Law of Georgia on Personal Data Protection

Law of Georgia on Personal Data Protection
Document number 5669-რს
Document issuer Parliament of Georgia
Date of issuing 28/12/2011
Document type Law of Georgia
Source and date of publishing Website, 16/01/2012
Expiration Date 01/03/2024
Registration code 010100000.05.001.016606
Consolidated publications
5669-რს
28/12/2011
Website, 16/01/2012
010100000.05.001.016606
Law of Georgia on Personal Data Protection
Parliament of Georgia
Attention! You are not reading the final edition. In order to read the final edition, please, choose the respective consolidated version.

Consolidated versions (30/12/2021 - 30/11/2022)

Контролный текст по состоянию на 30.12.2021 N1313

 

Закон Грузии

 

О защите персональных данных

 

Глава I

Общие положения

 

Статья 1. Цели Закона

Целью настоящего Закона является обеспечение при обработке персональныхданных защиты прав и свобод человека, в том числе − неприкосновенности личной жизни.

 

Статья 2. Разъяснение терминов

Термины, использованные в настоящем Законе, имеют следующие значения:

а)персональные данные (далее − данные) − любая информация, связанная с идентифицированным илиидентифицируемым физическим лицом. Лицо является идентифицируемым, когда возможно его идентифицировать прямо или косвенно, в частности, по идентификационному номеру или характерным физическим, физиологическим, психологическим, экономическим, культурным либо социальным признакам;

б) данные особой категории − данные, связанные с расовой или этнической принадлежностью, политическими убеждениями, религиозными или философскими взглядами, членством в профессиональных союзах, состоянием здоровья, сексуальной жизнью, судимостью, административным арестом, назначением лицу мер пресечения, заключением с лицом процессуального соглашения, с устранением, признанием лица жертвой преступления или потерпевшим, а также биометрические и генетические данные, которые позволяют идентифицировать физических лиц по вышеуказанным признакам;(1.08.2014 N2639)

в) биометрические данные −физические, психические или поведенческие характеристики, которые уникальны и постоянны для каждого физического лица и по которым можно идентифицировать указанное лицо (отпечатки пальцев, отпечатки стоп, радужная оболочка глаза, роговая оболочка глаза (изображение роговицы глаза), характеристики лица); (1.08.2014 N2639)

в1) генетические данные – уникальные и постоянные данные,касающиеся генетического наследия или (и) кода ДНК субъекта данных, по которым можно идентифицировать указанное лицо; (1.08.2014 N2639)

г) обработка данных− любое действие, выполняемое в отношении данных с использованием автоматических, полуавтоматических или неавтоматических средств, в частности сбор, запись,фотографирование, аудио-, видеозапись, организация, хранение, замена, восстановление, истребование, использование или разглашение в целях передачи, распространения данных либо обеспечениядоступа к ним иным образом, группировка либо комбинация, блокирование, удаление или уничтожение данных; (1.08.2014 N2639)

д) автоматическая обработка данных − обработка данных с применением информационных технологий;

д1) полуавтоматическая обработка данных – обработка данных с использованием информационных технологий или при помощи неавтоматических средств; (1.08.2014 N2639)

 е) субъект данных −любое физическое лицо, данные о которомобрабатываются;

ж) согласие − добровольное согласие субъекта данных на обработку данных о нем в определенных целях, выраженное в устной форме, при помощи телекоммуникационных или иных соответствующих средств после получения соответствующей информации, позволяющее четко установить волеизъявление субъекта данных;

з) письменное согласие субъекта данных− выраженное субъектом данных послеполучения им соответствующей информациидобровольное согласие на обработку данных о нем, подписанное, либо подтвержденное им иным образом в письменной или приравненной к ней форме;

и) лицо, обрабатывающее данные – публичное учреждение,

физические или юридические лица, определяющие индивидуально или вместе с другими лицами цели и средства обработки персональных данных, непосредственно или при помощи уполномоченного лица осуществляют обработку данных; (25.05.2012 N6325)

к) уполномоченное лицо −любые физические или юридические лица, обрабатывающие данные для лица, обрабатывающего данные или от его имени;

л) получатель данных − частное или публичное учреждение, физическое лицо или юридическое лицо, сотрудник частного или публичного сектора, которому были переданы данные, помимо Службы защиты персональных данных;(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

м) третье лицо – физическое лицо или юридическое лицо, публичное учреждение, кроме субъекта данных, Службы защиты персональных данных, лица, обрабатывающего данные, и уполномоченного лица; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

н) файловая система −структуризованныйряд данных, расположенных и доступных по конкретным критериям;

о) каталог файловой системы − детальное описание структуры и содержания файловой системы;

п) реестр каталогов файловых систем −реестр, обеспечивающий детальный учет имеющихся файловых систем;

р) блокирование данных − временное приостановление обработки данных;

с) обезличивание данных − модификация данных, в результате которой определениеих связис субъектом данных невозможно, либо требует несоразмерных усилий, затрат средств и времени;

т) идентификационный номер −личный идентификационный номер или любой иной определенный законом связанный с физическим лицом идентификационный номер, при помощи которого возможно отыскать данные в файловой системе (в которой идентификационный номер также обработан) илиразглашать;

у) Начальник Службы защиты персональных данных – руководитель Службы защиты персональных данных, который избирается на должность в порядке, установленном настоящим Законом и Регламентом Парламента Грузии, и осуществляет полномочия, предусмотренные настоящим Законом или (и) другим законодательным актом; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

ф) прямой маркетинг −предложение товаров, услуг, постоянной или временной работы при помощи почты, телефона, электронной почты илииных телекоммуникационных средств.

 ф1) тайное следственное действие – следственное действие, предусмотренное частью первой статьи 1431 Уголовно-процессуального кодекса Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 ф2) юридическое лицо публичного права – Оперативно-техническое агентство Грузии (далее – Агентство) – орган, наделенный эксклюзивным полномочием на проведение тайного следственного действия, предусмотренного подпунктами «а»–«г» части первой статьи 1431 Уголовно-процессуального кодекса Грузии; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

ф3) электронная система контроля – система, предусмотренная подпунктом «и» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

ф4) электронная система контроля центрального банка данных, идентифицирующих электронную коммуникацию, – система, предусмотренная подпунктом «л» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

ф5) специальная электронная система контроля определения геолокации в реальном времени – система, предусмотренная подпунктом «о» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

ф6) специальная электронная система контроля – система, предусмотренная подпунктом «к» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»; (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

х) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

ц) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

ч) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 ш) искл. (21.07.2018 N3300)

 щ) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 ы) искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.) (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 3. Сфера действия Закона

1. Действие настоящего Закона распространяется на обработку на территории Грузии данных при помощи автоматических или полуавтоматических средств, обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых с целью внесения в файловую систему, а также на автоматическую обработку данных, относящихся к государственной тайне, для целей предупреждения и расследования преступлений, оперативно-розыскных мероприятий и защиты правопорядка, кроме исключений, предусмотренных настоящей статьей.(1.08.2014 N2639)

11. Не допускается обработка данных при помощи неавтоматических средств, если ее целью является уклонение от исполнения требований настоящего Закона.(1.08.2014 N2639)

2. Действие настоящего Закона распространяется также:

а) на обработку данных дипломатическими представительствами и консульскими учреждениями Грузии за рубежом;

б) на деятельность лица, обрабатывающего данные, которое не зарегистрировано на территории Грузии, но использует для обработки данных технические средства, имеющиеся в Грузии, кроме случая, когдауказанные технические средства используются только для транзита данных. В таком случае лицо, обрабатывающее данные, должно назначить/определить представителя, зарегистрированного в Грузии.

3. Действие настоящего Закона не распространяется:

а) на обработку данных физическим лицом явно для личных целей, когда обработка данных не связана с предпринимательской или профессиональной деятельностью лица;

б) обработку данных для целей судопроизводства в суде, поскольку это может создавать препятствия судопроизводству до вынесения судом окончательного решения. (1.08.2014 N2636)

в) на обработку данных, относящихся к государственной тайне, для целей государственной безопасности (в том числе – экономической безопасности), обороны, разведывательной и контрразведывательной деятельности; (1.08.2014 N2639)

г) на обработку информации, относящейся к государственной тайне (кроме данных, предусмотренных пунктом первым настоящей статьи). (1.08.2014 N2639)

4. Действие настоящего Закона (кроме статьи 17) не распространяется на обработку данных медиа средствами в целях информирования общественности, а также для целей, касающихся сферы искусства и литературы.

5. Действие статей 19 и 20 настоящего Закона не распространяется на обработку политическими партиями, профессиональными или иными союзами и религиозными организациями данных, связанных с членами указанных субъектов.

6. Действие статьи 6 настоящего Закона не распространяется на обработку данных для целей общественной безопасности, оперативно-розыскных мероприятий и расследования преступлений, если вопрос прямо и специально регулируется Уголовно-процессуальным кодексом Грузии или Законом Грузии «Об оперативно-розыскной деятельности» либо другим специальным законом. (1.08.2014 N2639)

7. Действие статьи 6 настоящего Закона не распространяется на обработку данных с целью предусмотренной Законом Грузии «Об официальной статистике» всеобщей переписи населения. (1.08.2014 N2639)

 

Статья 31. искл. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

Статья 4. Принципы обработки данных

При обработке данных должны соблюдаться следующие принципы:

а) данные должны обрабатываться справедливо и законно без унижения достоинства субъекта данных;

б) данные могут обрабатываться только для конкретных, четко определенных,законных целей. Не допускается последующая обработка данных для других целей, не совместимых с первоначальной целью; (1.08.2014 N2639)

в) данные могут обрабатываться только в объеме, необходимом для достижения соответствующих законных целей. Данные должны быть адекватны и пропорциональны целям, для достижения которых обрабатываются;

 г) данные должны быть достоверными и точными и при необходимости обновляться. Данные, собранные без законного основания и не соответствующие цели обработки, должны быть заблокированы, удаленылибо уничтожены; (1.08.2014 N2639)

д) данные могут храниться только в течение срока, необходимого для достижения цели обработки данных. По достижении цели, для которой обрабатывались данные, они должны быть заблокированы, удалены либо уничтожены или храниться в форме, исключающей возможность идентификации лица, если законом не установлено иное. (1.08.2014 N2639)

 

Глава II

Правила обработки данных

 

Статья 5. Основания для обработки данных

Обработка данных допускается если:

а) имеется согласие субъекта данных;

б) обработка данных предусмотрена законом;

в) обработка данных необходима для исполнения лицом, обрабатывающим данные, обязанностей, возложенных на него законодательством;

г)обработка данных необходима для защиты жизненных интересов субъекта данных;

д) обработка данных необходима для защиты законных интересов лица, обрабатывающего данные, или третьего лица, за исключением случая наличия преобладающего интереса защиты прав и свобод субъекта данных;

е) согласно закону данные публично доступны или доступ к ним обеспечен субъектом данных;

ж) обработка данных необходима для соблюдения значительного публичного интереса в соответствии с законом;

з) обработка данных необходима для рассмотрения заявления субъекта данных (оказания ему услуг).

( Признать утратившим силу с первого мая 2020 года нормативное содержание статьи 5 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)

 

Статья 6. Обработка данных особой категории (25.05.2012 N6325)

1. Запрещается обработка данных особой категории.

(Признать утратившим силу с первого мая 2020 года нормативное содержание пункта первого статьи 6 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)

2. Обработка данных, предусмотренных пунктом первым настоящей статьи, может производиться с письменного согласия субъекта данных или в случаях, когда: (1.08.2014 N2636)

а) обработка данных, связанных с судимостью и состоянием здоровья, необходима исходя из характера трудовых обязательств и отношений, в том числе для принятия решения, касающегося трудоустройства;

б) обработка данных необходима для защиты жизненных интересов субъекта данных или третьего лица и субъект данных физически или в правовом отношении не в состоянии выразить согласие на обработку данных;

в) обработка данных осуществляется для целей общественного здравоохранения, здравоохранения или охраны здоровья физических лиц учреждением (работником), а также если это необходимо для управления системой здравоохранения или ее функционирования;

г) субъект данных предал огласке данные о себе без явного запрета на их использование;

д) обработка данных осуществляется политическим, философским, религиознымили профессиональным объединением или некоммерческой организацией при осуществлении легитимной деятельности. В таком случае обработка данных может быть связана лишь с членами объединения (организации) или лицами, имеющими постоянную связь с указанным объединением (организацией).

е) производится обработка данных с целью рассмотрения вопросов, связанных с ведением личных дел и реестров обвиняемых/осужденных, индивидуальным планированием для осужденного отбывания им наказания или (и) условно-досрочным освобождением осужденного от отбывания наказания и заменой неотбытой им части наказания более мягким видом наказания.(1.05.2015 N3534)

 ж) данные обрабатываются с целью исполнения правовых актов, предусмотренных статьей 2 Закона Грузии «О превенции преступлений, порядке исполнения наказаний, не связанных с заключением под стражу, и пробации»; (29.11.2019 N5403, ввести действие с 1 января 2020 года.)

ж1) данные обрабатываются в целях осуществления мероприятий по ресоциализации и реабилитации осужденных и бывших заключенных, превенции преступлений и координации процесса реферирования несовершеннолетних; (29.11.2019 N5403, ввести действие с 1 января 2020 года.)

з) данные обрабатываются в случаях, прямо предусмотренных Законом Грузии «О международной защите». (1.12.2016 N54, ввести в действие с 1 февраля 2017 года)

и) обработка данных осуществляется с целью функционирования единой аналитической системы данных. (21.04.2017 N669)

к) данные обрабатываются с целью реализации права на образование лиц со специальными образовательными потребностями. (20.09.2018 N3451)

л) данные обрабатываются с целью рассмотрения вопроса, предусмотренного пунктом 2 статьи 11 Закона Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия». (20.09.2019 N5031)

3. В случае обработки данных на основании пункта 2 настоящей статьи не допускается разглашение и предоставление третьим лицам данных без согласия субъекта данных. (1.08.2014N 2636)

(Признать утратившим силу с первого мая 2020 года нормативное содержание пункта 3 статьи 6 Закона Грузии «О защите персональных данных», которое исключает выдачу полного текста судебных актов, принятых на открытом судебном заседании, в виде публичной информации. Решение Конституционного Суда Грузии №1/4/693,857 от 7.06.2019г.)

 

Статья 7. Защита данных об умерших лицах

1. Обработка данных о субъекте данных после его смерти, кроме наличия оснований, определенных статьями 5 и 6 настоящего Закона, допускается с согласия родителей, детей, внуков или супругов субъектов данных либо, если после смерти субъекта данных прошло 30 лет.

2. Обработка данных о субъекте данных после его смерти допускается также, если это необходимо для реализации прав, связанных с наследством.

3. Не допускается обработка данных по основаниям, определенным пунктами первым и 2 настоящей статьи, если субъектом данных еще при жизни была выражена в письменной форме воля запретить обработку данных о нем после его смерти, кроме случаев обработки данных по основаниям, определенным статьями 5 и 6 настоящего Закона.(1.08.2014 N2639)

4. Для обработки данных, касающихсяимени, пола, дат рождения и смерти умершего лица не требуется наличия предусмотренных настоящим Закономоснованийдля обработки данных.

5. Данные об умерших лицах могут разглашаться для исторических, статистических и исследовательских целей, кроме случаев, когдалицом в письменной форме было запрещено их разглашение.

 

Статья 8. Обработка данных для целей прямого маркетинга

1. Для целей прямого маркетинга могут обрабатываться данные, добытые из публично доступных источников.

2. Независимо от целей сбора данных для целей прямого маркетинга могут обрабатываться следующие данные: имя (имена), адрес, номер телефона, адрес электронной почты, номер факса.

3. На основании письменного согласия, данного субъектом данных в порядке, установленном настоящим Законом, для целей прямого маркетинга могут обрабатываться любые данные. (1.08.2014 N2639)

4. Субъект данных вправе в любое время требовать от лица, обрабатывающего данные, прекращения использования данных о нем для целей прямого маркетинга. (1.08.2014 N2639)

5. Лицо, обрабатывающее данные, обязано прекратить обработку данных для целей прямого маркетинга или (и) обеспечитьпрекращение обработки данных для целей прямого маркетинга уполномоченным лицом не позднее 10 рабочих дней после получения требования субъекта данных. (1.08.2014 N2639)

6. При обработке данных для целей прямого маркетинга лицо, обрабатывающее данные, обязано сообщить субъекту данных о праве, предусмотренном пунктом 4 настоящей статьи, и обеспечить, чтобы у субъекта данных была возможность в той же форме, в которой осуществляется прямой маркетинг, требовать прекращения обработки данных для целей прямого маркетинга или (и) определить доступное и адекватное средство для требования о прекращении обработки данных для целей прямого маркетинга. (1.08.2014 N2639)

 

Статья 9. Обработка биометрических данных публичнымучреждением

1. Обработка биометрических данных публичным учреждением допускается только для целей защиты безопасности исобственности лица, а также во избежание разглашения секретной информации, если достижение указанных целей иными средствами не представляется возможным или сопряжено с несоразмерными усилиями.2.Невзирая на условия, предусмотренные пунктом первым настоящей статьи, обработка биометрических данных может осуществляться для целей выдачи в порядке, установленном законом, документа, удостоверяющего личность, или идентификации лиц, пересекающих государственную границу, а также в случаях, прямо предусмотренных законодательным актом Грузии.(1.12.2016 N54, ввести в действие с 1 февраля 2017 года)

 

Статья 10. Обработка биометрических данных юридическими лицами частного права и физическими лицами

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

Обработка биометрических данных юридическими лицами частного права и физическими лицами может производиться только в случае, если это необходимо для осуществления деятельности, защиты безопасности и собственности, а также во избежание разглашения секретной информации, если достижение указанных целей иными средствами невозможно или сопряжено с неоправданно большими усилиями. Если законом не установлено иное, до использования биометрических данных лицо, обрабатывающее данные, должно предоставлять Службе защиты персональных данных ту же информацию, которая предоставляется субъекту данных, в частности, информацию о цели обработки данных и мерах безопасности, принимаемых для защиты данных.

 

Статья 11. Осуществление видеонаблюдения на улице и в общественном транспорте (1.08.2014 N2639)

1. Осуществление видеонаблюдения на улице (в том числе в парках, скверах, на игровых площадках, остановках общественного транспорта и в других местах массового скопления людей) и в общественном транспорте допускается лишь в целях превенции преступления, а также защиты безопасности исобственности лиц, охраны общественного порядка и защиты несовершеннолетних от вредного влияния. (1.08.2014 N2639)

2. В случае установки системы видеонаблюдения публичные и частные учреждения обязаны размещать в доступном для обозрения месте соответствующий предупредительный знак. В таком случае субъект данных считается информированным по поводу обработки данных о нем.

3. Система видеонаблюдения и видеоматериалы должны охраняться от противоправного посягательства и использования.

 

Статья 12. Видеонаблюдение зданий публичных и частных учреждений

1. Публичные и частные учреждения в целях осуществления соответствующего мониторинга могут осуществлять видеонаблюдение за своими зданиями, если это необходимо для защиты безопасности и собственности лиц, защиты несовершеннолетних от вредного влияния, охраны секретной информации и для целей проведения экзаменов/тестирования. (26.12.2018 N4145)

2. При помощи системы видеонаблюдения может осуществляться только мониторинг внешнего периметра и входа в здание. Лицо, обрабатывающее данные, обязано поместить на видном месте соответствующий предупредительный знак. В таком случае субъект данных считается информированным об обработке касающихся его данных. (1.08.2014 N2639)

3. Установка системы видеонаблюдения на рабочем месте допускается только в исключительных случаях, если это необходимо для защиты безопасности и собственности лиц, охраны секретной информации и для целей проведения экзаменов/тестирования и если достижение указанных целей другими средствами не представляется возможным. (26.12.2018 N4145)

4. Осуществление видеонаблюдения не допускается в помещениях для смены одежды и местах для гигиенических нужд.

5. При использовании системы видеонаблюдения на рабочих местах в случае, предусмотренном пунктом 3 настоящей статьи, все лица, занятые в соответствующих частных или публичных учреждениях, должны быть в письменной форме проинформированы об осуществлении видеонаблюдения и своих правах.(1.08.2014 N2639)

6. Лицо, обрабатывающее данные, обязано создать файловую систему,

предназначенную для хранения видеозаписей. Помимо записей (изображение/звук) в системе должна содержаться информация о дате, месте и времени обработки данных. (25.05.2012 N6325)

 

Статья 13. Видеонаблюдение жилых помещений

1. Для установки системы видеонаблюденияв жилых помещениях необходимо письменное согласие более половины собственников указанного помещения. Об установке системы видеонаблюдения должны быть уведомлены жильцы этого помещения. (1.08. 2014 N2636)

2. Установка в жилом помещении системы видеонаблюдения допускается только для целей безопасности лица и имущества.

3. При помощи установленной в жилом помещении системы видеонаблюдения может осуществляться лишь мониторинг входа и общего пространства. Мониторинг квартир собственников не допускается.

4. Осуществление при помощи системы видеонаблюдения мониторинга прихожей в квартире допускается только по решению собственника квартиры или на основании его письменного согласия.

Статья 14. Обработка данных в целях учета входа и выхода лиц  из зданий публичных и частных учреждений

1. Публичные и частные учреждения в целях учета входа и выхода лиц из здания могут собирать следующие данные: имя, номер и видидентификационного документа, адрес, дату и время входа и выхода, а также причины входа и выхода из здания.

2. Срок хранения данных, предусмотренных пунктом первым настоящей статьи, не должен превышать три года со дня их записи, если законом не предусмотрено иное. По истечении трехлетнего срока они должны быть стерты или уничтожены.

 

Глава III

Права и обязанности лица, обрабатывающего данные,

и уполномоченного лица

 

Статья 15. Предоставление информации субъекту данных

1. Если сбор данных осуществляется непосредственно от субъекта данных, лицо, обрабатывающее данные, или уполномоченное лицо обязаны предоставлять субъекту данных следующую информацию:

а) личность и зарегистрированный адрес лица, обрабатывающего информацию, и уполномоченного лица (в случае наличия такового);

б) цель обработки данных;

в) является ли обязательным или добровольным предоставление данных, если обязательным – правовые последствия отказа от него;

г) право субъекта данных на получение информации об обработанных данных о нем, на требование их исправления, обновления, дополнения, блокирования, удаления или уничтожения.

2. Предоставление информации, указанной в пункте первом настоящей статьи, не является обязательным, если у субъекта данных она уже имеется.

3. Если сбор данных осуществляется не от субъекта данных непосредственно, лицо, обрабатывающее данные, или уполномоченное лицо обязаны в случае требования предоставлять субъекту данных информацию, указанную в пункте первом настоящей статьи.

4. При сборе информации в статистических, научных и исторических целях ее предоставление не является обязательным, если предоставление информации субъекту данных сопряжено с несоразмерными усилиями.

 

Статья 16. Обработка данных уполномоченным лицом

1. Уполномоченное лицо может обработать данные на основании правового акта или письменного договора, заключенного с лицом, обрабатывающим данные, который должен соответствовать требованиям, установленным настоящим Законом, и другими нормативными актами, и предусмотренным настоящим Законом правилам и запретам.

2. Уполномоченное лицо должно обрабатывать данные в пределах, установленных соответствующим правовым актом или договором. Не допускается последующая обработка уполномоченным лицом данных в каких-либо иных целях. Не допускается передача уполномоченным лицом права на обработку данных другому лицу без согласия лица, обрабатывающего данные. (1.08.2014 N2639)

3. Не допускается заключение договора об обработке данных при наличии исходя из деятельности или(и) целей уполномоченного лица опасности нецелевой обработки данных.

4. Лицо, обрабатывающее данные, должно удостовериться, что уполномоченным лицом будут приняты соответствующие организационные и технические меры для защиты данных. Оно обязано осуществлять мониторинг обработки данных уполномоченным лицом.

5. В случае возникновения спора между уполномоченным лицом и лицом, обрабатывающим данные, уполномоченное лицо обязано по требованию передать имеющиеся у него данные лицу, обрабатывающему данные.

6. В случае отмены уполномоченным лицом основания, предусмотренного пунктом первым настоящей статьи, или прекращения деятельности обработка данных должна быть прекращена, и данные, обработанные до отмены указанного основания или прекращения деятельности, должны быть незамедлительно переданы лицу, обрабатывающему данные. (1.08.2014 N2639)

7. В договоре, заключенном с уполномоченным лицом, должно быть предусмотрено обязательство по принятию мер по безопасности данных.

 

Статья 17. Безопасность данных

1. Лицо, обрабатывающее данные, обязано принимать организационные и технические меры, обеспечивающие защиту данных от случайного или незаконного уничтожения, изменения, разглашения, добывания, незаконного использования иным образом и случайной либо незаконной утраты.

2. Лицо, обрабатывающее данные, обязано обеспечить учет всех действий, осуществляемых с данными в электронной форме, при обработке данных не в электронной форме лицо, обрабатывающее данные, обязано обеспечить учет всех действий, связанных с разглашением или (и) изменением данных.

3. Меры по безопасности данных должны быть адекватны рискам, связанным с обработкой данных.

4. Любые сотрудники лица, обрабатывающего данные, и уполномоченного лица, участвующие в обработке данных, обязаны не выходить за пределыпредоставленных им полномочий. При этом на них возлагается обязательство по соблюдению тайны данных. В том числе и после прекращения служебных полномочий.

5. Меры по защите безопасности данных определяются законодательством Грузии.

 

Статья 18. Обязательства лица, обрабатывающего данные,  и уполномоченного лица, касающиеся разглашения данных

Приразглашении данных лицо, обрабатывающее данные, и уполномоченное лицо обязаны обеспечить регистрацию следующей информации: какие данные были разглашены, кому, когда и на каком правовом основании. Указанная информация должна храниться вместе с данными о субъекте данных в течение всего срока их хранения.

 

Статья 19. Каталог файловой системы

1. Лицо, обрабатывающее данные, обязано по каждой файловой системе вести каталог файловой системы и учитывать следующую информацию:

а) наименование файловой системы;

б) наименования и адреса лица, обрабатывающего данные, и уполномоченного лица, место хранения или(и) обработки данных;

в) правовые основания обработки данных;

г) категория субъекта данных;

д) категория данных в файловой системе;

е) цели обработки данных;

ж) срок хранения данных;

з) факт и основания ограничения прав субъекта данных;

и) получатели данных, размещенных в файловой системе, и их категории;

к) информация о передаче данных другим государствам и международным организациям и правовые основания такой передачи;

л) общее описание процедуры, установленной для защиты безопасности данных.

 11. Служба защиты персональных данных обязана вести реестр каталогов файловых систем. В указанный реестр должна вноситься информация, предусмотренная пунктом первым настоящей статьи. Информация, внесенная в реестр каталогов файловых систем, является публичной. Служба защиты персональных данных обеспечивает опубликование указанной информации в порядке, установленном Начальником Службы защиты персональных данных. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

2. Лицо, обрабатывающее данные, обязано обеспечить систематическое обновление информации, предусмотренной пунктом первым настоящей статьи.

 

 Статья 20. Обязательство по извещению Службы защиты персональных данных

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Лицо, обрабатывающее данные, обязано до создания файловой системы и до внесения в нее данных новой категории предоставить Службе защиты персональных данных информацию, предусмотренную статьей 19 настоящего Закона, в письменной или электронной форме.

2. Лицо, обрабатывающее данные, обязано известить Службу защиты персональных данных о внесении изменения в информацию, предусмотренную статьей 19 настоящего Закона, не позднее 30 дней после внесения этого изменения.

3. Один экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, требуемого правоохранительным органом, или об отказе в выдаче разрешения на его производство, содержащий только реквизиты и резолютивную часть, а также один экземпляр определения судьи о признании законным/незаконным тайного следственного действия, произведенного правоохранительным органом без разрешения суда, содержащийтолько реквизиты и резолютивную часть, представляются Службе защиты персональных данных в порядке, установленном Уголовно-процессуальным кодексом Грузии.

4. Компания электронной коммуникации должна извещать Службу защиты персональных данных о передаче правоохранительному органу в порядке, установленном статьей 136 Уголовно-процессуального кодекса Грузии, данных, идентифицирующих электронную коммуникацию, в течение 24 часов после передачи этих данных.

5. В случае безотлагательной необходимости, постановление прокурора о производстве тайного следственного действия, содержащее только реквизиты и резолютивную часть, прокурор или по поручению прокурора – следователь представляет в материальном (документальном) виде Службе защиты персональных данных не позднее 12 часов со времени начала тайного следственного действия, указанного в постановлении.

6. Электронный экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, содержащий только реквизиты и резолютивную часть, а также электронный экземпляр постановления прокурора о производстве указанного тайного следственного действия, содержащий только реквизиты и резолютивную часть, Агентство незамедлительно по принятии предоставляет Службе защиты персональных данных через электронную систему контроля.

 

Глава IV

 Права субъекта данных

 

Статья 21. Право истребования информации субъектом данных

1. Субъект данных вправе требовать от лица, обрабатывающего данные, информацию об обработке данных о нем. Лицо, обрабатывающее данные, должно предоставить субъекту данных следующую информацию:

а) какие данные о нем обрабатываются;

б) цели обработки данных;

в) правовые основания для обработки данных;

г) каким способом были собраны данные;

д) кому были выданы данные, основания и цели их выдачи.

2. Предоставление субъекту данных информации, предусмотренной подпунктом «д» пункта первого настоящей статьи, не является обязательным, если указанные данные публичны согласно закону.

3. Информация, предусмотренная пунктом первым настоящей статьи, должна предоставляться субъекту данных по требованию, незамедлительноилине позднее 10 дней после запроса, если для ответа на запрос информации требуются: (1.08.2014 N2636)

а) сбор и обработка информации в другом учреждении или структурной единице или консультация с ними;

б) сбор и обработка не связанных друг с другом значительных по объему документов;

 в) консультации с его структурной единицей, находящейся в другом населенном пункте, или другим публичным учреждением.

4. Форму предоставления информации, предусмотренной пунктом первым настоящей статьи, выбирает субъект данных.

5. Лицо вправе ознакомиться с имеющимися в публичном учреждении персональными данными о неми безвозмездно получать копии указанных данных, кроме данных, для выдачи которых законодательством Грузии предусмотрено внесение платы. (25.05.2012 N6325)

 

 Статья 22. Право субъекта данных на требование исправления, обновления, дополнения, блокирования, удаления и уничтожения данных

1. По требованию субъекта данных лицо, обрабатывающее данные, обязано исправить, обновить, дополнить, блокировать, удалить или уничтожить данные, если онинеполные, неточные, необновленные или собраны и обработаны противозаконно.

 2. Лицо, обрабатывающее данные, должно извещать всех получателей данных об исправлении, обновлении, пополнении, блокировании,удалении или уничтожении данных, кроме случая, когда предоставление такой информации невозможно ввиду большого числа получателей данных и непропорционально больших расходов. О последнем обстоятельстве должна быть извещена Служба защиты персональных данных.(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 3. В случае получения информации согласно пункту 2 настоящей статьи получатель обязан соответствующим образом исправить, обновить, дополнить, блокировать, удалить или уничтожить данные.

 

Статья 23. Процедура исправления, обновления, дополнения, блокирования, удаления и уничтожения данных

1. Требование, предусмотренное пунктом первым статьи 22 настоящего Закона, может быть представлено в письменной, устной форме или с использованиемэлектронных средств.

2. В 15-дневный срок после получения требования субъекта данных лицо, обрабатывающее данные, обязано исправить, обновить, дополнить, блокировать, удалить или уничтожить данные либо сообщить субъекту данных об основании отказа.

3. Если лицо, обрабатывающее данные без получения требования субъекта данных, сочтет, что имеющиеся у него данные неполные, неточные или не обновлены, оно должно их соответственно исправить или обновить и сообщить об этом субъекту данных.

4. После представления субъектом данных требования, предусмотренного пунктом первым статьи 22 настоящего Закона, лицо, обрабатывающее данные, правомочно заблокировать данные на основании обращения заявителя.

5. Решение о блокировании данных принимается в 3-дневный срок после подачи соответствующего требования и в силе до принятия лицом, обрабатывающим данные, решения об исправлении, обновлении, дополнении,удалении или уничтожении данных.

6. Решение о блокировании данных в течение периода наличия причины блокирования должно прилагаться к соответствующим данным.

 

Статья 24. Ограничение прав субъекта данных

1. Права субъекта данных, предусмотренные статьями 15, 21 и 22 настоящего Закона, могут ограничиваться законодательством Грузии, если реализация указанных прав может создать угрозу:

а) интересам государственной безопасности или обороны; (29.06.2018 N2765, ввести в действие с принятием присяги Президентом Грузии, избранным в результате следующих выборов Президента Грузии.)

б) интересам общественной безопасности;

в) выявлению, расследованию и пресечению преступлений;

г) значительным финансовым и экономическим(в том числе, связанным с монетарными, бюджетными и налоговыми вопросами) интересам страны;

д) правам и свободам субъекта данных и других лиц.

2. Меры, предусмотренные пунктом первым настоящей статьи, могут применяться только в объеме, необходимом, для достижения целей ограничения.

3. При наличии основания, предусмотренного пунктом первым настоящей статьи, субъект данных должен быть извещен о решении лица, обрабатывающего данные, или Службы защиты персональных данных таким образом, чтобы это не причинило вред цели ограничения права. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

 Статья 25. Отказ в даче согласия

1. Субъект данных вправе в любое время, без объяснений отказаться от данного им же согласия и требовать прекращения обработки данных или(и) уничтожения обработанных данных.

2. Лицо, обрабатывающее данные, обязано в соответствии с требованием субъекта данных прекратить обработку данных или (и) уничтожить обработанные данные в 5-дневный срок после подачи заявления, если нет другого основания для обработки данных.

3. Действие настоящей статьи не распространяется на информацию об исполнении субъектом данных денежных обязательств, обработанную с его же согласия.

 

Статья 26. Право на обжалование

1. Субъект данных в случае нарушения прав, предусмотренных настоящим Законом, вправе обращаться в установленном законом порядке в Службу защиты персональных данных или суд, а если лицом, обрабатывающим данные, является публичное учреждение, жалоба также может быть подана в тот же или вышестоящий административный орган. Начальник Службы защиты персональных данных рассматривает обращение субъекта данных в порядке, установленном настоящим Законом и нормативными актами Начальника Службы защиты персональных данных.

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

2. Субъект данных вправе требовать от органа, рассматривающего дело, заблокировать данные до вынесения решения.

 3. Субъект данных вправе в установленном законом порядке обжаловать в суд решение вышестоящего административного органа или Службы защиты персональных данных.(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

4. В случае возникновения спора по поводу наличия согласия субъекта данных на обработку данных на лицо, обрабатывающее данные, возлагается бремя доказывания факта согласия субъекта данных. (25.05.2012 N6325)

 

Статья 261. Искл. (22.03.2017 N479, ввести в действие с 30 марта 2017 года.)

 

Глава V

Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.)

(27.12.2018 N4253) (8.05.2019 N4597)

 

Инспектор по охране персональных данных

 

Статья 27. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

 Статья 28. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 29. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 30.Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 31. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 32. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 33. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 34. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 35. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 351. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

 Статья 36. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 37. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 38. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 39. Искл. (21.07.2018 N3274, ввести в действие с 10 мая 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

Статья 40. Искл. (21.07.2018 N3274, ввести в действие с 1 июля 2019 года.) (27.12.2018 N4253) (8.05.2019 N4597)

 

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

Глава V1

Принципы деятельности и гарантии осуществления полномочий Службы защиты персональных данных, полномочия Начальника Службы защиты персональных данных, его избрание, неприкосновенность, должностная несовместимость и досрочное прекращение его полномочий

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

 

Статья 401. Принципы деятельности Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Служба защиты персональных данных при осуществлении своей деятельности руководствуется Конституцией Грузии, международными договорами Грузии, общепризнанными принципами и нормами международного права, настоящим Законом и другими надлежащими правовыми актами.

2. Принципами деятельности Службы защиты персональных данных являются:

а) законность;

б) защита прав и свобод человека;

в) независимость и политический нейтралитет;

г) объективность и беспристрастность;

д) профессионализм;

е) соблюдение тайны и конфиденциальности.

 

Статья 402. Полномочия Начальника Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Начальник Службы защиты персональных данных:

а) руководит Службой защиты персональных данных и принимает решения по вопросам, связанным с деятельностью этой Службы;

б) определяет структуру Службы защиты персональных данных, полномочия ее структурных единиц и сотрудников;

в) утверждает в соответствии с законодательством Грузии штатное расписание сотрудников Службы защиты персональных данных, а также порядок выплаты и размеры заработной платы;

г) определяет функции и обязанности первого заместителя и заместителя Начальника Службы защиты персональных данных, а также делегирует им полномочия;

д) назначает на должность и освобождает от должности сотрудников Службы защиты персональных данных;

е) присваивает в порядке, установленном законодательством Грузии, государственные специальные звания (далее – специальные звания) сотрудникам структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование и понижает их в специальном звании;

ж) представляет Службу защиты персональных данных в отношениях с государственными органами, международными и другими организациями;

з) обеспечивает охрану и целевое использование государственного имущества, переданного Службе защиты персональных данных;

и) осуществляет другие полномочия в соответствии с законом.

2. Начальник Службы защиты персональных данных в пределах своих полномочий издает подзаконный нормативный акт – приказ по вопросам, связанным с деятельностью Службы защиты персональных данных.

3. Начальник Службы защиты персональных данных на основании и во исполнение надлежащего нормативного акта в пределах своих полномочий издает индивидуальные правовые акты, в том числе, решение, приказ, указание.

 

Статья 403. Избрание Начальника Службы защиты персональных данных и срок его полномочий (30.12.2021 N1313)

1. На должность Начальника Службы защиты персональных данных может быть избран гражданин Грузии с высшим юридическим образованием, не имеющий судимости и имеющий не менее чем 5-летний опыт работы в системе правосудия или правоохранительных органов либо в сфере защиты прав человека, а также высокую профессиональную и моральную репутацию.

2. Конкурс по подбору Начальника Службы защиты персональных данных объявляется, и конкурсная комиссия создается приказом Премьер-министра Грузии. Членами указанной конкурсной комиссии являются:

а) представитель Правительства Грузии;

б) Председатель Комитета Парламента Грузии по защите прав человека и гражданской интеграции;

в) Председатель Комитета Парламента Грузии по юридическим вопросам;

г) заместитель Председателя Верховного Суда Грузии;

д) первый заместитель или заместитель Генерального прокурора Грузии;

е) Народный Защитник Грузии или представитель Народного Защитника Грузии;

ж) лицо с надлежащим опытом, избранное Народным Защитником Грузии из непредпринимательских (некоммерческих) юридических лиц в порядке открытого конкурса, которое имеет опыт работы в сфере защиты прав человека или (и) в сфере защиты данных.

3. Не ранее 11 недель и не позднее 10 недель до истечения срока полномочий Начальника Службы защиты персональных данных, а в случае досрочного прекращения его полномочий – в недельный срок после прекращения полномочий ведомства и учреждения, определенные пунктом 2 настоящей статьи, предоставляют Премьер-министру Грузии информацию о личностях членов конкурсной комиссии по подбору Начальника Службы защиты персональных данных. В 7-дневный срок после истечения срока представления членов конкурсной комиссии Премьер-министр Грузии созывает первое заседание конкурсной комиссии. Заседание конкурсной комиссии правомочно, если на нем присутствует большинство полного состава конкурсной комиссии. Конкурсная комиссия на первом заседании большинством голосов из числа своих членов избирает председателя конкурсной комиссии и в недельный срок утверждает Положение о конкурсной комиссии по подбору Начальника Службы защиты персональных данных, определяющее порядок деятельности конкурсной комиссии, а также сроки и порядок представления ей кандидатур на должность Начальника Службы защиты персональных данных.

4. Конкурсная комиссия по подбору Начальника Службы защиты персональных данных большинством голосов отбирает не менее 2 и не более 5 кандидатур на должность Начальника Службы защиты персональных данных и представляет их Премьер-министру Грузии. С учетом количества отобранных кандидатур должно быть обеспечено представление максимально равного числакандидатов разного пола.

5. Премьер-министр Грузии в 10-дневный срок представляет Парламенту Грузии 2 кандидатуры для избрания на должность Начальника Службы защиты персональных данных.

6. Парламент Грузии не позднее 14 дней после представления кандидатур, в порядке, установленном Регламентом Парламента Грузии, избирает Начальника Службы защиты персональных данных. Если этот срок полностью или частично совпадает с периодом между сессиями Парламента Грузии, срок, определенный настоящим пунктом для избрания Начальника Службы защиты персональных данных, продлевается на соответствующее время. Если Парламент Грузии не сможет избрать Начальника Службы защиты персональных данных путем голосования или если оба кандидата до начала процедуры голосования заявят о нежелании избираться на должность Начальника Службы защиты персональных данных, Премьер-министр Грузии в 2-недельный срок объявляет повторный конкурс.

7. Если Начальник Службы защиты персональных данных был избран до истечения срока полномочий Начальника Службы защиты персональных данных, находящегося на должности, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинается со дня, следующего за днем истечения срока полномочий Начальника Службы защиты персональных данных, находящегося на должности. Если Начальник Службы защиты персональных данных был избран после истечения полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных, находящегося на должности, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинается со дня, следующего за днем его избрания.

8. Срок действия полномочий Начальника Службы защиты персональных данных составляет 6 лет. Лицо не может избираться на должность Начальника Службы защиты персональных данных дважды подряд. Начальник Службы защиты персональных данных не может исполнять свои обязанности после истечения срока полномочий или досрочного прекращения полномочий.

 

Статья 404. Первый заместитель и заместитель Начальника Службы защиты персональных данных

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. У Начальника Службы защиты персональных данных имеются первый заместитель и заместитель, которых он назначает на должности приказом. В случае истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных полномочия первого заместителя и заместителя Начальника Службы защиты персональных данных прекращаются с момента, когда новоизбранный Начальник Службы защиты персональных данных приступит к осуществлению полномочий в порядке, установленном настоящим Законом.

2. В случае отсутствия Начальника Службы защиты персональных данных, неосуществления им своих полномочий, приостановления, истечения срока или досрочного прекращения его полномочий, полномочия Начальника Службы защиты персональных данных осуществляет первый заместитель Начальника Службы защиты персональных данных, а в случае отсутствия его первого заместителя – заместитель Начальника Службы защиты персональных данных. Первый заместитель и заместитель Начальника Службы защиты персональных данных во время исполнения обязанностей Начальника Службы защиты персональных данных пользуются полномочиями и правовыми гарантиями, предоставленными Начальнику Службы защиты персональных данных.

 

Статья 405. Неприкосновенность Начальника Службы защиты  персональных данных

 (30.12.2021 N1313)

1. Начальник Службы защиты персональных данных неприкосновенен. Привлечение Начальника Службы защиты персональных данных к уголовной ответственности, его задержание или заключение под стражу, обыск его жилья или рабочего места, машины или личный обыск допускается только с предварительного согласия Парламента Грузии. Исключение составляет случай задержания на месте преступления, о чем незамедлительно извещается Парламент Грузии. Если Парламент Грузии в течение 48 часов не даст согласия, задержанный или заключенный под стражу Начальник Службы защиты персональных данных должен быть освобожден незамедлительно.

2. В случае дачи согласия Парламентом Грузии на задержание или заключение Начальника Службы защиты персональных данных под стражу постановлением Парламента Грузии приостанавливаются его полномочия до вынесения постановления/определения о прекращении уголовного преследования или до вступления приговора суда в законную силу.

3. Личную безопасность Начальника Службы защиты персональных данных обеспечивают соответствующие государственные органы в установленном порядке.

 

Статья 406 Должностная несовместимость Начальника Службы защиты персональных данных(30.12.2021 N1313)

1. Должность Начальника Службы защиты персональных данных несовместима с членством в органе государственной власти и представительном органе муниципалитета, с любой должностью на государственной службе и публичной службе и другой оплачиваемой деятельностью,кроме научной, педагогической деятельности и деятельности в области искусства. Начальник Службы защиты персональных данных не может заниматься предпринимательской деятельностью, непосредственно осуществлять полномочия постоянно действующего руководителя субъекта предпринимательской деятельности, члена наблюдательного, контролирующего, ревизионного или консультативного органа, быть членом политической партии или участвовать в политической деятельности.

2. Начальнику Службы защиты персональных данных запрещается участвовать в собраниях и манифестациях в поддержку или против политического объединения граждан.

3. Лицо, избранное на должность Начальника Службы защиты персональных данных, обязано в 10-дневный срок после его избрания прекратить деятельность, не совместимую с должностью, или уйти в отставку с должности, не совместимой с его статусом. До тех пор, пока лицо, избранное на должность Начальника Службы защиты персональных данных, не прекратит деятельность, не совместимую с его должностью, или не уйдет в отставку с должности, не совместимой с его статусом, указанное лицо не вправе приступать к осуществлению полномочий Начальника Службы защиты персональных данных. Если Начальник Службы защиты персональных данных не выполнит требование, установленное настоящим пунктом, в указанный срок, его полномочия прекращаются досрочно.

 

Статья 407. Досрочное прекращение полномочий Начальника Службы защиты персональных данных (30.12.2021 N1313)

1. Полномочия Начальника Службы защиты персональных данных прекращаются досрочно:

а) в случае утраты им гражданства Грузии;

б) если он по состоянию здоровья не может исполнять свои полномочия в течение 4 месяцев подряд;

в) в случае вступления в отношении него в законную силу обвинительного приговора суда;

г) в случае признания его судом поддерживаемым лицом (если решением суда не определено иное), безвестно отсутствующим или объявления его умершим;

д) в случае занятия им должности, не совместимой с его статусом, или осуществления деятельности, не совместимой с его должностью;

е) в случае добровольного ухода с должности;

ж) в случае смерти.

2. В случае, предусмотренном пунктом первым настоящей статьи, полномочия Начальника Службы защиты персональных данных считаются прекращенными досрочно с момента наступления соответствующего обстоятельства, о чем Председатель Парламента Грузии незамедлительно извещает Парламент Грузии. Парламент Грузии прекращает действие полномочий Начальника Службы защиты персональных данных на основании принятия к сведению информации Председателя Парламента Грузии.

 

Статья 408. Организационное и финансовое обеспечение Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Структуру Службы защиты персональных данных, порядок деятельности и правила распределения полномочий между сотрудниками устанавливаются Положением о Службе защиты персональных данных, которое утверждает Начальник Службы защиты персональных данных.

2. Сотрудник структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, является публичным служащим, и на него распространяется действие Закона Грузии «О публичной службе», если настоящим Законом или нормативным актом Начальника Службы защиты персональных данных, изданным на основании настоящего Закона, не установлено иное. Другие сотрудники Службы защиты персональных данных являются публичными служащими, и на них распространяется в установленном порядке действие Закона Грузии «О публичной службе». Порядок прохождения службы сотрудником структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, в Службе защиты персональных данных устанавливает Начальник Службы защиты персональных данных.

3. Деятельность Службы защиты персональных данных финансируется из Государственного бюджета Грузии. Ассигнования, необходимые для осуществления деятельности Службы защиты персональных данных, определяются в Государственном бюджете Грузии отдельным кодом. Сокращение текущих расходов, предусмотренных для Службы защиты персональных данных в Государственном бюджете Грузии, по сравнению с размером бюджетных средств предыдущего года, допускается только с предварительного согласия Начальника Службы защиты персональных данных.

 

Статья 409. Независимость Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Служба защиты персональных данных независима при осуществлении своих полномочий и не подчиняется ни одному органу и должностному лицу. Какое-либо воздействие на Начальника Службы защиты персональных данных и служащих Службы защиты персональных данных, а также незаконное вмешательство в их деятельность запрещается и наказывается по закону.

2. Государство с целью обеспечения независимости Службы защиты персональных данных обязано создать для нее надлежащие условия деятельности.

3. Начальник Службы защиты персональных данных вправе не давать показаний в связи с выполнением функций контроля за законностью обработки данных, контроля за производством тайного следственного действия и действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию, по факту, о котором он был извещен как Начальник Службы защиты персональных данных. Это право сохраняется за Начальником Службы защиты персональных данных и после прекращения его полномочий.

 

Статья 4010. Годовой отчет Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Начальник Службы защиты персональных данных представляет Парламенту Грузии раз в год, не позднее 31 марта, отчет о положении в связи с защитой данных в Грузии, контроле за проведением тайных следственных действий и за действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию.

2. Годовой отчет Службы защиты персональных данных должен содержать информацию о деятельности в сфере защиты данных, осуществленной Службой защиты персональных данных в отчетный период, общие оценки, заключения и рекомендации, связанные с положением относительно защиты данных в Грузии, информацию о выявленных значительных нарушениях и осуществленных мероприятиях в течение года, общую статистическую информацию о деятельности, осуществленной в сфере контроля за проведением тайных следственных действий.

3. Отчет о результатах контроля за проведением следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, и тайных следственных действий, предусмотренных подпунктами«а» и «б» части первой статьи 1431 этого же Кодекса, Начальник Службы защиты персональных данных представляет раз в год комитету Парламента, определенному Бюро Парламента Грузии в порядке, установленном Регламентом Парламента Грузии, и Группе доверия.

4. Информация о деятельности, осуществленной Службой защиты персональных данных, с учетом ограничений, установленных настоящей статьей, предоставляется обществу посредством веб-страницы Службы защиты персональных данных.

 

Глава V2

Полномочия Службы защиты персональных данных в сфере защиты данных и в сфере контроля за проведением тайных следственных действий

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

Статья 4011. Основные направления деятельности Службы защиты персональных данных в сфере защиты данных

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

Служба защиты персональных данных осуществляет контроль за законностью обработки данных в Грузии. Основными направлениями деятельности Службы защиты персональных данных в указанной сфере являются:

а) проведение консультаций по вопросам, связанным с защитой данных;

б) рассмотрение заявлений, связанных с защитой данных;

в) проверка (инспектирование) законности обработки данных;

г) предоставление обществу информации о положении относительно защиты данных в Грузии и значительных событиях, связанных с ней, а также повышение уровня информированности общества.

 

Статья 4012. Рассмотрение Службой защиты персональных данных заявления субъекта данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Служба защиты персональных данных обязана рассматривать заявления субъекта данных в связи с обработкой данных и применять меры, предусмотренные законодательством Грузии.

2. Служба защиты персональных данных в 10-дневный срок после поступления заявления субъекта данных принимает решение о мерах, подлежащих принятию, о чем уведомляет заявителя.

3. Служба защиты персональных данных правомочна осуществить проверку в целях изучения и исследования обстоятельств, связанных с заявлением субъекта данных. Любое лицо, обрабатывающее данные, или (и) уполномоченное лицо обязаны в случае требования Службы защиты персональных данных передать ей соответствующие материалы, информацию или (и) документы.

4. Срок рассмотрения Службой защиты персональных данных заявления субъекта данных не должен превышать 2 месяцев. Срок рассмотрения заявления субъекта данных на основании обоснованного решения Службы защиты персональных данных может быть продлен не более чем на 1 месяц.

5. Служба защиты персональных данных правомочна при рассмотрении заявления субъекта данных приостановить производство соответствующего дела по основанию истребования дополнительных материалов, информации или (и) документации, о чем Служба защиты персональных данных уведомляет субъекта данных. Рассмотрение заявления субъекта данных продолжается с отменой указанного основания. Период приостановления производства дела не засчитывается в срок, предусмотренный пунктом 4 настоящей статьи.

6. Служба защиты персональных данных вправе до завершения рассмотрения заявления субъекта данных принять решение о блокировании данных. Независимо от блокирования данных обработка этих данных может продолжаться, если это необходимо для защиты жизненно важных интересов субъекта данных или третьего лица, а также для целей государственной безопасности и обороны.

7. Служба защиты персональных данных после рассмотрения заявления субъекта данных принимает решение о принятии одной из мер, предусмотренных статьей 4014 настоящего Закона, о чем уведомляет субъекта данных и лицо, обрабатывающее данные, или (и) уполномоченное лицо в порядке и сроки, установленные законодательством Грузии.

 

Статья 4013. Осуществление проверки Службой защиты персональных данных

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Служба защиты персональных данных правомочна по собственной инициативе или на основании заявления заинтересованного лица осуществлять проверку любого лица, обрабатывающего данные, или (и) уполномоченного лица. Решение об осуществлении проверки, предусмотренной настоящей статьей, принимает Начальник Службы защиты персональных данных.

2. Осуществление Службой защиты персональных данных проверки подразумевает:

а) установление соблюдения принципов обработки данных и наличия законных оснований для обработки данных;

б) проверку соответствия организационных и техническихмероприятий и процедур, осуществленных для соблюдения безопасности данных, требованиям, установленным законодательством Грузии;

в) проверку выполнения установленных настоящим Законом требований в связи с каталогом файловой системы, реестром каталогов файловыхсистем и учетом выдачи данных;

г) проверку законности передачи данных другим государствам и международным организациям;

д) проверку соблюдения правил и требований, установленных настоящим Законом, Законом Грузии «О защите персональных данных» и другими нормативными актами для защиты данных.

3. Служба защиты персональных данных правомочна при осуществлении проверки истребовать из любого учреждения, у физического лица или (и) юридического лица документы или (и) информацию, в том числе, информацию, содержащую государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также материалы или (и) документацию, отражающую оперативно-розыскную деятельность и расследование преступления, или (и) информацию, которая относится к государственной тайне и необходима для осуществления проверки в пределах, установленных пунктом 2 настоящей статьи.

4. Лицо, обрабатывающее данные, или (и) уполномоченное лицо обязаны предоставлять Службе защиты персональных данных любые материалы, информацию или (и) документы незамедлительно, не позднее10 рабочих дней, если для ответа на запрос информации требуются:

а) поиск и обработка информации в другом учреждении или структурной единице либо проведение консультаций с этим учреждением или единицей;

б) поиск и обработка информации/документов в значительном объеме.

5. Служба защиты персональных данных вправе на основании обоснованного обращения лица, обрабатывающего данные, или (и) уполномоченного лица продлить срок, указанный в пункте 4 настоящей статьи, не более чем на 10 рабочих дней.

6. Служба защиты персональных данных правомочна для осуществления проверки входить в любое учреждение и организацию и быть ознакомленной с любым документом и информацией, в том числе, с информацией, содержащей государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также с материалами или (и) документацией или (и) информацией, отражающей оперативно-розыскную деятельность и расследование преступления, которая относится к государственной тайне, независимо от их содержания и формы хранения.

7. Служба защиты персональных данных с учетом результатов проверки правомочна применить меры, предусмотренные статьей 4014 настоящего Закона.

8. Сотрудник Службы защиты персональных данных обязан соблюдать безопасность информации, содержащей тайну любого характера, и не разглашать секретную информацию, ставшую ему известной во время исполнения служебных обязанностей. Это обязательство сохраняется за сотрудником Службы защиты персональных данных и после прекращения его полномочий.

 

Статья 4014. Применение мер Службой защиты персональных Данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. В случае выявления Службой защиты персональных данных нарушения настоящего Закона или другого нормативного акта, регулирующего обработку данных, она правомочна применить одну из следующих мер или несколько мер одновременно:

а) требовать устранения нарушения и недостатков, связанных с обработкой данных, в указанной ею форме и в указанные ею сроки;

б) требовать прекращения обработки данных временно или навсегда, если меры и процедуры по соблюдению безопасности данных, принятые лицом, обрабатывающим данные, или уполномоченным лицом, не соответствуют требованиям, установленным законодательством Грузии:

в) требовать прекращения обработки данных, а также требовать блокирования, удаления, уничтожения или деперсонализации данных, если сочтет, что обработка данных осуществляется с нарушением законодательства Грузии;

г) требовать прекращения передачи данных другому государству и международной организации, если передача данных осуществляется с нарушением законодательства Грузии;

д) письменно давать советы и рекомендации лицам, обрабатывающим данные, или (и) уполномоченным лицам в случае незначительного нарушения ими правил, связанных с обработкой данных;

е) привлекать нарушителей к административной ответственности.

2. Лицо, обрабатывающее данные, или (и) уполномоченное лицо обязано в сроки, указанные Службой защиты персональных данных, выполнить ее требования и уведомить Службу защиты персональных данных об их выполнении.

3. Если лицо, обрабатывающее данные, или (и) уполномоченное лицо не выполнит требований Службы защиты персональных данных, Служба защиты персональных данных правомочна обратиться в суд, правоохранительный орган или (и) государственное учреждение, определенное законодательством Грузии, осуществляющее надзор (регулирование) за соответствующей сферой.

4. В случае выявления Службой защиты персональных данных административного правонарушения она правомочна составить протокол об административном правонарушении и, соответственно, привлечь лицо, обрабатывающее данные, или (и) уполномоченное лицо к административной ответственности в порядке, установленном Законом Грузии «О защите персональных данных» и Кодексом Грузии об административных правонарушениях.

5. Если Служба защиты персональных данных при осуществлении деятельности сочтет, что существуют признаки преступления, она обязана сообщить об этом уполномоченному государственному органу в порядке, установленном законом.

6. Исполнение решения Службы защиты персональных данных в сфере защиты данных является обязательным, и оно может быть обжаловано в установленном законом порядке только в суде.

 

Статья 4015. Оказание консультаций и осуществление образовательной деятельности Службой защиты персональных данных

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Служба защиты персональных данных в случае наличия соответствующей просьбы обязана оказывать консультации органам государственной власти, органам муниципалитета, другим публичным учреждениям, юридическим лицам частного права и физическим лицам по любым вопросам, связанным с обработкой и защитой данных.

2. Служба защиты персональных данных осуществляет образовательную деятельность по вопросам, связанным с обработкой и защитой данных.

 

Статья 4016. Контроль за производством тайных следственных действий и действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Во время производства тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, – скрытого прослушивания и записи телефонной коммуникации – Служба защиты персональных данных осуществляет контроль:

а) посредством электронной системы контроля – за законностью обработки данных;

б) посредством специальной электронной системы контроля – за законностью обработки данных;

в) за законностью обработки данных лицом, обрабатывающим данные/уполномоченным лицом (инспектирование).

2. Служба защиты персональных данных осуществляет надзор за производством следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, путем сопоставления информации, предоставленной судом, прокуратурой и поставщиком электронных коммуникационных услуг, и проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.

3. Служба защиты персональных данных осуществляет надзор за производством тайных следственных действий, предусмотренных подпунктами «б», «г» и «е» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.

4. Служба защиты персональных данных осуществляет надзор за производством тайного следственного действия, предусмотренного подпунктом «д» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом, в порядке, установленном настоящим Законом. При осуществлении проверки (инспектирования) в случае, предусмотренном настоящим пунктом, истребование информации о личности лица, участвующего в производстве тайного следственного действия (кроме субъекта данных, следователя и прокурора), и его участие в процессе осуществления проверки (инспектирования), а также истребование информации о характеристиках оперативного и оперативно-технического оснащения, использованного во время производства тайного следственного действия, предусмотренного настоящим пунктом, допускается только с согласия руководителя органа, производящего тайное следственное действие. Осуществление проверки (инспектирования) в случае, предусмотренном настоящим пунктом, не включает непосредственное участие в процессе подготовки/производства тайного следственного действия и проверку на месте замаскированного жилого или служебного объекта либо другого замаскированного объекта и здания или сооружения.

5. Служба защиты персональных данных осуществляет контроль за производства тайного следственного действия, предусмотренного подпунктом «в» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, а также за осуществлением мероприятия, предусмотренного подпунктом «б» пункта 3 статьи 7 Закона Грузии «Об оперативно-розыскной деятельности», с помощью специальной электронной системы контроля определения геолокации в реальном времени и путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.

6. Служба защиты персональных данных осуществляет контроль за действиями, осуществленными в центральном банке данных, идентифицирующих электронную коммуникацию, с помощью электронной системы контроля центрального банка данных, идентифицирующих электронную коммуникацию, и путем проверки (инспектирования) законности обработки данных лицом, обрабатывающим данные/уполномоченным лицом.

7. Служба защиты персональных данных при осуществлении проверки (инспектирования) Агентства правомочна:

а) входить в ареал ограниченного допуска Агентства и вести наблюдения в текущем режиме за осуществлением уполномоченными органами своей деятельности;

б) ознакомиться с правовыми документами и техническими инструкциями (в том числе, содержащими государственную тайну), регулирующими деятельность Агентства;

в) получать информацию о технической инфраструктуре, использованной для целей тайных следственных действий, и осуществлять проверку этой инфраструктуры;

г) требовать от служащих Агентства объяснений в связи с отдельными вопросами, возникшими во время осуществления проверки (инспектирования);

д) осуществлять другие полномочия, предусмотренные настоящим Законом.

8. Служащие Агентства обязаны сотрудничать со Службой защиты персональных данных – предоставлять Службе защиты персональных данных истребуемую информацию и документы в полном объеме, а также давать объяснения по отдельным вопросам, возникшим при осуществлении проверки (инспектирования).

 

Глава V3

Правовая и социальная защита сотрудников Службы защиты персональных данных, сотрудники структурной единицы Службы

защиты персональных данных, осуществляющей служебное инспектирование

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

Статья 4017. Правовая защита сотрудников Службы защиты персональных данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Сотрудники Службы защиты персональных данных при осуществлении служебных обязанностей являются представителями государственной власти, и их защищает государство. Исполнение законных требований сотрудников Службы защиты персональных данных является обязательным для всех.

2. Никто не вправе вмешиваться в служебную деятельность сотрудников Службы защиты персональных данных, кроме случаев, предусмотренных законом.

3. Воспрепятствование исполнению сотрудником Службы защиты персональных данных служебных обязанностей, посягательство на его честь и достоинство, оказание ему сопротивления, угроза, насилие в отношении него или посягательство на его жизнь, здоровье или имущество влекут ответственность, установленную законодательством Грузии. В случае поступления информации о посягательстве на жизнь, здоровье и имущество Начальника Службы защиты персональных данных, первого заместителя или заместителя Начальника Службы защиты персональных данных, сотрудника Службы защиты персональных данных или члена его семьи в связи с осуществлением служебных полномочий, государственные органы обязаны принять предусмотренные законом меры с целью защиты его/их личной и имущественной безопасности.

4. Сотрудники Службы защиты персональных данных должны заявлять отказ от исполнения явно противоречащих закону приказов или распоряжений, если им было или могло было быть известно об их незаконности, и действовать в рамках закона.

5. Сотрудники Службы защиты персональных данных в случае получения явно противоречащих закону приказов или распоряжений должны уведомлять об этом Начальника Службы защиты персональных данных.

6. На сотрудника Службы защиты персональных данных, заявившего отказ от исполнения явно противоречащего закону приказа или распоряжения, ответственность не возлагается.

7. На лицо, отдавшее явно противоречащий закону приказ или распоряжение сотруднику Службы защиты персональных данных, возлагается ответственность в установленном законом порядке.

8. Сотрудники Службы защиты персональных данных вправе обращаться в суд за защитой своих прав и свобод.

9. Сотрудникам Службы защиты персональных данных для подтверждения их служебных полномочий выдается удостоверение личности или (и) специальный жетон, форму и порядок выдачи которого устанавливает Начальник Службы защиты персональных данных.

 

Статья 4018. Социальная защита сотрудников Службы защиты персональных данных, имеющих специальные звания

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Социальную защиту сотрудников Службы защиты персональных данных, имеющих специальные звания, обеспечивает государство.

2. Если законодательством Грузии не установлено иное, на сотрудников Службы защиты персональных данных, имеющих специальные звания, распространяются гарантии социальной защиты чиновников, предусмотренные Законом Грузии «О публичной службе» (в том числе, гарантии социальной защиты в случае причинения им телесных повреждений или гибели, связанных с исполнением служебных обязанностей).

3. Сотрудники Службы защиты персональных данных, имеющие специальные звания, получают:

а) должностные оклады, определенные в порядке, установленном пунктом 5 настоящей статьи;

б) надбавки к заработной плате и денежные вознаграждения, установленные в соответствии с пунктом 5 настоящей статьи и Законом Грузии «Об оплате труда в публичном учреждении»;

в) оклады по званиям, соответствующие специальным званиям;

г) надбавки за выслугу лет;

д) другие надбавки и компенсации, предусмотренные законодательством Грузии.

4. Сотрудники Службы защиты персональных данных, имеющие специальные звания, которые уволены со службы ввиду достижения предельного возраста или признания их лицами с ограниченными возможностями, вправе согласно законодательству Грузии получать соответствующую государственную компенсацию или государственную пенсию.

5. Порядок выплаты и размер вознаграждения за труд сотрудников Службы защиты персональных данных, имеющих специальные звания, размеры окладов по званиям и надбавок за выслугу лет, а также размеры другихнадбавок и компенсаций, предусмотренных законодательством Грузии, определяются нормативными актами Начальника Службы защиты персональных данных, а также другими законодательными и подзаконными нормативными актами Грузии.

6. Сотрудники Службы защиты персональных данных, имеющие специальные звания, подлежат обязательному государственному страхованию. Вопросы, связанные с государственным страхованием членов семей сотрудников Службы защиты персональных данных, имеющих специальные звания (в том числе, круг членов семьи), определяет Начальник Службы защиты персональных данных.

7. Специальные звания сотрудников Службы защиты персональных данных определяются Законом Грузии «О государственных специальных званиях».

 

Статья 4019. Подбор, назначение на должность и полномочия сотрудников структурной единицы Службы защиты  персональных данных, осуществляющей служебное инспектирование

 (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование (кроме случая, предусмотренного пунктом 2 настоящей статьи), назначаются на должность на основе конкурса, приказом Начальника Службы защиты персональных данных. Порядок и условия проведения конкурса по подбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, а также квалификационные требования к лицам, подлежащим назначению (основные требования, которые не должны быть меньше основных требований, установленных статьей 27 Закона Грузии «О публичной службе», специальные требования и дополнительные требования), определяются настоящимЗаконом и соответствующим правовым актом Начальника Службы защиты персональных данных. Начальник Службы защиты персональных данных с целью проведения конкурса по подбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, создает конкурсную комиссию и устанавливает порядок ее деятельности.

2. Допускается без проведения конкурса перевод или горизонтальный перевод сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, по мобильности, определенной Законом Грузии «О публичной службе».

3. На сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, распространяются полномочия и обязанности, предусмотренные настоящим Законом и соответствующим правовым актом Начальника Службы защиты персональных данных.

 

Глава VI

Передача данных другим государствам и

международным организациям

 

Статья 41. Передача данных другим государствам и международным организациям

1. Передача данных другим государствам и международным организациям возможна при наличии предусмотренных настоящим Законом оснований для обработки данных и надлежащих гарантий защиты данных в соответствующем государстве или международной организации.

2. Передача данных другому государству или международной организации, кроме пункта первого настоящей статьи, возможна также в случае, если:

а) передача данных предусмотрена международным договором и соглашением Грузии;

б) лицо, обрабатывающее данные, обеспечивает надлежащие гарантии защиты данных и основных прав субъекта данных на основании договора, заключенного лицом, обрабатывающим данные, и соответствующим государством, юридическим илифизическим лицом такого государства или международной организацией.

 3.Передача данных на основании подпункта «б» пункта 2 настоящей статьи допускается только после получения разрешения Службы защиты персональных данных. (30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

 

Статья 42. Установление надлежащих гарантий защиты данных

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

Наличие надлежащих гарантий защиты данных в другом государстве или (и) международной организации оценивает и решение принимает Служба защиты персональных данных на основании анализа законодательства, регулирующего обработку данных, и соответствующей практики.

 

Глава VII

Административная ответственность за нарушение

настоящего Закона

 

Статья 43. Обработка данных за отсутствием оснований, предусмотренных настоящим Законом

1. Обработка данных за отсутствием оснований, предусмотренных настоящим Законом, -

влечет предупреждение или наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 2000 лари.

 

Статья 44. Нарушение принципов обработки данных

1. Нарушение предусмотренных настоящим Законом принципов обработки данных –

влечет предупреждение или наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 2000 лари.

 

Статья 45. Обработка данных особой категории за отсутствием оснований, предусмотренных настоящим Законом

1. Обработка данных особой категории за отсутствием оснований, предусмотренных настоящим Законом, -

влечет наложение штрафа в размере 1000 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 5000 лари.

 

Статья 46. Невыполнение требований по соблюдению безопасности данных

1. Невыполнение предусмотренных настоящим Законом требований по соблюдению безопасности данных-

влечет предупреждение или наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 2000 лари.

 

Статья 47. Использование данных для целей прямого маркетинга в нарушение правил

1. Использование данных для целей прямого маркетинга в нарушение правил, установленных настоящим Законом, -

влечет наложение штрафа в размере 3000 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 10000 лари.

 

Статья 48. Нарушение правил видеонаблюдения

1. Нарушение правил видеонаблюдения, установленных настоящим Законом, −

влечет предупреждение или наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −

влечет наложение штрафа в размере 2000 лари.

 

Статья 49. Нарушение правил обработки данных о входе и выходе из зданий публичных и частных учреждений

Нарушение правил обработки данных о входе и выходе из зданий публичных и частных учреждений, установленных настоящим Законом, −

влечет предупреждение или наложение штрафа в размере 100 лари.

 

Статья 50. Нарушение правил информирования субъекта данных лицом, обрабатывающим данные

1. Нарушение установленных настоящим Законом правил информирования субъекта данных лицом, обрабатывающим данные,

влечет предупреждение или наложение штрафа в размере 100 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, -

влечет наложение штрафа в размере 500 лари.

 

Статья 51. Поручение обработки данных лицом, обрабатывающим данные, уполномоченному лицу в нарушение правил

1. Поручение обработки данных лицом, обрабатывающим данные, уполномоченному лицу в нарушение правил,установленных настоящим Законом, −

влечет наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом,к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −

влечет наложение штрафа в размере 2000 лари.

 

Статья 52. Нарушение уполномоченным лицом правил,  предусмотренных статьей 16 настоящего Закона

1. Нарушение уполномоченным лицом правил, предусмотренных статьей 16 настоящего Закона −

влечет наложение штрафа в размере 1000 лари.

2. То же деяние, совершенное лицом, к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −

влечет наложение штрафа в размере 3000 лари.

 

Статья 521. Нарушение порядка передачи данных другим государствам и международным организациям (1.08.2014 N2639)

1. Передача данных в нарушение порядка, установленного статьей

41 настоящего Закона,

влечет наложение штрафа в размере 1000 лари.

2. То же деяние, совершенное лицом, которому в течение года было

назначено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, –

влечет наложение штрафа в размере 3000 лари.

 

Статья 53. Неисполнение требований Службы защиты персональных данных»;

(заглавие 30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Нарушение лицом, обрабатывающим данные, или уполномоченным лицом порядка предоставления Службе защиты персональных данных информации и документа, в том числе, непредоставление информации, определенной статьей 10 настоящего Закона, и невыполнение обязательства по извещению в соответствии со статьей 20 настоящего Закона –(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

влекут наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом,к которому в течение года было применено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи, −

влечет наложение штрафа в размере 2000 лари.

 

Статья 54. Нарушение иных правил, связанных с обработкой данных (1.08.2014 N2639)

1. Нарушение порядка, установленного пунктом 11 статьи 3 настоящего Закона,

− влечет наложение штрафа в размере 500 лари.

2. То же деяние, совершенное лицом, которому в течение года было назначено административное взыскание за нарушение, предусмотренное пунктом первым настоящей статьи,

– влечет наложение штрафа в размере 2000 лари.

 

Статья 55. Рассмотрение дел об административных правонарушениях

(30.12.2021 N1313, ввести в действие с 1 марта 2022 года.)

1. Право рассматривать дела об административных правонарушениях, предусмотренных статьями 43–54 настоящего Закона, и налагать административные взыскания имеет Служба защиты персональных данных.

2. Протокол об административном правонарушении составляет лицо, уполномоченное на то Службой защиты персональных данных.

3. Лицо, уполномоченное Службой защиты персональных данных, составляет протокол об административном правонарушении и рассматривает дело об административном правонарушении в порядке, установленном настоящим Законом, Кодексом Грузии об административных правонарушениях и нормативными актами Начальника Службы защиты персональных данных.

 

Глава VII1. Переходные положения (30.11.2014 N2869)

 

Статья 551. Переходные положения(30.11.2014 N2869)

Министерству внутренних дел Грузии до 31 марта 2015 года обеспечить осуществление технико-организационных мероприятий, необходимых для функционирования электронной системы контроля и специальной электронной системы контроля за банками данных, а также создание соответствующих программных средств обеспечения.

 

Статья 552. Мероприятия, подлежащие осуществлению в переходный период(30.12.2021 N1313)

1. До первичного избрания Начальника Службы защиты персональных данных подобрать кандидатуры на должность Начальника Службы защиты персональных данных и представить их Парламенту Грузии для избрания в соответствии со статьей 403 настоящего Закона, с соблюдением следующих сроков:

а) Премьер-министру Грузии объявить о конкурсе по подбору Начальника Службы защиты персональных данных; ведомствам и учреждениям, определенным пунктом 2 статьи 403 настоящего Закона, представить Премьер-министру Грузии членов конкурсной комиссии по подбору Начальника Службы защиты персональных данных в недельный срок после введения настоящей статьи в действие;

б) Премьер-министру Грузии создать конкурсную комиссию по подбору Начальника Службы защиты персональных данных и созвать первое заседание конкурсной комиссии в 2-недельный срок после введения настоящей статьи в действие;

в) в случае объявления повторного конкурса в соответствии с пунктом 6 статьи 403 настоящего Закона сохранить действие сроков, установленных подпунктами «а» и «б» настоящего пункта, и начать их исчисление с момента объявления повторного конкурса.

2. Если Парламент Грузии изберет Начальника Службы защиты персональных данных из числа кандидатов, представленных ему в соответствии с пунктом первым настоящей статьи и статьей 403 настоящего Закона, до 1 марта 2022 года, действие полномочий новоизбранного Начальника Службы защиты персональных данных, начинаются с 1 марта 2022 года. Если Парламент Грузии изберет Начальника Службы защиты персональных данных из числа указанных кандидатов после 1 марта 2022 года, действие полномочий новоизбранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем его избрания.

3. Соответствующим органам/должностным лицам незамедлительно, но не позднее 1 апреля 2022 года, принять/издать подзаконные нормативные акты, необходимые для исполнения настоящего Закона.

4. Правительству Грузии до 1 апреля 2022 года обеспечить осуществление мероприятий, необходимых для оснащения Службы защиты персональных данных соответствующим имуществом.

5. Деятельность Cлужбы защиты персональных данных в 2022 году финансируется в соответствии с программным кодом (51 00), утвержденным Законом Грузии «О Государственном бюджете Грузии на 2022 год» для Службы Государственного инспектора.

6. Годовой отчет Службы защиты персональных данных, предусмотренный статьей 4010 настоящего Закона, в 2022 году представляться Парламенту Грузии не будет.

 

Глава VIII

Заключительные положения

 

Статья 56. Введение Закона в действие

1. Настоящий Закон, кроме статьей 43-55, ввестив действие с 1 мая 2012 года.

2. Статьи 43-55 настоящего Закона ввести в действие с 1 января 2013 года.

3. Статьи 34, 35 и 39 настоящего Закона применительно к частному сектору ввестив действие с 1 января 2014 года. (1.08.2014 N2639)

 

Президент Грузии      Михаил Саакашвили

 

Тбилиси

28 декабря 2011 года

№5669-вс

33. 30/11/2023 - Law of Georgia - 3819-XIIIმს-Xმპ - Website, 19/12/2023 32. 30/11/2023 - Law of Georgia - 3818-XIIIმს-Xმპ - Website, 19/12/2023 31. 21/09/2023 - Law of Georgia - 3527-XIIIმს-Xმპ - Website, 12/10/2023 30. 14/06/2023 - Law of Georgia - 3144-XIმს-Xმპ - Website, 03/07/2023 29. 13/06/2023 - Law of Georgia - 3130-XIმს-Xმპ - Website, 27/06/2023 28. 13/06/2023 - Law of Georgia - 3121-XIმს-Xმპ - Website, 27/06/2023 27. 31/05/2023 - Law of Georgia - 2996-XIმს-Xმპ - Website, 13/06/2023 26. 17/05/2023 - Law of Georgia - 2925-XIმს-Xმპ - Website, 25/05/2023 25. 09/02/2023 - Law of Georgia - 2558-XIმს-Xმპ - Website, 27/02/2023 24. 30/11/2022 - Law of Georgia - 2199-IXმს-Xმპ - Website, 15/12/2022 23. 30/12/2021 - Law of Georgia - 1313-VIIრს-Xმპ - Website, 13/01/2022 22. 29/11/2019 - Law of Georgia - 5403-Iს - Website, 10/12/2019 21. 20/09/2019 - Law of Georgia - 5031-Iს - Website, 01/10/2019 20. 07/06/2019 - Decision of the Constitutional Court - 1/4/693,857 - Website, 12/06/2019 19. 08/05/2019 - Law of Georgia - 4597-რს - Website, 08/05/2019 18. 26/12/2018 - Law of Georgia - 4145-რს - Website, 10/01/2019 17. 27/12/2018 - Law of Georgia - 4253-რს - Website, 29/12/2018 16. 06/12/2018 - Law of Georgia - 3879-რს - Website, 14/12/2018 15. 20/09/2018 - Law of Georgia - 3451-Iს - Website, 09/10/2018 14. 21/07/2018 - Law of Georgia - 3300-რს - Website, 09/08/2018 13. 21/07/2018 - Law of Georgia - 3274-რს - Website, 09/08/2018 12. 29/06/2018 - Law of Georgia - 2765-IIს - Website, 19/07/2018 11. 21/04/2017 - Law of Georgia - 669-IIს - Website, 03/05/2017 10. 22/03/2017 - Law of Georgia - 479-IIს - Website, 27/03/2017 - Amendment contains transitional provision 9. 01/12/2016 - Law of Georgia - 54-Iს - Website, 15/12/2016 8. 27/04/2016 - Law of Georgia - 5017-IIს - Website, 13/05/2016 7. 08/07/2015 - Law of Georgia - 3940-რს - Website, 15/07/2015 6. 01/05/2015 - Law of Georgia - 3534-IIს - Website, 18/05/2015 5. 20/03/2015 - Law of Georgia - 3350-IIს - Website, 31/03/2015 4. 30/11/2014 - Law of Georgia - 2869-Iს - Website, 30/11/2014 3. 01/08/2014 - Law of Georgia - 2639-რს - Website, 18/08/2014 2. 01/08/2014 - Law of Georgia - 2636-რს - Website, 18/08/2014 1. 25/05/2012 - Law of Georgia - 6325-Iს - Website, 12/06/2012