of the Criminal Procedure Code of Georgia, as well as the implementation of the measure provided for by Article 7 (3) (b) of the Law of Georgia ‘on Operative-Investigative activities’ with a special electronic system of controlling the determination of the geo-location in real time, and the control (inspection) of the legality of data processing by the data processor/data controller.

6. The activities carried out in the electronic data identification central bank shall be monitored by the Personal Data Protection Service through the electronic system of monitoring of the electronic data identification central bank and by checking (inspecting) the legality of data processing by the data processor/ data controller.

7. During the inspection of the Agency, the Personal Data Protection Service shall be authorised to:

a) enter the area of limited access of the Agency and monitor the implementation of activities by the authorised bodies in the on-going mode;

b) acquire the legal documents and technical instructions regulating the activities of the Agency (including those containing state secrets);

c) obtain information on the technical infrastructure used for the purposes of covert investigative actions and inspect the infrastructure;

d) request explanations from the Agency employees with respect to individual issues identified during the inspection;

e) exercise other powers provided for by this Law.

8. Employees of the Agency is obliged to cooperate with the Personal Data Protection Service - to provide the Personal Data Protection Service with the requested information and documents, as well as to give explanations regarding the individual issues identified during the inspection.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter V3 – Legal Protection and Social Security of Employees of the Personal Data Protection Service, and Employees of the Structural Unit Implementing the Official Inspection of the Personal Data Protection Service

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4017 – Legal protection of employees of the Personal Data Protection Service

1. An employee of the Personal Data Protection Service shall be a representative of the state authorities and shall be protected by the State. The fulfilment of the lawful request of the employee of the Personal Data Protection Service shall be mandatory.

2. No one has the right to interfere with the official activities of the employee of the Personal Data Protection Service, except for the cases stipulated by law.

3. Obstructing an employee of the Personal Data Protection Service in the performance of his/her duties, encroaching upon his/her honour and dignity, showing non-abeyance, threat, violence or encroaching on his/her life, health or property, shall result in the liability established by the legislation of Georgia. In the case of being notified of the encroaching on the life, health and property of the Head of the Personal Data Protection Service, the First Deputy or Deputy Head of the Personal Data Protection Service, an employee of the Personal Data Protection Service or his/her family member in connection with the exercise of official powers, the state authorities are obliged to implement the measures stipulated by law for their personal safety and the safety of their property.

4. An employee of the Personal Data Protection Service shall refuse to comply with an obviously unlawful order or instruction, had he/she known or should have known about its unlawfulness, and shall act within the scope of law.

5. An employee of the Personal Data Protection Service shall inform the Head of the Personal Data Protection Service in the case of the receipt of an obviously unlawful order or instruction.

6. An employee of the Personal Data Protection Service who refuses to comply with an obviously unlawful order or instruction shall not be held liable.

7. A person giving an obviously unlawful order or instruction to an employee of the Personal Data Protection Service shall be held liable in accordance with the procedures provided for by law.

8. An employee of the Personal Data Protection Service shall have the right to apply to the court to protect his/her rights and freedom;

9. An employee of the Personal Data Protection Service shall be given an identity card and/or a special badge to confirm his/her official powers, the form and manner of issuance of which shall be determined by the Head of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4018 – Social security of employees of the Personal Data Protection Service with a special rank

1. The State shall ensure the social security of an employee of the Personal Data Protection Service with a special rank.

2. Unless otherwise stipulated by the legislation of Georgia, the social security guarantees of an official provided for by the Law of Georgia ‘on Public Service’ shall apply to an employee of the Personal Data Protection Service with a special rank (including the social security guarantees related to bodily injury or death during the performance of official duties).

3. An employee of the Personal Data Protection Service with a special rank shall have:

a) the official salary determined in accordance with paragraph 5 of this article;

b) the salary increment and monetary reward established in accordance with paragraph 5 of this article and the Law of Georgia ‘on Remuneration in Public Institutions’;

c) the remuneration corresponding to the special rank;

d) the salary increment according to the years of service;

e) other increments and compensations provided for by the legislation of Georgia.

4. An employee with a special rank of the Personal Data Protection Service, who has been dismissed due to the attaining of the age limit or being recognised as a person with disabilities, shall have the right to receive the appropriate state compensation or state pension in accordance with the legislation of Georgia.

5. The amount of and procedures for remuneration of an employee with a special rank of the Personal Data Protection Service, the amount increments according to the rank and years of service, as well as the amount of other increments and compensations provided for by the legislation of Georgia shall be determined by the normative acts of the Head of the Personal Data Protection Service and other legislative and subordinate normative acts of Georgia.

6. An employee with a special rank of the Personal Data Protection Service shall be subject to mandatory state insurance. The matters related to the state insurance of family members of employees with a special rank of the Personal Data Protection Service (including the circle of family members) shall be determined by the Head of the Personal Data Protection Service.

7. The special ranks of employees of the Personal Data Protection Service shall be determined by the Law of Georgia ‘on Special State Ranks.’

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 4019 – Selection, appointment and powers of employees of the structural unit carrying out official inspection of the Personal Data Protection Service

1. An employee of the structural unit carrying out official inspection of the Personal Data Protection Service (except for the case provided for by paragraph 2 of this article) shall be appointed to the position on the basis of a competition, by an order of the Head of the Personal Data Protection Service. The rules and conditions of the competition for the selection and appointment of an employee of the structural unit carrying out the inspection of the Personal Data Protection Service, as well as the qualification requirements of the person to be appointed (the basic requirements, which should not be less than the basic requirements established by Article 27 of the Law of Georgia ‘on Public Service’, special requirements and additional requirements) shall be determined by this law and the corresponding legal act of the Head of the Personal Data Protection Service. In order to select and appoint an employee of the structural unit carrying out official inspection of the Personal Data Protection Service, the Head of the Personal Data Protection Service shall establish a competition commission and determine the rules of its activity.

2. It shall be permissible to transfer to another institution, without a competition, of an employee of the structural unit carrying out official inspection of the Personal Data Protection Service based on the principle of mobility, or to carry out his/her horizontal transfer as provided for by the Law of Georgia ‘on Public Service’.

3. The powers and duties stipulated by this Law and the corresponding legal act of the head of the Personal Data Protection Service shall apply to an employee of the structural unit carrying out the official inspection of the Personal Data Protection Service.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

 

Chapter VI – Transfer of Data to Other States and International Organisations

                   

Article 41 – Data transfer to other states and international organisations

1. Data may be transferred to other states and international organisations if there are grounds for data processing under this Law and if appropriate data protection guarantees are provided by the respective state or international organisation.

2. Data may also be transferred to other states and international organisations, except for paragraph 1 of this article, if:

a) the data transfer is part of a treaty or an international agreement of Georgia;

b) a data processor provides appropriate guarantees for protection of data and of fundamental rights of a data subject on the basis of an agreement between a data processor and the respective state, a natural or legal person of this state or an international organisation.

3. Data may be transferred under paragraph 2(b) of this article only with permission of the Personal Data Protection Service.

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

 Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 42 – Establishing appropriate guarantees for data protection

The Personal Data Protection Service shall assess the presence of appropriate guarantees for data protection in other states and/or international organisations, and take a decision on the basis of analysis of the legislation regulating data processing and the practice.

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter VII – Administrative Liability for Violation of this Law

 

Article 43 – Data processing without the grounds under this Law

1. Data processing without the grounds under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

         

Article 44 – Violation of principles of data processing

1. Violation of principles of data processing under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

 

Article 45 – Processing of special category data without the grounds under this Law

1. Processing of special category data without the grounds under this Law shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 5 000.

 

                  

Article 46 – Failure to comply with data protection requirements

1. Failure to comply with data protection requirements established by this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for the violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

                  

Article 47 – Using data for direct marketing purposes in violation of the rules under this Law

1. Using data for direct marketing purposes in violation of the rules under this Law shall result in a fine of GEL 3000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 10 000.

                  

Article 48 – Violation of video surveillance rules

1. Violation of video surveillance rules under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

 

Article 49 – Violation of rules for processing the building entry/exit data of public and private institutions

Violation of rules under this Law for processing of the building entry/exit data of public and private institutions shall result in a warning or a fine of GEL 100.

                  

Article 50 – Violation of rules for notification of the data subject by the data processor

1. Violation of rules under this Law for notification of a data subject by a data controller shall result in a warning or a fine of GEL 100.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 500.

                  

Article 51 – Assignment of data processing to the data processor by the data controller in violation of rules

1. Assignment of data processing to a data processor by a data controller in violation of rules under this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

                  

Article 52 – Violation of rules under Article 16 of this Law by the data processor

1. Violation of rules under Article 16 of this Law by a data processor shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.

         

Article 521 – Violation of rules for data transfer to another state and international organisation

1. Transfer of data in violation of rules established under Article 41 of this Law shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

 

Article 53 – Failure to fulfil requirements of the Personal Data Protection Service

1. Violation of the rule for submitting information and documents to the Personal Data Protection Service by a data processor or a data controller, including the failure to provide the information under Article 10 of this Law and to fulfil the notification obligation under Article 20 of this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Article 54 – Violation of other rules related to data processing

1. Violation of the rule under Article 3(11) of this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

         

Article 55 – Consideration of administrative proceedings

1. The Personal Data Protection Service shall have the right to consider administrative proceedings under Articles 43-54 of this Law and to impose administrative penalties.

2. A person authorised for this purpose by the Personal Data Protection Service shall draw up an administrative offence report.

3. A person authorised by the Personal Data Protection Service shall draw up an administrative offence report and review a case of an administrative offence in accordance with the procedures established by the Administrative Offences Code of Georgia, and the normative acts issued by the Head of the Personal Data Protection Service.

Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018

Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018

Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter VII1 – Transitional Provisions

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014


Article 551 – Transitional provisions

The Ministry of Internal Affairs of Georgia shall, before 31 March 2015, ensure the implementation of technical and organisational measures necessary for the operation of a special data bank electronic control system and the development of appropriate software.

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

 

Article 552 – Measures to be implemented in the transition period

1. Prior to the first election of the Head of the Personal Data Protection Service, the candidates for the Head of the Personal Data Protection Service shall be selected and nominated to the Parliament of Georgia for election in accordance with Article 403 of this Law, with the following time frames:

a) the Prime Minister of Georgia shall announce the competition for election of the Head of the Personal Data Protection Service, and the agencies and institutions determined by Article 403 (2) of this Law shall inform the Prime Minister of Georgia of the names of the members of the competition commission for the selection of the Head of the Personal Data Protection Service within 1 week after the entry into force of this article;

b) the Prime Minister of Georgia shall establish a competition commission for the selection of the Head of the Personal Data Protection Service and convene the first meeting of the competitive commission within 2 weeks after the entry into force of this article;

c) in the case of the announcement of the repeated competition in accordance with Article 403 (6) of this Law, the time frames established by sub-paragraphs (a) and (b) of this paragraph shall remain valid and they shall be counted from the moment of announcing the repeated competition.

2. If the Parliament of Georgia elects the Head of the Personal Data Protection Service from among the candidates nominated in accordance with paragraph 1 of this article and Article 403 of this Law before 1 March 2022, the powers of the newly elected Head of the Personal Data Protection Service shall start from 1 March 2022. If the Parliament of Georgia elects the Head of the Personal Data Protection Service from among the mentioned candidates after 1 March 2022, the powers of the newly elected Head of the Personal Data Protection Service shall start from the day following his/her election.

3. The relevant bodies/officials shall immediately, but not later than 1 April 2022, adopt/issue the subordinate legal acts necessary to execute this Law.

4. The Government of Georgia shall ensure the implementation of necessary measures to equip the Personal Data Protection Service with appropriate assets before 1 April 2022.

5. In 2022, the activities of the Personal Data Protection Service shall be financed from the programme code (51 00) designated for the Personal Data Protection Service approved by the Law of Georgia ‘on State Budget of Georgia of 2022’.

6. The annual report of the Personal Data Protection Service provided for by Article 4010 of this Law shall not be submitted to the Parliament of Georgia in 2022.

Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022

 

Chapter VIII – Final Provisions

                  

Article 56 – Entry of the Law into force

1. This Law, except for Articles 43–55 of this Law, shall enter into force from 1 May 2012.

2. Articles 43–55 of this Law shall enter into force from 1 January 2013.

3. Articles 34, 35 and 39 of this Law shall become valid for private sector from 1 November 2014.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

 

 

President of Georgia                                                    M. Saakashvili

 

Tbilisi

28 December 2011

No 5669 - რს