Document structure
View explanations
Referenced documents
Document Highlights
Consolidated publications
Return back Consolidated versions (30/12/2021 - 30/11/2022)
LAW OF GEORGIA
ON PERSONAL DATA PROTECTION
Chapter I – General Provisions
Article 1 – Purpose of this Law
This Law is intended to ensure protection of human rights and freedoms, including the right to privacy, in the course of personal data processing.
Article 2 – Definition of terms
The terms used in this Law have the following meanings:
a) personal data (‘the data’) – any information connected to an identified or identifiable natural person. A person shall be identifiable when he/she may be identified directly or indirectly, in particular by an identification number or by any physical, physiological, psychological, economic, cultural or social features specific to this person;
b) special categories of data – data connected to a person’s racial or ethnic origin, political views, religious or philosophical beliefs, membership of professional organisations, state of health, sexual life, criminal history, administrative detention, putting a person under restraint, plea bargains, abatement, recognition as a victim of crime or as a person affected, also biometric and genetic data that allow to identify a natural person by the above features;
c) biometric data – any physical, mental or behavioural feature which is unique and constant for each natural person and which can be used to identify this person (fingerprints, foot prints, iris, retina (retinal image), facial features);
c1) genetic datum – a unique and constant datum of a data subject on genetic inheritance and/or DNA code that makes it possible to identify this person;
d) data processing – any operation performed in relation to the data by automated, semi-automatic or non-automatic means, in particular collection, recording, photographing, audio recording, video recording, organisation, storage, alteration, restoration, request for access to, use or disclosure by way of data transmission, dissemination or otherwise making them available, grouping or combination, locking, deletion, or destruction;
e) automated data processing – data processing by means of information technologies;
e1) semi-automatic data processing – data processing by means of information technologies and non-automatic means;
f) data subject – any natural person whose data is being processed;
g) consent – a voluntary consent of a data subject, after receipt of the respective information, on his/her personal data processing for specific purposes expressed orally, through telecommunication or other appropriate means, which enables clearly establishing the will of the data subject;
h) written consent of the data subject – a voluntary consent expressed by a data subject, after receipt of the respective information on his/her personal data processing for specific purposes, which was signed or otherwise acknowledged by the data subject in writing or in any other equivalent form;
i) data controller – a public agency, a natural or legal person who individually or in collaboration with others determines purposes and means of personal data processing and who, directly or through a data processor, processes personal data;
j) data processor – any natural or legal person who processes personal data for or on behalf of the data controller;
k) data recipient – a private or public agency, a natural or legal person, an employee of the private or public sector to whom the data were transferred, except for the Personal Data Protection Service;
l) third party – any natural or legal person, a public agency, except for a data subject, the Personal Data Protection Service, a data processor, and a data processor;
m) filing system – a structured set of data where they are arranged and available according to specific criteria;
n) filing system catalogue – a detailed description of structure and contents of the filing system;
o) registry of filing system catalogues – a registry providing a detailed record of the existing filing systems;
p) blocking of data – temporary suspension of data processing;
q) data depersonalisation – data modification in a way to make it impossible to link the data to the data subject or to require disproportionately great effort, expense and time to establish such a link;
r) identification number – a personal identification number or any other identification number defined by law, which is connected to a natural person and may be used to retrieve data from the filing system (where the identification number is also processed) or to disclose them;
s) Head of the Personal Data Protection Service – the Head of the Personal Data Protection Service, who is elected to the position in accordance with this Law and the Rules of Procedure of the Parliament of Georgia and exercises the powers provided for by this Law and/or other legislative act;
t) direct marketing – offering goods, services, employment or temporary jobs by mail, telephone calls, e-mail or other means of telecommunication;
t1) covert investigative action – an investigative action provided for by Article 1431(1) of the Criminal Procedure Code of Georgia;
t2) the legal entity under public law called Operative-Technical Agency of Georgia (the Agency) - a body with exclusive authority to conduct covert investigative activities provided for by Article 1431(1) (a-d) of the Criminal Procedure Code of Georgia;
t3) electronic control system - the system provided for by Article 2 (i) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;
t4) the electronic system of monitoring of the electronic data identification central bank - the system provided for by Article 2 (k) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;
t5) special electronic system for monitoring the identification of geolocation in real time - the system provided for by Article 2 (n) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;
t6) special electronic control system - the system provided for by Article 2 (j) of the Law of Georgia ‘On Legal Entity under Public Law called Operative-Technical Agency of Georgia’;
u) (deleted);
v) (deleted);
w) (deleted);
x) (deleted);
y) (deleted);
z) (deleted);
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014
Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 3300 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 3 – Scope of the Law
1. This Law shall apply to the processing of data through automatic or semi-automatic means, and to the processing of data through non-automatic means within the territory of Georgia, which data form part of the filing system or are intended to form part of the filing system. This Law shall also apply to automatic processing of data defined as a state secret for the crime prevention and investigation, operational-investigative activities and protection of the rule of law, except as provided in this article.
11. Non-automatic data processing shall be inadmissible if it is intended to avoid performance of the requirements of this Law.
2. This Law shall also apply to:
a) data processing by diplomatic representations and consular offices of Georgia abroad;
b) activities of a data processor who is not registered in the territory of Georgia but employs technical means existing in Georgia for data processing, except when these technical means are used only for data transfer. In this case, the data controller must appoint/designate a registered representative in Georgia.
3. This Law shall not apply to:
a) data processing by a natural person clearly for personal purposes when the data processing is not related to his/her entrepreneurial or professional activity;
b) data processing for court proceedings as far as it may prejudice the proceedings before the final decision of the court;
c) processing of the data defined as a state secret for the purposes of state security (including economic security), defence, intelligence and counter-intelligence activities;
d) processing of information defined as a state secret (except for the data specified in paragraph 1 of this article).
4. This Law (except for Article 17) shall not apply to processing of data by media for public information, also to processing of data in the fields of art and literature.
5. Articles 19 and 20 of this Law shall not apply to processing of data by political parties, professional and other unions, and religious organisations with respect to their members.
6. Article 6 of this Law shall not apply to data processing for public safety, operational and investigative activities and criminal investigations if the issue is directly and specifically regulated under the Criminal Procedure Code of Georgia or the Law of Georgia on Operational and Investigative Activities or other special laws.
7. Article 6 of this Law shall not apply to data processing for the national population census under the Law of Georgia on Official Statistics.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 31 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4 – Principles of data processing
The following principles must be observed during data processing:
a) data must be processed fairly and lawfully, without impinging on the dignity of a data subject;
b) data may be processed only for specific, clearly defined and legitimate purposes. Further processing of data for purposes that are incompatible with the original purpose shall be inadmissible;
c) data may be processed only to the extent necessary to achieve the respective legitimate purpose. The data must be adequate and proportionate to the purpose for which they are processed;
d) data must be valid and accurate, and must be updated, if necessary. Data that are collected without legal grounds and irrelevant to the processing purpose must be blocked, deleted or destroyed;
e) data may be kept only for the period necessary to achieve the purpose of data processing. After the purpose of data processing is achieved, the data must be locked, deleted or destroyed, or stored in a form that excludes identification of a person, unless otherwise determined by Law.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Chapter II – Rules for Data Processing
Article 5 – Grounds for data processing
Data processing shall be admissible if:
a) there is a data subject’s consent;
b) data processing is provided for by Law;
c) data processing is necessary for a data controller to perform his/her statutory duties;
d) data processing is necessary to protect vital interests of a data subject;
e) data processing is necessary to protect legitimate interests of a data controller or a third person, except when there is a prevalent interest to protect the rights and freedoms of the data subject;
f) according to the Law, data are publicly available or a data subject has made them publicly available;
g) data processing is necessary to protect a significant public interest under the Law;
h) data processing is necessary to deal with the application of a data subject (to provide services to him/her).
(The normative content of the Article 5 which excludes the provision of the full text of the judicial acts in the form of public information which were adopted at the open court hearing shall be declared invalid from 1 May 2020)
Decision of the Constitutional Court No 1/4/693,857 of 7 June 2019 – website, 12.6.2019
Article 6 – Processing of special category data
1. Special category data processing shall be prohibited.
2. Processing of data under paragraph 1 of this article shall be possible with written consent of a data subject or when:
a) processing of the data related to previous convictions and state of health is necessary for labour obligations and labour relations, including making a decision regarding employment;
b) data processing is necessary to protect the vital interests of a data subject or a third person and when the data subject is physically or legally unable to give his/her consent to data processing;
c) the data are processed for public health protection, health care or protection of health of a natural person by an institution (employee), and if it is necessary to manage or operate the health care system;
d) a data subject has made his/her data publicly available without an explicit prohibition of their use;
e) data are processed by a political, philosophical, religious or professional union or a non-commercial organisation when implementing legitimate activities; In this case, the data processing may only be connected with the members of this union/organisation or persons who have regular contacts with this union/organisation;
f) data are processed to consider the issues related to the maintenance of personal files and registers of the accused/convicted persons; to the individual planning for a convicted person to serve his/her sentence, and/or the release of a convicted person on parole and the change of an unserved term of his/her sentence with a lighter punishment;
g) data are processed for the purpose of enforcing legal acts under Article 2 of the Law of Georgia on Crime Prevention, Enforcement Procedure of Non-custodial Sentences and Probation;
g1) data are processed for the purpose of resocialisation and rehabilitation of convicts and ex-prisoners, for the realisation of crime prevention measures and for coordination of the process of referral;
h) data are processed in the cases directly provided for by the Law of Georgia on International Protection;
i) data are processed for the functioning of the integrated analytical system of migration data;
j) data are processed for the purpose of the realisation of the right of the education of the persons with special educational needs.
k) data are processed for the purpose of the review of the issue provided for by Article 11(2) of the Law of Georgia on Violence against Women and/or Elimination of Domestic Violence, Protection and Support of Victims of Violence.
3. When data are processed under paragraph 2 of this article, it shall be prohibited to make the data publicly available and to disclose the data to a third party without the consent of the data subject.
(The normative content of the Article 6(1) and (3) which excludes the provision of the full text of the judicial acts in the form of public information which were adopted at the open court hearing shall be declared invalid from 1 May 2020)
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3534 of 1 May 2015 – website, 18.5.2015
Law of Georgia No 5017 of 27 April 2016 – website, 13.5.2016
Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016
Law of Georgia No 669 of 21 April 2017 – website, 3.5.2017
Law of Georgia No 3451 of 20 September 2018 – website, 9.10.2018
Decision of the Constitutional Court No 1/4/693,857 of 7 June 2019 – website, 12.6.2019
Law of Georgia No 5031 of 20 September 2019 – website, 1.10.2019
Law of Georgia No 5403 of 29 November 2019 – website, 10.12.2019
Article 7 – Protection of personal data of a deceased person
1. After a data subject dies, processing of his/her data, except for the grounds specified in Articles 5 and 6 of this Law, shall be permissible with the consent of a parent, child, grandchild or spouse of the data subject, or when 30 years have passed since the death of the data subject.
2. Data processing of a data subject after his/her death shall also be permissible if it is necessary to realise inheritance rights.
3. Data processing under the grounds defined in paragraphs 1 and 2 of this article shall be inadmissible if a data subject, before he/she died, had prohibited in writing having his/her data processed after death, except when data are processed on the grounds specified in Articles 5 and 6 of this Law.
4. To process the name, gender or birth and death dates of a deceased person, existence of grounds under this Law for data processing shall not be necessary.
5. The data of a deceased person may be disclosed for historical, statistical and research purposes, except when the deceased person had prohibited in writing disclosure of his/her data.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 8 – Data processing for direct marketing purposes
1. Data obtained from publicly available sources may be processed for direct marketing purposes.
2. Regardless of the purpose of data collection, the following data may be processed for direct marketing purposes: name (names), address, telephone number, e-mail address, fax number.
3. Any data may be processed for direct marketing purposes on the basis of a written consent given by a data subject as determined by this Law.
4. A data subject shall have the right to require at any time that a data controller stop to use of his/her data for direct marketing purposes.
5. A data processor shall be obliged to stop data processing for direct marketing purposes and/or ensure that a data processor stop data processing for direct marketing purposes not later than 10 working days after the request of a data subject is received.
6. When data are processed for direct marketing purposes a data controller shall be obliged to notify a data subject of the right under paragraph 4 of this article and to ensure the possibility to stop data processing for direct marketing purposes in the same form as the direct marketing is conducted, and/or to determine the available and adequate means to require discontinuation of data processing for direct marketing purposes.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 9 – Biometric data processing by public agencies
1. A public agency may process biometric data only for human security and property protection purposes, also to prevent disclosure of secret information if these goals may not be reached by other means or require disproportionately great efforts.
2. Regardless of the conditions under paragraph 1 of this article, biometric data may be processed to issue an identity document under procedures established by Law, or to identify a person crossing the state border, as well as in other cases directly provided for by a legislative act of Georgia.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016
Article 10 – Biometric data processing by legal entities under private law and natural persons
A legal entity under private law and a natural person may only process biometric data if it is necessary to perform activities, provide human safety and property protection, also to prevent disclosure of secret information, if these goals may not be reached by other means or require unjustifiably great efforts. Unless otherwise determined by law, before using biometric data, a data processor shall provide the Personal Data Protection Service with the same information that is provided to the data subject, in particular on the purpose of data processing and the security measures taken to protect the data.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 11 – Video surveillance in the streets and public transport
1. Video surveillance in streets (including in parks, public gardens, near playgrounds, public transport stops and other public gathering places) and in public transport shall only be permissible to prevent crime, also for human safety reasons, protection of property and public order, or to prevent minors from harmful influence.
2. If a video surveillance system is installed, public and private institutions shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject has been informed about the processing of his/her data.
3. The video surveillance system and video recordings must be protected from unlawful trespass and use.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 12 – Video surveillance of buildings of public and private institutions
1. For monitoring purposes, public and private institutions may implement video surveillance of their buildings if it is necessary for human security and property protection, and also to prevent minors from harmful influences, protect secret information and for examination/testing purposes.
2. A video surveillance system may only be used to monitor outside perimeters and entrances of buildings. A data processor shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject is informed about processing of his/her data.
3. A video surveillance system may be installed at a workplace only in exceptional cases if it is necessary for human security and property protection, for the protection of secret information and for examination/testing purposes, and if these goals may not be reached by other means.
4. Video surveillance shall be inadmissible in cloak rooms and hygiene facilities.
5. When using a video surveillance system at the workplace under paragraph 3 of this article, all persons working in their respective private or public institutions must be informed in writing about the video surveillance and their rights.
6. A data processor shall be obliged to create a filing system to store video recordings. In addition to the recordings (images/voice), the system must include information about the date, place and time of data processing.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 4145 of 26 December 2018 – website, 10.1.2019
Article 13 – Video surveillance of residential buildings
1. To install a video surveillance system within a residential building, a written consent of more than a half of the building owners shall be necessary. Residents of the building must be notified of the video surveillance system installation.
2. Installation of a video surveillance system within residential buildings shall only be permissible for human security and property protection.
3. A video surveillance system installed within a residential building may only monitor the entrance and common spaces. Monitoring of owners’ apartments shall not be allowed.
4. Monitoring of the hallway of an apartment by a video surveillance system shall be allowed only by the apartment owner's decision or based on his/her written consent.
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Article 14 – Data processing for registration of entry into and exit from buildings of public and private institutions
1. Public and private institutions may collect the following data for registration of entry into and exit from buildings: name, number and type of the identity document, address, date and time of entry and exit, and reasons for entry into and exit from the building.
2. The storage period for the data under paragraph 1 of this article must not exceed three years after they were recorded unless otherwise provided by law. The data must be deleted or destroyed after three years.
Chapter III – Rights and Obligations of Data Controllers and Data Processors
Article 15 – Provision of data subjects with data
1. If data are collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the following information:
a) identities and registered addresses of the data controller and the data processor (if applicable);
b) purpose of data processing;
c) whether provision of data is mandatory or voluntary; if mandatory – the legal consequences of refusal to submit them;
d) the right of the data subject to obtain information on his/her personal data processed, request their correction, updating, addition, blocking, deletion and destruction.
2. Provision of the information mentioned in paragraph 1 of this article shall not be mandatory if the data subject already has it.
3. If the data are not collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the information in paragraph 1 of this article upon request.
4. When collecting data for statistic, scientific and historic purposes, provision of information shall not be mandatory if this requires disproportionately great efforts.
Article 16 – Processing of data by data processors
1. A data processor may process data on the basis of a legal act or a written contract concluded with a data controller, which must comply with the requirements established by this Law and other normative acts and must take account of the rules and restrictions established by this Law.
2. A data processor must process data within the scope determined by a respective normative act or an agreement. Any further data processing by a data processor for any other purposes shall be inadmissible. A data processor may not transfer the right to process data to any other person without the consent of a data controller.
3. Conclusion of an agreement for data processing shall be inadmissible if, due to the activities and/or aims of a data processor, there is a risk of inappropriate data processing.
4. A data controller must be assured that a data processor applies appropriate organisational and technical measures to protect data. It shall be obliged to monitor data processing by a data processor.
5. In case of a dispute between a data processor and a data controller, the data processor shall be obliged to transfer all available data to the data controller upon request.
6. In the case of cancellation by a data processor of the grounds mentioned in paragraph 1 of this article or termination of activities, the data processing must be stopped and the data that were processed before cancellation of these grounds or termination of the activities shall be immediately transferred to the data controller.
7. The agreement with a data processor must include the obligation to apply measures for data security.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 17 – Data security
1. A data controller shall be obliged to take appropriate organisational and technical measures to ensure protection of data against accidental or unlawful destruction, alteration, disclosure, collection or any other form of unlawful use, and accidental or unlawful loss.
2. A data controller shall be obliged to ensure registration of all operations performed in relation to electronic data. When processing non-electronic data, a data controller shall be obliged to register all operations with respect to disclosure and/or alteration of data.
3. Measures taken to ensure data security must be adequate to the risks related to processing of data.
4. Any employee of a data controller and of a data processor, who is involved in processing of data, shall be obliged to stay within the scope of powers granted to him/her. In addition, he/she shall be obliged to protect data secrecy, including after his/her term of office terminates.
5. The data security measures shall be defined by the legislation of Georgia.
Article 18 – Obligations of data controllers and data processors for the disclosure of data
When disclosing data, a data controller and a data processor shall be obliged to ensure registration of the following information: the data that were disclosed, to whom, when and on what legal grounds they were disclosed. This information must be stored together with the data on a data subject for the entire storage period.
Article 19 – Filing system catalogue
1. A data controller shall be obliged to keep a filing system catalogue for each filing system and to register the following information:
a) the name of a filing system
b) the names and addresses of a data controller and a data processor, place of storing and/or processing of data
c) the legal grounds for data processing
d) the category of a data subject
e) the category of data in a filing system
f) the purpose of data processing
g) the period for data storage
h) the fact and grounds for the restriction of a right of a data subject
i) the recipient of data stored in a filing system, and their categories
j) the information on the transborder flows of data and transmission of data to international organisation, and the legal grounds for the transfer
k) the general description of the procedure established to ensure data security.
11. The Personal Data Protection Service is obliged to maintain the register of filing system catalogues. This register shall include the information provided for by paragraph 1 of this article. The information entered into the register of filing system catalogues shall be public. The Personal Data Protection Service shall ensure the publication of the information in accordance with the procedure established by the Head of the Personal Data Protection Service.
2. A data controller shall be obliged to ensure that the information under paragraph 1 of this article is regularly updated.
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 20 – Obligation to notify the Personal Data Protection Service
1. A data processor is obliged, before creation of a filing system and entry of a new category of data therein, to notify the Personal Data Protection Service, in writing or electronically, of the information required under Article 19 of this Law.
2. A data processor is obliged to notify the Personal Data Protection Service of any alteration made to the information under Article 19 of this Law not later than 30 days after the alteration.
3. One copy of a court ruling on issuance of a permit or refusal to issue a permit to conduct a covert investigative action requested by a law enforcement body, which contains only the details and the resolution part, as well as one copy of a court ruling on recognition as lawful or unlawful of a covert investigative action conducted by a law enforcement body without court permission, which contains only the details and the resolution part, shall be submitted to the Personal Data Protection Service in accordance with the procedure established by the Criminal Procedure Code of Georgia.
4. An electronic communications company shall notify the Personal Data Protection Service of the transfer to a law enforcement body of identification data of electronic communication in accordance with the procedure established by Article 136 of the Criminal Procedure Code of Georgia within 24 hours after the transfer.
5. In the case of urgent necessity the prosecutor’s decree on conducting covert investigative action which contains only the details and the resolution part shall be submitted to the Personal Data Protection Service no later than 12 hours (indicated in the ordinance) after the beginning of the covert investigative action by the prosecutor or the investigator on behalf of the prosecutor as a tangible document.
6. The electronic copy of a court ruling on issuance of a permit for conducting covert investigative action provided for by Article 1431(1)(a) of the Criminal Procedure Code of Georgia which contains only the details and the resolution part, also the electronic copy of the prosecutor’s decree on conducting covert investigative action which contains only the details and the resolution part shall be submitted to the Personal Data Protection Service directly after receiving by the Agency.
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter IV – Rights of Data Subjects
Article 21 – Right of data subjects to request information
1. A data subject shall have the right to request information from a data processor on processing of his/her data. The data processor must provide the data subject with the following information:
a) which personal data are being processed;
b) the purpose of data processing;
c) the legal grounds for data processing;
d) the ways in which the data were collected;
e) to whom his/her personal data were disclosed, and the grounds and purpose of the disclosure.
2. Provision of the data specified in paragraph 1(e) of this article, to a data subject shall not be mandatory if the data are public under law.
3. A data subject must be provided with the information under paragraph 1 of this article upon request immediately or not later than 10 days after the request if for responding to the information request it is required to:
a) retrieve and process the information at another institution or structural unit or consult with either one;
b) retrieve and process voluminous documents not linked to each other;
c) consult with its structural unit located in another populated place, or with other public agency.
4. A data subject shall opt for the way in which the information under paragraph 1 of this article is provided to him/her.
5. A person shall have the right to review his/her personal data kept at a public institution and obtain copies of the data for free, except for information when payment of a fee is required under the legislation of Georgia to issue it.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Article 22 – The right of data subjects to request for correction, update, addition, blocking, deletion and destruction of data
1. When requested by a data subject, a data controller shall be obliged to correct, update, add, block, delete, or destroy data if the data are incomplete, inaccurate, not updated, or were illegally collected and processed.
2. A data processor must inform all data recipients of correction, update, addition, blocking, deletion, and destruction of the data, except when provision of this information is impossible due to large number of data recipients or disproportionately high costs. The Personal Data Protection Service shall be notified of the latter circumstance.
3. If information is received in accordance with paragraph 2 of this article, the recipient party shall be obliged to correct, update, add, block, delete, or destroy the data, respectively.
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 23 – Procedure for correction, update, addition, blocking, deletion and destruction of data
1. A request under Article 22(1) of this Law shall be submitted either in writing, orally or by electronic means.
2. Within 15 days after the request of a data subject is received, a data processor shall be obliged to correct, update, add, block, delete or destroy the data or inform the data subject of the grounds for refusal.
3. If a data processor, without a request from a data subject, considers on its own that the data at his/her disposal are incomplete, inaccurate, or not updated, the data processor shall correct or update the data accordingly and inform the data subject.
4. After a data subject submits a request under Article 22(1) of this Law, a data processor shall have the right to block the data based on the applicant's request.
5. A decision to block data shall be made within three days after an appropriate request is submitted and shall be valid until a data controller decides to correct, update, add, delete or destroy the data.
6. The decision to block data shall be attached to the relevant data for as long as the reason of blocking the data exists.
Article 24 – Limitation of rights of data subjects
1. The rights of a data subject under Articles 15, 21 and 22 of this Law may be limited by the legislation of Georgia if the exercise of these rights endangers:
a) the interests of State security and defence
b) the interests of public security
c) crime detection, investigation and prevention
d) significant financial and economic interests of the country (including those related to monetary, budgetary and taxation issues)
e) the rights and freedoms of a data subject and others.
2. A measure under paragraph 1 of this article may be applied only to the extent necessary to achieve the intent of the limitation.
3. If the grounds in paragraph 1 of this article exist, the decision of a data processor or the Personal Data Protection Service must be provided to a data subject without prejudice to the intent of the limitation of a right.
Law of Georgia No 2765 of 29 June 2018 – website, 19.7.2018
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 25 – Withdrawal of consent
1. A data subject shall have the right to, at any time and without explanation, withdraw his/her consent given and to request that the data processing be stopped and/or the processed data be destroyed.
2. A data controller shall be obliged to stop the data processing and/or destroy the processed data according to the request of a data subject within five days after the application is submitted, unless there are other grounds to process data.
3. This Article shall not apply to information that is related to fulfilment of a data subject’s financial obligations and processed with his/her consent.
Article 26 – Right to appeal
1. If the rights under this Law are violated, a data subject shall have the right to apply to the Personal Data Protection Service or to the court under procedures determined by law, and if a data processor is a public institution, an appeal may be submitted to the same or senior administrative body. The Head of the Personal Data Protection Service shall review the application of the data subject in accordance with the procedure established by this Law and normative acts issued by the Head of the Personal Data Protection Service.
2. A data subject shall have the right to require from a body considering the case to block data until a decision is made.
3. A data subject shall have right to appeal the decision of a higher administrative body or the Personal Data Protection Inspector to the court under procedures determined by law.
3. A data subject shall have right to appeal the decision of a higher administrative body or the Personal Data Protection Service to the court under procedures determined by law.
4. In case of a dispute with respect to the existence of a data subject’s consent to process data, a data processor shall carry the burden of proof for the existence of the data subject's consent.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 261 – (deleted)
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017
Chapter V – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 27 – (Deleted)
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 28 – (Deleted)
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 29 – (Deleted)
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 30 – (Deleted)
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3350 of 20 March 2015 – website, 31.3.2015
Law of Georgia No 3879 of 6 December 2018 – website, 14.12.2018
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 31 – (Deleted)
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 32 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 33 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 34 – (Deleted)
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 35 – (Deleted)
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 351 – (Deleted)
Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014
Law of Georgia No 3940 of 8 July 2015 – website, 15.7.2015
Law of Georgia No 479 of 22 March 2017 – website, 27.3.2017
Law of Georgia No 3300 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 36 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 37 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 38 – (Deleted)
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 39 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Article 40 – (Deleted)
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Chapter VI – The Principles of Activities of the Personal Data Protection Service and Guarantees of the Exercise of Powers, the Powers of the Head of the Personal Data Protection Service, his/her Election, Inviolability, Incompatibility of Positions and Termination of Powers
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 401 – The principles of activities of the Personal Data Protection Service
1. When carrying out its activities, the Personal Data Protection Service shall be guided by the Constitution of Georgia, international treaties of Georgia, generally recognised principles and norms of international law, this Law and other relevant legal acts.
2. The principles of activities of the Personal Data Protection Service are:
a) lawfulness
b) respect of human rights and freedoms
c) independence and political neutrality;
d) fairness and impartiality;
e) professionalism;
f) respect of secrecy and privacy.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 402 – The Powers of the Head of the Personal Data Protection Service
1. The Head of the Personal Data Protection Service shall:
a) manage the Personal Data Protection Service and take decisions on issues related to the activities of the Service;
b) determines the structure of the Personal Data Protection Service, and the powers of structural units and employees;
c) approve, in accordance with the legislation of Georgia, the staff list of employees of the Personal Data Protection Service, and the procedures and amounts of remuneration;
d) determine the functions and duties of the First Deputy and Deputy Head of the Personal Data Protection Service and delegate powers to them;
e) appoint and dismiss employees of the Personal Data Protection Service;
f) grant and strip a special state rank (the special rank) to an employee of the structural unit carrying out official inspection of the Personal Data Protection Service in accordance with the procedure established by the legislation of Georgia;
g) represent personal data protection service in relations with state bodies, international and other organisations;
h) ensure the protection and targeted use of state property transferred to the Personal Data Protection Service;
i) exercises other powers in accordance with law.
2. The Head of the Personal Data Protection Service shall, within the scope of his/her powers, issue a subordinate normative act, an order on matters related to the activities of the Personal Data Protection Service.
3. The Head of the Personal Data Protection Service shall issue individual legal acts, including resolutions, orders and instructions, based on the appropriate normative act and within the scope of its powers to execute such normative act.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 403 – Election of the Head of the Personal Data Protection Service and his /her term of office
1. A citizen of Georgia who has not been convicted and who has a higher legal education and at least 5 years of experience in the system of justice or law enforcement bodies, or in the field of the protection of human rights, and a high professional and moral reputation, may be elected to the position of Head of the Personal Data Protection Service.
2. The competition for the selection of the Head of the Personal Data Protection Service shall be announced and the competition commission shall be established by the order of the Prime Minister of Georgia. The members of the competition commission shall be:
a) a representative of the Government of Georgia
b) the Chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia
c) the Chairperson of the Legal Issues Committee of the Parliament of Georgia
d) Deputy Chairperson of the Supreme Court of Georgia
e) First Deputy or Deputy Prosecutor General of Georgia
f) the Public Defender of Georgia or the representative of the Public Defender of Georgia
g) a person with relevant experience, who has work experience in the field of human rights and/or data protection, and who has been selected by the Public Defender of Georgia from the members of the non-entrepreneurial (non-commercial) legal entity through an open competition.
3. Not earlier than 11 weeks and not later than 10 weeks before the expiry of the term of office of the Head of the Personal Data Protection Service, and in the case of termination of his/her term of office, within 1 week after the termination of the term of office, the agencies and institutions specified in paragraph 2 of this article shall inform the Prime Minister of Georgia on the names of the members of the competition commission for the selection of the Head of the Personal Data Protection Service. 7 days after the expiry of the deadline for nomination of the members of the competition commission, the Prime Minister of Georgia shall convene the first meeting of the competition commission. The meeting of the competition commission shall quorate if the majority of the full composition of the competition commission is present. The competition commission shall elect the chairperson of the competition commission from among its members at the first meeting and shall approve the regulations of the competition commission for the selection of the Head of the Personal Data Protection Service within 1 week, which shall determine the rules of activity of the competition commission, as well as the deadline and procedures for nomination of candidacies for the Head of the Personal Data Protection Service.
4. The competition commission for the selection of the Head of the Personal Data Protection Service shall select no less than 2 and no more than 5 candidates for the Head of the Personal Data Protection Service by the majority of votes, and shall nominate them to the Prime Minister of Georgia. Taking into account the number of selected candidacies, the nomination of candidates of different genders shall be maximally equal.
5. The Prime Minister of Georgia shall, within 10 days, nominate 2 candidates to the Parliament of Georgia for the selection to the position of the Head of the Personal Data Protection Service.
6. The Parliament of Georgia shall elect the Head of the Personal Data Protection Service in accordance with the procedures established by the Rules of Procedure of the Parliament of Georgia no later than 14 days after the nomination of candidates. If the term fully or partially coincides with the period between the sessions of the Parliament of Georgia, the term specified by this paragraph for the election of the Head of the Personal Data Protection Service shall be extended by the appropriate time. If the Parliament of Georgia fails to elect the Head of the Personal Data Protection Service through the voting or if both candidates refuse to be elected to the position of the Head of the Personal Data Protection Service before the voting, the Prime Minister of Georgia shall announce a new competition within 2 weeks.
7. If the Head of the Personal Data Protection Service was elected before the expiry of the term of office of the current Head of the Personal Data Protection Service, the powers of the newly elected Head of the Personal Data Protection Service shall take effect on the day following the expiry of the term of office of the current Head of the Personal Data Protection Service. If the Head of the Personal Data Protection Service was elected after the expiry of the term of office of the Head of the Personal Data Protection Service or before the termination of his/her term of office, the powers of the newly elected Head of the Personal Data Protection Service shall take effect on the day following his/her election.
8. The term of office of the Head of the Personal Data Protection Service shall be 6 years. A person may not be elected to the position of Head of the Personal Data Protection Service twice in succession. The Head of the Personal Data Protection Service may not perform his/her duties after the expiry or the termination of the term of office.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 404 – First Deputy and Deputy Head of the Personal Data Protection Service
1. The Head of the Personal Data Protection Service has a First Deputy and a Deputy, whom he/she appoints to the positions by order. Upon the expiry or the termination of the term of office of the Head of the Personal Data Protection Service, the term of office of the First Deputy and Deputy Head of the Personal Data Protection Service shall cease as soon as the newly elected Head of the Personal Data Protection Service starts the exercise of powers in accordance with the procedure established by this Law.
2. In the case of the absence of the Head of the Personal Data Protection Service, his/her failure to exercise powers, the suspension, expiry or termination of his/her powers, the powers of the Head of the Personal Data Protection Service shall be exercised by the First Deputy Head of the Personal Data Protection Service, and in the absence of the First Deputy - the Deputy Head of the Personal Data Protection Service. During the performance of the duties of the Head of the Personal Data Protection Service, the First Deputy and the Deputy Head of the Personal Data Protection Service shall enjoy the powers and legal guarantees granted to the Head of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 405 – Inviolability of the Head of the Personal Data Protection Service
1. The Head of the Personal Data Protection Service shall be inviolable. Criminal prosecution, detention or arrest of the Head of the Personal Data Protection Service, the search of his/her residence or workplace, car or personal search can only be done with the prior consent of the Parliament of Georgia. An exception is the case when he/she has been caught in action, which shall be immediately reported to the Parliament of Georgia. If the Parliament of Georgia does not give its consent within 48 hours, the arrested or detained Head of the Personal Data Protection Service shall be released immediately.
2. In the event that the Parliament of Georgia gives consent to the arrest or detention of the Head of the Personal Data Protection Service, his/her powers shall be suspended by the resolution of the Parliament of Georgia before the resolution/judgment on termination of the criminal prosecution is issued or the court judgment enters into legal force.
3. The personal security of the Head of the Personal Data Protection Service shall be ensured by the relevant state bodies in the prescribed manner.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 406 – Incompatibility of the position of the Head of the Personal Data Protection Service
1. The position of the Head of the Personal Data Protection Service shall be incompatible with the membership of the representative bodies of state authorities and municipalities, any position in the public and state services, and other paid activities, except for scientific, pedagogical and artistic activities. The Head of the Personal Data Protection Service may not engage in entrepreneurial activities, directly exercise the powers of a permanent head of a business entity, a member of a supervisory, control, audit or advisory body, be a member of a political party or participate in political activities.
2. The Head of the Personal Data Protection Service shall be prohibited from participating in gatherings and demonstrations supporting or opposing the political union of citizens.
3. The person elected to the position of the Head of the Personal Data Protection Service is obliged to stop the activities incompatible with the position or to resign from the position incompatible with his/her status within 10 days after the election. Until the person elected to the position of the Head of the Personal Data Protection Service does not stop the activities incompatible with the position or resigns from the position incompatible with his/her status, he/she shall not be authorised to start exercising the powers of the Head of the Personal Data Protection Service. If the Head of the Personal Data Protection Service does not comply with the requirements established by this paragraph within the mentioned period, his/her powers shall be terminated.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 407 – Termination of powers of the Head of the Personal Data Protection Service
1. The powers of the Head of the Personal Data Protection Service shall be terminated if:
a) he/she lost the citizenship of Georgia;
b) he/she has not been able to exercise his/her powers for 4 consecutive months due to his/her health condition;
c) the court's judgement of conviction has entered into legal force;
d) he/she was recognised by the court as a recipient of support (unless otherwise determined by the court's judgment), as missing or declared dead;
e) he/she has occupied a position incompatible with his/her status or carries out activities incompatible with the position;
f) he /she has resigned voluntarily;
g) he/she has died.
2. In the case provided for by paragraph 1 of this article, the powers of the Head of the Personal Data Protection Service shall be considered terminated from the moment of the occurrence of the relevant circumstances, of which the Chairperson of the Parliament of Georgia shall immediately inform the Parliament of Georgia. The Parliament of Georgia shall terminate the powers of the Head of the Personal Data Protection Service on the basis of receiving information from the Chairperson of the Parliament of Georgia.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 408 – Organisational and financial support of the Personal Data Protection Service
1. The structure of the Personal Data Protection Service, the rules for activities and the distribution of powers among employees shall be established by the regulations of the Personal Data Protection Service, which shall be approved by the Head of the Personal Data Protection Service.
2. An employee of the structural unit carrying out the official inspection of the Personal Data Protection Service shall be a public servant and the Law of Georgia ‘On Public Service’ shall apply, unless otherwise established by this Law or by the normative act of the Head of the Personal Data Protection Service issued on the basis of this Law. Other employees of the Personal Data Protection Service shall be public servants and the Law of Georgia ‘On Public Service’ shall apply in accordance with the established rules. The Head of the Personal Data Protection Service shall establish the procedures for serving at the Personal Data Protection Service by employees of the structural unit carrying out the official inspection of the Personal Data Protection Service.
3. The activities of the Personal Data Protection Service shall be financed from the state budget of Georgia. Allocations necessary for the activities of the Personal Data Protection Service shall be determined by a separate unit of the state budget of Georgia. The current expenses allocated from the state budget of Georgia for the Personal Data Protection Service compared to the amount of budget funds of the previous year may be reduced only with the prior approval of the Head of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 409 – Independence of the Personal Data Protection Service
1. The Personal Data Protection Service shall be independent in exercising its powers and shall not be subject to any body or official. Any influence on the Head of the Personal Data Protection Service and employees of the Personal Data Protection Service and illegal interference in their activities shall not be allowed and shall be punishable by law.
2. In order to ensure the independence of the Personal Data Protection Service, the State is obliged to create appropriate conditions for activities.
3. The Head of the Personal Data Protection Service has the right not to testify in connection with the performance of the functions of monitoring the legality of data processing, conducting covert investigative actions and the activities carried out in the electronic data identification central bank due to the fact that he/she has been disclosed such information as the Head of the Personal Data Protection Service. Such right shall be preserved even after the termination of the powers of the Head of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4010 – Annual report of the Personal Data Protection Service
1. The Head of the Personal Data Protection Service shall submit to the Parliament of Georgia once a year, not later than 31 March, a report on the status of data protection in Georgia, the monitoring of the conduct of covert investigative actions, and the activities carried out in the electronic data identification central bank.
2. The annual report of the Personal Data Protection Service shall contain information on the activities carried out by the Personal Data Protection Service in the field of data protection during the reporting period, general assessments related to the status of data protection in Georgia, conclusions and recommendations, information on significant violations identified during the year and measures taken, general statistical information on the activities carried out in the field of monitoring the conduct of covert investigative actions.
3. Once a year, the Head of the Personal Data Protection Service shall submit a report on the results of monitoring the investigative actions provided for by Articles 136-138 of the Criminal Procedure Code of Georgia and the covert investigative actions provided for by Article 1431 (a and b) of the same code, to the Parliamentary Committee and the Trust Group set in accordance with the procedures established by the Parliamentary Bureau based on the Rules of Procedure of the Parliament of Georgia.
4. Information on the activities carried out by the Personal Data Protection Service, taking into account the limitations established by this article, shall be provided to the public through the website of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter V2 – Powers of the Personal Data Protection Service in the Field of Data Protection and Monitoring the Conduct of Covert Investigative Actions
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4011 – Main fields of activities of the Personal Data Protection Service in the area of data protection
The Personal Data Protection Service shall monitor the legality of data processing in Georgia. The main fields of activity of the Personal Data Protection Service in this area shall be:
a) consulting on issues related to data protection;
b) reviewing applications related to data protection;
c) checking the legality of data processing (inspection);
d) providing information to the public on the state of data protection in Georgia, important events related thereto, and raising the awareness.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4012 – Review of the application of the data subject by the Personal Data Protection Service
1. The Personal Data Protection Service is obliged to review the application of the data subject regarding the processing of data and to apply the measures provided for by the legislation of Georgia.
2. Within 10 days of receiving the data subject's application, the Personal Data Protection Service shall take a decision on the measures to be applied, and inform the applicant thereof.
3. The Personal Data Protection Service shall be authorised to carry out an inspection in order to study and investigate the circumstances related to the data subject's application. Any data processor and/or data controller is obliged to hand over relevant material, information and/or documents to the Personal Data Protection Service upon request.
4. The term of reviewing the application of the data subject by the Personal Data Protection Service shall not exceed 2 months. Based on the grounded decision of the Personal Data Protection Service, the period of review of the application of the data subject may be extended for no more than 1 month.
5. The Personal Data Protection Service shall be authorised to suspend the relevant proceedings during the review of the data subject's application on the basis of requesting additional material, information and/or documentation, of which the data subject shall be informed. The review of the data subject's application will continue upon the cancellation of the said grounds. The period of suspension of proceedings shall not be included in the period provided for by paragraph 4 of this article.
6. The Personal Data Protection Service shall be authorised to take a decision on data blocking before the review of the data subject's application is completed. Despite the blocking of data, the processing of the data may continue if it is necessary to protect the vital interests of the data subject or a third party, as well as for the purposes of state security and state defence.
7. After reviewing the application of the data subject, the Personal Data Protection Service shall take a decision on the use of one of the measures provided for by Article 4014 of this Law, and inform the data subject and the data processor and/or the data controller thereof in accordance with the procedure established by the legislation of Georgia and within the established period.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4013 – Inspection by the Personal Data Protection Service
1. The Personal Data Protection Service shall authorised to carry out an inspection of any data processor and/or data controller on its own initiative or based on the application of an interested person. The Head of the Personal Data Protection Service shall take a decision to carry out the inspection provided for in this article.
2. Inspection by the Personal Data Protection Service involves:
a) the determination of compliance with the principles of data processing and the existence of legal grounds for data processing;
b) the checking of the conformity of organisational and technical measures and procedures conducted for data security with the requirements established by the legislation of Georgia;
c) The checking of the fulfilment of the requirements established by this Law regarding the file system catalogue, the file system catalogue registry, and the registry of data release;
d) the checking of the legality of data transfer to another state and international organisation;
e) the checking of the compliance with the rules and requirements established by this Law, the Law of Georgia ‘On Personal Data Protection’, and other normative acts;
3. The Personal Data Protection Service shall be authorised to request documents and/or information, including information containing state, tax, banking, commercial, professional secrets and/or data, from any institution, natural and/or legal person during the inspection, as well as, the material and/or documentation and/or information describing operative and investigative activities and crime investigation, which belong to the State secret and which are necessary to carry out the inspection within the scope established by paragraph 2 of this article.
4. The data processor and/or data controller is obliged to provide any material, information and/or document to the Personal Data Protection Service immediately, no later than 10 working days, if the response to the request of information requires:
a) the finding and processing information in another institution or structural unit or the consulting with the said institution or unit;
b) the search for and the processing of a significant volume of information/documents.
5. The Personal Data Protection Service shall be authorised to extend the period referred to in paragraph 4 of this article by no more than 10 working days based on the reasonable application by the data processor and/or data controller.
6. The Personal Data Protection Service shall be authorised to visit any institution and organisation for inspection and to obtain any document and information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as the material and/or documentation and/or information describing operative and investigative activities and crime investigation, which belong to the State secret, despite their content and the mode of storage.
7. Taking into account the results of the inspection, the Personal Data Protection Service shall be authorised to apply the measures provided for in Article 4014 of this Law.
8. An employee of the Personal Data Protection Service is obliged to secure information containing any kind of secret and not to disclose the secret information that he/she has become aware of during the performance of his/her official duties. Such obligation shall survive after the termination of the authority of the employee of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4014 – Use of measures by the Personal Data Protection Service
1. If the Personal Data Protection Service identifies a violation of this Law or another normative act regulating data procession, the Service shall be authorised to use one or several of the following measures at the same time:
a) request the eradication of violations and deficiencies related to data processing in the form and within the period specified by it;
b) request the suspension or termination of data processing, if the measures and procedures for the protection of data carried out by the data processor or a data controller do not comply with the requirements established by the legislation of Georgia;
c) request the termination of data processing, blocking, deletion, destruction or depersonalisation of data, if the Service believes that data processing is carried out in violation of the legislation of Georgia;
d) request the termination of data transfer to another state and international organisation, if data transfer is carried out in violation of the legislation of Georgia;
e) give written advice and make recommendations to the data processor and/or the data controller in the case of minor violation of the procedures related to data processing;
f) impose administrative liability on the violator.
2. The data processor and/or data controller is obliged to fulfil the requirements within the period specified by the Personal Data Protection Service, and to inform the Personal Data Protection Service thereof.
3. If the data processor and/or data controller does not comply with the requirements of the Personal Data Protection Service, the Personal Data Protection Service has the right to apply to a court, a law enforcement body and/or a supervisory (regulatory) state institution determined by the relevant legislation of Georgia.
4. If the Personal Data Protection Service identifies an administrative offense, it shall be authorised to draw up an administrative offense report and, accordingly, impose the administrative liability on the data processor and/or data controller in accordance with the law of Georgia ‘On Personal Data Protection’ and the Administrative Offenses Code of Georgia.
5. If the Personal Data Protection Service believes that there are signs of a crime during performance of its activities, it is obliged to inform the authorised state body thereof in accordance with law.
6. The compliance with the decision of the Personal Data Protection Service in the field of data protection shall be mandatory and may only be appealed in a court in accordance with law.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4015 – Consultation and implementation of educational activities by the Personal Data Protection Service
1. The Personal Data Protection Service is obliged to advise state authorities, municipal authorities, other public institutions, legal entities under private law and natural persons on any issue related to data processing and data protection in the event of a relevant request.
2. The Personal Data Protection Service shall carry out educational activities on issues related to data processing and data protection.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4016 – Monitoring of the conduct of covert investigative actions and the activities carried out in the electronic data identification central bank
1. During the conduct of the covert investigative action - secret eavesdropping and recording of the telephone communication provided for by Article 1431(1)(a) of the Criminal Procedure Code of Georgia, the Personal Data Protection Service shall monitor:
a) through the electronic control system – the legality of data processing;
b) through the special electronic control system – the legality of data processing;
c) the legality of data processing by the data processor/data controller (inspection).
2. The Personal Data Protection Service shall carry out the monitoring of the investigative activities provided for by Articles 136-138 of the Criminal Procedure Code of Georgia by comparing the information provided by the court, the prosecutor's office and the electronic communication service provider and by checking (inspecting) the legality of data processing by the data processor/data controller.
3. The monitoring of covert investigative actions provided for by Article 1431 (1) (b, d, and f) of the Criminal Procedure Code of Georgia shall be carried out by the Personal Data Protection Service by checking (inspecting) the legality of data processing by the data processor/data controller.
4. The monitoring of covert investigative actions provided for by Article 1431 (1) (e) of the Criminal Procedure Code of Georgia shall be carried out by the Personal Data Protection Service by checking (inspecting) the legality of data processing by the data processor/data controller, in accordance with the procedures provided for by this Law. In the case provided for by this paragraph, when carrying out checking (inspection), information about the identity of a person participating in the conduct of covert investigative actions (except for a data subject, an investigator and a prosecutor) and the permit to participate in the process of carrying out inspection, as well as information on the characteristics of operational and operational-technical equipment used during the conduct of the covert investigative actions provided for in this paragraph, may be requested only with the approval of the head of the body conducting the covert investigative action. In the case provided by this paragraph, the implementation of the inspection shall not cover the direct participation in the process of preparing/conducting the covert investigative action and the on-site inspection of a disguised residential or service place or other disguised facility and building.
5. The Personal Data Protection Service shall monitor the conduct of covert investigative actions provided for by Article 1431(1) (c) of the Criminal Procedure Code of Georgia, as well as the implementation of the measure provided for by Article 7 (3) (b) of the Law of Georgia ‘on Operative-Investigative activities’ with a special electronic system of controlling the determination of the geo-location in real time, and the control (inspection) of the legality of data processing by the data processor/data controller.
6. The activities carried out in the electronic data identification central bank shall be monitored by the Personal Data Protection Service through the electronic system of monitoring of the electronic data identification central bank and by checking (inspecting) the legality of data processing by the data processor/ data controller.
7. During the inspection of the Agency, the Personal Data Protection Service shall be authorised to:
a) enter the area of limited access of the Agency and monitor the implementation of activities by the authorised bodies in the on-going mode;
b) acquire the legal documents and technical instructions regulating the activities of the Agency (including those containing state secrets);
c) obtain information on the technical infrastructure used for the purposes of covert investigative actions and inspect the infrastructure;
d) request explanations from the Agency employees with respect to individual issues identified during the inspection;
e) exercise other powers provided for by this Law.
8. Employees of the Agency is obliged to cooperate with the Personal Data Protection Service - to provide the Personal Data Protection Service with the requested information and documents, as well as to give explanations regarding the individual issues identified during the inspection.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter V3 – Legal Protection and Social Security of Employees of the Personal Data Protection Service, and Employees of the Structural Unit Implementing the Official Inspection of the Personal Data Protection Service
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4017 – Legal protection of employees of the Personal Data Protection Service
1. An employee of the Personal Data Protection Service shall be a representative of the state authorities and shall be protected by the State. The fulfilment of the lawful request of the employee of the Personal Data Protection Service shall be mandatory.
2. No one has the right to interfere with the official activities of the employee of the Personal Data Protection Service, except for the cases stipulated by law.
3. Obstructing an employee of the Personal Data Protection Service in the performance of his/her duties, encroaching upon his/her honour and dignity, showing non-abeyance, threat, violence or encroaching on his/her life, health or property, shall result in the liability established by the legislation of Georgia. In the case of being notified of the encroaching on the life, health and property of the Head of the Personal Data Protection Service, the First Deputy or Deputy Head of the Personal Data Protection Service, an employee of the Personal Data Protection Service or his/her family member in connection with the exercise of official powers, the state authorities are obliged to implement the measures stipulated by law for their personal safety and the safety of their property.
4. An employee of the Personal Data Protection Service shall refuse to comply with an obviously unlawful order or instruction, had he/she known or should have known about its unlawfulness, and shall act within the scope of law.
5. An employee of the Personal Data Protection Service shall inform the Head of the Personal Data Protection Service in the case of the receipt of an obviously unlawful order or instruction.
6. An employee of the Personal Data Protection Service who refuses to comply with an obviously unlawful order or instruction shall not be held liable.
7. A person giving an obviously unlawful order or instruction to an employee of the Personal Data Protection Service shall be held liable in accordance with the procedures provided for by law.
8. An employee of the Personal Data Protection Service shall have the right to apply to the court to protect his/her rights and freedom;
9. An employee of the Personal Data Protection Service shall be given an identity card and/or a special badge to confirm his/her official powers, the form and manner of issuance of which shall be determined by the Head of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4018 – Social security of employees of the Personal Data Protection Service with a special rank
1. The State shall ensure the social security of an employee of the Personal Data Protection Service with a special rank.
2. Unless otherwise stipulated by the legislation of Georgia, the social security guarantees of an official provided for by the Law of Georgia ‘on Public Service’ shall apply to an employee of the Personal Data Protection Service with a special rank (including the social security guarantees related to bodily injury or death during the performance of official duties).
3. An employee of the Personal Data Protection Service with a special rank shall have:
a) the official salary determined in accordance with paragraph 5 of this article;
b) the salary increment and monetary reward established in accordance with paragraph 5 of this article and the Law of Georgia ‘on Remuneration in Public Institutions’;
c) the remuneration corresponding to the special rank;
d) the salary increment according to the years of service;
e) other increments and compensations provided for by the legislation of Georgia.
4. An employee with a special rank of the Personal Data Protection Service, who has been dismissed due to the attaining of the age limit or being recognised as a person with disabilities, shall have the right to receive the appropriate state compensation or state pension in accordance with the legislation of Georgia.
5. The amount of and procedures for remuneration of an employee with a special rank of the Personal Data Protection Service, the amount increments according to the rank and years of service, as well as the amount of other increments and compensations provided for by the legislation of Georgia shall be determined by the normative acts of the Head of the Personal Data Protection Service and other legislative and subordinate normative acts of Georgia.
6. An employee with a special rank of the Personal Data Protection Service shall be subject to mandatory state insurance. The matters related to the state insurance of family members of employees with a special rank of the Personal Data Protection Service (including the circle of family members) shall be determined by the Head of the Personal Data Protection Service.
7. The special ranks of employees of the Personal Data Protection Service shall be determined by the Law of Georgia ‘on Special State Ranks.’
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 4019 – Selection, appointment and powers of employees of the structural unit carrying out official inspection of the Personal Data Protection Service
1. An employee of the structural unit carrying out official inspection of the Personal Data Protection Service (except for the case provided for by paragraph 2 of this article) shall be appointed to the position on the basis of a competition, by an order of the Head of the Personal Data Protection Service. The rules and conditions of the competition for the selection and appointment of an employee of the structural unit carrying out the inspection of the Personal Data Protection Service, as well as the qualification requirements of the person to be appointed (the basic requirements, which should not be less than the basic requirements established by Article 27 of the Law of Georgia ‘on Public Service’, special requirements and additional requirements) shall be determined by this law and the corresponding legal act of the Head of the Personal Data Protection Service. In order to select and appoint an employee of the structural unit carrying out official inspection of the Personal Data Protection Service, the Head of the Personal Data Protection Service shall establish a competition commission and determine the rules of its activity.
2. It shall be permissible to transfer to another institution, without a competition, of an employee of the structural unit carrying out official inspection of the Personal Data Protection Service based on the principle of mobility, or to carry out his/her horizontal transfer as provided for by the Law of Georgia ‘on Public Service’.
3. The powers and duties stipulated by this Law and the corresponding legal act of the head of the Personal Data Protection Service shall apply to an employee of the structural unit carrying out the official inspection of the Personal Data Protection Service.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter VI – Transfer of Data to Other States and International Organisations
Article 41 – Data transfer to other states and international organisations
1. Data may be transferred to other states and international organisations if there are grounds for data processing under this Law and if appropriate data protection guarantees are provided by the respective state or international organisation.
2. Data may also be transferred to other states and international organisations, except for paragraph 1 of this article, if:
a) the data transfer is part of a treaty or an international agreement of Georgia;
b) a data processor provides appropriate guarantees for protection of data and of fundamental rights of a data subject on the basis of an agreement between a data processor and the respective state, a natural or legal person of this state or an international organisation.
3. Data may be transferred under paragraph 2(b) of this article only with permission of the Personal Data Protection Service.
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 42 – Establishing appropriate guarantees for data protection
The Personal Data Protection Service shall assess the presence of appropriate guarantees for data protection in other states and/or international organisations, and take a decision on the basis of analysis of the legislation regulating data processing and the practice.
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter VII – Administrative Liability for Violation of this Law
Article 43 – Data processing without the grounds under this Law
1. Data processing without the grounds under this Law shall result in a warning or a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Article 44 – Violation of principles of data processing
1. Violation of principles of data processing under this Law shall result in a warning or a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Article 45 – Processing of special category data without the grounds under this Law
1. Processing of special category data without the grounds under this Law shall result in a fine of GEL 1 000.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 5 000.
Article 46 – Failure to comply with data protection requirements
1. Failure to comply with data protection requirements established by this Law shall result in a warning or a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for the violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Article 47 – Using data for direct marketing purposes in violation of the rules under this Law
1. Using data for direct marketing purposes in violation of the rules under this Law shall result in a fine of GEL 3000.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 10 000.
Article 48 – Violation of video surveillance rules
1. Violation of video surveillance rules under this Law shall result in a warning or a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Article 49 – Violation of rules for processing the building entry/exit data of public and private institutions
Violation of rules under this Law for processing of the building entry/exit data of public and private institutions shall result in a warning or a fine of GEL 100.
Article 50 – Violation of rules for notification of the data subject by the data processor
1. Violation of rules under this Law for notification of a data subject by a data controller shall result in a warning or a fine of GEL 100.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 500.
Article 51 – Assignment of data processing to the data processor by the data controller in violation of rules
1. Assignment of data processing to a data processor by a data controller in violation of rules under this Law shall result in a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Article 52 – Violation of rules under Article 16 of this Law by the data processor
1. Violation of rules under Article 16 of this Law by a data processor shall result in a fine of GEL 1 000.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.
Article 521 – Violation of rules for data transfer to another state and international organisation
1. Transfer of data in violation of rules established under Article 41 of this Law shall result in a fine of GEL 1 000.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 53 – Failure to fulfil requirements of the Personal Data Protection Service
1. Violation of the rule for submitting information and documents to the Personal Data Protection Service by a data processor or a data controller, including the failure to provide the information under Article 10 of this Law and to fulfil the notification obligation under Article 20 of this Law shall result in a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Article 54 – Violation of other rules related to data processing
1. Violation of the rule under Article 3(11) of this Law shall result in a fine of GEL 500.
2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
Article 55 – Consideration of administrative proceedings
1. The Personal Data Protection Service shall have the right to consider administrative proceedings under Articles 43-54 of this Law and to impose administrative penalties.
2. A person authorised for this purpose by the Personal Data Protection Service shall draw up an administrative offence report.
3. A person authorised by the Personal Data Protection Service shall draw up an administrative offence report and review a case of an administrative offence in accordance with the procedures established by the Administrative Offences Code of Georgia, and the normative acts issued by the Head of the Personal Data Protection Service.
Law of Georgia No 3274 of 21 July 2018 – website, 9.8.2018
Law of Georgia No 4253 of 27 December 2018 – website, 29.12.2018
Law of Georgia No 4597 of 8 May 2019 – website, 8.5.2019
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter VII1 – Transitional Provisions
Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014
Article 551 – Transitional provisions
The Ministry of Internal Affairs of Georgia shall, before 31 March 2015, ensure the implementation of technical and organisational measures necessary for the operation of a special data bank electronic control system and the development of appropriate software.
Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014
Article 552 – Measures to be implemented in the transition period
1. Prior to the first election of the Head of the Personal Data Protection Service, the candidates for the Head of the Personal Data Protection Service shall be selected and nominated to the Parliament of Georgia for election in accordance with Article 403 of this Law, with the following time frames:
a) the Prime Minister of Georgia shall announce the competition for election of the Head of the Personal Data Protection Service, and the agencies and institutions determined by Article 403 (2) of this Law shall inform the Prime Minister of Georgia of the names of the members of the competition commission for the selection of the Head of the Personal Data Protection Service within 1 week after the entry into force of this article;
b) the Prime Minister of Georgia shall establish a competition commission for the selection of the Head of the Personal Data Protection Service and convene the first meeting of the competitive commission within 2 weeks after the entry into force of this article;
c) in the case of the announcement of the repeated competition in accordance with Article 403 (6) of this Law, the time frames established by sub-paragraphs (a) and (b) of this paragraph shall remain valid and they shall be counted from the moment of announcing the repeated competition.
2. If the Parliament of Georgia elects the Head of the Personal Data Protection Service from among the candidates nominated in accordance with paragraph 1 of this article and Article 403 of this Law before 1 March 2022, the powers of the newly elected Head of the Personal Data Protection Service shall start from 1 March 2022. If the Parliament of Georgia elects the Head of the Personal Data Protection Service from among the mentioned candidates after 1 March 2022, the powers of the newly elected Head of the Personal Data Protection Service shall start from the day following his/her election.
3. The relevant bodies/officials shall immediately, but not later than 1 April 2022, adopt/issue the subordinate legal acts necessary to execute this Law.
4. The Government of Georgia shall ensure the implementation of necessary measures to equip the Personal Data Protection Service with appropriate assets before 1 April 2022.
5. In 2022, the activities of the Personal Data Protection Service shall be financed from the programme code (51 00) designated for the Personal Data Protection Service approved by the Law of Georgia ‘on State Budget of Georgia of 2022’.
6. The annual report of the Personal Data Protection Service provided for by Article 4010 of this Law shall not be submitted to the Parliament of Georgia in 2022.
Law of Georgia No 1313 of 30 December 2021 – website, 13.1.2022
Chapter VIII – Final Provisions
Article 56 – Entry of the Law into force
1. This Law, except for Articles 43–55 of this Law, shall enter into force from 1 May 2012.
2. Articles 43–55 of this Law shall enter into force from 1 January 2013.
3. Articles 34, 35 and 39 of this Law shall become valid for private sector from 1 November 2014.
Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014
President of Georgia M. Saakashvili
Tbilisi
28 December 2011
No 5669 - რს
Контролный текст по состоянию на 30.12.2021 N1313
Закон Грузии
О защите персональных данных
Глава I
Общие положения
Статья 1. Цели Закона
Целью настоящего Закона является обеспечение при обработке персональныхданных защиты прав и свобод человека, в том числе − неприкосновенности личной жизни.
Статья 2. Разъяснение терминов
Термины, использованные в настоящем Законе, имеют следующие значения:
а)персональные данные (далее − данные) − любая информация, связанная с идентифицированным илиидентифицируемым физическим лицом. Лицо является идентифицируемым, когда возможно его идентифицировать прямо или косвенно, в частности, по идентификационному номеру или характерным физическим, физиологическим, психологическим, экономическим, культурным либо социальным признакам;
б) данные особой категории − данные, связанные с расовой или этнической принадлежностью, политическими убеждениями, религиозными или философскими взглядами, членством в профессиональных союзах, состоянием здоровья, сексуальной жизнью, судимостью, административным арестом, назначением лицу мер пресечения, заключением с лицом процессуального соглашения, с устранением, признанием лица жертвой преступления или потерпевшим, а также биометрические и генетические данные, которые позволяют идентифицировать физических лиц по вышеуказанным признакам;(1.08.2014 N2639)
в) биометрические данные −физические, психические или поведенческие характеристики, которые уникальны и постоянны для каждого физического лица и по которым можно идентифицировать указанное лицо (отпечатки пальцев, отпечатки стоп, радужная оболочка глаза, роговая оболочка глаза (изображение роговицы глаза), характеристики лица); (1.08.2014 N2639)
в1) генетические данные – уникальные и постоянные данные,касающиеся генетического наследия или (и) кода ДНК субъекта данных, по которым можно идентифицировать указанное лицо; (1.08.2014 N2639)
г) обработка данных− любое действие, выполняемое в отношении данных с использованием автоматических, полуавтоматических или неавтоматических средств, в частности сбор, запись,фотографирование, аудио-, видеозапись, организация, хранение, замена, восстановление, истребование, использование или разглашение в целях передачи, распространения данных либо обеспечениядоступа к ним иным образом, группировка либо комбинация, блокирование, удаление или уничтожение данных; (1.08.2014 N2639)
д) автоматическая обработка данных − обработка данных с применением информационных технологий;
д1) полуавтоматическая обработка данных – обработка данных с использованием информационных технологий или при помощи неавтоматических средств; (1.08.2014 N2639)
е) субъект данных −любое физическое лицо, данные о которомобрабатываются;
ж) согласие − добровольное согласие субъекта данных на обработку данных о нем в определенных целях, выраженное в устной форме, при помощи телекоммуникационных или иных соответствующих средств после получения соответствующей информации, позволяющее четко установить волеизъявление субъекта данных;
з) письменное согласие субъекта данных− выраженное субъектом данных послеполучения им соответствующей информациидобровольное согласие на обработку данных о нем, подписанное, либо подтвержденное им иным образом в письменной или приравненной к ней форме;
и) лицо, обрабатывающее данные – публичное учреждение,
физические или юридические лица, определяющие индивидуально или вместе с другими лицами цели и средства обработки персональных данных, непосредственно или при помощи уполномоченного лица осуществляют обработку данных; (25.05.2012 N6325)
к) уполномоченное лицо −любые физические или юридические лица, обрабатывающие данные для лица, обрабатывающего данные или от его имени;
л) получатель данных − частное или публичное учреждение, физическое лицо или юридическое лицо, сотрудник частного или публичного сектора, которому были переданы данные, помимо Службы защиты персональных данных;(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
м) третье лицо – физическое лицо или юридическое лицо, публичное учреждение, кроме субъекта данных, Службы защиты персональных данных, лица, обрабатывающего данные, и уполномоченного лица; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
н) файловая система −структуризованныйряд данных, расположенных и доступных по конкретным критериям;
о) каталог файловой системы − детальное описание структуры и содержания файловой системы;
п) реестр каталогов файловых систем −реестр, обеспечивающий детальный учет имеющихся файловых систем;
р) блокирование данных − временное приостановление обработки данных;
с) обезличивание данных − модификация данных, в результате которой определениеих связис субъектом данных невозможно, либо требует несоразмерных усилий, затрат средств и времени;
т) идентификационный номер −личный идентификационный номер или любой иной определенный законом связанный с физическим лицом идентификационный номер, при помощи которого возможно отыскать данные в файловой системе (в которой идентификационный номер также обработан) илиразглашать;
у) Начальник Службы защиты персональных данных – руководитель Службы защиты персональных данных, который избирается на должность в порядке, установленном настоящим Законом и Регламентом Парламента Грузии, и осуществляет полномочия, предусмотренные настоящим Законом или (и) другим законодательным актом; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф) прямой маркетинг −предложение товаров, услуг, постоянной или временной работы при помощи почты, телефона, электронной почты илииных телекоммуникационных средств.
ф1) тайное следственное действие – следственное действие, предусмотренное частью первой статьи 1431 Уголовно-процессуального кодекса Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф2) юридическое лицо публичного права – Оперативно-техническое агентство Грузии (далее – Агентство) – орган, наделенный эксклюзивным полномочием на проведение тайного следственного действия, предусмотренного подпунктами «а»–«г» части первой статьи 1431 Уголовно-процессуального кодекса Грузии; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф3) электронная система контроля – система, предусмотренная подпунктом «и» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф4) электронная система контроля центрального банка данных, идентифицирующих электронную коммуникацию, – система, предусмотренная подпунктом «л» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф5) специальная электронная система контроля определения геолокации в реальном времени – система, предусмотренная подпунктом «о» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
ф6) специальная электронная система контроля – система, предусмотренная подпунктом «к» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
х) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
ц) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
ч) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
ш) искл. (21.07.2018 N3300)
щ) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
ы) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 3. Сфера действия Закона
1. Действие настоящего Закона распространяется на обработку на территории Грузии данных при помощи автоматических или полуавтоматических средств, обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых с целью внесения в файловую систему, а также на автоматическую обработку данных, относящихся к государственной тайне, для целей предупреждения и расследования преступлений, оперативно-розыскных мероприятий и защиты правопорядка, кроме исключений, предусмотренных настоящей статьей.(1.08.2014 N2639)
11. Не допускается обработка данных при помощи неавтоматических средств, если ее целью является уклонение от исполнения требований настоящего Закона.(1.08.2014 N2639)
2. Действие настоящего Закона распространяется также:
а) на обработку данных дипломатическими представительствами и консульскими учреждениями Грузии за рубежом;
б) на деятельность лица, обрабатывающего данные, которое не зарегистрировано на территории Грузии, но использует для обработки данных технические средства, имеющиеся в Грузии, кроме случая, когдауказанные технические средства используются только для транзита данных. В таком случае лицо, обрабатывающее данные, должно назначить/определить представителя, зарегистрированного в Грузии.
3. Действие настоящего Закона не распространяется:
а) на обработку данных физическим лицом явно для личных целей, когда обработка данных не связана с предпринимательской или профессиональной деятельностью лица;
б) обработку данных для целей судопроизводства в суде, поскольку это может создавать препятствия судопроизводству до вынесения судом окончательного решения. (1.08.2014 N2636)
в) на обработку данных, относящихся к государственной тайне, для целей государственной безопасности (в том числе – экономической безопасности), обороны, разведывательной и контрразведывательной деятельности; (1.08.2014 N2639)
г) на обработку информации, относящейся к государственной тайне (кроме данных, предусмотренных пунктом первым настоящей статьи). (1.08.2014 N2639)
4. Действие настоящего Закона (кроме статьи 17) не распространяется на обработку данных медиа средствами в целях информирования общественности, а также для целей, касающихся сферы искусства и литературы.
5. Действие статей 19 и 20 настоящего Закона не распространяется на обработку политическими партиями, профессиональными или иными союзами и религиозными организациями данных, связанных с членами указанных субъектов.
6. Действие статьи 6 настоящего Закона не распространяется на обработку данных для целей общественной безопасности, оперативно-розыскных мероприятий и расследования преступлений, если вопрос прямо и специально регулируется Уголовно-процессуальным кодексом Грузии или Законом Грузии «Об оперативно-розыскной деятельности» либо другим специальным законом. (1.08.2014 N2639)
7. Действие статьи 6 настоящего Закона не распространяется на обработку данных с целью предусмотренной Законом Грузии «Об официальной статистике» всеобщей переписи населения. (1.08.2014 N2639)
Статья 31. искл. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 4. Принципы обработки данных
При обработке данных должны соблюдаться следующие принципы:
а) данные должны обрабатываться справедливо и законно без унижения достоинства субъекта данных;
б) данные могут обрабатываться только для конкретных, четко определенных,законных целей. Не допускается последующая обработка данных для других целей, не совместимых с первоначальной целью; (1.08.2014 N2639)
в) данные могут обрабатываться только в объеме, необходимом для достижения соответствующих законных целей. Данные должны быть адекватны и пропорциональны целям, для достижения которых обрабатываются;
г) данные должны быть достоверными и точными и при необходимости обновляться. Данные, собранные без законного основания и не соответствующие цели обработки, должны быть заблокированы, удаленылибо уничтожены; (1.08.2014 N2639)
д) данные могут храниться только в течение срока, необходимого для достижения цели обработки данных. По достижении цели, для которой обрабатывались данные, они должны быть заблокированы, удалены либо уничтожены или храниться в форме, исключающей возможность идентификации лица, если законом не установлено иное. (1.08.2014 N2639)
Глава II
Правила обработки данных
Статья 5. Основания для обработки данных
Обработка данных допускается если:
а) имеется согласие субъекта данных;
б) обработка данных предусмотрена законом;
в) обработка данных необходима для исполнения лицом, обрабатывающим данные, обязанностей, возложенных на него законодательством;
г)обработка данных необходима для защиты жизненных интересов субъекта данных;
д) обработка данных необходима для защиты законных интересов лица, обрабатывающего данные, или третьего лица, за исключением случая наличия преобладающего интереса защиты прав и свобод субъекта данных;
е) согласно закону данные публично доступны или доступ к ним обеспечен субъектом данных;
ж) обработка данных необходима для соблюдения значительного публичного интереса в соответствии с законом;
з) обработка данных необходима для рассмотрения заявления субъекта данных (оказания ему услуг).
( Признать утратившим силу с первого мая 2020 года нормативное содержание статьи 5 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)
Статья 6. Обработка данных особой категории (25.05.2012 N6325)
1. Запрещается обработка данных особой категории.
(Признать утратившим силу с первого мая 2020 года нормативное содержание пункта первого статьи 6 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)
2. Обработка данных, предусмотренных пунктом первым настоящей статьи, может производиться с письменного согласия субъекта данных или в случаях, когда: (1.08.2014 N2636)
а) обработка данных, связанных с судимостью и состоянием здоровья, необходима исходя из характера трудовых обязательств и отношений, в том числе для принятия решения, касающегося трудоустройства;
б) обработка данных необходима для защиты жизненных интересов субъекта данных или третьего лица и субъект данных физически или в правовом отношении не в состоянии выразить согласие на обработку данных;
в) обработка данных осуществляется для целей общественного здравоохранения, здравоохранения или охраны здоровья физических лиц учреждением (работником), а также если это необходимо для управления системой здравоохранения или ее функционирования;
г) субъект данных предал огласке данные о себе без явного запрета на их использование;
д) обработка данных осуществляется политическим, философским, религиознымили профессиональным объединением или некоммерческой организацией при осуществлении легитимной деятельности. В таком случае обработка данных может быть связана лишь с членами объединения (организации) или лицами, имеющими постоянную связь с указанным объединением (организацией).
е) производится обработка данных с целью рассмотрения вопросов, связанных с ведением личных дел и реестров обвиняемых/осужденных, индивидуальным планированием для осужденного отбывания им наказания или (и) условно-досрочным освобождением осужденного от отбывания наказания и заменой неотбытой им части наказания более мягким видом наказания.(1.05.2015 N3534)
ж) данные обрабатываются с целью исполнения правовых актов, предусмотренных статьей 2 Закона Грузии «О превенции преступлений, порядке исполнения наказаний, не связанных с заключением под стражу, и пробации»; (29.11.2019 N5403, ввести действие с 1 января 2020 года.)
ж1) данные обрабатываются в целях осуществления мероприятий по ресоциализации и реабилитации осужденных и бывших заключенных, превенции преступлений и координации процесса реферирования несовершеннолетних; (29.11.2019 N5403, ввести действие с 1 января 2020 года.)
з) данные обрабатываются в случаях, прямо предусмотренных Законом Грузии «О международной защите». (1.12.2016 N54, ввести в действие с 1 февраля 2017 года)
и) обработка данных осуществляется с целью функционирования единой аналитической системы данных. (21.04.2017 N669)
к) данные обрабатываются с целью реализации права на образование лиц со специальными образовательными потребностями. (20.09.2018 N3451)
л) данные обрабатываются с целью рассмотрения вопроса, предусмотренного пунктом 2 статьи 11 Закона Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия». (20.09.2019 N5031)
3. В случае обработки данных на основании пункта 2 настоящей статьи не допускается разглашение и предоставление третьим лицам данных без согласия субъекта данных. (1.08.2014N 2636)
(Признать утратившим силу с первого мая 2020 года нормативное содержание пункта 3 статьи 6 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)
Статья 7. Защита данных об умерших лицах
1. Обработка данных о субъекте данных после его смерти, кроме наличия оснований, определенных статьями 5 и 6 настоящего Закона, допускается с согласия родителей, детей, внуков или супругов субъектов данных либо, если после смерти субъекта данных прошло 30 лет.
2. Обработка данных о субъекте данных после его смерти допускается также, если это необходимо для реализации прав, связанных с наследством.
3. Не допускается обработка данных по основаниям, определенным пунктами первым и 2 настоящей статьи, если субъектом данных еще при жизни была выражена в письменной форме воля запретить обработку данных о нем после его смерти, кроме случаев обработки данных по основаниям, определенным статьями 5 и 6 настоящего Закона.(1.08.2014 N2639)
4. Для обработки данных, касающихсяимени, пола, дат рождения и смерти умершего лица не требуется наличия предусмотренных настоящим Закономоснованийдля обработки данных.
5. Данные об умерших лицах могут разглашаться для исторических, статистических и исследовательских целей, кроме случаев, когдалицом в письменной форме было запрещено их разглашение.
Статья 8. Обработка данных для целей прямого маркетинга
1. Для целей прямого маркетинга могут обрабатываться данные, добытые из публично доступных источников.
2. Независимо от целей сбора данных для целей прямого маркетинга могут обрабатываться следующие данные: имя (имена), адрес, номер телефона, адрес электронной почты, номер факса.
3. На основании письменного согласия, данного субъектом данных в порядке, установленном настоящим Законом, для целей прямого маркетинга могут обрабатываться любые данные. (1.08.2014 N2639)
4. Субъект данных вправе в любое время требовать от лица, обрабатывающего данные, прекращения использования данных о нем для целей прямого маркетинга. (1.08.2014 N2639)
5. Лицо, обрабатывающее данные, обязано прекратить обработку данных для целей прямого маркетинга или (и) обеспечитьпрекращение обработки данных для целей прямого маркетинга уполномоченным лицом не позднее 10 рабочих дней после получения требования субъекта данных. (1.08.2014 N2639)
6. При обработке данных для целей прямого маркетинга лицо, обрабатывающее данные, обязано сообщить субъекту данных о праве, предусмотренном пунктом 4 настоящей статьи, и обеспечить, чтобы у субъекта данных была возможность в той же форме, в которой осуществляется прямой маркетинг, требовать прекращения обработки данных для целей прямого маркетинга или (и) определить доступное и адекватное средство для требования о прекращении обработки данных для целей прямого маркетинга. (1.08.2014 N2639)
Статья 9. Обработка биометрических данных публичнымучреждением
1. Обработка биометрических данных публичным учреждением допускается только для целей защиты безопасности исобственности лица, а также во избежание разглашения секретной информации, если достижение указанных целей иными средствами не представляется возможным или сопряжено с несоразмерными усилиями.2.Невзирая на условия, предусмотренные пунктом первым настоящей статьи, обработка биометрических данных может осуществляться для целей выдачи в порядке, установленном законом, документа, удостоверяющего личность, или идентификации лиц, пересекающих государственную границу, а также в случаях, прямо предусмотренных законодательным актом Грузии.(1.12.2016 N54, ввести в действие с 1 февраля 2017 года)
Статья 10. Обработка биометрических данных юридическими лицами частного права и физическими лицами
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Обработка биометрических данных юридическими лицами частного права и физическими лицами может производиться только в случае, если это необходимо для осуществления деятельности, защиты безопасности и собственности, а также во избежание разглашения секретной информации, если достижение указанных целей иными средствами невозможно или сопряжено с неоправданно большими усилиями. Если законом не установлено иное, до использования биометрических данных лицо, обрабатывающее данные, должно предоставлять Службе защиты персональных данных ту же информацию, которая предоставляется субъекту данных, в частности, информацию о цели обработки данных и мерах безопасности, принимаемых для защиты данных.
Статья 11. Осуществление видеонаблюдения на улице и в общественном транспорте (1.08.2014 N2639)
1. Осуществление видеонаблюдения на улице (в том числе в парках, скверах, на игровых площадках, остановках общественного транспорта и в других местах массового скопления людей) и в общественном транспорте допускается лишь в целях превенции преступления, а также защиты безопасности исобственности лиц, охраны общественного порядка и защиты несовершеннолетних от вредного влияния. (1.08.2014 N2639)
2. В случае установки системы видеонаблюдения публичные и частные учреждения обязаны размещать в доступном для обозрения месте соответствующий предупредительный знак. В таком случае субъект данных считается информированным по поводу обработки данных о нем.
3. Система видеонаблюдения и видеоматериалы должны охраняться от противоправного посягательства и использования.
Статья 12. Видеонаблюдение зданий публичных и частных учреждений
1. Публичные и частные учреждения в целях осуществления соответствующего мониторинга могут осуществлять видеонаблюдение за своими зданиями, если это необходимо для защиты безопасности и собственности лиц, защиты несовершеннолетних от вредного влияния, охраны секретной информации и для целей проведения экзаменов/тестирования. (26.12.2018 N4145)
2. При помощи системы видеонаблюдения может осуществляться только мониторинг внешнего периметра и входа в здание. Лицо, обрабатывающее данные, обязано поместить на видном месте соответствующий предупредительный знак. В таком случае субъект данных считается информированным об обработке касающихся его данных. (1.08.2014 N2639)
3. Установка системы видеонаблюдения на рабочем месте допускается только в исключительных случаях, если это необходимо для защиты безопасности и собственности лиц, охраны секретной информации и для целей проведения экзаменов/тестирования и если достижение указанных целей другими средствами не представляется возможным. (26.12.2018 N4145)
4. Осуществление видеонаблюдения не допускается в помещениях для смены одежды и местах для гигиенических нужд.
5. При использовании системы видеонаблюдения на рабочих местах в случае, предусмотренном пунктом 3 настоящей статьи, все лица, занятые в соответствующих частных или публичных учреждениях, должны быть в письменной форме проинформированы об осуществлении видеонаблюдения и своих правах.(1.08.2014 N2639)
6. Лицо, обрабатывающее данные, обязано создать файловую систему,
предназначенную для хранения видеозаписей. Помимо записей (изображение/звук) в системе должна содержаться информация о дате, месте и времени обработки данных. (25.05.2012 N6325)
Статья 13. Видеонаблюдение жилых помещений
1. Для установки системы видеонаблюденияв жилых помещениях необходимо письменное согласие более половины собственников указанного помещения. Об установке системы видеонаблюдения должны быть уведомлены жильцы этого помещения. (1.08. 2014 N2636)
2. Установка в жилом помещении системы видеонаблюдения допускается только для целей безопасности лица и имущества.
3. При помощи установленной в жилом помещении системы видеонаблюдения может осуществляться лишь мониторинг входа и общего пространства. Мониторинг квартир собственников не допускается.
4. Осуществление при помощи системы видеонаблюдения мониторинга прихожей в квартире допускается только по решению собственника квартиры или на основании его письменного согласия.
Статья 14. Обработка данных в целях учета входа и выхода лиц из зданий публичных и частных учреждений
1. Публичные и частные учреждения в целях учета входа и выхода лиц из здания могут собирать следующие данные: имя, номер и видидентификационного документа, адрес, дату и время входа и выхода, а также причины входа и выхода из здания.
2. Срок хранения данных, предусмотренных пунктом первым настоящей статьи, не должен превышать три года со дня их записи, если законом не предусмотрено иное. По истечении трехлетнего срока они должны быть стерты или уничтожены.
Глава III
Права и обязанности лица, обрабатывающего данные,
и уполномоченного лица
Статья 15. Предоставление информации субъекту данных
1. Если сбор данных осуществляется непосредственно от субъекта данных, лицо, обрабатывающее данные, или уполномоченное лицо обязаны предоставлять субъекту данных следующую информацию:
а) личность и зарегистрированный адрес лица, обрабатывающего информацию, и уполномоченного лица (в случае наличия такового);
б) цель обработки данных;
в) является ли обязательным или добровольным предоставление данных, если обязательным – правовые последствия отказа от него;
г) право субъекта данных на получение информации об обработанных данных о нем, на требование их исправления, обновления, дополнения, блокирования, удаления или уничтожения.
2. Предоставление информации, указанной в пункте первом настоящей статьи, не является обязательным, если у субъекта данных она уже имеется.
3. Если сбор данных осуществляется не от субъекта данных непосредственно, лицо, обрабатывающее данные, или уполномоченное лицо обязаны в случае требования предоставлять субъекту данных информацию, указанную в пункте первом настоящей статьи.
4. При сборе информации в статистических, научных и исторических целях ее предоставление не является обязательным, если предоставление информации субъекту данных сопряжено с несоразмерными усилиями.
Статья 16. Обработка данных уполномоченным лицом
1. Уполномоченное лицо может обработать данные на основании правового акта или письменного договора, заключенного с лицом, обрабатывающим данные, который должен соответствовать требованиям, установленным настоящим Законом, и другими нормативными актами, и предусмотренным настоящим Законом правилам и запретам.
2. Уполномоченное лицо должно обрабатывать данные в пределах, установленных соответствующим правовым актом или договором. Не допускается последующая обработка уполномоченным лицом данных в каких-либо иных целях. Не допускается передача уполномоченным лицом права на обработку данных другому лицу без согласия лица, обрабатывающего данные. (1.08.2014 N2639)
3. Не допускается заключение договора об обработке данных при наличии исходя из деятельности или(и) целей уполномоченного лица опасности нецелевой обработки данных.
4. Лицо, обрабатывающее данные, должно удостовериться, что уполномоченным лицом будут приняты соответствующие организационные и технические меры для защиты данных. Оно обязано осуществлять мониторинг обработки данных уполномоченным лицом.
5. В случае возникновения спора между уполномоченным лицом и лицом, обрабатывающим данные, уполномоченное лицо обязано по требованию передать имеющиеся у него данные лицу, обрабатывающему данные.
6. В случае отмены уполномоченным лицом основания, предусмотренного пунктом первым настоящей статьи, или прекращения деятельности обработка данных должна быть прекращена, и данные, обработанные до отмены указанного основания или прекращения деятельности, должны быть незамедлительно переданы лицу, обрабатывающему данные. (1.08.2014 N2639)
7. В договоре, заключенном с уполномоченным лицом, должно быть предусмотрено обязательство по принятию мер по безопасности данных.
Статья 17. Безопасность данных
1. Лицо, обрабатывающее данные, обязано принимать организационные и технические меры, обеспечивающие защиту данных от случайного или незаконного уничтожения, изменения, разглашения, добывания, незаконного использования иным образом и случайной либо незаконной утраты.
2. Лицо, обрабатывающее данные, обязано обеспечить учет всех действий, осуществляемых с данными в электронной форме, при обработке данных не в электронной форме лицо, обрабатывающее данные, обязано обеспечить учет всех действий, связанных с разглашением или (и) изменением данных.
3. Меры по безопасности данных должны быть адекватны рискам, связанным с обработкой данных.
4. Любые сотрудники лица, обрабатывающего данные, и уполномоченного лица, участвующие в обработке данных, обязаны не выходить за пределыпредоставленных им полномочий. При этом на них возлагается обязательство по соблюдению тайны данных. В том числе и после прекращения служебных полномочий.
5. Меры по защите безопасности данных определяются законодательством Грузии.
Статья 18. Обязательства лица, обрабатывающего данные, и уполномоченного лица, касающиеся разглашения данных
Приразглашении данных лицо, обрабатывающее данные, и уполномоченное лицо обязаны обеспечить регистрацию следующей информации: какие данные были разглашены, кому, когда и на каком правовом основании. Указанная информация должна храниться вместе с данными о субъекте данных в течение всего срока их хранения.
Статья 19. Каталог файловой системы
1. Лицо, обрабатывающее данные, обязано по каждой файловой системе вести каталог файловой системы и учитывать следующую информацию:
а) наименование файловой системы;
б) наименования и адреса лица, обрабатывающего данные, и уполномоченного лица, место хранения или(и) обработки данных;
в) правовые основания обработки данных;
г) категория субъекта данных;
д) категория данных в файловой системе;
е) цели обработки данных;
ж) срок хранения данных;
з) факт и основания ограничения прав субъекта данных;
и) получатели данных, размещенных в файловой системе, и их категории;
к) информация о передаче данных другим государствам и международным организациям и правовые основания такой передачи;
л) общее описание процедуры, установленной для защиты безопасности данных.
11. Служба защиты персональных данных обязана вести реестр каталогов файловых систем. В указанный реестр должна вноситься информация, предусмотренная пунктом первым настоящей статьи. Информация, внесенная в реестр каталогов файловых систем, является публичной. Служба защиты персональных данных обеспечивает опубликование указанной информации в порядке, установленном Начальником Службы защиты персональных данных. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
2. Лицо, обрабатывающее данные, обязано обеспечить систематическое обновление информации, предусмотренной пунктом первым настоящей статьи.
Статья 20. Обязательство по извещению Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Лицо, обрабатывающее данные, обязано до создания файловой системы и до внесения в нее данных новой категории предоставить Службе защиты персональных данных информацию, предусмотренную статьей 19 настоящего Закона, в письменной или электронной форме.
2. Лицо, обрабатывающее данные, обязано известить Службу защиты персональных данных о внесении изменения в информацию, предусмотренную статьей 19 настоящего Закона, не позднее 30 дней после внесения этого изменения.
3. Один экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, требуемого правоохранительным органом, или об отказе в выдаче разрешения на его производство, содержащий только реквизиты и резолютивную часть, а также один экземпляр определения судьи о признании законным/незаконным тайного следственного действия, произведенного правоохранительным органом без разрешения суда, содержащийтолько реквизиты и резолютивную часть, представляются Службе защиты персональных данных в порядке, установленном Уголовно-процессуальным кодексом Грузии.
4. Компания электронной коммуникации должна извещать Службу защиты персональных данных о передаче правоохранительному органу в порядке, установленном статьей 136 Уголовно-процессуального кодекса Грузии, данных, идентифицирующих электронную коммуникацию, в течение 24 часов после передачи этих данных.
5. В случае безотлагательной необходимости, постановление прокурора о производстве тайного следственного действия, содержащее только реквизиты и резолютивную часть, прокурор или по поручению прокурора – следователь представляет в материальном (документальном) виде Службе защиты персональных данных не позднее 12 часов со времени начала тайного следственного действия, указанного в постановлении.
6. Электронный экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, содержащий только реквизиты и резолютивную часть, а также электронный экземпляр постановления прокурора о производстве указанного тайного следственного действия, содержащий только реквизиты и резолютивную часть, Агентство незамедлительно по принятии предоставляет Службе защиты персональных данных через электронную систему контроля.
Глава IV
Права субъекта данных
Статья 21. Право истребования информации субъектом данных
1. Субъект данных вправе требовать от лица, обрабатывающего данные, информацию об обработке данных о нем. Лицо, обрабатывающее данные, должно предоставить субъекту данных следующую информацию:
а) какие данные о нем обрабатываются;
б) цели обработки данных;
в) правовые основания для обработки данных;
г) каким способом были собраны данные;
д) кому были выданы данные, основания и цели их выдачи.
2. Предоставление субъекту данных информации, предусмотренной подпунктом «д» пункта первого настоящей статьи, не является обязательным, если указанные данные публичны согласно закону.
3. Информация, предусмотренная пунктом первым настоящей статьи, должна предоставляться субъекту данных по требованию, незамедлительноилине позднее 10 дней после запроса, если для ответа на запрос информации требуются: (1.08.2014 N2636)
а) сбор и обработка информации в другом учреждении или структурной единице или консультация с ними;
б) сбор и обработка не связанных друг с другом значительных по объему документов;
в) консультации с его структурной единицей, находящейся в другом населенном пункте, или другим публичным учреждением.
4. Форму предоставления информации, предусмотренной пунктом первым настоящей статьи, выбирает субъект данных.
5. Лицо вправе ознакомиться с имеющимися в публичном учреждении персональными данными о неми безвозмездно получать копии указанных данных, кроме данных, для выдачи которых законодательством Грузии предусмотрено внесение платы. (25.05.2012 N6325)
Статья 22. Право субъекта данных на требование исправления, обновления, дополнения, блокирования, удаления и уничтожения данных
1. По требованию субъекта данных лицо, обрабатывающее данные, обязано исправить, обновить, дополнить, блокировать, удалить или уничтожить данные, если онинеполные, неточные, необновленные или собраны и обработаны противозаконно.
2. Лицо, обрабатывающее данные, должно извещать всех получателей данных об исправлении, обновлении, пополнении, блокировании,удалении или уничтожении данных, кроме случая, когда предоставление такой информации невозможно ввиду большого числа получателей данных и непропорционально больших расходов. О последнем обстоятельстве должна быть извещена Служба защиты персональных данных.(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
3. В случае получения информации согласно пункту 2 настоящей статьи получатель обязан соответствующим образом исправить, обновить, дополнить, блокировать, удалить или уничтожить данные.
Статья 23. Процедура исправления, обновления, дополнения, блокирования, удаления и уничтожения данных
1. Требование, предусмотренное пунктом первым статьи 22 настоящего Закона, может быть представлено в письменной, устной форме или с использованиемэлектронных средств.
2. В 15-дневный срок после получения требования субъекта данных лицо, обрабатывающее данные, обязано исправить, обновить, дополнить, блокировать, удалить или уничтожить данные либо сообщить субъекту данных об основании отказа.
3. Если лицо, обрабатывающее данные без получения требования субъекта данных, сочтет, что имеющиеся у него данные неполные, неточные или не обновлены, оно должно их соответственно исправить или обновить и сообщить об этом субъекту данных.
4. После представления субъектом данных требования, предусмотренного пунктом первым статьи 22 настоящего Закона, лицо, обрабатывающее данные, правомочно заблокировать данные на основании обращения заявителя.
5. Решение о блокировании данных принимается в 3-дневный срок после подачи соответствующего требования и в силе до принятия лицом, обрабатывающим данные, решения об исправлении, обновлении, дополнении,удалении или уничтожении данных.
6. Решение о блокировании данных в течение периода наличия причины блокирования должно прилагаться к соответствующим данным.
Статья 24. Ограничение прав субъекта данных
1. Права субъекта данных, предусмотренные статьями 15, 21 и 22 настоящего Закона, могут ограничиваться законодательством Грузии, если реализация указанных прав может создать угрозу:
а) интересам государственной безопасности или обороны; (29.06.2018 N2765, ввести в действие с принятием присяги Президентом Грузии, избранным в результате следующих выборов Президента Грузии.)
б) интересам общественной безопасности;
в) выявлению, расследованию и пресечению преступлений;
г) значительным финансовым и экономическим(в том числе, связанным с монетарными, бюджетными и налоговыми вопросами) интересам страны;
д) правам и свободам субъекта данных и других лиц.
2. Меры, предусмотренные пунктом первым настоящей статьи, могут применяться только в объеме, необходимом, для достижения целей ограничения.
3. При наличии основания, предусмотренного пунктом первым настоящей статьи, субъект данных должен быть извещен о решении лица, обрабатывающего данные, или Службы защиты персональных данных таким образом, чтобы это не причинило вред цели ограничения права. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 25. Отказ в даче согласия
1. Субъект данных вправе в любое время, без объяснений отказаться от данного им же согласия и требовать прекращения обработки данных или(и) уничтожения обработанных данных.
2. Лицо, обрабатывающее данные, обязано в соответствии с требованием субъекта данных прекратить обработку данных или (и) уничтожить обработанные данные в 5-дневный срок после подачи заявления, если нет другого основания для обработки данных.
3. Действие настоящей статьи не распространяется на информацию об исполнении субъектом данных денежных обязательств, обработанную с его же согласия.
Статья 26. Право на обжалование
1. Субъект данных в случае нарушения прав, предусмотренных настоящим Законом, вправе обращаться в установленном законом порядке в Службу защиты персональных данных или суд, а если лицом, обрабатывающим данные, является публичное учреждение, жалоба также может быть подана в тот же или вышестоящий административный орган. Начальник Службы защиты персональных данных рассматривает обращение субъекта данных в порядке, установленном настоящим Законом и нормативными актами Начальника Службы защиты персональных данных.
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
2. Субъект данных вправе требовать от органа, рассматривающего дело, заблокировать данные до вынесения решения.
3. Субъект данных вправе в установленном законом порядке обжаловать в суд решение вышестоящего административного органа или Службы защиты персональных данных.(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
4. В случае возникновения спора по поводу наличия согласия субъекта данных на обработку данных на лицо, обрабатывающее данные, возлагается бремя доказывания факта согласия субъекта данных. (25.05.2012 N6325)
Статья 261. Искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.)
Глава V
Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.)
(27.12.2018 N4253) (8.05.2019 N4597)
Инспектор по охране персональных данных
Статья 27. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 28. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 29. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 30.Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 31. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 32. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 33. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 34. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 35. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 351. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 36. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 37. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 38. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 39. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
Статья 40. Искл. (21.07.2018 N3274, ввести в действие с 1 июля 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Глава V1
Принципы деятельности и гарантии осуществления полномочий Службы защиты персональных данных, полномочия Начальника Службы защиты персональных данных, его избрание, неприкосновенность, должностная несовместимость и досрочное прекращение его полномочий
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 401. Принципы деятельности Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Служба защиты персональных данных при осуществлении своей деятельности руководствуется Конституцией Грузии, международными договорами Грузии, общепризнанными принципами и нормами международного права, настоящим Законом и другими надлежащими правовыми актами.
2. Принципами деятельности Службы защиты персональных данных являются:
а) законность;
б) защита прав и свобод человека;
в) независимость и политический нейтралитет;
г) объективность и беспристрастность;
д) профессионализм;
е) соблюдение тайны и конфиденциальности.
Статья 402. Полномочия Начальника Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Начальник Службы защиты персональных данных:
а) руководит Службой защиты персональных данных и принимает решения по вопросам, связанным с деятельностью этой Службы;
б) определяет структуру Службы защиты персональных данных, полномочия ее структурных единиц и сотрудников;
в) утверждает в соответствии с законодательством Грузии штатное расписание сотрудников Службы защиты персональных данных, а также порядок выплаты и размеры заработной платы;
г) определяет функции и обязанности первого заместителя и заместителя Начальника Службы защиты персональных данных, а также делегирует им полномочия;
д) назначает на должность и освобождает от должности сотрудников Службы защиты персональных данных;
е) присваивает в порядке, установленном законодательством Грузии, государственные специальные звания (далее – специальные звания) сотрудникам структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование и понижает их в специальном звании;
ж) представляет Службу защиты персональных данных в отношениях с государственными органами, международными и другими организациями;
з) обеспечивает охрану и целевое использование государственного имущества, переданного Службе защиты персональных данных;
и) осуществляет другие полномочия в соответствии с законом.
2. Начальник Службы защиты персональных данных в пределах своих полномочий издает подзаконный нормативный акт – приказ по вопросам, связанным с деятельностью Службы защиты персональных данных.
3. Начальник Службы защиты персональных данных на основании и во исполнение надлежащего нормативного акта в пределах своих полномочий издает индивидуальные правовые акты, в том числе, решение, приказ, указание.
Статья 403. Избрание Начальника Службы защиты персональных данных и срок его полномочий (30.12.2021 N1313)
1. На должность Начальника Службы защиты персональных данных может быть избран гражданин Грузии с высшим юридическим образованием, не имеющий судимости и имеющий не менее чем 5-летний опыт работы в системе правосудия или правоохранительных органов либо в сфере защиты прав человека, а также высокую профессиональную и моральную репутацию.
2. Конкурс по подбору Начальника Службы защиты персональных данных объявляется, и конкурсная комиссия создается приказом Премьер-министра Грузии. Членами указанной конкурсной комиссии являются:
а) представитель Правительства Грузии;
б) Председатель Комитета Парламента Грузии по защите прав человека и гражданской интеграции;
в) Председатель Комитета Парламента Грузии по юридическим вопросам;
г) заместитель Председателя Верховного Суда Грузии;
д) первый заместитель или заместитель Генерального прокурора Грузии;
е) Народный Защитник Грузии или представитель Народного Защитника Грузии;
ж) лицо с надлежащим опытом, избранное Народным Защитником Грузии из непредпринимательских (некоммерческих) юридических лиц в порядке открытого конкурса, которое имеет опыт работы в сфере защиты прав человека или (и) в сфере защиты данных.
3. Не ранее 11 недель и не позднее 10 недель до истечения срока полномочий Начальника Службы защиты персональных данных, а в случае досрочного прекращения его полномочий – в недельный срок после прекращения полномочий ведомства и учреждения, определенные пунктом 2 настоящей статьи, предоставляют Премьер-министру Грузии информацию о личностях членов конкурсной комиссии по подбору Начальника Службы защиты персональных данных. В 7-дневный срок после истечения срока представления членов конкурсной комиссии Премьер-министр Грузии созывает первое заседание конкурсной комиссии. Заседание конкурсной комиссии правомочно, если на нем присутствует большинство полного состава конкурсной комиссии. Конкурсная комиссия на первом заседании большинством голосов из числа своих членов избирает председателя конкурсной комиссии и в недельный срок утверждает Положение о конкурсной комиссии по подбору Начальника Службы защиты персональных данных, определяющее порядок деятельности конкурсной комиссии, а также сроки и порядок представления ей кандидатур на должность Начальника Службы защиты персональных данных.
4. Конкурсная комиссия по подбору Начальника Службы защиты персональных данных большинством голосов отбирает не менее 2 и не более 5 кандидатур на должность Начальника Службы защиты персональных данных и представляет их Премьер-министру Грузии. С учетом количества отобранных кандидатур должно быть обеспечено представление максимально равного числакандидатов разного пола.
5. Премьер-министр Грузии в 10-дневный срок представляет Парламенту Грузии 2 кандидатуры для избрания на должность Начальника Службы защиты персональных данных.
6. Парламент Грузии не позднее 14 дней после представления кандидатур, в порядке, установленном Регламентом Парламента Грузии, избирает Начальника Службы защиты персональных данных. Если этот срок полностью или частично совпадает с периодом между сессиями Парламента Грузии, срок, определенный настоящим пунктом для избрания Начальника Службы защиты персональных данных, продлевается на соответствующее время. Если Парламент Грузии не сможет избрать Начальника Службы защиты персональных данных путем голосования или если оба кандидата до начала процедуры голосования заявят о нежелании избираться на должность Начальника Службы защиты персональных данных, Премьер-министр Грузии в 2-недельный срок объявляет повторный конкурс.
7. Если Начальник Службы защиты персональных данных был избран до истечения срока полномочий Начальника Службы защиты персональных данных, находящегося на должности, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинается со дня, следующего за днем истечения срока полномочий Начальника Службы защиты персональных данных, находящегося на должности. Если Начальник Службы защиты персональных данных был избран после истечения полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных, находящегося на должности, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинается со дня, следующего за днем его избрания.
8. Срок действия полномочий Начальника Службы защиты персональных данных составляет 6 лет. Лицо не может избираться на должность Начальника Службы защиты персональных данных дважды подряд. Начальник Службы защиты персональных данных не может исполнять свои обязанности после истечения срока полномочий или досрочного прекращения полномочий.
Статья 404. Первый заместитель и заместитель Начальника Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. У Начальника Службы защиты персональных данных имеются первый заместитель и заместитель, которых он назначает на должности приказом. В случае истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных полномочия первого заместителя и заместителя Начальника Службы защиты персональных данных прекращаются с момента, когда новоизбранный Начальник Службы защиты персональных данных приступит к осуществлению полномочий в порядке, установленном настоящим Законом.
2. В случае отсутствия Начальника Службы защиты персональных данных, неосуществления им своих полномочий, приостановления, истечения срока или досрочного прекращения его полномочий, полномочия Начальника Службы защиты персональных данных осуществляет первый заместитель Начальника Службы защиты персональных данных, а в случае отсутствия его первого заместителя – заместитель Начальника Службы защиты персональных данных. Первый заместитель и заместитель Начальника Службы защиты персональных данных во время исполнения обязанностей Начальника Службы защиты персональных данных пользуются полномочиями и правовыми гарантиями, предоставленными Начальнику Службы защиты персональных данных.
Статья 405. Неприкосновенность Начальника Службы защиты персональных данных
(30.12.2021 N1313)
1. Начальник Службы защиты персональных данных неприкосновенен. Привлечение Начальника Службы защиты персональных данных к уголовной ответственности, его задержание или заключение под стражу, обыск его жилья или рабочего места, машины или личный обыск допускается только с предварительного согласия Парламента Грузии. Исключение составляет случай задержания на месте преступления, о чем незамедлительно извещается Парламент Грузии. Если Парламент Грузии в течение 48 часов не даст согласия, задержанный или заключенный под стражу Начальник Службы защиты персональных данных должен быть освобожден незамедлительно.
2. В случае дачи согласия Парламентом Грузии на задержание или заключение Начальника Службы защиты персональных данных под стражу постановлением Парламента Грузии приостанавливаются его полномочия до вынесения постановления/определения о прекращении уголовного преследования или до вступления приговора суда в законную силу.
3. Личную безопасность Начальника Службы защиты персональных данных обеспечивают соответствующие государственные органы в установленном порядке.
Статья 406 Должностная несовместимость Начальника Службы защиты персональных данных(30.12.2021 N1313)
1. Должность Начальника Службы защиты персональных данных несовместима с членством в органе государственной власти и представительном органе муниципалитета, с любой должностью на государственной службе и публичной службе и другой оплачиваемой деятельностью,кроме научной, педагогической деятельности и деятельности в области искусства. Начальник Службы защиты персональных данных не может заниматься предпринимательской деятельностью, непосредственно осуществлять полномочия постоянно действующего руководителя субъекта предпринимательской деятельности, члена наблюдательного, контролирующего, ревизионного или консультативного органа, быть членом политической партии или участвовать в политической деятельности.
2. Начальнику Службы защиты персональных данных запрещается участвовать в собраниях и манифестациях в поддержку или против политического объединения граждан.
3. Лицо, избранное на должность Начальника Службы защиты персональных данных, обязано в 10-дневный срок после его избрания прекратить деятельность, не совместимую с должностью, или уйти в отставку с должности, не совместимой с его статусом. До тех пор, пока лицо, избранное на должность Начальника Службы защиты персональных данных, не прекратит деятельность, не совместимую с его должностью, или не уйдет в отставку с должности, не совместимой с его статусом, указанное лицо не вправе приступать к осуществлению полномочий Начальника Службы защиты персональных данных. Если Начальник Службы защиты персональных данных не выполнит требование, установленное настоящим пунктом, в указанный срок, его полномочия прекращаются досрочно.
Статья 407. Досрочное прекращение полномочий Начальника Службы защиты персональных данных (30.12.2021 N1313)
1. Полномочия Начальника Службы защиты персональных данных прекращаются досрочно:
а) в случае утраты им гражданства Грузии;
б) если он по состоянию здоровья не может исполнять свои полномочия в течение 4 месяцев подряд;
в) в случае вступления в отношении него в законную силу обвинительного приговора суда;
г) в случае признания его судом поддерживаемым лицом (если решением суда не определено иное), безвестно отсутствующим или объявления его умершим;
д) в случае занятия им должности, не совместимой с его статусом, или осуществления деятельности, не совместимой с его должностью;
е) в случае добровольного ухода с должности;
ж) в случае смерти.
2. В случае, предусмотренном пунктом первым настоящей статьи, полномочия Начальника Службы защиты персональных данных считаются прекращенными досрочно с момента наступления соответствующего обстоятельства, о чем Председатель Парламента Грузии незамедлительно извещает Парламент Грузии. Парламент Грузии прекращает действие полномочий Начальника Службы защиты персональных данных на основании принятия к сведению информации Председателя Парламента Грузии.
Статья 408. Организационное и финансовое обеспечение Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Структуру Службы защиты персональных данных, порядок деятельности и правила распределения полномочий между сотрудниками устанавливаются Положением о Службе защиты персональных данных, которое утверждает Начальник Службы защиты персональных данных.
2. Сотрудник структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, является публичным служащим, и на него распространяется действие Закона Грузии «О публичной службе», если настоящим Законом или нормативным актом Начальника Службы защиты персональных данных, изданным на основании настоящего Закона, не установлено иное. Другие сотрудники Службы защиты персональных данных являются публичными служащими, и на них распространяется в установленном порядке действие Закона Грузии «О публичной службе». Порядок прохождения службы сотрудником структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, в Службе защиты персональных данных устанавливает Начальник Службы защиты персональных данных.
3. Деятельность Службы защиты персональных данных финансируется из Государственного бюджета Грузии. Ассигнования, необходимые для осуществления деятельности Службы защиты персональных данных, определяются в Государственном бюджете Грузии отдельным кодом. Сокращение текущих расходов, предусмотренных для Службы защиты персональных данных в Государственном бюджете Грузии, по сравнению с размером бюджетных средств предыдущего года, допускается только с предварительного согласия Начальника Службы защиты персональных данных.
Статья 409. Независимость Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Служба защиты персональных данных независима при осуществлении своих полномочий и не подчиняется ни одному органу и должностному лицу. Какое-либо воздействие на Начальника Службы защиты персональных данных и служащих Службы защиты персональных данных, а также незаконное вмешательство в их деятельность запрещается и наказывается по закону.
2. Государство с целью обеспечения независимости Службы защиты персональных данных обязано создать для нее надлежащие условия деятельности.
3. Начальник Службы защиты персональных данных вправе не давать показаний в связи с выполнением функций контроля за законностью обработки данных, контроля за производством тайного следственного действия и действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию, по факту, о котором он был извещен как Начальник Службы защиты персональных данных. Это право сохраняется за Начальником Службы защиты персональных данных и после прекращения его полномочий.
Статья 4010. Годовой отчет Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Начальник Службы защиты персональных данных представляет Парламенту Грузии раз в год, не позднее 31 марта, отчет о положении в связи с защитой данных в Грузии, контроле за проведением тайных следственных действий и за действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию.
2. Годовой отчет Службы защиты персональных данных должен содержать информацию о деятельности в сфере защиты данных, осуществленной Службой защиты персональных данных в отчетный период, общие оценки, заключения и рекомендации, связанные с положением относительно защиты данных в Грузии, информацию о выявленных значительных нарушениях и осуществленных мероприятиях в течение года, общую статистическую информацию о деятельности, осуществленной в сфере контроля за проведением тайных следственных действий.
3. Отчет о результатах контроля за проведением следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, и тайных следственных действий, предусмотренных подпунктами«а» и «б» части первой статьи 1431 этого же Кодекса, Начальник Службы защиты персональных данных представляет раз в год комитету Парламента, определенному Бюро Парламента Грузии в порядке, установленном Регламентом Парламента Грузии, и Группе доверия.
4. Информация о деятельности, осуществленной Службой защиты персональных данных, с учетом ограничений, установленных настоящей статьей, предоставляется обществу посредством веб-страницы Службы защиты персональных данных.
Глава V2
Полномочия Службы защиты персональных данных в сфере защиты данных и в сфере контроля за проведением тайных следственных действий
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 4011. Основные направления деятельности Службы защиты персональных данных в сфере защиты данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Служба защиты персональных данных осуществляет контроль за законностью обработки данных в Грузии. Основными направлениями деятельности Службы защиты персональных данных в указанной сфере являются:
а) проведение консультаций по вопросам, связанным с защитой данных;
б) рассмотрение заявлений, связанных с защитой данных;
в) проверка (инспектирование) законности обработки данных;
г) предоставление обществу информации о положении относительно защиты данных в Грузии и значительных событиях, связанных с ней, а также повышение уровня информированности общества.
Статья 4012. Рассмотрение Службой защиты персональных данных заявления субъекта данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Служба защиты персональных данных обязана рассматривать заявления субъекта данных в связи с обработкой данных и применять меры, предусмотренные законодательством Грузии.
2. Служба защиты персональных данных в 10-дневный срок после поступления заявления субъекта данных принимает решение о мерах, подлежащих принятию, о чем уведомляет заявителя.
3. Служба защиты персональных данных правомочна осуществить проверку в целях изучения и исследования обстоятельств, связанных с заявлением субъекта данных. Любое лицо, обрабатывающее данные, или (и) уполномоченное лицо обязаны в случае требования Службы защиты персональных данных передать ей соответствующие материалы, информацию или (и) документы.
4. Срок рассмотрения Службой защиты персональных данных заявления субъекта данных не должен превышать 2 месяцев. Срок рассмотрения заявления субъекта данных на основании обоснованного решения Службы защиты персональных данных может быть продлен не более чем на 1 месяц.
5. Служба защиты персональных данных правомочна при рассмотрении заявления субъекта данных приостановить производство соответствующего дела по основанию истребования дополнительных материалов, информации или (и) документации, о чем Служба защиты персональных данных уведомляет субъекта данных. Рассмотрение заявления субъекта данных продолжается с отменой указанного основания. Период приостановления производства дела не засчитывается в срок, предусмотренный пунктом 4 настоящей статьи.
6. Служба защиты персональных данных вправе до завершения рассмотрения заявления субъекта данных принять решение о блокировании данных. Независимо от блокирования данных обработка этих данных может продолжаться, если это необходимо для защиты жизненно важных интересов субъекта данных или третьего лица, а также для целей государственной безопасности и обороны.
7. Служба защиты персональных данных после рассмотрения заявления субъекта данных принимает решение о принятии одной из мер, предусмотренных статьей 4014 настоящего Закона, о чем уведомляет субъекта данных и лицо, обрабатывающее данные, или (и) уполномоченное лицо в порядке и сроки, установленные законодательством Грузии.
Статья 4013. Осуществление проверки Службой защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Служба защиты персональных данных правомочна по собственной инициативе или на основании заявления заинтересованного лица осуществлять проверку любого лица, обрабатывающего данные, или (и) уполномоченного лица. Решение об осуществлении проверки, предусмотренной настоящей статьей, принимает Начальник Службы защиты персональных данных.
2. Осуществление Службой защиты персональных данных проверки подразумевает:
а) установление соблюдения принципов обработки данных и наличия законных оснований для обработки данных;
б) проверку соответствия организационных и техническихмероприятий и процедур, осуществленных для соблюдения безопасности данных, требованиям, установленным законодательством Грузии;
в) проверку выполнения установленных настоящим Законом требований в связи с каталогом файловой системы, реестром каталогов файловыхсистем и учетом выдачи данных;
г) проверку законности передачи данных другим государствам и международным организациям;
д) проверку соблюдения правил и требований, установленных настоящим Законом, Законом Грузии «О защите персональных данных» и другими нормативными актами для защиты данных.
3. Служба защиты персональных данных правомочна при осуществлении проверки истребовать из любого учреждения, у физического лица или (и) юридического лица документы или (и) информацию, в том числе, информацию, содержащую государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также материалы или (и) документацию, отражающую оперативно-розыскную деятельность и расследование преступления, или (и) информацию, которая относится к государственной тайне и необходима для осуществления проверки в пределах, установленных пунктом 2 настоящей статьи.
4. Лицо, обрабатывающее данные, или (и) уполномоченное лицо обязаны предоставлять Службе защиты персональных данных любые материалы, информацию или (и) документы незамедлительно, не позднее10 рабочих дней, если для ответа на запрос информации требуются:
а) поиск и обработка информации в другом учреждении или структурной единице либо проведение консультаций с этим учреждением или единицей;
б) поиск и обработка информации/документов в значительном объеме.
5. Служба защиты персональных данных вправе на основании обоснованного обращения лица, обрабатывающего данные, или (и) уполномоченного лица продлить срок, указанный в пункте 4 настоящей статьи, не более чем на 10 рабочих дней.
6. Служба защиты персональных данных правомочна для осуществления проверки входить в любое учреждение и организацию и быть ознакомленной с любым документом и информацией, в том числе, с информацией, содержащей государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также с материалами или (и) документацией или (и) информацией, отражающей оперативно-розыскную деятельность и расследование преступления, которая относится к государственной тайне, независимо от их содержания и формы хранения.
7. Служба защиты персональных данных с учетом результатов проверки правомочна применить меры, предусмотренные статьей 4014 настоящего Закона.
8. Сотрудник Службы защиты персональных данных обязан соблюдать безопасность информации, содержащей тайну любого характера, и не разглашать секретную информацию, ставшую ему известной во время исполнения служебных обязанностей. Это обязательство сохраняется за сотрудником Службы защиты персональных данных и после прекращения его полномочий.
Статья 4014. Применение мер Службой защиты персональных Данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. В случае выявления Службой защиты персональных данных нарушения настоящего Закона или другого нормативного акта, регулирующего обработку данных, она правомочна применить одну из следующих мер или несколько мер одновременно:
а) требовать устранения нарушения и недостатков, связанных с обработкой данных, в указанной ею форме и в указанные ею сроки;
б) требовать прекращения обработки данных временно или навсегда, если меры и процедуры по соблюдению безопасности данных, принятые лицом, обрабатывающим данные, или уполномоченным лицом, не соответствуют требованиям, установленным законодательством Грузии:
в) требовать прекращения обработки данных, а также требовать блокирования, удаления, уничтожения или деперсонализации данных, если сочтет, что обработка данных осуществляется с нарушением законодательства Грузии;
г) требовать прекращения передачи данных другому государству и международной организации, если передача данных осуществляется с нарушением законодательства Грузии;
д) письменно давать советы и рекомендации лицам, обрабатывающим данные, или (и) уполномоченным лицам в случае незначительного нарушения ими правил, связанных с обработкой данных;
е) привлекать нарушителей к административной ответственности.
2. Лицо, обрабатывающее данные, или (и) уполномоченное лицо обязано в сроки, указанные Службой защиты персональных данных, выполнить ее требования и уведомить Службу защиты персональных данных об их выполнении.
3. Если лицо, обрабатывающее данные, или (и) уполномоченное лицо не выполнит требований Службы защиты персональных данных, Служба защиты персональных данных правомочна обратиться в суд, правоохранительный орган или (и) государственное учреждение, определенное законодательством Грузии, осуществляющее надзор (регулирование) за соответствующей сферой.
4. В случае выявления Службой защиты персональных данных административного правонарушения она правомочна составить протокол об административном правонарушении и, соответственно, привлечь лицо, обрабатывающее данные, или (и) уполномоченное лицо к административной ответственности в порядке, установленном Законом Грузии «О защите персональных данных» и Кодексом Грузии об административных правонарушениях.
5. Если Служба защиты персональных данных при осуществлении деятельности сочтет, что существуют признаки преступления, она обязана сообщить об этом уполномоченному государственному органу в порядке, установленном законом.
6. Исполнение решения Службы защиты персональных данных в сфере защиты данных является обязательным, и оно может быть обжаловано в установленном законом порядке только в суде.
Статья 4015. Оказание консультаций и осуществление образовательной деятельности Службой защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Служба защиты персональных данных в случае наличия соответствующей просьбы обязана оказывать консультации органам государственной власти, органам муниципалитета, другим публичным учреждениям, юридическим лицам частного права и физическим лицам по любым вопросам, связанным с обработкой и защитой данных.
2. Служба защиты персональных данных осуществляет образовательную деятельность по вопросам, связанным с обработкой и защитой данных.
Статья 4016. Контроль за производством тайных следственных действий и действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Во время производства тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, – скрытого прослушивания и записи телефонной коммуникации – Служба защиты персональных данных осуществляет контроль:
а) посредством электронной системы контроля – за законностью обработки данных;
б) посредством специальной электронной системы контроля – за законностью обработки данных;
в) за законностью обработки данных лицом, обрабатывающим данные/уполномоченным лицом (инспектирование).
2. Служба защиты персональных данных осуществляет надзор за производством следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, путем сопоставления информации, предоставленной судом, прокуратурой и поставщиком электронных коммуникационных услуг, и проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.
3. Служба защиты персональных данных осуществляет надзор за производством тайных следственных действий, предусмотренных подпунктами «б», «г» и «е» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.
4. Служба защиты персональных данных осуществляет надзор за производством тайного следственного действия, предусмотренного подпунктом «д» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом, в порядке, установленном настоящим Законом. При осуществлении проверки (инспектирования) в случае, предусмотренном настоящим пунктом, истребование информации о личности лица, участвующего в производстве тайного следственного действия (кроме субъекта данных, следователя и прокурора), и его участие в процессе осуществления проверки (инспектирования), а также истребование информации о характеристиках оперативного и оперативно-технического оснащения, использованного во время производства тайного следственного действия, предусмотренного настоящим пунктом, допускается только с согласия руководителя органа, производящего тайное следственное действие. Осуществление проверки (инспектирования) в случае, предусмотренном настоящим пунктом, не включает непосредственное участие в процессе подготовки/производства тайного следственного действия и проверку на месте замаскированного жилого или служебного объекта либо другого замаскированного объекта и здания или сооружения.
5. Служба защиты персональных данных осуществляет контроль за производства тайного следственного действия, предусмотренного подпунктом «в» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, а также за осуществлением мероприятия, предусмотренного подпунктом «б» пункта 3 статьи 7 Закона Грузии «Об оперативно-розыскной деятельности», с помощью специальной электронной системы контроля определения геолокации в реальном времени и путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.
6. Служба защиты персональных данных осуществляет контроль за действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию, с помощью электронной системы контроля центрального банка данных, идентифицирующих электронную коммуникацию, и путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.
7. Служба защиты персональных данных при осуществлении проверки (инспектирования) Агентства правомочна:
а) входить в ареал ограниченного допуска Агентства и вести наблюдения в текущем режиме за осуществлением уполномоченными органами своей деятельности;
б) ознакомиться с правовыми документами и техническими инструкциями (в том числе, содержащими государственную тайну), регулирующими деятельность Агентства;
в) получать информацию о технической инфраструктуре, использованной для целей тайных следственных действий, и осуществлять проверку этой инфраструктуры;
г) требовать от служащих Агентства объяснений в связи с отдельными вопросами, возникшими во время осуществления проверки (инспектирования);
д) осуществлять другие полномочия, предусмотренные настоящим Законом.
8. Служащие Агентства обязаны сотрудничать со Службой защиты персональных данных – предоставлять Службе защиты персональных данных истребуемую информацию и документы в полном объеме, а также давать объяснения по отдельным вопросам, возникшим при осуществлении проверки (инспектирования).
Глава V3
Правовая и социальная защита сотрудников Службы защиты персональных данных, сотрудники структурной единицы Службы
защиты персональных данных, осуществляющей служебное инспектирование
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 4017. Правовая защита сотрудников Службы защиты персональных данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Сотрудники Службы защиты персональных данных при осуществлении служебных обязанностей являются представителями государственной власти, и их защищает государство. Исполнение законных требований сотрудников Службы защиты персональных данных является обязательным для всех.
2. Никто не вправе вмешиваться в служебную деятельность сотрудников Службы защиты персональных данных, кроме случаев, предусмотренных законом.
3. Воспрепятствование исполнению сотрудником Службы защиты персональных данных служебных обязанностей, посягательство на его честь и достоинство, оказание ему сопротивления, угроза, насилие в отношении него или посягательство на его жизнь, здоровье или имущество влекут ответственность, установленную законодательством Грузии. В случае поступления информации о посягательстве на жизнь, здоровье и имущество Начальника Службы защиты персональных данных, первого заместителя или заместителя Начальника Службы защиты персональных данных, сотрудника Службы защиты персональных данных или члена его семьи в связи с осуществлением служебных полномочий, государственные органы обязаны принять предусмотренные законом меры с целью защиты его/их личной и имущественной безопасности.
4. Сотрудники Службы защиты персональных данных должны заявлять отказ от исполнения явно противоречащих закону приказов или распоряжений, если им было или могло было быть известно об их незаконности, и действовать в рамках закона.
5. Сотрудники Службы защиты персональных данных в случае получения явно противоречащих закону приказов или распоряжений должны уведомлять об этом Начальника Службы защиты персональных данных.
6. На сотрудника Службы защиты персональных данных, заявившего отказ от исполнения явно противоречащего закону приказа или распоряжения, ответственность не возлагается.
7. На лицо, отдавшее явно противоречащий закону приказ или распоряжение сотруднику Службы защиты персональных данных, возлагается ответственность в установленном законом порядке.
8. Сотрудники Службы защиты персональных данных вправе обращаться в суд за защитой своих прав и свобод.
9. Сотрудникам Службы защиты персональных данных для подтверждения их служебных полномочий выдается удостоверение личности или (и) специальный жетон, форму и порядок выдачи которого устанавливает Начальник Службы защиты персональных данных.
Статья 4018. Социальная защита сотрудников Службы защиты персональных данных, имеющих специальные звания
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Социальную защиту сотрудников Службы защиты персональных данных, имеющих специальные звания, обеспечивает государство.
2. Если законодательством Грузии не установлено иное, на сотрудников Службы защиты персональных данных, имеющих специальные звания, распространяются гарантии социальной защиты чиновников, предусмотренные Законом Грузии «О публичной службе» (в том числе, гарантии социальной защиты в случае причинения им телесных повреждений или гибели, связанных с исполнением служебных обязанностей).
3. Сотрудники Службы защиты персональных данных, имеющие специальные звания, получают:
а) должностные оклады, определенные в порядке, установленном пунктом 5 настоящей статьи;
б) надбавки к заработной плате и денежные вознаграждения, установленные в соответствии с пунктом 5 настоящей статьи и Законом Грузии «Об оплате труда в публичном учреждении»;
в) оклады по званиям, соответствующие специальным званиям;
г) надбавки за выслугу лет;
д) другие надбавки и компенсации, предусмотренные законодательством Грузии.
4. Сотрудники Службы защиты персональных данных, имеющие специальные звания, которые уволены со службы ввиду достижения предельного возраста или признания их лицами с ограниченными возможностями, вправе согласно законодательству Грузии получать соответствующую государственную компенсацию или государственную пенсию.
5. Порядок выплаты и размер вознаграждения за труд сотрудников Службы защиты персональных данных, имеющих специальные звания, размеры окладов по званиям и надбавок за выслугу лет, а также размеры другихнадбавок и компенсаций, предусмотренных законодательством Грузии, определяются нормативными актами Начальника Службы защиты персональных данных, а также другими законодательными и подзаконными нормативными актами Грузии.
6. Сотрудники Службы защиты персональных данных, имеющие специальные звания, подлежат обязательному государственному страхованию. Вопросы, связанные с государственным страхованием членов семей сотрудников Службы защиты персональных данных, имеющих специальные звания (в том числе, круг членов семьи), определяет Начальник Службы защиты персональных данных.
7. Специальные звания сотрудников Службы защиты персональных данных определяются Законом Грузии «О государственных специальных званиях».
Статья 4019. Подбор, назначение на должность и полномочия сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование (кроме случая, предусмотренного пунктом 2 настоящей статьи), назначаются на должность на основе конкурса, приказом Начальника Службы защиты персональных данных. Порядок и условия проведения конкурса по подбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, а также квалификационные требования к лицам, подлежащим назначению (основные требования, которые не должны быть меньше основных требований, установленных статьей 27 Закона Грузии «О публичной службе», специальные требования и дополнительные требования), определяются настоящимЗаконом и соответствующим правовым актом Начальника Службы защиты персональных данных. Начальник Службы защиты персональных данных с целью проведения конкурса по подбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, создает конкурсную комиссию и устанавливает порядок ее деятельности.
2. Допускается без проведения конкурса перевод или горизонтальный перевод сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, по мобильности, определенной Законом Грузии «О публичной службе».
3. На сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, распространяются полномочия и обязанности, предусмотренные настоящим Законом и соответствующим правовым актом Начальника Службы защиты персональных данных.
Глава VI
Передача данных другим государствам и
международным организациям
Статья 41. Передача данных другим государствам и международным организациям
1. Передача данных другим государствам и международным организациям возможна при наличии предусмотренных настоящим Законом оснований для обработки данных и надлежащих гарантий защиты данных в соответствующем государстве или международной организации.
2. Передача данных другому государству или международной организации, кроме пункта первого настоящей статьи, возможна также в случае, если:
а) передача данных предусмотрена международным договором и соглашением Грузии;
б) лицо, обрабатывающее данные, обеспечивает надлежащие гарантии защиты данных и основных прав субъекта данных на основании договора, заключенного лицом, обрабатывающим данные, и соответствующим государством, юридическим илифизическим лицом такого государства или международной организацией.
3.Передача данных на основании подпункта «б» пункта 2 настоящей статьи допускается только после получения разрешения Службы защиты персональных данных. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Статья 42. Установление надлежащих гарантий защиты данных
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
Наличие надлежащих гарантий защиты данных в другом государстве или (и) международной организации оценивает и решение принимает Служба защиты персональных данных на основании анализа законодательства, регулирующего обработку данных, и соответствующей практики.
Глава VII
Административная ответственность за нарушение
настоящего Закона
Статья 43. Обработка данных за отсутствием оснований, предусмотренных настоящим Законом
1. Обработка данных за отсутствием оснований, предусмотренных настоящим Законом, -
влечет предупреждение или наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 2000 лари.
Статья 44. Нарушение принципов обработки данных
1. Нарушение предусмотренных настоящим Законом принципов обработки данных –
влечет предупреждение или наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 2000 лари.
Статья 45. Обработка данных особой категории за отсутствием оснований, предусмотренных настоящим Законом
1. Обработка данных особой категории за отсутствием оснований, предусмотренных настоящим Законом, -
влечет наложение штрафа в размере 1000 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 5000 лари.
Статья 46. Невыполнение требований по соблюдению безопасности данных
1. Невыполнение предусмотренных настоящим Законом требований по соблюдению безопасности данных-
влечет предупреждение или наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 2000 лари.
Статья 47. Использование данных для целей прямого маркетинга в нарушение правил
1. Использование данных для целей прямого маркетинга в нарушение правил, установленных настоящим Законом, -
влечет наложение штрафа в размере 3000 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 10000 лари.
Статья 48. Нарушение правил видеонаблюдения
1. Нарушение правил видеонаблюдения, установленных настоящим Законом, −
влечет предупреждение или наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −
влечет наложение штрафа в размере 2000 лари.
Статья 49. Нарушение правил обработки данных о входе и выходе из зданий публичных и частных учреждений
Нарушение правил обработки данных о входе и выходе из зданий публичных и частных учреждений, установленных настоящим Законом, −
влечет предупреждение или наложение штрафа в размере 100 лари.
Статья 50. Нарушение правил информирования субъекта данных лицом, обрабатывающим данные
1. Нарушение установленных настоящим Законом правил информирования субъекта данных лицом, обрабатывающим данные, −
влечет предупреждение или наложение штрафа в размере 100 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -
влечет наложение штрафа в размере 500 лари.
Статья 51. Поручение обработки данных лицом, обрабатывающим данные, уполномоченному лицу в нарушение правил
1. Поручение обработки данных лицом, обрабатывающим данные, уполномоченному лицу в нарушение правил,установленных настоящим Законом, −
влечет наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом,к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −
влечет наложение штрафа в размере 2000 лари.
Статья 52. Нарушение уполномоченным лицом правил, предусмотренных статьей 16 настоящего Закона
1. Нарушение уполномоченным лицом правил, предусмотренных статьей 16 настоящего Закона −
влечет наложение штрафа в размере 1000 лари.
2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −
влечет наложение штрафа в размере 3000 лари.
Статья 521. Нарушение порядка передачи данных другим государствам и международным организациям (1.08.2014 N2639)
1. Передача данных в нарушение порядка, установленного статьей
41 настоящего Закона, –
влечет наложение штрафа в размере 1000 лари.
2. То же деяние, совершенное лицом, которому в течение года было
назначено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, –
влечет наложение штрафа в размере 3000 лари.
Статья 53. Неисполнение требований Службы защиты персональных данных»;
(заглавие 30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Нарушение лицом, обрабатывающим данные, или уполномоченным лицом порядка предоставления Службе защиты персональных данных информации и документа, в том числе, непредоставление информации, определенной статьей 10 настоящего Закона, и невыполнение обязательства по извещению в соответствии со статьей 20 настоящего Закона –(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
влекут наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом,к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −
влечет наложение штрафа в размере 2000 лари.
Статья 54. Нарушение иных правил, связанных с обработкой данных (1.08.2014 N2639)
1. Нарушение порядка, установленного пунктом 11 статьи 3 настоящего Закона,
− влечет наложение штрафа в размере 500 лари.
2. То же деяние, совершенное лицом, которому в течение года было назначено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи,
– влечет наложение штрафа в размере 2000 лари.
Статья 55. Рассмотрение дел об административных правонарушениях
(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)
1. Право рассматривать дела об административных правонарушениях, предусмотренных статьями 43–54 настоящего Закона, и налагать административные взыскания имеет Служба защиты персональных данных.
2. Протокол об административном правонарушении составляет лицо, уполномоченное на то Службой защиты персональных данных.
3. Лицо, уполномоченное Службой защиты персональных данных, составляет протокол об административном правонарушении и рассматривает дело об административном правонарушении в порядке, установленном настоящим Законом, Кодексом Грузии об административных правонарушениях и нормативными актами Начальника Службы защиты персональных данных.
Глава VII1. Переходные положения (30.11.2014 N2869)
Статья 551. Переходные положения(30.11.2014 N2869)
Министерству внутренних дел Грузии до 31 марта 2015 года обеспечить осуществление технико-организационных мероприятий, необходимых для функционирования электронной системы контроля и специальной электронной системы контроля за банками данных, а также создание соответствующих программных средств обеспечения.
Статья 552. Мероприятия, подлежащие осуществлению в переходный период(30.12.2021 N1313)
1. До первичного избрания Начальника Службы защиты персональных данных подобрать кандидатуры на должность Начальника Службы защиты персональных данных и представить их Парламенту Грузии для избрания в соответствии со статьей 403 настоящего Закона, с соблюдением следующих сроков:
а) Премьер-министру Грузии объявить о конкурсе по подбору Начальника Службы защиты персональных данных; ведомствам и учреждениям, определенным пунктом 2 статьи 403 настоящего Закона, представить Премьер-министру Грузии членов конкурсной комиссии по подбору Начальника Службы защиты персональных данных в недельный срок после введения настоящей статьи в действие;
б) Премьер-министру Грузии создать конкурсную комиссию по подбору Начальника Службы защиты персональных данных и созвать первое заседание конкурсной комиссии в 2-недельный срок после введения настоящей статьи в действие;
в) в случае объявления повторного конкурса в соответствии с пунктом 6 статьи 403 настоящего Закона сохранить действие сроков, установленных подпунктами «а» и «б» настоящего пункта, и начать их исчисление с момента объявления повторного конкурса.
2. Если Парламент Грузии изберет Начальника Службы защиты персональных данных из числа кандидатов, представленных ему в соответствии с пунктом первым настоящей статьи и статьей 403 настоящего Закона, до 1 марта 2022 года, действие полномочий новоизбранного Начальника Службы защиты персональных данных, начинаются с 1 марта 2022 года. Если Парламент Грузии изберет Начальника Службы защиты персональных данных из числа указанных кандидатов после 1 марта 2022 года, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем его избрания.
3. Соответствующим органам/должностным лицам незамедлительно, но не позднее 1 апреля 2022 года, принять/издать подзаконные нормативные акты, необходимые для исполнения настоящего Закона.
4. Правительству Грузии до 1 апреля 2022 года обеспечить осуществление мероприятий, необходимых для оснащения Службы защиты персональных данных соответствующим имуществом.
5. Деятельность Cлужбы защиты персональных данных в 2022 году финансируется в соответствии с программным кодом (51 00), утвержденным Законом Грузии «О Государственном бюджете Грузии на 2022 год» для Службы Государственного инспектора.
6. Годовой отчет Службы защиты персональных данных, предусмотренный статьей 4010 настоящего Закона, в 2022 году представляться Парламенту Грузии не будет.
Глава VIII
Заключительные положения
Статья 56. Введение Закона в действие
1. Настоящий Закон, кроме статьей 43-55, ввестив действие с 1 мая 2012 года.
2. Статьи 43-55 настоящего Закона ввести в действие с 1 января 2013 года.
3. Статьи 34, 35 и 39 настоящего Закона применительно к частному сектору ввестив действие с 1 января 2014 года. (1.08.2014 N2639)
Президент Грузии Михаил Саакашвили
Тбилиси
28 декабря 2011 года
№5669-вс
Document comments