LAW OF GEORGIA ON PERSONAL DATA PROTECTION

Document structure

View explanations

Referenced documents

Document comments

Document Highlights

Return back
 

საქართველოს კანონი

 

 
პერსონალურ მონაცემთა დაცვის შესახებ

თავი I

ზოგადი დებულებები

მუხლი 1. კანონის მიზანი

ამ კანონის მიზანია პერსონალური მონაცემების დამუშავებისას ადამიანის ძირითადი უფლებებისა და თავისუფლებების, მათ შორის, პირადი და ოჯახური ცხოვრების, პირადი სივრცისა და კომუნიკაციის ხელშეუხებლობის უფლებების, დაცვა.

მუხლი 2. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება საქართველოს ტერიტორიაზე მონაცემთა ავტომატური საშუალებებით დამუშავებასა და ნახევრად ავტომატური საშუალებებით დამუშავებაზე, იმ მონაცემთა არაავტომატური საშუალებებით დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შესატანად მუშავდება, აგრეთვე საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით დამუშავებაზე, გარდა იმ შემთხვევისა, როდესაც ტექნიკური საშუალებები მხოლოდ მონაცემთა ტრანზიტისთვის გამოიყენება.

2. ამ კანონის მოქმედება არ ვრცელდება:

ა) ფიზიკური პირის მიერ აშკარად პირადი მიზნით ან/და ოჯახური საქმიანობის ფარგლებში მონაცემთა დამუშავებაზე, რომელიც დაკავშირებული არ არის მის სამეწარმეო ან/და ეკონომიკურ, პროფესიულ საქმიანობასთან ან სამსახურებრივი მოვალეობის შესრულებასთან. პირადი მიზნით ან/და ოჯახური საქმიანობის ფარგლებში მონაცემთა დამუშავება შეიძლება მოიცავდეს, მათ შორის, მიმოწერას, მისამართების დამუშავებას, ინტერნეტაქტივობას (მათ შორის, სოციალურ ქსელში), რომელიც ამ საქმიანობის ფარგლებში ხორციელდება;

ბ) სახელმწიფო უსაფრთხოების (მათ შორის, ეკონომიკური უსაფრთხოების), თავდაცვის, სადაზვერვო და კონტრდაზვერვითი საქმიანობების მიზნებისთვის მონაცემთა დამუშავებაზე;

გ) დანაშაულის თავიდან აცილების, გამოძიების, სისხლისსამართლებრივი დევნის, ოპერატიულ-სამძებრო ღონისძიებებისა და მართლწესრიგის დაცვის მიზნებისთვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა ნახევრად ავტომატური საშუალებებით დამუშავებასა და არაავტომატური საშუალებებით დამუშავებაზე;

დ) სასამართლოში სამართალწარმოების მიზნით მონაცემთა დამუშავებაზე;

ე) მასობრივი ინფორმაციის საშუალებების მიერ საზოგადოების ინფორმირების მიზნით მონაცემთა დამუშავებაზე (გარდა ამ კანონის მე-4 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტისა და 27-ე მუხლისა);

ვ) აკადემიური, სახელოვნებო და ლიტერატურული მიზნებისთვის მონაცემთა დამუშავებაზე.

3. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება „ოფიციალური სტატისტიკის შესახებ“ საქართველოს კანონით გათვალისწინებული მოსახლეობის აღწერის მიზნით მონაცემთა დამუშავებაზე.

4. ამ კანონის მოქმედება ვრცელდება ამ მუხლის მე-2 პუნქტის „ბ“−„დ“ ქვეპუნქტებით განსაზღვრული საქმიანობების განმახორციელებელი დაწესებულებების მიერ მონაცემთა ავტომატური საშუალებებით დამუშავებასა და ნახევრად ავტომატური საშუალებებით დამუშავებაზე, იმ მონაცემთა არაავტომატური საშუალებებით დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შესატანად მუშავდება, თუ მონაცემები უშუალოდ იმავე ქვეპუნქტებით განსაზღვრული საქმიანობების ფარგლებში არ მუშავდება.

5. ნებისმიერმა პირმა, რომელიც უნებლიეთ მიიღებს სხვის მონაცემებს, რომლებიც მისთვის განკუთვნილი არ არის, პატივი უნდა სცეს მონაცემთა სუბიექტის უფლებებს და არ უნდა შეეცადოს მონაცემთა უკანონო დამუშავებას.

მუხლი 3. ტერმინთა განმარტება

ამ კანონის მიზნებისთვის მასში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს უკავშირდება. ფიზიკური პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, მათ შორის, სახელით, გვარით, საიდენტიფიკაციო ნომრით, გეოლოკაციის მონაცემებით, ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემებით, ფიზიკური, ფიზიოლოგიური, ფსიქიკური, ფსიქოლოგიური, გენეტიკური, ეკონომიკური, კულტურული ან სოციალური მახასიათებლით;

ბ) განსაკუთრებული კატეგორიის მონაცემი − მონაცემი, რომელიც უკავშირდება ფიზიკური პირის რასობრივ ან ეთნიკურ კუთვნილებას, პოლიტიკურ შეხედულებებს, რელიგიურ, ფილოსოფიურ ან სხვაგვარ მრწამსს, პროფესიული კავშირის წევრობას, ჯანმრთელობას, სქესობრივ ცხოვრებას, ბრალდებულის, მსჯავრდებულის, გამართლებულის ან დაზარალებულის სტატუსს სისხლის სამართლის პროცესში, მსჯავრდებას, ნასამართლობას, განრიდებას, ადამიანით ვაჭრობის (ტრეფიკინგის) ან „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის შესაბამისად დანაშაულის მსხვერპლად ცნობას, პატიმრობას და მის მიმართ სასჯელის აღსრულებას, აგრეთვე ბიომეტრიულ და გენეტიკურ მონაცემებს, რომლებიც ფიზიკური პირის უნიკალური იდენტიფიცირების მიზნით მუშავდება;

გ) ჯანმრთელობასთან დაკავშირებული მონაცემი − მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ, აგრეთვე მისთვის სამედიცინო მომსახურების გაწევის თაობაზე ინფორმაცია, თუ იგი მონაცემთა სუბიექტის ფიზიკური ან ფსიქიკური ჯანმრთელობის შესახებ ინფორმაციას იძლევა;

დ) ბიომეტრიული მონაცემი − ტექნიკური საშუალებების გამოყენებით დამუშავებული, მონაცემთა სუბიექტის ფიზიკურ, ფიზიოლოგიურ ან ქცევის მახასიათებელთან (როგორიცაა, მაგალითად: სახის გამოსახულება, ხმის მახასიათებელი ან დაქტილოსკოპიური მონაცემები) დაკავშირებული მონაცემი, რომელიც მისი უნიკალური იდენტიფიცირების ან ვინაობის დადასტურების შესაძლებლობას იძლევა;

ე) გენეტიკური მონაცემი − მონაცემთა სუბიექტის შეძენილი ან მემკვიდრეობით მიღებული გენეტიკური მახასიათებელი, რომელიც ბიოლოგიური მასალის ანალიზით მისი ფიზიოლოგიის ან ჯანმრთელობის შესახებ უნიკალურ ინფორმაციას იძლევა;

ვ) მონაცემთა დამუშავება − მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, მათ შორის, მათი შეგროვება, მოპოვება, მათზე წვდომა, მათი ფოტოგადაღება, ვიდეომონიტორინგი ან/და აუდიომონიტორინგი, ორგანიზება, დაჯგუფება, ურთიერთდაკავშირება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება, დაბლოკვა, წაშლა ან განადგურება, აგრეთვე მონაცემთა გამჟღავნება მათი გადაცემით, გასაჯაროებით, გავრცელებით ან სხვაგვარად ხელმისაწვდომად გახდომით;

ზ) მონაცემთა ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენებით;

თ) მონაცემთა არაავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ინფორმაციული ტექნოლოგიების გამოყენების გარეშე;

ი) მონაცემთა ნახევრად ავტომატური საშუალებებით დამუშავება − მონაცემთა დამუშავება ავტომატური საშუალებებისა და არაავტომატური საშუალებების ერთობლივი გამოყენებით;

კ) ფაილური სისტემა − მონაცემთა სტრუქტურიზებული წყება, რომელშიც ისინი დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმის მიხედვით;

ლ) მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემიც მუშავდება;

მ) მონაცემთა სუბიექტის თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე აქტიური მოქმედებით, წერილობით (მათ შორის, ელექტრონულად) ან ზეპირად, თავისუფლად და მკაფიოდ გამოხატული ნება;

ნ) მონაცემთა სუბიექტის წერილობითი თანხმობა − თანხმობა, რომელსაც მონაცემთა სუბიექტმა ხელი მოაწერა ან რომელიც მან სხვაგვარად გამოხატა წერილობით (მათ შორის, ელექტრონულად) მის შესახებ მონაცემთა კონკრეტული მიზნით დამუშავებაზე შესაბამისი ინფორმაციის მიღების შემდეგ;

ო) დამუშავებისთვის პასუხისმგებელი პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან დამუშავებაზე უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

პ) თანადამუშავებისთვის პასუხისმგებელი პირები − დამუშავებისთვის პასუხისმგებელი ორი ან ორზე მეტი პირი, რომლებიც ერთობლივად განსაზღვრავენ მონაცემთა დამუშავების მიზნებსა და საშუალებებს;

ჟ) დამუშავებაზე უფლებამოსილი პირი − ფიზიკური პირი,იურიდიული პირი ან საჯარო დაწესებულება, რომელიც მონაცემებს ამუშავებს დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით. დამუშავებაზე უფლებამოსილ პირად არ მიიჩნევა დამუშავებისთვის პასუხისმგებელ პირთან შრომით ურთიერთობაში მყოფი ფიზიკური პირი;

რ) მონაცემთა მიმღები − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, რომელსაც მონაცემები გადაეცა, გარდა პერსონალურ მონაცემთა დაცვის სამსახურისა;

ს) მონაცემთა მიმღების კატეგორია − მონაცემთა მიმღების კლასიფიკაცია/დაჯგუფება საქმიანობის სფეროს ან ორგანიზაციულ-სამართლებრივი ფორმის მიხედვით;

ტ) მესამე პირი − ფიზიკური პირი, იურიდიული პირი ან საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, პერსონალურ მონაცემთა დაცვის სამსახურისა, დამუშავებისთვის პასუხისმგებელი პირისა, დამუშავებაზე უფლებამოსილი პირისა, სპეციალური წარმომადგენლისა და იმ პირისა, რომელიც უფლებამოსილია დაამუშაოს მონაცემები დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის პირდაპირი დავალებით;

უ) სპეციალური წარმომადგენელი − საქართველოს ფარგლების გარეთ რეგისტრირებული, დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ ამ კანონის საფუძველზე წარმომადგენლად განსაზღვრული/დანიშნული ფიზიკური პირი ან იურიდიული პირი, აგრეთვე იურიდიული სტატუსის არმქონე პირთა გაერთიანება;

ფ) პერსონალურ მონაცემთა დაცვის ოფიცერი − დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ განსაზღვრული/დანიშნული პირი, რომელიც ამ კანონის 33-ე მუხლით გათვალისწინებულ ფუნქციებს ასრულებს;

ქ) მონაცემთა დაბლოკვა − მონაცემთა დამუშავების (გარდა შენახვისა) დროებით შეჩერება;

ღ) ვიდეომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ვიზუალური გამოსახულების მონაცემთა დამუშავება, კერძოდ, ვიდეოკონტროლი ან/და ვიდეოჩაწერა (გარდა ფარული საგამოძიებო მოქმედებისა);

ყ) აუდიომონიტორინგი − საჯარო ან კერძო სივრცეში განთავსებული/დამონტაჟებული ტექნიკური საშუალებების გამოყენებით ხმოვანი სიგნალის მონაცემთა დამუშავება, კერძოდ, აუდიოკონტროლი ან/და აუდიოჩაწერა (გარდა ფარული საგამოძიებო მოქმედებისა);

შ) პირდაპირი მარკეტინგი − ტელეფონის, ფოსტის, ელექტრონული ფოსტის ან სხვა ელექტრონული საშუალებით მონაცემთა სუბიექტისთვის ინფორმაციის პირდაპირი და უშუალო მიწოდება ფიზიკური პირის ან/და იურიდიული პირის, საქონლის, იდეის, მომსახურების, სამუშაოს ან/და წამოწყების, აგრეთვე საიმიჯო და სოციალური თემატიკისადმი ინტერესის ფორმირების, შენარჩუნების, რეალიზაციის ან/და მხარდაჭერის მიზნით. პირდაპირ მარკეტინგად არ ჩაითვლება სახელმწიფო დაწესებულების მიერ ფიზიკური პირისთვის ინფორმაციის მიწოდება, თუ ამ ინფორმაციის მიწოდება თავსებადია ამ კანონის მე-5 და მე-6 მუხლებით გათვალისწინებულ მონაცემთა დამუშავების რომელიმე საფუძველთან;

ჩ) პროფაილინგი − მონაცემთა ავტომატური დამუშავების ნებისმიერი ფორმა, რომელიც გულისხმობს მონაცემების გამოყენებას ფიზიკურ პირთან დაკავშირებული გარკვეული პიროვნული მახასიათებლების შესაფასებლად, კერძოდ, იმ მახასიათებლების ანალიზსა და პროგნოზირებას, რომლებიც შეეხება ფიზიკური პირის მიერ სამუშაოს შესრულების ხარისხს, მის ეკონომიკურ მდგომარეობას, ჯანმრთელობას, პირად ინტერესებს, სანდოობას, ქცევას, ადგილსამყოფელს ან გადაადგილებას;

ც) მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი დამუშავება, როდესაც შეუძლებელია მონაცემთა სუბიექტთან მათი დაკავშირება ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას, ხარჯებს ან/და დროს საჭიროებს;

ძ) მონაცემთა ფსევდონიმიზაცია − მონაცემთა იმგვარი დამუშავება, როდესაც დამატებითი ინფორმაციის გამოყენების გარეშე შეუძლებელია მონაცემების კონკრეტულ მონაცემთა სუბიექტთან დაკავშირება და ეს დამატებითი ინფორმაცია შენახულია ცალკე და ტექნიკური და ორგანიზაციული ზომების მეშვეობით მონაცემების იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან დაკავშირება არ ხდება;

წ) ინციდენტი − მონაცემთა უსაფრთხოების დარღვევა, რომელიც იწვევს მონაცემების არამართლზომიერ ან შემთხვევით დაზიანებას, დაკარგვას, აგრეთვე უნებართვო გამჟღავნებას, განადგურებას, შეცვლას, მათზე წვდომას, მათ შეგროვებას/მოპოვებას ან სხვაგვარ უნებართვო დამუშავებას;

ჭ) საჯარო დაწესებულება − საქართველოს ზოგადი ადმინისტრაციული კოდექსის 27-ე მუხლის „ა“ ქვეპუნქტით განსაზღვრული დაწესებულება (გარდა პოლიტიკური და რელიგიური გაერთიანებებისა);

ხ) დენადი სამართალდარღვევა − ამ კანონით გათვალისწინებული სამართალდარღვევა, რომლის ჩადენა იწყება ქმედებით და რომელიც შემდეგ უწყვეტად ხორციელდება. დენადი სამართალდარღვევა დამთავრებულია ქმედების შეწყვეტის მომენტიდან;

ჯ) ფარული საგამოძიებო მოქმედება − საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილით გათვალისწინებული საგამოძიებო მოქმედება;

ჰ) სააგენტო − საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ექსკლუზიური უფლებამოსილების მქონე ორგანო − საჯარო სამართლის იურიდიული პირი − საქართველოს ოპერატიულ-ტექნიკური სააგენტო;

1) კონტროლის ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ი“ ქვეპუნქტით გათვალისწინებული სისტემა;

2) კონტროლის სპეციალური ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „კ“ ქვეპუნქტით გათვალისწინებული სისტემა;

3) ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ლ“ ქვეპუნქტით გათვალისწინებული სისტემა;

4) გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემა − „საჯარო სამართლის იურიდიული პირის − საქართველოს ოპერატიულ-ტექნიკური სააგენტოს შესახებ“ საქართველოს კანონის მე-2 მუხლის „ო“ ქვეპუნქტით გათვალისწინებული სისტემა.

თავი II

მონაცემთა დამუშავების კანონიერება

მუხლი 4. მონაცემთა დამუშავების პრინციპები

1. მონაცემთა დამუშავებისას დაცული უნდა იქნეს შემდეგი პრინციპები:

ა) მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად, მონაცემთა სუბიექტისთვის გამჭვირვალედ და მისი ღირსების შეულახავად. მონაცემთა დამუშავების გამჭვირვალობის ვალდებულება არ ვრცელდება ამ კანონით დადგენილ გამონაკლის შემთხვევებზე;

ბ) მონაცემები უნდა შეგროვდეს/მოპოვებული უნდა იქნეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული და ლეგიტიმური მიზნებისთვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებელი მიზნით;

გ) მონაცემები უნდა დამუშავდეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად. მონაცემები იმ მიზნის თანაზომიერი უნდა იყოს, რომლის მისაღწევადაც ისინი მუშავდება;

დ) მონაცემები უნდა იყოს ნამდვილი, ზუსტი და, საჭიროების შემთხვევაში, განახლებული. მონაცემთა დამუშავების მიზნების გათვალისწინებით, არაზუსტი მონაცემები უნდა გასწორდეს, წაიშალოს ან განადგურდეს გაუმართლებელი დაყოვნების გარეშე;

ე) მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების შესაბამისი ლეგიტიმური მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა წაიშალოს, განადგურდეს ან შენახული უნდა იქნეს დეპერსონალიზებული ფორმით, გარდა იმ შემთხვევისა, თუ მონაცემთა დამუშავება განსაზღვრულია კანონით ან/და კანონის შესაბამისად გამოცემული კანონქვემდებარე ნორმატიული აქტით და მონაცემთა შენახვა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში აღმატებული ინტერესების დასაცავად;

ვ) მონაცემების უსაფრთხოების დაცვის მიზნით მონაცემთა დამუშავებისას მიღებული უნდა იქნეს ისეთი ტექნიკური და ორგანიზაციული ზომები, რომლებიც სათანადოდ უზრუნველყოფს მონაცემთა დაცვას, მათ შორის, უნებართვო ან უკანონო დამუშავებისგან, შემთხვევითი დაკარგვისგან, განადგურებისგან ან/და დაზიანებისგან.

2. თუ მონაცემები უნდა დამუშავდეს მათი შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით და დამუშავება მონაცემთა სუბიექტის თანხმობით ან კანონის საფუძველზე არ ხორციელდება, მონაცემთა შეგროვების/მოპოვების მიზნისგან განსხვავებული მიზნით მონაცემთა დამუშავების საკითხის გადაწყვეტისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა გაითვალისწინოს:

ა) არსებობს თუ არა მონაცემთა შეგროვების/მოპოვების თავდაპირველ მიზანსა და შემდგომ მიზანს შორის კავშირი;

ბ) მონაცემთა შეგროვებისას/მოპოვებისას დამუშავებისთვის პასუხისმგებელ პირსა და მონაცემთა სუბიექტს შორის არსებული ურთიერთობის ხასიათი;

გ) აქვს თუ არა მონაცემთა სუბიექტს მის შესახებ მონაცემთა შემდგომი დამუშავების გონივრული მოლოდინი;

დ) ხორციელდება თუ არა განსაკუთრებული კატეგორიის მონაცემთა დამუშავება;

ე) მონაცემთა სუბიექტისთვის შესაძლო შედეგები, რომლებიც შეიძლება თან ახლდეს მონაცემთა შემდგომ დამუშავებას;

ვ) მონაცემთა ტექნიკური და ორგანიზაციული უსაფრთხოების ზომების არსებობა.

3. მონაცემები, რომლებიც სამართალდამცავმა ორგანომ შეაგროვა თავისი საქმიანობის ფარგლებში, შეიძლება დამუშავდეს დანაშაულებრივი საქმიანობის ზოგადი ანალიზისა და სხვადასხვა გამოვლენილ დანაშაულს შორის კავშირის დადგენის მიზნით.

4. ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის დაცვის მიზნისთვის დამუშავებისთვის პასუხისმგებელმა პირმა, კონტექსტიდან გამომდინარე, ფაქტებზე დაფუძნებული მონაცემები უნდა განასხვაოს იმ მონაცემებისგან, რომლებიც პირად შეფასებას ეფუძნება. პირად შეფასებაზე დაფუძნებულ მონაცემებთან მიმართებით ამ მუხლის პირველი პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული მონაცემთა დამუშავების პრინციპის ზედმიწევნით დაცვა სავალდებულო არ არის.

5. დამუშავებისთვის პასუხისმგებელი პირის მიერ დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის მონაცემთა შემდგომი დამუშავება მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა, თუ მონაცემთა დამუშავება გათვალისწინებულია კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით.

6. მონაცემთა შემდგომი დამუშავება საჯარო ინტერესების შესაბამისად არქივირების, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის მონაცემთა დამუშავების თავდაპირველ მიზანთან შეუთავსებლად არ მიიჩნევა. ამ პუნქტით გათვალისწინებული მიზნით მონაცემთა ხანგრძლივად შენახვა დასაშვებია, თუ მონაცემთა სუბიექტის უფლებების დასაცავად მიღებულია უსაფრთხოების სათანადო ტექნიკური და ორგანიზაციული ზომები.

7. დამუშავებისთვის პასუხისმგებელი პირი პასუხისმგებელია მონაცემთა დამუშავებისას ამ მუხლით განსაზღვრული პრინციპების დაცვისთვის და მან უნდა შეძლოს მათთან შესაბამისობის დასაბუთება.

მუხლი 5. მონაცემთა დამუშავების საფუძვლები

1. მონაცემთა დამუშავება დასაშვებია, თუ არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა თანხმობა მის შესახებ მონაცემთა ერთი ან რამდენიმე კონკრეტული მიზნით დამუშავებაზე;

ბ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტთან დადებული გარიგებით ნაკისრი ვალდებულების შესასრულებლად ან მონაცემთა სუბიექტის მოთხოვნით გარიგების დასადებად;

გ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

დ) მონაცემთა დამუშავება საჭიროა დამუშავებისთვის პასუხისმგებელი პირის მიერ საქართველოს კანონმდებლობით მისთვის დაკისრებული მოვალეობების შესასრულებლად;

ე) კანონის თანახმად, მონაცემი საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა იგი საჯაროდ ხელმისაწვდომი გახადა;

ვ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად, მათ შორის, ეპიდემიის მონიტორინგის ან/და მისი გავრცელების აღკვეთის, ჰუმანიტარული კრიზისების, ბუნებრივი და ადამიანის მოქმედებით გამოწვეული კატასტროფების სამართავად;

ზ) მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

თ) მონაცემთა დამუშავება აუცილებელია საქართველოს კანონმდებლობით განსაზღვრული საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, მათ შორის, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების, მართლწესრიგის დაცვის, მათ შორის, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველყოფის, მიზნებისთვის;

ი) მონაცემთა დამუშავება აუცილებელია დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების დასაცავად, გარდა იმ შემთხვევისა, თუ არსებობს მონაცემთა სუბიექტის (მათ შორის, არასრულწლოვანის) უფლებების დაცვის აღმატებული ინტერესი;

კ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

2. მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 6. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება

1. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ დამუშავებისთვის პასუხისმგებელი პირის მიერ უზრუნველყოფილია მონაცემთა სუბიექტის უფლებებისა და ინტერესების დაცვის ამ კანონით გათვალისწინებული გარანტიები და არსებობს ერთ-ერთი შემდეგი საფუძველი:

ა) მონაცემთა სუბიექტმა განაცხადა წერილობითი თანხმობა ერთი ან რამდენიმე კონკრეტული მიზნით განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე;

ბ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება პირდაპირ და სპეციალურად რეგულირდება კანონით და მათი დამუშავება აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში;

გ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არ აქვს, განსაკუთრებული კატეგორიის მონაცემთა დამუშავებაზე განაცხადოს თანხმობა;

დ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია ჯანმრთელობის დაცვის სფეროში პრევენციული, პროფილაქტიკური, დიაგნოსტიკური, სამკურნალო, სარეაბილიტაციო და პალიატიური მზრუნველობის, მომსახურების, სამედიცინო მოწყობილობების და პროდუქტების ხარისხისა და უსაფრთხოების, საზოგადოებრივი ჯანმრთელობის და ჯანმრთელობის დაცვის სისტემის მართვის მიზნებით საქართველოს კანონმდებლობის ან ჯანმრთელობის დაცვის სპეციალისტთან დადებული ხელშეკრულების (თუ ამ მონაცემებს ამუშავებს პირი, რომელსაც პროფესიული საიდუმლოების დაცვის ვალდებულება ეკისრება) შესაბამისად;

ე) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია სოციალური უზრუნველყოფისა და სოციალური დაცვის სფეროში, მათ შორის, სოციალური უზრუნველყოფის სისტემისა და მომსახურების მართვისთვის საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვისდაკისრებული მოვალეობის შესასრულებლად ან მონაცემთა სუბიექტის კონკრეტული უფლებების განსახორციელებლად;

ვ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება საჭიროა დანაშაულის თავიდან აცილების (მათ შორის, სათანადო ანალიტიკური კვლევის), დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, დროებითი მოთავსების იზოლატორში პირის განთავსების უზრუნველყოფის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, ადმინისტრაციულ სამართალდარღვევებზე რეაგირების, სამოქალაქო და სახანძრო უსაფრთხოების უზრუნველყოფის, ოპერატიულ-სამძებრო საქმიანობის, საზოგადოებრივი უსაფრთხოების ან/და მართლწესრიგის დაცვის (მათ შორის, შესაბამისი სამართალდამცავი ორგანოს ან სასამართლოს მიერ კრიმინოლოგიური კვლევის ჩატარების) მიზნებისთვის და ამ მონაცემთა დამუშავება გათვალისწინებულია შესაბამისი კანონით ან კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით;

ზ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველსაყოფად;

თ) განსაკუთრებული კატეგორიის მონაცემების დამუშავება აუცილებელია შრომითი ვალდებულებებისა და ურთიერთობის ხასიათიდან გამომდინარე, მათ შორის, დასაქმების შესახებ გადაწყვეტილების მისაღებად ან დასაქმებულის შრომითი უნარების შესაფასებლად;

ი) მონაცემთა სუბიექტმა გამოყენების აშკარა აკრძალვის დათქმის გარეშე საჯარო გახადა თავისი მონაცემები;

კ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

ლ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება პოლიტიკური, პროფესიული გაერთიანების, რელიგიური ან არარელიგიური ფილოსოფიური რწმენის ორგანიზაციის მიერ იმავე საქმიანობის მიზნებისთვის. ამ შემთხვევაში აღნიშნულ მონაცემთა დამუშავება შეიძლება დაკავშირებული იყოს მხოლოდ ამ გაერთიანების/ორგანიზაციის მოქმედ ან ყოფილ წევრებთან ან პირებთან, რომლებსაც მუდმივი კავშირი აქვთ ამ გაერთიანებასთან/ორგანიზაციასთან მისი მიზნებიდან გამომდინარე, იმ პირობით, რომ მონაცემთა სუბიექტის თანხმობის გარეშე აღნიშნული მონაცემების მესამე პირისთვის გაცემა არ მოხდება;

მ) განსაკუთრებული კატეგორიის მონაცემთა დამუშავება აუცილებელია კანონის შესაბამისად საჯარო ინტერესებისთვის არქივირების, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის, თუ კანონი ითვალისწინებს სათანადო და კონკრეტული ღონისძიებების განხორციელებას მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად. განსაკუთრებული კატეგორიის მონაცემთა დამუშავების ეს საფუძველი არ გამოიყენება, თუკი სპეციალური კანონით პირდაპირ გათვალისწინებულია ამ მონაცემთა დამუშავების შეზღუდვა დამატებითი და განსხვავებული პირობებით;

ნ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მიგრაციის მონაცემთა ერთიანი ანალიტიკური სისტემის ფუნქციონირების მიზნით;

ო) განსაკუთრებული კატეგორიის მონაცემები მუშავდება შეზღუდული შესაძლებლობის მქონე პირთა და სპეციალური საგანმანათლებლო საჭიროების მქონე პირთა განათლების უფლების განხორციელების მიზნით;

პ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „ქალთა მიმართ ძალადობის ან/და ოჯახში ძალადობის აღკვეთის, ძალადობის მსხვერპლთა დაცვისა და დახმარების შესახებ“ საქართველოს კანონის მე-11 მუხლის მე-2 პუნქტით გათვალისწინებული საკითხის განხილვის მიზნით;

ჟ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, აგრეთვე არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის მიზნით;

რ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება ღია სასამართლო სხდომის შედეგად მიღებული სასამართლო აქტის „საერთო სასამართლოების შესახებ“ საქართველოს ორგანული კანონის შესაბამისად საჯარო ინფორმაციის სახით გაცემის ან გამოქვეყნების მიზნით;

ს) განსაკუთრებული კატეგორიის მონაცემები მუშავდება „საჯარო შესყიდვების შესახებ“ საქართველოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში;

ტ) განსაკუთრებული კატეგორიის მონაცემები მუშავდება უწყებათაშორისი კოორდინაციის ინსტიტუციური მექანიზმის ფუნქციონირებისთვის − ბავშვის სიცოცხლისთვის, ჯანმრთელობისთვის ან უსაფრთხოებისთვის ან/და ბავშვის საუკეთესო ინტერესებისთვის ან მისი უფლებისთვის მიყენებული ზიანის ან მოსალოდნელი რისკების შემცველი შემთხვევის გამოვლენის ან/და მართვის მიზნებისთვის და ამ მიზნების ფარგლებში, საქართველოს მთავრობის მიერ განსაზღვრულ კომპეტენტურ ორგანოებს (უწყებებს) შორის კოორდინაციის უზრუნველსაყოფად, ბავშვის უფლებათა კოდექსის 83-ე მუხლის მე-3 ნაწილითა და 84-ე მუხლის 21 ნაწილით გათვალისწინებულ შემთხვევებში.

2. ამ მუხლის პირველი პუნქტის „რ“ ქვეპუნქტით გათვალისწინებული მონაცემების დამუშავების შემთხვევაში მათი საჯარო ინფორმაციის სახით გაცემა და გამოქვეყნება დასაშვებია „საერთო სასამართლოების შესახებ“ საქართველოს ორგანული კანონის შესაბამისად.

3. განსაკუთრებული კატეგორიის მონაცემთა დამუშავების სამართლებრივი საფუძვლის დასაბუთების ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 7. არასრულწლოვანის შესახებ მონაცემთა დამუშავებაზე თანხმობის გაცემის წესი და პირობები

1. არასრულწლოვანის შესახებ მონაცემთა დამუშავება მისი თანხმობის საფუძველზე დასაშვებია, თუ მან 16 წლის ასაკს მიაღწია, ხოლო 16 წლამდე არასრულწლოვანის შესახებ მონაცემთა დამუშავება − მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობით, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა, მათ შორის, როდესაც მონაცემთა დამუშავებისთვის აუცილებელია 16 წლიდან 18 წლამდე არასრულწლოვანისა და მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს გონივრული და ადეკვატური ზომა 16 წლამდე არასრულწლოვანის მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობის არსებობის დასადასტურებლად.

3. არასრულწლოვანის შესახებ განსაკუთრებული კატეგორიის მონაცემთა დამუშავება დასაშვებია მხოლოდ მისი მშობლის ან სხვა კანონიერი წარმომადგენლის წერილობითი თანხმობის საფუძველზე, გარდა კანონით პირდაპირ გათვალისწინებული შემთხვევებისა.

4. არასრულწლოვანის შესახებ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია გაითვალისწინოს და დაიცვას არასრულწლოვანის საუკეთესო ინტერესები.

5. არასრულწლოვანის, მისი მშობლის ან სხვა კანონიერი წარმომადგენლის თანხმობა მონაცემთა დამუშავებაზე არ ჩაითვლება ნამდვილად, თუ მონაცემთა დამუშავება საფრთხეს უქმნის ან ზიანს აყენებს არასრულწლოვანის საუკეთესო ინტერესებს.

6. ამ მუხლით გათვალისწინებული დებულებები არ ვრცელდება საქართველოს სამოქალაქო კოდექსით განსაზღვრულ გარიგების ნამდვილობასთან დაკავშირებულ ურთიერთობებზე.

მუხლი 8. გარდაცვლილი პირის შესახებ მონაცემთა დაცვა

1. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება დასაშვებია:

ა) ამ კანონის მე-5 და მე-6 მუხლებით განსაზღვრული საფუძვლებით;

ბ) თუ ამ მონაცემთა დამუშავება აკრძალული არ არის მონაცემთა სუბიექტის მშობლის, შვილის, შვილიშვილის ან მეუღლის მიერ (გარდა იმ შემთხვევისა, როდესაც მონაცემთა სუბიექტმა გარდაცვალებამდე წერილობით აკრძალა მისი გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება);

გ) თუ მონაცემთა სუბიექტის გარდაცვალებიდან გასულია 30 წელი;

დ) თუ ეს აუცილებელია მემკვიდრეობასთან დაკავშირებული უფლების განსახორციელებლად.

2. გარდაცვლილი პირის სახელის, გვარის, სქესის, დაბადებისა და გარდაცვალების თარიღების დამუშავება დასაშვებია, მიუხედავად ამ მუხლის პირველი პუნქტით გათვალისწინებული გარემოებებისა და საფუძვლების არსებობისა.

მუხლი 9. ბიომეტრიულ მონაცემთა დამუშავება

1. ბიომეტრიულ მონაცემთა დამუშავება შეიძლება მხოლოდ იმ შემთხვევაში, თუ ეს აუცილებელია საქმიანობის განხორციელების, უსაფრთხოების, საკუთრების დაცვისა და საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნებისთვის და ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან, აგრეთვე კანონით დადგენილი წესით პირადობის დამადასტურებელი დოკუმენტის გაცემის, სახელმწიფო საზღვრის გადამკვეთი პირის იდენტიფიკაციის, უკანონო მიგრაციის წინააღმდეგ ბრძოლის, საერთაშორისო დაცვის განხორციელების, დანაშაულის თავიდან აცილების, დანაშაულის გამოძიების, სისხლისსამართლებრივი დევნის, მართლმსაჯულების განხორციელების, პატიმრობისა და თავისუფლების აღკვეთის აღსრულების, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის, მსჯავრდებულთა და ყოფილ პატიმართა რესოციალიზაციისა და რეაბილიტაციის, არასრულწლოვანთა რეფერირების პროცესის კოორდინაციის, ოპერატიულ-სამძებრო საქმიანობის, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების უზრუნველყოფის მიზნით ან კანონით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით გათვალისწინებული პრინციპების შესაბამისად მონაცემთა დამუშავებამდე წერილობით განსაზღვროს ბიომეტრიულ მონაცემთა დამუშავების მიზანი და მოცულობა, ამ მონაცემთა შენახვის ვადა, მათი შენახვისა და განადგურების წესი და პირობები, აგრეთვე მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

მუხლი 10. ვიდეომონიტორინგის განხორციელება

1. ვიდეომონიტორინგის განხორციელება დასაშვებია დანაშაულის თავიდან აცილების, მისი გამოვლენის, საზოგადოებრივი უსაფრთხოების, პირის უსაფრთხოებისა და საკუთრების დაცვის, არასრულწლოვანის დაცვის (მათ შორის, მავნე ზეგავლენისგან დაცვის), საიდუმლო ინფორმაციის დაცვის, გამოცდის/ტესტირების მიზნებისთვის, აგრეთვე სხვა საჯარო ან/და სხვა ლეგიტიმური ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესასრულებლად, თუ ვიდეომონიტორინგის განხორციელება მონაცემთა დამუშავების მიზნის ადეკვატური და პროპორციული საშუალებაა.

2. ვიდეომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით დადგენილი პრინციპების შესაბამისად წერილობით განსაზღვროს ვიდეომონიტორინგის მიზანი და მოცულობა, ვიდეომონიტორინგის ხანგრძლივობა და ვიდეოჩანაწერის შენახვის ვადა, ვიდეოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები, გარდა იმ შემთხვევისა, როდესაც ფიზიკური პირი ვიდეომონიტორინგს ახორციელებს საცხოვრებელ შენობაში.

3. დასაქმებული პირის სამუშაო პროცესის/სივრცის ვიდეომონიტორინგი დასაშვებია მხოლოდ გამონაკლის შემთხვევაში, თუ ამ მუხლის პირველი პუნქტით განსაზღვრული მიზნების მიღწევა სხვა საშუალებით შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

4. დაუშვებელია ვიდეომონიტორინგის განხორციელება გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და ვიდეომონიტორინგის განხორციელება საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება.

5. ვიდეომონიტორინგის სისტემა და ვიდეოჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისგან. დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს ვიდეოჩანაწერებზე წვდომის თითოეული შემთხვევის აღრიცხვა, მათ შორის, წვდომის დროისა და მომხმარებლის სახელის აღრიცხვა, რომელიც წვდომის განმახორციელებელი პირის იდენტიფიცირების შესაძლებლობას იძლევა.

6. საცხოვრებელ შენობაში დასაშვებია ამ საცხოვრებელი შენობის საერთო შესასვლელისა და საცხოვრებელ შენობაში არსებული საერთო სივრცის ვიდეომონიტორინგის განხორციელება მესაკუთრეთა ნახევარზე მეტის წერილობითი თანხმობით (მესაკუთრის დადგენის შეუძლებლობის შემთხვევაში შეიძლება მფლობელის თანხმობის მიღება), გარდა იმ შემთხვევისა, როდესაც დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვიდეომონიტორინგს ახორციელებს საქართველოს კანონმდებლობით მისთვის დაკისრებული მოვალეობის შესასრულებლად და ვიდეომონიტორინგის არეალში ექცევა საცხოვრებელი შენობის საერთო შესასვლელი და საერთო სივრცე.

7. საცხოვრებელ შენობაში არსებული ინდივიდუალური საკუთრების შესასვლელის ვიდეომონიტორინგი დასაშვებია მხოლოდ მისი მესაკუთრის/მფლობელის გადაწყვეტილებით ან მისი წერილობითი თანხმობით იმგვარად, რომ ვიდეომონიტორინგის განხორციელებით არ ილახებოდეს სხვა პირების (მათ შორის, მესაკუთრის, ფართობით კანონიერად მოსარგებლის) ლეგიტიმური ინტერესები.

8. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი თვალსაჩინოდ განათავსოს, ხოლო ამ მუხლის მე-3 პუნქტით განსაზღვრულ შემთხვევაში − დამატებით დასაქმებული პირი წერილობით გააფრთხილოს ვიდეომონიტორინგის კონკრეტული მიზნის (მიზნების) შესახებ. ამ პუნქტით გათვალისწინებული მოთხოვნების დაცვის შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად მიიჩნევა.

9. ვიდეომონიტორინგის მიმდინარეობის შესახებ გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას ვიდეომონიტორინგის მიმდინარეობის თაობაზე და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 11. აუდიომონიტორინგის განხორციელება

1. აუდიომონიტორინგის განხორციელება დასაშვებია:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) საოქმო ჩანაწერის საწარმოებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის მნიშვნელოვანი ლეგიტიმური ინტერესის დასაცავად, თუ განსაზღვრულია სათანადო და კონკრეტული ღონისძიებები მონაცემთა სუბიექტის უფლებებისა და ინტერესების დასაცავად;

დ) საქართველოს კანონმდებლობით პირდაპირ გათვალისწინებულ სხვა შემთხვევებში.

2. აუდიომონიტორინგის განსახორციელებლად დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ კანონის მე-4 მუხლით გათვალისწინებული პრინციპების შესაბამისად წერილობით წინასწარ განსაზღვროს აუდიომონიტორინგის მიზანი და მოცულობა, აუდიომონიტორინგის ხანგრძლივობა, აუდიოჩანაწერზე წვდომის, მისი შენახვისა და განადგურების წესი და პირობები, მონაცემთა სუბიექტის უფლებების დაცვის მექანიზმები.

3. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ ან აუდიომონიტორინგის დაწყებისთანავე გააფრთხილოს მონაცემთა სუბიექტი აუდიომონიტორინგის განხორციელების შესახებ და განუმარტოს უარის თქმის თაობაზე მისი უფლება (ასეთის არსებობის შემთხვევაში). მონაცემთა სუბიექტის ინფორმირების მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს.

4. მონაცემთა სუბიექტის აუდიომონიტორინგის შესახებ გამაფრთხილებელი ნიშნით ინფორმირების შემთხვევაში ეს გამაფრთხილებელი ნიშანი უნდა შეიცავდეს შესაბამის წარწერას, მარტივად აღქმად გამოსახულებას აუდიომონიტორინგის მიმდინარეობის შესახებ და დამუშავებისთვის პასუხისმგებელი პირის სახელწოდებასა და მის საკონტაქტო მონაცემებს.

მუხლი 12. მონაცემთა დამუშავება პირდაპირი მარკეტინგის მიზნით

1. მიუხედავად მონაცემთა შეგროვების/მოპოვების საფუძვლისა და მათი ხელმისაწვდომობისა, პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება შეიძლება მხოლოდ მონაცემთა სუბიექტის თანხმობით.

2. მონაცემთა სუბიექტის სახელის, გვარის, მისამართის, ტელეფონის ნომრისა და ელექტრონული ფოსტის მისამართის გარდა, პირდაპირი მარკეტინგის მიზნით სხვა მონაცემთა დამუშავებისთვის აუცილებელია მონაცემთა სუბიექტის წერილობითი თანხმობა.

3. მონაცემთა სუბიექტის თანხმობის მიღებამდე და პირდაპირი მარკეტინგის განხორციელებისას დამუშავებისთვის პასუხისმგებელმა პირმა/დამუშავებაზე უფლებამოსილმა პირმა მონაცემთა სუბიექტს ნათლად, მარტივ და მისთვის გასაგებ ენაზე უნდა განუმარტოს მის მიერ თანხმობის ნებისმიერ დროს გამოხმობის უფლება და ამ უფლების განხორციელების მექანიზმი/წესი.

4. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია შეწყვიტოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება მონაცემთა სუბიექტის შესაბამისი მოთხოვნის მიღებიდან გონივრულ ვადაში, მაგრამ არაუგვიანეს 7 სამუშაო დღისა. ამ ვალდებულების უზრუნველსაყოფად დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს ეკისრება მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შესახებ ინფორმაციის გაცვლის ვალდებულება.

5. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია უზრუნველყოს, რომ მონაცემთა სუბიექტს შესაძლებლობა ჰქონდეს, მოითხოვოს პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტა იმავე ფორმით, რომლითაც პირდაპირი მარკეტინგი ხორციელდება, ან განსაზღვროს სხვა ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის.

6. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავების შეწყვეტის მოთხოვნისთვის ამ მუხლის მე-5 პუნქტით გათვალისწინებული საშუალება მარტივი უნდა იყოს. ამასთანავე, მონაცემთა სუბიექტს უნდა მიეცეს მკაფიო და ადვილად აღსაქმელი მითითება ამ საშუალების გამოყენების შესახებ.

7. დაუშვებელია, მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის უფლების განსახორციელებლად დაწესებულ იქნეს საფასური ან სხვა შეზღუდვა.

8. პირდაპირი მარკეტინგის განხორციელებისას მონაცემთა სუბიექტის თანხმობის არსებობის, უარის თქმის საშუალების სიმარტივის, მისი გამოყენების შესახებ მითითების ადვილად აღქმადობის, ხელმისაწვდომობისა და ადეკვატურობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს.

9. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მონაცემთა სუბიექტის მიერ მის შესახებ მონაცემთა დამუშავებაზე თანხმობის მიცემისა და თანხმობის გამოხმობის დრო და ფაქტი აღრიცხოს და შეინახოს პირდაპირი მარკეტინგის განხორციელების ვადით და პირდაპირი მარკეტინგის განხორციელების შეწყვეტიდან 1 წლის განმავლობაში.

თავი III

მონაცემთა სუბიექტის უფლებები

მუხლი 13. მონაცემთა დამუშავების შესახებ ინფორმაციის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს იმის დადასტურება, მუშავდება თუ არა მის შესახებ მონაცემები, დასაბუთებულია თუ არა მონაცემთა დამუშავება და მოთხოვნის შესაბამისად უსასყიდლოდ მიიღოს შემდეგი ინფორმაცია:

ა) მის შესახებ იმ მონაცემის თაობაზე, რომელიც მუშავდება, აგრეთვე ამ მონაცემის დამუშავების საფუძვლისა და მიზნის შესახებ;

ბ) მონაცემთა შეგროვების/მოპოვების წყაროს შესახებ;

გ) მონაცემთა შენახვის ვადის (დროის) შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

დ) მონაცემთა სუბიექტის ამ თავით გათვალისწინებული უფლებების შესახებ;

ე)მონაცემთა გადაცემის სამართლებრივი საფუძვლისა და მიზნების, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების შესახებ, თუ მონაცემები გადაეცემა სხვა სახელმწიფოს ან საერთაშორისო ორგანიზაციას;

ვ) მონაცემთა მიმღების ვინაობის ან მონაცემთა მიმღებების კატეგორიების შესახებ, მათ შორის, ინფორმაცია მონაცემთა გადაცემის საფუძვლისა და მიზნის თაობაზე, თუ მონაცემები მესამე პირს გადაეცემა;

ზ) ავტომატიზებული დამუშავების, მათ შორის, პროფაილინგის შედეგად მიღებული გადაწყვეტილების და იმ ლოგიკის შესახებ, რომელიც გამოიყენება ამგვარი გადაწყვეტილების მისაღებად, აგრეთვე მონაცემთა დამუშავებაზე მისი გავლენისა და დამუშავების მოსალოდნელი/სავარაუდო შედეგის თაობაზე.

2. მონაცემთა სუბიექტს უფლება აქვს, ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მიიღოს მისი მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა. ეს ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

3. დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მონაცემთა სუბიექტს საჭიროებისამებრ მიაწოდოს ნებისმიერი ინფორმაცია, რათა უზრუნველყოფილ იქნეს მონაცემთა დამუშავების გამჭვირვალობა ამ კანონის მე-4 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის შესაბამისად, გარდა იმ შემთხვევისა, როდესაც ინფორმაციის გაცემა კანონს ეწინააღმდეგება.

4. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის გათვალისწინებული, მონაცემთა სუბიექტს უფლება აქვს, თავად აირჩიოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ფორმა. ამასთანავე, თუ მონაცემთა სუბიექტი სხვა ფორმით არ მოითხოვს ინფორმაციის მიწოდებას, მას ინფორმაცია მიეწოდება იმავე ფორმით, რომლითაც მოხდა ინფორმაციის მოთხოვნა.

მუხლი 14. მონაცემთა გაცნობისა და ასლის მიღების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირთან გაეცნოს მის შესახებ არსებულ პერსონალურ მონაცემებს და უსასყიდლოდ მიიღოს ამ მონაცემების ასლები, გარდა იმ შემთხვევებისა, როდესაც მონაცემთა გაცნობისთვის ან/და მონაცემთა ასლების გაცემისთვის:

ა) საქართველოს კანონმდებლობით გათვალისწინებულია საფასური;

ბ) დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილია გონივრული საფასური მონაცემთა შენახვის ფორმისგან განსხვავებული ფორმით მათი გაცემისთვის დახარჯული რესურსის ან/და მოთხოვნის სიხშირის გამო.

2. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, გარდა იმ შემთხვევისა, როდესაც საქართველოს კანონმდებლობით სხვა ვადა არის დადგენილი.

3. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს დაუყოვნებლივ უნდა ეცნობოს.

4. მონაცემთა სუბიექტს უფლება აქვს, გაეცნოს ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემებს ან/და მიიღოს მათი ასლები იმ ფორმით, რომლითაც დაცულია დამუშავებისთვის პასუხისმგებელ პირთან ან/და დამუშავებაზე უფლებამოსილ პირთან. მონაცემთა სუბიექტს აგრეთვე უფლება აქვს, მოითხოვოს მის შესახებ მონაცემთა ასლების მიწოდება განსხვავებული ფორმით, დამუშავებისთვის პასუხისმგებელი პირის მიერ დადგენილი გონივრული საფასურის სანაცვლოდ და იმ შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია.

5. დამუშავებისთვის პასუხისმგებელი პირის მიერ ამ მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტით განსაზღვრული საფასური ფაქტობრივად დახარჯული რესურსის ოდენობას არ უნდა აღემატებოდეს. საფასურის დადგენის და მისი ოდენობის გონივრულობის მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 15. მონაცემთა გასწორების, განახლებისა და შევსების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მცდარი, არაზუსტი ან/და არასრული მონაცემების გასწორება, განახლება ან/და შევსება.

2. მონაცემთა სუბიექტის მიერ ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა ვადა არ არის დადგენილი) მონაცემები უნდა გასწორდეს, განახლდეს ან/და შეივსოს ან მონაცემთა სუბიექტს ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტისგან დამოუკიდებლად გამოავლენს, რომ მის ხელთ არსებული მონაცემები მცდარი, არაზუსტი ან/და არასრულია, მან გონივრულ ვადაში უნდა გაასწოროს, განაახლოს ან/და შეავსოს მონაცემები და მონაცემთა გასწორებიდან 10 სამუშაო დღის ვადაში ამის შესახებ აცნობოს მონაცემთა სუბიექტს.

4. დამუშავებისთვის პასუხისმგებელ პირს ამ მუხლის მე-3 პუნქტით გათვალისწინებული მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულება არ წარმოეშობა, თუ მონაცემების გასწორება, განახლება ან/და შევსება ტექნიკური შეცდომის გასწორებას/აღმოფხვრას უკავშირდება.

5. თუ არსებობს ობიექტური გარემოება, რომელიც შეუძლებელს ხდის ამ მუხლის მე-3 პუნქტით დადგენილ ვადაში მონაცემთა სუბიექტის ინფორმირების ვალდებულების შესრულებას, დამუშავებისთვის პასუხისმგებელმა პირმა ცვლილების განხორციელების შესახებ ინფორმაცია მონაცემთა სუბიექტს უნდა მიაწოდოს მასთან პირველი კომუნიკაციის განხორციელებისთანავე.

6. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირს და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა განახლებისა და შევსების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

7. ამ მუხლის მე-6 პუნქტით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან გონივრულ ვადაში გაასწორონ, განაახლონ ან/და შეავსონ მონაცემები.

მუხლი 16. მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მის შესახებ მონაცემთა დამუშავების (მათ შორის, პროფაილინგის) შეწყვეტა, წაშლა ან განადგურება.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა (თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი) უნდა შეწყდეს მონაცემთა დამუშავება ან/და მონაცემები უნდა წაიშალოს ან განადგურდეს ან მონაცემთა სუბიექტს უნდა ეცნობოს მოთხოვნაზე უარის თქმის საფუძველი და განემარტოს უარის გასაჩივრების წესი.

3. დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, უარი თქვას ამ მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის დაკმაყოფილებაზე, თუ:

ა) არსებობს მონაცემთა დამუშავების ამ კანონის მე-5 ან მე-6 მუხლით გათვალისწინებული რომელიმე საფუძველი;

ბ) მონაცემები მუშავდება სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთების მიზნით;

გ) მონაცემთა დამუშავება აუცილებელია გამოხატვის ან ინფორმაციის თავისუფლების უფლების განსახორციელებლად;

დ) მონაცემები მუშავდება კანონით გათვალისწინებული საჯარო ინტერესებისთვის არქივირების მიზნით, სამეცნიერო ან ისტორიული კვლევის ან სტატისტიკური მიზნებისთვის და მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების უფლების განხორციელება შეუძლებელს გახდის ან მნიშვნელოვნად დააზიანებს დამუშავების მიზნების მიღწევას.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული რომელიმე საფუძვლის არსებობისას დამუშავებისთვის პასუხისმგებელ პირს ეკისრება შესაბამისი საფუძვლის დასაბუთების ვალდებულება.

5. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ ინფორმაცია მიიღოს შესაბამისი მოქმედების განხორციელებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 10 სამუშაო დღისა.

6. მონაცემთა სუბიექტს უფლება აქვს, მის შესახებ მონაცემთა საჯაროდ ხელმისაწვდომი ფორმით დამუშავების შემთხვევაში დამატებით დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა ხელმისაწვდომობის შეზღუდვა ან/და მონაცემთა ასლების ან მონაცემებთან დამაკავშირებელი ნებისმიერი ინტერნეტბმულის წაშლა.

7. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ყველა მონაცემთა მიმღებს, აგრეთვე ამავე მონაცემთა ყველა სხვა დამუშავებისთვის პასუხისმგებელ პირსა და დამუშავებაზე უფლებამოსილ პირს, რომლებსაც თავად გადასცა მონაცემები, შეატყობინოს მონაცემთა დამუშავების შეწყვეტის, წაშლის ან განადგურების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია დამუშავებისთვის პასუხისმგებელი პირების/დამუშავებაზე უფლებამოსილი პირების ან მონაცემთა მიმღებების სიმრავლის ან/და არაპროპორციულად დიდი დანახარჯების გამო.

8. ამ მუხლის მე-6 და მე-7 პუნქტებით გათვალისწინებული პირები შესაბამისი ინფორმაციის მიღების შემდეგ ვალდებული არიან შეწყვიტონ მონაცემთა დამუშავება და წაშალონ ან გაანადგურონ მონაცემები.

მუხლი 17. მონაცემთა დაბლოკვის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს მონაცემთა დაბლოკვა, თუ არსებობს ერთ-ერთი შემდეგი გარემოება:

ა) მონაცემთა სუბიექტი სადავოს ხდის მონაცემების ნამდვილობას ან სიზუსტეს;

ბ) მონაცემთა დამუშავება უკანონოა, თუმცა მონაცემთა სუბიექტი ეწინააღმდეგება მათ წაშლას და ითხოვს მონაცემთა დაბლოკვას;

გ) მონაცემები საჭირო აღარ არის მათი დამუშავების მიზნის მისაღწევად, თუმცა მონაცემთა სუბიექტს ისინი სჭირდება საჩივრის/სარჩელის წარსადგენად;

დ) მონაცემთა სუბიექტი მოითხოვს მონაცემთა დამუშავების შეწყვეტას, წაშლას ან განადგურებას და მიმდინარეობს ამ მოთხოვნის განხილვა;

ე) არსებობს მონაცემების მტკიცებულებად გამოყენების მიზნით შენახვის აუცილებლობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში დაბლოკოს მონაცემები ამ მუხლის პირველი პუნქტით გათვალისწინებული ერთ-ერთი გარემოების არსებობისას, გარდა იმ შემთხვევისა, როდესაც მონაცემთა დაბლოკვამ შეიძლება საფრთხე შეუქმნას:

ა) დამუშავებისთვის პასუხისმგებელი პირის მიერ კანონით ან/და კანონითა და მის საფუძველზე გამოცემული კანონქვემდებარე ნორმატიული აქტით მისთვის დაკისრებული მოვალეობების შესრულებას;

ბ) კანონის შესაბამისად საჯარო ინტერესის სფეროსთვის მიკუთვნებული ამოცანების შესრულებას ან საქართველოს კანონმდებლობით დამუშავებისთვის პასუხისმგებელი პირისთვის მინიჭებული უფლებამოსილების განხორციელებას;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ლეგიტიმურ ინტერესებს, გარდა იმ შემთხვევისა, როდესაც არსებობს მონაცემთა სუბიექტის, განსაკუთრებით არასრულწლოვანის, უფლებების დაცვის აღმატებული ინტერესი;

დ) ამ კანონის 50-ე მუხლის მე-6 პუნქტით გათვალისწინებული ინტერესების დაცვას.

3. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღების შემდეგ დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია მიიღოს გადაწყვეტილება მონაცემთა განბლოკვის შესახებ, თუ არსებობს ამ მუხლის მე-2 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე საფუძველი.

4. მონაცემები უნდა დაიბლოკოს მათი დაბლოკვის მიზეზის არსებობის ვადით და ამ ვადის განმავლობაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება თან უნდა ერთოდეს შესაბამის მონაცემებს.

5. მონაცემთა სუბიექტს უფლება აქვს, მიიღოს ინფორმაცია მონაცემთა დაბლოკვის თაობაზე მიღებული გადაწყვეტილების ან მონაცემთა დაბლოკვაზე უარის თქმის საფუძვლის შესახებ გადაწყვეტილების მიღებისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს მოთხოვნიდან 3 სამუშაო დღისა.

6. ამ მუხლის პირველი პუნქტის შესაბამისად მონაცემთა დაბლოკვის შემთხვევაში მონაცემები, გარდა მათი შენახვისა, შესაძლოა სხვაგვარად დამუშავდეს შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტის თანხმობით;

ბ) სამართლებრივი მოთხოვნის ან შესაგებლის დასასაბუთებლად;

გ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის ინტერესების დასაცავად;

დ) კანონის შესაბამისად, საჯარო ინტერესის დასაცავად.

მუხლი 18. მონაცემთა გადატანის უფლება

ამ კანონის მე-5 მუხლის პირველი პუნქტის „ა“ და „ბ“ ქვეპუნქტებითა და მე-6 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული საფუძვლებით მონაცემთა ავტომატური დამუშავების შემთხვევაში, თუ ეს ტექნიკურად შესაძლებელია, მონაცემთა სუბიექტს უფლება აქვს, დამუშავებისთვის პასუხისმგებელი პირისგან სტრუქტურიზებული, საზოგადოდ გამოყენებადი და მანქანურად წაკითხვადი ფორმატით მიიღოს მის მიერ მიწოდებული მონაცემები ან მოითხოვოს ამ მონაცემთა სხვა დამუშავებისთვის პასუხისმგებელი პირისთვის გადაცემა.

მუხლი 19. ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღება და მასთან დაკავშირებული უფლებები

1. მონაცემთა სუბიექტს უფლება აქვს, არ დაექვემდებაროს მხოლოდ ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე, მიღებულ გადაწყვეტილებას, რომელიც მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, გარდა იმ შემთხვევისა, როდესაც პროფაილინგის საფუძველზე გადაწყვეტილების მიღება:

ა) ეფუძნება მონაცემთა სუბიექტის აშკარად გამოხატულ თანხმობას;

ბ) აუცილებელია მონაცემთა სუბიექტსა და დამუშავებისთვის პასუხისმგებელ პირს შორის ხელშეკრულების დასადებად ან ხელშეკრულების შესასრულებლად;

გ) გათვალისწინებულია კანონით ან კანონის საფუძველზე დელეგირებული უფლებამოსილების ფარგლებში გამოცემული კანონქვემდებარე ნორმატიული აქტით.

2. მონაცემთა სუბიექტის შესაბამისი მოთხოვნისას დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებების, თავისუფლებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, ამ მუხლის პირველი პუნქტით განსაზღვრული, გადაწყვეტილების მიღების პროცესში ადამიანური რესურსის ჩართვის (გარდა ამ მუხლის პირველი პუნქტის „გ“ ქვეპუნქტით გათვალისწინებული შემთხვევისა), მონაცემთა სუბიექტისთვის მისი მოსაზრების გამოთქმის და გადაწყვეტილების გასაჩივრების შესაძლებლობის მიცემის გზით.

3. ამ მუხლის პირველი პუნქტით განსაზღვრული გადაწყვეტილების მიღებისას განსაკუთრებული კატეგორიის მონაცემების გამოყენება დასაშვებია მხოლოდ ამ კანონის მე-6 მუხლის პირველი პუნქტის „ა“, „ვ“ და „კ“ ქვეპუნქტებით გათვალისწინებულ შემთხვევებში, თუ არსებობს მონაცემთა სუბიექტის უფლებების, თავისუფლებებისა და ლეგიტიმური ინტერესების დაცვის სათანადო გარანტიები.

მუხლი 20. თანხმობის გამოხმობის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, ყოველგვარი განმარტების ან დასაბუთების გარეშე გამოიხმოს მის მიერ გაცემული თანხმობა. ამ შემთხვევაში, მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, მონაცემთა დამუშავება უნდა შეწყდეს ან/და დამუშავებული მონაცემები წაიშალოს ან განადგურდეს მოთხოვნიდან არაუგვიანეს 10 სამუშაო დღისა, თუ მონაცემთა დამუშავების სხვა საფუძველი არ არსებობს.

2. მონაცემთა სუბიექტს უფლება აქვს, თანხმობა გამოიხმოს იმავე ფორმით, რომლითაც თანხმობა განაცხადა.

3. მონაცემთა სუბიექტს თანხმობის გამოხმობამდე უფლება აქვს, დამუშავებისთვის პასუხისმგებელ პირს მოსთხოვოს და მიიღოს ინფორმაცია თანხმობის გამოხმობის შესაძლო შედეგების შესახებ.

მუხლი 21. მონაცემთა სუბიექტის უფლებების შეზღუდვა

1. მონაცემთა სუბიექტის ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებული უფლებები შეიძლება შეიზღუდოს, თუ ეს პირდაპირ არის გათვალისწინებული საქართველოს კანონმდებლობით, ამით არ ირღვევა ადამიანის ძირითადი უფლებები და თავისუფლებები, ეს არის აუცილებელი და პროპორციული ზომა დემოკრატიულ საზოგადოებაში და ამ უფლებების განხორციელებამ შეიძლება საფრთხე შეუქმნას:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას;

დ) ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ე) მონაცემთა სუბიექტის მიერ პროფესიული, მათ შორის, რეგულირებადი პროფესიის, ეთიკის ნორმების დარღვევის გამოვლენას და მისთვის პასუხისმგებლობის დაკისრებას;

ვ) ამ მუხლის პირველი პუნქტის „ა“, „ბ“, „გ“, „დ“, „ე“, „ზ“ ან „ი“ ქვეპუნქტით განსაზღვრულ სფეროებში მარეგულირებელი ან/და ზედამხედველობის განმახორციელებელი ორგანოების ფუნქციებისა და უფლებამოსილებების განხორციელებას;

ზ) მონაცემთა სუბიექტის ან/და სხვა პირების უფლებებსა და თავისუფლებებს, მათ შორის, გამოხატვის თავისუფლებას;

თ) სახელმწიფო, კომერციული, პროფესიული და კანონით გათვალისწინებული სხვა სახის საიდუმლოებების დაცვას;

ი) სამართლებრივი მოთხოვნის ან შესაგებლის დასაბუთებას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლების არსებობისას მონაცემთა სუბიექტის უფლების შეზღუდვასა და განხორციელებაზე უარის თქმის შესახებ დამუშავებისთვის პასუხისმგებელი პირის გადაწყვეტილება უნდა ეცნობოს მონაცემთა სუბიექტს, გარდა იმ შემთხვევისა, თუ ინფორმაციის მიწოდება საფრთხეს შეუქმნის ამ მუხლის პირველი პუნქტით გათვალისწინებული მიზნის (მიზნების) მიღწევას.

4. მონაცემთა სუბიექტის ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებული უფლებების განხორციელება უზრუნველყოფილი უნდა იყოს უსასყიდლოდ, გარდა ამავე კანონით დადგენილი გამონაკლისებისა. მონაცემთა სუბიექტის მიერ მოთხოვნის არაგონივრული სიხშირით წარდგენის შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი უფლებამოსილია უარი განაცხადოს მის შესრულებაზე, რის შესახებაც ვალდებულია დაუყოვნებლივ წერილობით აცნობოს მონაცემთა სუბიექტს და განუმარტოს გასაჩივრების უფლების შესახებ.

5. მონაცემთა სუბიექტის უფლების შეზღუდვისა და მის მოთხოვნაზე უარის თქმის შემთხვევაში მტკიცების ტვირთი ეკისრება დამუშავებისთვის პასუხისმგებელ პირს.

მუხლი 22. გასაჩივრების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ამ კანონით გათვალისწინებული უფლებებისა და დადგენილი წესების დარღვევის შემთხვევაში კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს, სასამართლოს ან/და ზემდგომ ადმინისტრაციულ ორგანოს.

2. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურს მოსთხოვოს მონაცემთა დაბლოკვის შესახებ გადაწყვეტილების მიღება განცხადების განხილვის დასრულების თაობაზე გადაწყვეტილების გამოტანამდე.

3. მონაცემთა სუბიექტს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილება გაასაჩივროს სასამართლოში საქართველოს კანონმდებლობით გათვალისწინებული პირობებისა და ვადების დაცვით.

თავი IV

დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ვალდებულებები

მუხლი 23. მონაცემთა სუბიექტის უფლებების დაცვის ვალდებულება

1. მონაცემთა სუბიექტის მოთხოვნის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია დადგენილი წესით უზრუნველყოს მონაცემთა სუბიექტის ამ კანონის III თავით განსაზღვრული უფლებების განხორციელება, მათ შორის, მიიღოს ყველა ზომა ამავე კანონის მოთხოვნებთან შესაბამისობის და, საჭიროების შემთხვევაში, მათი დემონსტრირების მიზნით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულებები ვრცელდება აგრეთვე დამუშავებაზე უფლებამოსილ პირზე მასთან დაცულ/არსებულ ინფორმაციასთან მიმართებით.

მუხლი 24. მონაცემთა სუბიექტის ინფორმირება მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში

1. მონაცემების უშუალოდ მონაცემთა სუბიექტისგან შეგროვებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა შეგროვებამდე ან შეგროვების დაწყებისთანავე მონაცემთა სუბიექტს მიაწოდოს სულ მცირე შემდეგი ინფორმაცია:

ა) დამუშავებისთვის პასუხისმგებელი პირის, მისი წარმომადგენლის ან/და დამუშავებაზე უფლებამოსილი პირის (ასეთის არსებობის შემთხვევაში) ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნებისა და სამართლებრივი საფუძვლის შესახებ;

გ) მონაცემთა მიწოდების სავალდებულოობის შესახებ, ხოლო თუ მონაცემთა მიწოდება სავალდებულოა − მონაცემთა მიწოდებაზე უარის თქმის სამართლებრივი შედეგების თაობაზე, აგრეთვე ინფორმაცია იმის შესახებ, რომ მონაცემთა შეგროვება/მოპოვება გათვალისწინებულია საქართველოს კანონმდებლობით ან აუცილებელი პირობაა ხელშეკრულების დასადებად (ასეთი ინფორმაციის არსებობის შემთხვევაში);

დ) დამუშავებისთვის პასუხისმგებელი პირის ან მესამე პირის მნიშვნელოვანი ლეგიტიმური ინტერესების შესახებ, თუ მონაცემები მუშავდება ამ კანონის მე-5 მუხლის პირველი პუნქტის „ი“ ქვეპუნქტის შესაბამისად;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) ვინაობა და საკონტაქტო ინფორმაცია;

ვ) მონაცემთა მიმღების ვინაობა ან მონაცემთა მიმღებების კატეგორიები (ასეთის არსებობის შემთხვევაში);

ზ) მონაცემთა დაგეგმილი გადაცემისა და მონაცემთა დაცვის სათანადო გარანტიების არსებობის შესახებ, მათ შორის, მონაცემთა გადაცემაზე ნებართვის თაობაზე (ასეთის არსებობის შემთხვევაში), თუ დამუშავებისთვის პასუხისმგებელი პირი გეგმავს მონაცემთა სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის გადაცემას;

თ) მონაცემთა შენახვის ვადის შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ი) მონაცემთა სუბიექტის ამ კანონის III თავით გათვალისწინებული უფლებების შესახებ.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდება სავალდებულო არ არის, თუ არსებობს გონივრული ვარაუდი, რომ მონაცემთა სუბიექტი უკვე ფლობს ამ ინფორმაციას.

3. ამ მუხლის პირველი პუნქტით დადგენილი წესი არ მოქმედებს, თუ სპეციალური კანონმდებლობა ადგენს მონაცემთა სუბიექტისგან მონაცემების შეგროვებისას მისი ინფორმირების განსხვავებულ წესს და ეს წესი არ იწვევს მონაცემთა სუბიექტის ძირითადი უფლებებისა და თავისუფლებების დარღვევას. ამ შემთხვევაში სუბიექტის წერილობითი მოთხოვნის არსებობისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მოთხოვნიდან 10 სამუშაო დღის ვადაში, თუ არ არსებობს ამ კანონის 21-ე მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ვადა განსაკუთრებულ შემთხვევებში და სათანადო დასაბუთებით შეიძლება გაგრძელდეს არაუმეტეს 10 სამუშაო დღით, რის შესახებაც მონაცემთა სუბიექტს უნდა ეცნობოს დაუყოვნებლივ.

5. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია მონაცემთა სუბიექტს, განსაკუთრებით − თუ მონაცემთა სუბიექტი არასრულწლოვანია, მიაწოდოს მარტივ და მისთვის გასაგებ ენაზე. ამ ინფორმაციის მიწოდება შეიძლება ზეპირად ან წერილობით (მათ შორის, ელექტრონულად), გარდა იმ შემთხვევისა, როდესაც მონაცემთა სუბიექტი ინფორმაციის წერილობით მიღებას ითხოვს.

მუხლი 25. მონაცემთა სუბიექტის ინფორმირება, თუ მონაცემების შეგროვება უშუალოდ მისგან არ ხდება

1. თუ მონაცემების შეგროვება უშუალოდ მონაცემთა სუბიექტისგან არ ხდება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს ამ კანონის 24-ე მუხლის პირველი პუნქტის „ა“−„ი“ ქვეპუნქტებით გათვალისწინებული ინფორმაცია, აგრეთვე აცნობოს, მის შესახებ რომელი მონაცემები მუშავდება და ამ მონაცემთა მოპოვების წყარო, მათ შორის, მოპოვებულ იქნა თუ არა მონაცემები საჯაროდ ხელმისაწვდომი წყაროდან.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა სუბიექტს უნდა მიაწოდოს გონივრულ ვადაში, ან, თუ მონაცემები გამოიყენება მონაცემთა სუბიექტთან დასაკავშირებლად, მასთან პირველი კომუნიკაციისთანავე, ხოლო თუ დაგეგმილია მონაცემთა გამჟღავნება, − მონაცემთა გამჟღავნებამდე, მაგრამ მონაცემთა მოპოვებიდან არაუგვიანეს 10 სამუშაო დღისა, თუკი არ არსებობს ამ კანონის 21-ე მუხლით გათვალისწინებული უფლების შეზღუდვის საფუძვლები.

3. ამ მუხლით გათვალისწინებული ინფორმაციის მიწოდების ვალდებულება არ ვრცელდება დამუშავებისთვის პასუხისმგებელ პირზე ან/და დამუშავებაზე უფლებამოსილ პირზე, თუ:

ა) მონაცემთა სუბიექტი უკვე ფლობს ამ მუხლის პირველი პუნქტით გათვალისწინებულ ინფორმაციას;

ბ) მონაცემთა შეგროვება ან გამჟღავნება დადგენილია კანონით ან საჭიროა საქართველოს კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად;

გ) ინფორმაციის მიწოდება შეუძლებელია ან მოითხოვს არაპროპორციულად დიდ ძალისხმევას ან ამ მუხლით გათვალისწინებული ვალდებულების შესრულება მნიშვნელოვან ზიანს მიაყენებს ან შეუძლებელს გახდის მონაცემთა დამუშავების კანონიერი მიზნის (მიზნების) შესრულებას. ამ შემთხვევებში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის, მონაცემების მოპოვების შესახებ ზოგადი ინფორმაციის საჯაროდ/ყველასთვის ხელმისაწვდომი ფორმით განთავსებით.

მუხლი 26. მონაცემთა მეტად დაფარვის პრიორიტეტი, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას

1. ახალი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების, აგრეთვე მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისთვის მოსალოდნელი რისკებისა და მონაცემთა დამუშავების პრინციპების გათვალისწინებით, დამუშავებისთვის პასუხისმგებელმა პირმა როგორც დამუშავების საშუალებების განსაზღვრის, ისე უშუალოდ დამუშავების პროცესში უნდა მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები (მათ შორის, ფსევდონიმიზაცია ან/და სხვა). ამ ზომების მიღება უნდა უზრუნველყოფდეს მონაცემთა დამუშავების პრინციპების ეფექტიან იმპლემენტაციას და მონაცემთა დამუშავების პროცესში დაცვის მექანიზმების ინტეგრირებას მონაცემთა სუბიექტის უფლებების დასაცავად.

2. დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა რაოდენობის, მონაცემთა დამუშავების მასშტაბის, შენახვის ვადებისა და მონაცემებზე წვდომის განსაზღვრისას უნდა უზრუნველყოს ისეთი ტექნიკური და ორგანიზაციული ზომების მიღება, რომ ავტომატურად დამუშავდეს მონაცემების მხოლოდ ის მოცულობა, რომელიც აუცილებელია დამუშავების კონკრეტული მიზნისთვის. ეს ზომები იმგვარად უნდა გამოიყენებოდეს, რომ ნებადართული ალტერნატიული მიდგომის არჩევამდე პირთა განუსაზღვრელი წრისთვის ავტომატურად უზრუნველყოფილი იქნება მონაცემთა მხოლოდ მინიმალურ მოცულობაზე წვდომა.

მუხლი 27. მონაცემთა უსაფრთხოება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს სათანადო ტექნიკური და ორგანიზაციული ზომები მონაცემთა ამ კანონის შესაბამისად დამუშავების უზრუნველსაყოფად და შეძლოს მონაცემთა დამუშავების ამ კანონთან შესაბამისობის დადასტურება.

2. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან მიიღონ მონაცემთა დამუშავების შესაძლო და თანამდევი საფრთხეების შესაბამისი ორგანიზაციული და ტექნიკური ზომები (მათ შორის, მონაცემთა ფსევდონიმიზაცია, მონაცემებზე წვდომის აღრიცხვა, ინფორმაციული უსაფრთხოების მექანიზმები (კონფიდენციალურობა, მთლიანობა, ხელმისაწვდომობა) და სხვა), რომლებიც უზრუნველყოფს მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის, განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.

3. მონაცემთა უსაფრთხოების უზრუნველსაყოფად აუცილებელი ორგანიზაციულ-ტექნიკური ზომების განსაზღვრისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან გაითვალისწინონ მონაცემთა კატეგორიები, მოცულობა, მონაცემთა დამუშავების მიზანი, ფორმა, საშუალებები და მონაცემთა სუბიექტის უფლებების დარღვევის შესაძლო საფრთხეები, აგრეთვე პერიოდულად შეაფასონ მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ტექნიკური და ორგანიზაციული ზომების ეფექტიანობა და, საჭიროების შემთხვევაში, უზრუნველყონ მონაცემთა უსაფრთხოების დასაცავად ადეკვატური ზომების მიღება ან/და არსებულის განახლება.

4. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ, მონაცემთა შეგროვების, შეცვლის, მათზე წვდომის, მათი გამჟღავნების (გადაცემის), დაკავშირებისა და წაშლის თაობაზე ინფორმაციის) აღრიცხვა. არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან უზრუნველყონ მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების (მათ შორის, ინციდენტების შესახებ ინფორმაციის) აღრიცხვა.

5. დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის ნებისმიერი თანამშრომელი, რომელიც მონაწილეობს მონაცემთა დამუშავებაში ან რომელსაც აქვს მონაცემებზე წვდომა, ვალდებულია არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს, დაიცვას მონაცემთა საიდუმლოება და კონფიდენციალურობა, მათ შორის, სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.

6. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან თანამშრომელთა უფლებამოსილებების შესაბამისად განსაზღვრონ მათი მონაცემებზე წვდომის ფარგლები და განახორციელონ ადეკვატური ღონისძიებები თანამშრომელთა მიერ მონაცემთა უკანონო დამუშავების ფაქტების თავიდან ასაცილებლად, გამოსავლენად და აღსაკვეთად, მათ შორის, უზრუნველყონ თანამშრომელთა ინფორმირება მონაცემთა უსაფრთხოების დაცვის საკითხების შესახებ.

მუხლი 28. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვა და პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინება

1. დამუშავებისთვის პასუხისმგებელი პირი და მისი სპეციალური წარმომადგენელი (ასეთის არსებობის შემთხვევაში) ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებისთვის პასუხისმგებელი პირის, სპეციალური წარმომადგენლის, პერსონალურ მონაცემთა დაცვის ოფიცრის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) მონაცემთა დამუშავების მიზნების შესახებ;

გ) მონაცემთა სუბიექტებისა და მონაცემთა კატეგორიების შესახებ;

დ) მონაცემთა მიმღების (მათ შორის, სხვა სახელმწიფოში არსებული მონაცემთა მიმღების ან საერთაშორისო ორგანიზაციის) კატეგორიების შესახებ;

ე) სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის, აგრეთვე მონაცემთა დაცვის სათანადო გარანტიების თაობაზე, მათ შორის, პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის შესახებ (ასეთის არსებობის შემთხვევაში);

ვ) მონაცემთა შენახვის ვადების შესახებ, ხოლო თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, მათი შენახვის ვადის განსაზღვრის კრიტერიუმების თაობაზე;

ზ) მონაცემთა უსაფრთხოებისთვის მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

თ) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

2. თითოეული დამუშავებაზე უფლებამოსილი პირი და მის მიერ მონაცემთა დამუშავებაში ამ კანონის 36-ე მუხლის მე-7 პუნქტით დადგენილი წესით ჩართული პირი ვალდებული არიან წერილობით ან ელექტრონულად უზრუნველყონ მონაცემთა დამუშავებასთან დაკავშირებული შემდეგი ინფორმაციის აღრიცხვა:

ა) დამუშავებაზე უფლებამოსილი პირის, პერსონალურ მონაცემთა დაცვის ოფიცრის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, სპეციალური წარმომადგენლის ვინაობა/სახელწოდება და საკონტაქტო ინფორმაცია;

ბ) დამუშავებისთვის პასუხისმგებელი პირისთვის ან მისი სახელით განხორციელებული მონაცემთა დამუშავების სახეების შესახებ;

გ) ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაცია, თუ იგი მონაწილეობს სხვა სახელმწიფოსთვის ან საერთაშორისო ორგანიზაციისთვის მონაცემთა გადაცემის პროცესში;

დ) მონაცემთა უსაფრთხოების უზრუნველსაყოფად მიღებული ორგანიზაციულ-ტექნიკური ზომების ზოგადი აღწერა;

ე) ინციდენტების შესახებ ინფორმაცია (ასეთის არსებობის შემთხვევაში).

3. დამუშავებისთვის პასუხისმგებელმა პირმა, თანადამუშავებისთვის პასუხისმგებელმა პირებმა, დამუშავებაზე უფლებამოსილმა პირმა და სპეციალურმა წარმომადგენელმა ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ინფორმაცია შესაბამისი მოთხოვნისთანავე, დაუყოვნებლივ, მაგრამ არაუგვიანეს 3 სამუშაო დღისა, უნდა მიაწოდონ პერსონალურ მონაცემთა დაცვის სამსახურს.

4. სამართალდამცავი ორგანოს მიერ მოთხოვნილი ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის ან მისი ჩატარების ნებართვის გაცემაზე უარის თქმის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, აგრეთვე სამართალდამცავი ორგანოს მიერ სასამართლოს ნებართვის გარეშე ჩატარებული ფარული საგამოძიებო მოქმედების კანონიერად/უკანონოდ ცნობის შესახებ მოსამართლის განჩინების 1 ეგზემპლარი, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, წარედგინება პერსონალურ მონაცემთა დაცვის სამსახურს საქართველოს სისხლის სამართლის საპროცესო კოდექსით დადგენილი წესით.

5. ელექტრონული კომუნიკაციის კომპანიამ სამართალდამცავი ორგანოსთვის ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემების საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე მუხლით დადგენილი წესით გადაცემის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურს უნდა აცნობოს ამ მონაცემების გადაცემიდან 24 საათში.

6. გადაუდებელი აუცილებლობის შემთხვევაში ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილებას, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, ფარული საგამოძიებო მოქმედების ამ დადგენილებაში მითითებული დაწყების დროიდან არაუგვიანეს 12 საათისა პროკურორი ან პროკურორის დავალებით გამომძიებელი მატერიალური (დოკუმენტური) სახით წარუდგენს პერსონალურ მონაცემთა დაცვის სამსახურს.

7. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის შესახებ მოსამართლის განჩინების ელექტრონულ ეგზემპლარს, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, აგრეთვე ამ ფარული საგამოძიებო მოქმედების ჩატარების შესახებ პროკურორის დადგენილების ელექტრონულ ეგზემპლარს, რომელიც მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს შეიცავს, სააგენტო მისი მიღებისთანავე აწვდის პერსონალურ მონაცემთა დაცვის სამსახურს კონტროლის ელექტრონული სისტემის მეშვეობით.

მუხლი 29. ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულება

1. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი, მიღებული ზომები და ინციდენტის აღმოჩენიდან არაუგვიანეს 72 საათისა მის შესახებ წერილობით ან ელექტრონულად შეატყობინოს პერსონალურ მონაცემთა დაცვის სამსახურს, გარდა იმ შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ ინციდენტი მნიშვნელოვან ზიანს გამოიწვევს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

2. დამუშავებაზე უფლებამოსილი პირი ვალდებულია ინციდენტის შესახებ დაუყოვნებლივ აცნობოს დამუშავებისთვის პასუხისმგებელ პირს.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული შეტყობინება უნდა შეიცავდეს შემდეგ ინფორმაციას:

ა) ინციდენტის გარემოებების, სახისა და დროის შესახებ;

ბ) ინციდენტის შედეგად უნებართვოდ გამჟღავნებული, დაზიანებული, წაშლილი, განადგურებული, მოპოვებული, დაკარგული, შეცვლილი მონაცემების სავარაუდო კატეგორიებისა და რაოდენობის, აგრეთვე იმ მონაცემთა სუბიექტების სავარაუდო კატეგორიებისა და რაოდენობის შესახებ, რომლებსაც ინციდენტის შედეგად შეექმნათ საფრთხე;

გ) ინციდენტით გამოწვეული სავარაუდო ზიანის, მისი შემცირების ან აღმოფხვრის მიზნით დამუშავებისთვის პასუხისმგებელი პირის მიერ განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

დ) იმის შესახებ, გეგმავს თუ არა დამუშავებისთვის პასუხისმგებელი პირი, ინციდენტის შესახებ შეატყობინოს მონაცემთა სუბიექტს (მონაცემთა სუბიექტებს) ამ კანონის 30-ე მუხლით დადგენილი წესით და რა ვადაში;

ე) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა საკონტაქტო პირის მონაცემებს.

4. თუ ამ მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ერთიანად და სრულად მიწოდება შეუძლებელია, დამუშავებისთვის პასუხისმგებელ პირს უფლება აქვს, პერსონალურ მონაცემთა დაცვის სამსახურთან შეთანხმებით, გონივრულ ვადაში, ეტაპობრივად მიაწოდოს ინფორმაცია.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახურისთვის წარდგენილი შეტყობინების თანახმად, დამუშავებისთვის პასუხისმგებელი პირი არ უზრუნველყოფს ან ვერ უზრუნველყოფს ინციდენტის თაობაზე მონაცემთა სუბიექტის (მონაცემთა სუბიექტების) ინფორმირებას, ინციდენტის გარემოებების, სავარაუდო ზიანის ან/და მონაცემთა სუბიექტების რაოდენობის გათვალისწინებით პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ინციდენტის შესახებ მის ხელთ არსებული ინფორმაცია გაასაჯაროოს, გარდა იმ შემთხვევისა, თუ არსებობს ამ კანონის 30-ე მუხლის მე-3 პუნქტით გათვალისწინებული ერთ-ერთი გარემოება.

6. ამ მუხლის მე-5 პუნქტით დადგენილი წესი არ მოქმედებს, თუ ამ მუხლის პირველი პუნქტით გათვალისწინებულ შეტყობინებას თან ახლავს მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო ან კერძო დაწესებულების მითითება, რომ ინციდენტის შესახებ ინფორმაციის გასაჯაროება საფრთხეს შეუქმნის:

ა) სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოების და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის თავიდან აცილებას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ოპერატიულ-სამძებრო საქმიანობას;

დ) ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს.

7. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შემთხვევებში არ გაასაჯაროოს ინფორმაცია მაშინაც, თუ შეტყობინებას თან არ ახლავს ამ მუხლის მე-6 პუნქტის „ა“−„დ“ ქვეპუნქტებით გათვალისწინებული რომელიმე მითითება.

8. პერსონალურ მონაცემთა დაცვის სამსახურს ამ მუხლის მე-6 პუნქტით განსაზღვრული შესაბამისი ქვეპუნქტით გათვალისწინებული გარემოების თაობაზე დამუშავებისთვის პასუხისმგებელი პირი უთითებს ინციდენტის შესახებ შეტყობინებაში ამ მუხლის მე-9 პუნქტით დადგენილი წესის შესაბამისად.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ამ ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

10. ამ მუხლის მე-6 პუნქტით გათვალისწინებულ შესაბამისი ქვეპუნქტით განსაზღვრულ სათანადო გარემოებაზე მონაცემთა დამუშავებისთვის პასუხისმგებელი საჯარო დაწესებულება უთითებს საკუთარი კომპეტენციის/სამოქმედო სფეროს შესაბამისად.

11. ამ მუხლის მე-6 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების საფუძველს კრიტიკული ინფორმაციული სისტემის სუბიექტი, მისი კატეგორიის გათვალისწინებით, უთითებს ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების სფეროში შესაბამის კომპეტენტურ უწყებასთან შეთანხმებით.

მუხლი 30. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულება

1. თუ ინციდენტი მაღალი ალბათობით გამოიწვევს მნიშვნელოვან ზიანს ან/და მნიშვნელოვან საფრთხეს შეუქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ინციდენტის აღმოჩენიდან პირველი შესაძლებლობისთანავე, გაუმართლებელი დაყოვნების გარეშე აცნობოს მონაცემთა სუბიექტს ინციდენტის შესახებ და მარტივ და მისთვის გასაგებ ენაზე მიაწოდოს შემდეგი ინფორმაცია:

ა) ინციდენტისა და მასთან დაკავშირებული გარემოებების ზოგადი აღწერა;

ბ) ინციდენტით გამოწვეული სავარაუდო/დამდგარი ზიანის, მის შესამცირებლად ან აღმოსაფხვრელად განხორციელებული ან დაგეგმილი ღონისძიებების შესახებ;

გ) პერსონალურ მონაცემთა დაცვის ოფიცრის ან სხვა პირის საკონტაქტო მონაცემები.

2. თუ მონაცემთა სუბიექტის ინფორმირება არაპროპორციულად დიდ ხარჯებს ან ძალისხმევას მოითხოვს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია გაავრცელოს საჯაროდ ან სხვა ისეთი ფორმით, რომელიც ჯეროვნად უზრუნველყოფს მონაცემთა სუბიექტის მიერ ინფორმაციის მიღების შესაძლებლობას.

3. ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული ვალდებულება არ წარმოიშობა ერთ-ერთი შემდეგი გარემოების არსებობისას:

ა) ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირება საფრთხეს შეუქმნის სახელმწიფო საიდუმლოების დაცვის ინტერესებს, სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს;

ბ) დამუშავებისთვის პასუხისმგებელმა პირმა მიიღო შესაბამისი უსაფრთხოების ზომები, რის შედეგადაც თავიდან იქნა აცილებული ადამიანის ძირითადი უფლებებისა და თავისუფლებების დარღვევის მნიშვნელოვანი საფრთხე.

4. ამ მუხლის პირველი პუნქტით გათვალისწინებული, ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის აღნიშნული ინციდენტის შეტყობინების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 31. მონაცემთა დაცვაზე ზეგავლენის შეფასება

1. თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება.

2. გარდა პირველი პუნქტით გათვალისწინებული შემთხვევისა, მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელება სავალდებულოა, თუ დამუშავებისთვის პასუხისმგებელი პირი:

ა) მონაცემთა სუბიექტისთვის სამართლებრივი, ფინანსური ან სხვა სახის არსებითი მნიშვნელობის შედეგის მქონე გადაწყვეტილებას იღებს სრულად ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე;

ბ) ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემებს;

გ) ახორციელებს მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს საზოგადოებრივი თავშეყრის ადგილებში.

3. მონაცემთა დაცვაზე ზეგავლენის შეფასებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია შექმნას წერილობითი დოკუმენტი, რომელიც შეიცავს:

ა) მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;

ბ) ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.

4. მონაცემთა დამუშავების პროცესის არსებითი ცვლილების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია განაახლოს მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი შეინახოს მონაცემთა დამუშავების მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში − არანაკლებ 1 წლის ვადით.

5. თუ მონაცემთა დაცვაზე ზეგავლენის შეფასების შედეგად გამოვლინდება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად და, საჭიროების შემთხვევაში, კონსულტაციის მიზნით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს. თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.

6. ამ მუხლის მე-5 პუნქტის საფუძველზე პერსონალურ მონაცემთა დაცვის სამსახურისთვის მიმართვის შემთხვევაში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა წარადგინოს:

ა) დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირებისა და დამუშავებაზე უფლებამოსილი პირის უფლებამოსილების შესახებ ინფორმაცია;

ბ) დაგეგმილი მონაცემთა დამუშავების მიზნებისა და საშუალებების შესახებ ინფორმაცია;

გ) მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დასაცავად განსაზღვრული უსაფრთხოების ზომების შესახებ ინფორმაცია;

დ) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) საკონტაქტო ინფორმაცია;

ე) მონაცემთა დაცვაზე ზეგავლენის შეფასება;

ვ) სხვა (დამატებითი) ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მოთხოვნის არსებობის შემთხვევაში.

7. მონაცემთა სუბიექტების დიდ რაოდენობად მიიჩნევა საქართველოს მოსახლეობის არანაკლებ 3 პროცენტისა, რომელიც გამოითვლება მოსახლეობის აღწერის ბოლო შედეგების მიხედვით.

8. ამ მუხლის მე-3 პუნქტით განსაზღვრული მონაცემთა დაცვის ზეგავლენის დოკუმენტი არ ექვემდებარება გასაჯაროებას, თუ ამით შეიძლება საფრთხე შეექმნას სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს, დამუშავებისთვის პასუხისმგებელი პირის ანდამუშავებაზე უფლებამოსილი პირის აღმატებულ ლეგიტიმურ ინტერესებს.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების განხორციელების წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

მუხლი 32. დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები მონაცემთა სუბიექტისგან თანხმობის მიღების და მის მიერ თანხმობის გამოხმობის შემთხვევებში

1. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა სუბიექტის წერილობითი თანხმობის მიღებას გეგმავს დოკუმენტით, რომელიც აგრეთვე სხვა საკითხებს შეეხება, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ამ დოკუმენტში თანხმობის შესახებ ტექსტი ჩამოაყალიბოს მკაფიო, მარტივი და გასაგები ენით და გამოყოს იგი დოკუმენტის სხვა ნაწილებისგან.

2. თუ მონაცემთა სუბიექტის თანხმობა გაცემულია ხელშეკრულების ან მომსახურების ფარგლებში, თანხმობის ნებაყოფლობითობის განსაზღვრისას, სხვა გარემოებებთან ერთად, უნდა შეფასდეს, თუ არის ეს თანხმობა ხელშეკრულების ან მომსახურების აუცილებელი პირობა და თუ შეიძლება ამ თანხმობის გარეშე შესაბამისი მომსახურების მიღება/ხელშეკრულების დადება.

3. მონაცემთა სუბიექტისგან თანხმობის მიღებამდე დამუშავებისთვის პასუხისმგებელმა პირმა უნდა უზრუნველყოს მონაცემთა სუბიექტის ინფორმირება მის მიერ თანხმობის გამოხმობის უფლების შესახებ.

4. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობის შემთხვევაში დაუყოვნებლივ შეწყვიტოს მონაცემთა დამუშავება და დამუშავებული მონაცემები წაშალოს ან გაანადგუროს, თუ ამ კანონით სხვა რამ არ არის დადგენილი.

5. ამ მუხლის მე-4 პუნქტით განსაზღვრული ვალდებულება არ ვრცელდება ამ კანონის მე-16 მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაზე.

6. მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობა არ იწვევს თანხმობის გამოხმობამდე და თანხმობის ფარგლებში წარმოშობილი სამართლებრივი შედეგების გაუქმებას.

7. მონაცემთა სუბიექტის მოთხოვნის საფუძველზე ან იმ შემთხვევაში, თუ ეს მონაცემთა სუბიექტისთვის წარმოშობს სამართლებრივ, ფინანსურ ან სხვა სახის არსებითი მნიშვნელობის მქონე შედეგს, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მონაცემთა სუბიექტის მიერ თანხმობის გამოხმობამდე მიაწოდოს მას ინფორმაცია თანხმობის გამოხმობის შედეგების შესახებ.

8. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია უზრუნველყოს თანხმობის გამოხმობის უსასყიდლო, მარტივი და ხელმისაწვდომი მექანიზმი, მათ შორის, უზრუნველყოს თანხმობის გამოხმობის შესაძლებლობა იმავე ფორმით, რომლითაც გაიცა თანხმობა.

9. მონაცემთა დამუშავებაზე მონაცემთა სუბიექტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში დამუშავებისთვის პასუხისმგებელ პირს ეკისრება მონაცემთა სუბიექტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი.

მუხლი 33. პერსონალურ მონაცემთა დაცვის ოფიცერი

1. საჯარო დაწესებულება, სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი, სამედიცინო დაწესებულება, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი, რომელიც ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემებს ან ახორციელებს მათი ქცევის სისტემატურ და მასშტაბურ მონიტორინგს, ვალდებული არიან დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი. პერსონალურ მონაცემთა დაცვის ოფიცერი უზრუნველყოფს:

ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, მათ შორის, მარეგულირებელი სამართლებრივი ნორმების მიღების ან შეცვლის შესახებ, დამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირისა და მათი თანამშრომლების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას;

ბ) მონაცემთა დამუშავებასთან დაკავშირებული შიდა რეგულაციებისა და მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტის შემუშავებაში მონაწილეობას, აგრეთვე დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოს კანონმდებლობისა და შიდა ორგანიზაციული დოკუმენტების შესრულების მონიტორინგს;

გ) მონაცემთა დამუშავებასთან დაკავშირებით შემოსული განცხადებებისა და საჩივრების ანალიზსა და შესაბამისი რეკომენდაციების გაცემას;

დ) პერსონალურ მონაცემთა დაცვის სამსახურისგან კონსულტაციების მიღებას, დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის წარმომადგენლობას პერსონალურ მონაცემთა დაცვის სამსახურთან ურთიერთობაში, მისი მოთხოვნით ინფორმაციისა და დოკუმენტების წარდგენას და მისი დავალებებისა და რეკომენდაციების შესრულების კოორდინაციასა და მონიტორინგს;

ე) მონაცემთა სუბიექტის მიმართვის შემთხვევაში მისთვის მონაცემთა დამუშავების პროცესებისა და მისი უფლებების შესახებ ინფორმაციის მიწოდებას;

ვ) დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულებას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული შემთხვევების გარდა, სხვა დამუშავებისთვის პასუხისმგებელ პირებს საკუთარი შეხედულებისამებრ უფლება აქვთ, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი.

3. პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქცია შეიძლება შეასრულოს (შეასრულონ) დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის თანამშრომელმა ან სხვა პირმა (პირებმა) მომსახურების ხელშეკრულების საფუძველზე. პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქციაც, თუ ეს არ წარმოშობს ინტერესთა კონფლიქტს.

4. დამუშავებისთვის პასუხისმგებელმა პირებმა ან დამუშავებაზე უფლებამოსილმა პირებმა შეიძლება დანიშნონ ან განსაზღვრონ საერთო პერსონალურ მონაცემთა დაცვის ოფიცერი იმის გათვალისწინებით, რომ უზრუნველყოფილი იქნება პერსონალურ მონაცემთა დაცვის ოფიცრის მიერ თავისი ფუნქციების სრულფასოვანი შესრულება. თუ დამუშავებისთვის პასუხისმგებელი პირი ან დამუშავებაზე უფლებამოსილი პირი საჯარო დაწესებულებაა, აგრეთვე დასაშვებია რამდენიმე სახელმწიფო დაწესებულებისთვის საერთო პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა ან განსაზღვრა ამ დაწესებულებების ორგანიზაციული სტრუქტურისა და ზომის გათვალისწინებით.

5. პერსონალურ მონაცემთა დაცვის ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში.

6. პერსონალურ მონაცემთა დაცვის ოფიცერი კონკრეტული ვითარების გათვალისწინებით ანგარიშვალდებული უნდა იყოს მაქსიმალურად მაღალი დონის მმართველობის სტრუქტურის წინაშე.

7. დამუშავებისთვის პასუხისმგებელმა პირმა და დამუშავებაზე უფლებამოსილმა პირმა უნდა უზრუნველყონ პერსონალურ მონაცემთა დაცვის ოფიცრის სათანადო ჩართულობა მონაცემთა დამუშავებასთან დაკავშირებით მნიშვნელოვანი გადაწყვეტილების მიღების პროცესში, უზრუნველყონ იგი შესაბამისი რესურსებით, აგრეთვე უზრუნველყონ მისი დამოუკიდებლობა საქმიანობის განხორციელებისას.

8. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნიდან ან განსაზღვრიდან, აგრეთვე მისი შეცვლიდან 10 სამუშაო დღის ვადაში მისი ვინაობა და საკონტაქტო ინფორმაცია აცნობონ პერსონალურ მონაცემთა დაცვის სამსახურს, რომელიც აქვეყნებს ამ ინფორმაციას. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი ვალდებული არიან პერსონალურ მონაცემთა დაცვის ოფიცრის ვინაობა და საკონტაქტო ინფორმაცია პროაქტიულად გამოაქვეყნონ ვებგვერდზე (ასეთის არსებობის შემთხვევაში) ან სხვა ხელმისაწვდომი საშუალებით.

9. დამუშავებისთვის პასუხისმგებელი პირი და დამუშავებაზე უფლებამოსილი პირი პერსონალურ მონაცემთა დაცვის ოფიცრის დროებითი არყოლისას ან მისი უფლებამოსილების შეწყვეტისას ვალდებული არიან გაუმართლებელი დაყოვნების გარეშე პერსონალურ მონაცემთა დაცვის ოფიცრის უფლებამოსილებით აღჭურვონ სხვა პირი.

10. დამუშავებისთვის პასუხისმგებელ პირთა და დამუშავებაზე უფლებამოსილ პირთა წრე, რომლებსაც არ აქვთ ვალდებულება, დანიშნონ ან განსაზღვრონ პერსონალურ მონაცემთა დაცვის ოფიცერი, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით. ამ პირთა წრის განსაზღვრისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა უნდა გაითვალისწინოს ამ მუხლის პირველი პუნქტით დადგენილი კრიტერიუმები.

მუხლი 34. სპეციალური წარმომადგენელი

1. საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ საქართველოში არსებული ტექნიკური საშუალებებით მონაცემთა დამუშავების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია საქართველოში არსებული ტექნიკური საშუალებების გამოყენებით მონაცემთა დამუშავებამდე საქართველოში დანიშნოს ან განსაზღვროს სპეციალური წარმომადგენელი. სპეციალური წარმომადგენელი რეგისტრირდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ გამოცემული ნორმატიული აქტით დადგენილი წესით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა დამუშავების უფლება წარმოეშობა მხოლოდ სპეციალური წარმომადგენლის რეგისტრაციის შემდეგ.

3. სპეციალური წარმომადგენელი ვალდებულია შეასრულოს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ კანონით დადგენილი წესით მის მიმართ წაყენებული მოთხოვნა ან/და მიღებული გადაწყვეტილება.

4. მონაცემთა სუბიექტს უფლება აქვს, საქართველოს ფარგლების გარეთ რეგისტრირებული დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიმართ მისი უფლების განხორციელება მოითხოვოს სპეციალური წარმომადგენლის მეშვეობით.

5. სპეციალური წარმომადგენლის დანიშვნა არ ათავისუფლებს საქართველოს ფარგლების გარეთ რეგისტრირებულ დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს ვალდებულებისგან, მოახდინოს რეაგირება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ კანონით დადგენილი წესით მის მიმართ წაყენებულ მოთხოვნაზე ან/და მიღებულ გადაწყვეტილებაზე.

6. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულება არ ვრცელდება იმ დამუშავებისთვის პასუხისმგებელ პირზე/დამუშავებაზე უფლებამოსილ პირზე, რომელიც დაფუძნებულია ევროკავშირის წევრ სახელმწიფოებში, და მასზე ვრცელდება ევროკავშირში მოქმედი პერსონალურ მონაცემთა დაცვის წესები.

7. ამ მუხლის პირველი პუნქტით გათვალისწინებული ვალდებულება არ ვრცელდება იმ დამუშავებისთვის პასუხისმგებელ პირზე/დამუშავებაზე უფლებამოსილ პირზე, რომელიც დაფუძნებულია ევროკავშირის მიერ აღიარებულ მონაცემთა ადეკვატური დაცვის მქონე სახელმწიფოში.

მუხლი 35. თანადამუშავებისთვის პასუხისმგებელი პირები

1. თუ მონაცემთა დამუშავებაშიჩართულიარიან თანადამუშავებისთვის პასუხისმგებელი პირები, ისინი ვალდებული არიან წინასწარ წერილობით განსაზღვრონ ამ კანონის მოთხოვნების შესრულებასთან დაკავშირებით თითოეულის ვალდებულებები და პასუხისმგებლობა, მათ შორის, მონაცემთა სუბიექტის უფლებების დაცვისა და ამ კანონის მე-13−მე-20, 24-ე და 25-ე მუხლებით გათვალისწინებულ ვალდებულებებთან დაკავშირებით.

2. თუ მონაცემთა თანადამუშავება გათვალისწინებულია საქართველოს კანონმდებლობით, თითოეული თანადამუშავებისთვის პასუხისმგებელი პირის ვალდებულებები და პასუხისმგებლობა განისაზღვრება შესაბამისი სამართლებრივი აქტით ან/და წერილობითი შეთანხმებით.

3. თანადამუშავებისთვის პასუხისმგებელ პირებს შორის ვალდებულებებისა და პასუხისმგებლობის განაწილების შესახებ ინფორმაცია ხელმისაწვდომი უნდა იყოს მონაცემთა სუბიექტისთვის. მონაცემთა სუბიექტს არ ეზღუდება თითოეული თანადამუშავებისთვის პასუხისმგებელი პირისთვის ინდივიდუალურად მიმართვის უფლება.

მუხლი 36. დამუშავებაზე უფლებამოსილი პირი

1. დამუშავებაზე უფლებამოსილმა პირმა მონაცემები შეიძლება დაამუშაოს მხოლოდ სამართლებრივი აქტის ან დამუშავებისთვის პასუხისმგებელ პირთან დადებული წერილობითი შეთანხმების საფუძველზე, რომლითაც უნდა განისაზღვროს მონაცემთა დამუშავების საფუძვლები და მიზნები, დასამუშავებელ მონაცემთა კატეგორიები, მონაცემთა დამუშავების ვადა და დამუშავებისთვის პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის უფლებები და ვალდებულებები.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული წერილობითი შეთანხმება აგრეთვე უნდა შეიცავდეს დამუშავებაზე უფლებამოსილი პირის შემდეგ ვალდებულებებს:

ა) დაამუშაოს მონაცემები მხოლოდ დამუშავებისთვის პასუხისმგებელი პირის წერილობითი დავალების ან მითითების შესაბამისად;

ბ) უზრუნველყოს, რომ იმ ფიზიკურ პირს, რომელიც უშუალოდ მონაწილეობს მონაცემთა დამუშავებაში, ჰქონდეს კონფიდენციალურობის დაცვის ვალდებულება;

გ) უზრუნველყოს მონაცემთა უსაფრთხოება ამ კანონის შესაბამისად;

დ) წაშალოს ან დამუშავებისთვის პასუხისმგებელ პირს გადასცეს მონაცემები ამ მუხლის პირველი პუნქტით გათვალისწინებული შეთანხმების გაუქმების ან მოქმედების შეწყვეტის შემთხვევაში, აგრეთვე წაშალოს მათი ასლები, თუ მათი შენახვის ვალდებულება საქართველოს კანონმდებლობით არ არის დადგენილი;

ე) ამ კანონით დადგენილ ვალდებულებებთან შესაბამისობის უზრუნველსაყოფად დამუშავებისთვის პასუხისმგებელ პირს მიაწოდოს სათანადო ინფორმაცია და ხელი შეუწყოს მის მიერ მონაცემთა დამუშავების მონიტორინგის განხორციელებას.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართლებრივი აქტი ან დამუშავებისთვის პასუხისმგებელ პირთან დადებული წერილობითი შეთანხმება მონაცემთა უსაფრთხოებისა და სუბიექტის უფლებების დაცვის უზრუნველყოფის მიზნით შეიძლება ითვალისწინებდეს დამუშავებაზე უფლებამოსილი პირის მიერ დამუშავებისთვის პასუხისმგებელი პირისთვის დახმარების გაწევის ვალდებულებას.

4. დაუშვებელია დამუშავებაზე უფლებამოსილი პირის მიერ შეთანხმებით ან სამართლებრივი აქტით განსაზღვრული მიზნებისგან განსხვავებული მიზნით მონაცემთა შემდგომი დამუშავება.

5. დამუშავებაზე უფლებამოსილი პირის მეშვეობით მონაცემთა დამუშავება დასაშვებია მხოლოდ იმ შემთხვევაში, თუ დამუშავებაზე უფლებამოსილი პირი მონაცემთა სუბიექტის უფლებებისა და კანონის მოთხოვნების დასაცავად უზრუნველყოფს შესაბამისი ორგანიზაციული და ტექნიკური ზომების მიღებას. დაუშვებელია მონაცემთა დამუშავების შესახებ შეთანხმების დადება, თუ, დამუშავებაზე უფლებამოსილი პირის საქმიანობიდან ან/და მიზნებიდან გამომდინარე, არსებობს მონაცემთა არამიზნობრივი დამუშავების ან მონაცემთა სუბიექტის უფლებების შელახვის მაღალი საფრთხე.

6. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია დამუშავებაზე უფლებამოსილ პირს წინასწარ მოსთხოვოს ინფორმაცია მონაცემთა კანონის შესაბამისად დამუშავების შესახებ და მონიტორინგი გაუწიოს დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავებას.

7. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, დაუშვებელია, დამუშავებაზე უფლებამოსილმა პირმა თავისი უფლება-მოვალეობები სრულად ან ნაწილობრივ გადასცეს სხვა პირს დამუშავებისთვის პასუხისმგებელი პირის წინასწარი წერილობითი თანხმობის გარეშე. დამუშავებისთვის პასუხისმგებელი პირის თანხმობა დამუშავებაზე უფლებამოსილ პირს არ ათავისუფლებს შესაბამისი ვალდებულებებისა და პასუხისმგებლობისგან.

8. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, დამუშავებაზე უფლებამოსილ პირსა და დამუშავებისთვის პასუხისმგებელ პირს შორის მონაცემთა დამუშავებასთან დაკავშირებული დავის წარმოშობის შემთხვევაში დამუშავებაზე უფლებამოსილი პირი ვალდებულია დაუყოვნებლივ შეწყვიტოს მონაცემთა დამუშავება და დამუშავებისთვის პასუხისმგებელ პირს სრულად გადასცეს მის ხელთ არსებული მონაცემები.

9. ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართლებრივი აქტის (ან შესაბამისი ნორმის) ან წერილობითი შეთანხმების გაუქმების ან მოქმედების შეწყვეტის შემთხვევაში მონაცემთა დამუშავება უნდა შეწყდეს და დამუშავებული მონაცემები დაუყოვნებლივ და სრულად უნდა გადაეცეს დამუშავებისთვის პასუხისმგებელ პირს.

10. დამუშავებაზე უფლებამოსილი პირი ვალდებულია მიიღოს სათანადო ორგანიზაციულ-ტექნიკური ზომები, რათა დაეხმაროს დამუშავებისთვის პასუხისმგებელ პირს მის მიერ მონაცემთა სუბიექტის უფლებების განხორციელებასთან დაკავშირებული ვალდებულებების შესრულებაში.

თავი V

მონაცემთა საერთაშორისო გადაცემა

მუხლი 37. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა

1. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ არსებობს მონაცემთა დამუშავების ამ კანონით გათვალისწინებული მოთხოვნები და შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვისა და მონაცემთა სუბიექტის უფლებების დაცვის სათანადო გარანტიები.

2. ამ მუხლის პირველი პუნქტის გარდა, მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემა დასაშვებია, თუ:

ა) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს საერთაშორისო ხელშეკრულებითა და შეთანხმებით;

ბ) დამუშავებისთვის პასუხისმგებელი პირი უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს დამუშავებისთვის პასუხისმგებელ პირსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს სათანადო საჯარო დაწესებულებას, იურიდიულ პირს ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულებით;

გ) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს სისხლის სამართლის საპროცესო კოდექსით (საგამოძიებო მოქმედების განხორციელების მიზნით), „უცხოელთა და მოქალაქეობის არმქონე პირთა სამართლებრივი მდგომარეობის შესახებ“ საქართველოს კანონით, „სისხლის სამართლის სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „სამართალდაცვით სფეროში საერთაშორისო თანამშრომლობის შესახებ“ საქართველოს კანონით, „საქართველოს ეროვნული ბანკის შესახებ“ საქართველოს ორგანული კანონის ან „ფულის გათეთრებისა და ტერორიზმის დაფინანსების აღკვეთის ხელშეწყობის შესახებ“ საქართველოს კანონის საფუძველზე მიღებული ნორმატიული აქტით;

დ) შესაბამის სახელმწიფოში მონაცემთა დაცვის სათანადო გარანტიების არარსებობისა და შესაძლო საფრთხეების შესახებ ინფორმაციის მიღების შემდეგ მონაცემთა სუბიექტი განაცხადებს წერილობით თანხმობას;

ე) მონაცემთა გადაცემა აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არა აქვს, მონაცემთა დამუშავებაზე თანხმობა განაცხადოს;

ვ) არსებობს კანონის შესაბამისად მნიშვნელოვანი საჯარო ინტერესი (მათ შორის, დანაშაულის თავიდან აცილება, გამოძიება, გამოვლენა და სისხლისსამართლებრივი დევნა, სასჯელის აღსრულება და ოპერატიულ-სამძებრო ღონისძიებების განხორციელება) და მონაცემთა გადაცემა აუცილებელი და პროპორციული ზომაა დემოკრატიულ საზოგადოებაში.

3. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემა შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის ნებართვის მიღების შემდეგ, რომლის გაცემის წესი დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული რომელიმე საფუძვლით მონაცემთა გადაცემის შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი ვალდებულია მიიღოს მონაცემთა უსაფრთხო გადაცემისთვის აუცილებელი ორგანიზაციული და ტექნიკური ზომები.

5. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემის შემთხვევაში მონაცემთა გადაცემის შესახებ შეთანხმება უნდა ითვალისწინებდეს სავალდებულო სამართლებრივი ძალის მქონე შესასრულებელ პირობებს.

6. სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემული მონაცემების შემდგომი გადაცემა მესამე მხარისთვის დასაშვებია მხოლოდ იმ შემთხვევაში, თუ მონაცემთა შემდგომი გადაცემა ემსახურება თავდაპირველ მიზნებს და აკმაყოფილებს მონაცემთა გადაცემისთვის ამ მუხლით გათვალისწინებულ საფუძვლებსა და მონაცემთა დაცვის სათანადო გარანტიებს.

მუხლი 38. მონაცემთა დაცვის სათანადო გარანტიების დადგენა

1. სხვა სახელმწიფოში ან/და საერთაშორისო ორგანიზაციაში მონაცემთა დაცვის სათანადო გარანტიების არსებობას აფასებს პერსონალურ მონაცემთა დაცვის სამსახური მონაცემთა დაცვასთან დაკავშირებით ნაკისრი საერთაშორისო ვალდებულებებისა და მარეგულირებელი კანონმდებლობის, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის გარანტიების (მათ შორის, ეფექტიანი სამართლებრივი დაცვის მექანიზმების), მონაცემთა შემდგომი საერთაშორისო გადაცემის წესების, მონაცემთა დაცვის დამოუკიდებელი საზედამხედველო ორგანოს არსებობის, უფლებამოსილებებისა და საქმიანობის ანალიზის საფუძველზე.

2. იმ სახელმწიფოებისა და საერთაშორისო ორგანიზაციების ნუსხა, რომლებშიც უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები, განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით.

3. პერსონალურ მონაცემთა დაცვის სამსახურის ნორმატიული აქტით განსაზღვრული ნუსხა სულ მცირე 3 წელიწადში ერთხელ უნდა გადაისინჯოს. თუ სახელმწიფო ან/და საერთაშორისო ორგანიზაცია აღარ აკმაყოფილებს ამ მუხლის პირველი პუნქტით გათვალისწინებულ პირობებს, ნორმატიული აქტით განსაზღვრულ ნუსხაში შეტანილი უნდა იქნეს შესაბამისი ცვლილებები, რომლებსაც უკუქცევითი ძალა არ ექნება.

თავი VI

პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპები და უფლებამოსილებათა განხორციელების გარანტიები, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები, მისი არჩევა, ხელშეუხებლობა, თანამდებობრივი შეუთავსებლობა და უფლებამოსილების ვადამდე შეწყვეტა

მუხლი 39. პერსონალურ მონაცემთა დაცვის სამსახურის სტატუსი და საქმიანობის პრინციპები

1. პერსონალურ მონაცემთა დაცვის სამსახური არის კანონის საფუძველზე შექმნილი და მოქმედი დამოუკიდებელი სახელმწიფო ორგანო.

2. პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას ხელმძღვანელობს საქართველოს კონსტიტუციით, საქართველოს საერთაშორისო ხელშეკრულებებით, საერთაშორისო სამართლის საყოველთაოდ აღიარებული პრინციპებითა და ნორმებით, ამ კანონითა და სხვა სათანადო სამართლებრივი აქტებით.

3. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის პრინციპებია:

ა) კანონიერება;

ბ) ადამიანის უფლებათა და თავისუფლებათა დაცვა;

გ) დამოუკიდებლობა და პოლიტიკური ნეიტრალიტეტი;

დ) ობიექტურობა და მიუკერძოებლობა;

ე) პროფესიონალიზმი;

ვ) საიდუმლოებისა და კონფიდენციალურობის დაცვა.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საქართველოს პარლამენტისთვის ანგარიშის წარდგენის წესი განისაზღვრება ამ კანონითა და საქართველოს პარლამენტის რეგლამენტით.

მუხლი 40. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი:

ა) ხელმძღვანელობს პერსონალურ მონაცემთა დაცვის სამსახურს და იღებს გადაწყვეტილებებს ამ სამსახურის საქმიანობასთან დაკავშირებულ საკითხებზე;

ბ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურას, სტრუქტურული ერთეულებისა და თანამშრომლების უფლებამოსილებებს, აგრეთვე ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის მიერ სამსახურის გავლის წესს;

გ) საქართველოს კანონმდებლობის შესაბამისად ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელთა საშტატო ნუსხას და შრომის ანაზღაურების წესსა და ოდენობებს;

დ) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილისა და მოადგილის ფუნქციებსა და მოვალეობებს და ახდენს უფლებამოსილების მათთვის დელეგირებას;

ე) თანამდებობაზე ნიშნავს და თანამდებობიდან ათავისუფლებს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლებს;

ვ) პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს (გარდა შრომითი ხელშეკრულებით დასაქმებული პირისა) საქართველოს კანონმდებლობით დადგენილი წესით ანიჭებს სახელმწიფო სპეციალურ წოდებას (შემდგომ − სპეციალური წოდება) და აქვეითებს სპეციალურ წოდებაში;

ზ) წარმოადგენს პერსონალურ მონაცემთა დაცვის სამსახურს სახელმწიფო ორგანოებთან, საერთაშორისო და სხვა ორგანიზაციებთან ურთიერთობებში;

თ) უზრუნველყოფს პერსონალურ მონაცემთა დაცვის სამსახურისთვის გადაცემული სახელმწიფო ქონების დაცვასა და მიზნობრივ გამოყენებას;

ი) კანონის შესაბამისად ახორციელებს სხვა უფლებამოსილებებს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობასთან დაკავშირებულ საკითხზე თავისი უფლებამოსილებების ფარგლებში გამოსცემს კანონქვემდებარე ნორმატიულ აქტს − ბრძანებას.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი სათანადო ნორმატიული აქტის საფუძველზე და მის შესასრულებლად თავისი უფლებამოსილებების ფარგლებში გამოსცემს ინდივიდუალურ სამართლებრივ აქტებს, მათ შორის, გადაწყვეტილებას, ბრძანებას, მითითებას.

მუხლი 41. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევა და მისი უფლებამოსილების ვადა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე შეიძლება არჩეულ იქნეს საქართველოს მოქალაქე, რომელიც არ არის ნასამართლევი და რომელსაც აქვს უმაღლესი იურიდიული განათლება და მართლმსაჯულების ან სამართალდამცავი ორგანოების სისტემაში ან ადამიანის უფლებათა დაცვის სფეროში მუშაობის არანაკლებ 5 წლის გამოცდილება და მაღალი პროფესიული და მორალური რეპუტაცია.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი კონკურსი ცხადდება და საკონკურსო კომისია იქმნება საქართველოს პრემიერ-მინისტრის ბრძანებით. ამ საკონკურსო კომისიის წევრები არიან:

ა) საქართველოს მთავრობის წარმომადგენელი;

ბ) საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტის თავმჯდომარე;

გ) საქართველოს პარლამენტის იურიდიულ საკითხთა კომიტეტის თავმჯდომარე;

დ) საქართველოს უზენაესი სასამართლოს თავმჯდომარის მოადგილე;

ე) საქართველოს გენერალური პროკურორის პირველი მოადგილე ან მოადგილე;

ვ) საქართველოს სახალხო დამცველი ან საქართველოს სახალხო დამცველის წარმომადგენელი;

ზ) საქართველოს სახალხო დამცველის მიერ იმ არასამეწარმეო (არაკომერციული) იურიდიული პირის წევრთაგან ღია კონკურსის წესით შერჩეული, სათანადო გამოცდილების მქონე პირი, რომელსაც აქვს ადამიანის უფლებათა დაცვის სფეროში ან/და მონაცემთა დაცვის სფეროში მუშაობის გამოცდილება.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე არაუადრეს 11 კვირისა და არაუგვიანეს 10 კვირისა, ხოლო მისი უფლებამოსილების ვადამდე შეწყვეტის შემთხვევაში − უფლებამოსილების შეწყვეტიდან 1 კვირის ვადაში ამ მუხლის მე-2 პუნქტით განსაზღვრული უწყებები და დაწესებულებები საქართველოს პრემიერ-მინისტრს აცნობებენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის წევრთა ვინაობას. საკონკურსო კომისიის წევრთა წარდგენის ვადის გასვლიდან 7 დღეში საქართველოს პრემიერ-მინისტრი იწვევს საკონკურსო კომისიის პირველ სხდომას. საკონკურსო კომისიის სხდომა უფლებამოსილია, თუ მას ესწრება საკონკურსო კომისიის სრული შემადგენლობის უმრავლესობა. საკონკურსო კომისია პირველ სხდომაზე ხმათა უმრავლესობით თავის წევრთაგან ირჩევს საკონკურსო კომისიის თავმჯდომარეს და 1 კვირის ვადაში ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისიის დებულებას, რომლითაც განისაზღვრება საკონკურსო კომისიის საქმიანობის წესი, აგრეთვე მისთვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის კანდიდატურების წარდგენის ვადა და წესი.

4. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესარჩევი საკონკურსო კომისია ხმათა უმრავლესობით შეარჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არანაკლებ 2 და არაუმეტეს 5 კანდიდატურას და მათ წარუდგენს საქართველოს პრემიერ-მინისტრს. შერჩეული კანდიდატურების რაოდენობის გათვალისწინებით, მაქსიმალურად თანაბრად უნდა იქნეს უზრუნველყოფილი სხვადასხვა სქესის კანდიდატების წარდგენა.

5. საქართველოს პრემიერ-მინისტრი 10 დღის ვადაში საქართველოს პარლამენტს წარუდგენს 2 კანდიდატურას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე ასარჩევად.

6. საქართველოს პარლამენტი კანდიდატურების წარდგენიდან არაუგვიანეს 14 დღისა, საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით ირჩევს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. თუ ეს ვადა მთლიანად ან ნაწილობრივ დაემთხვა საქართველოს პარლამენტის სესიებს შორის პერიოდს, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არჩევისთვის ამ პუნქტით განსაზღვრული ვადა შესაბამისი დროით გაგრძელდება. თუ საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს კენჭისყრით ვერ აირჩევს ან თუ ორივე კანდიდატი კენჭისყრამდე უარს იტყვის პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩევაზე, საქართველოს პრემიერ-მინისტრი 2 კვირის ვადაში აცხადებს ხელახალ კონკურსს.

7. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლამდე იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის მომდევნო დღიდან. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი თანამდებობაზე მყოფი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ იქნა არჩეული, პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსის უფლებამოსილება იწყება მისი არჩევის მომდევნო დღიდან.

8. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადაა 6 წელი. პირი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არ შეიძლება არჩეულ იქნეს ზედიზედ ორჯერ. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა არ შეიძლება შეასრულოს თავისი მოვალეობა უფლებამოსილების ვადის გასვლის ან უფლებამოსილების ვადამდე შეწყვეტის შემდეგ.

მუხლი 42. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ჰყავს პირველი მოადგილე და მოადგილე, რომლებსაც იგი თანამდებობებზე ნიშნავს ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადის გასვლისას ან უფლებამოსილების ვადამდე შეწყვეტისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველ მოადგილესა და მოადგილეს უფლებამოსილება შეუწყდებათ, როგორც კი პერსონალურ მონაცემთა დაცვის სამსახურის ახალარჩეული უფროსი შეუდგება უფლებამოსილების განხორციელებას ამ კანონით დადგენილი წესით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის არყოფნის, მის მიერ უფლებამოსილების განუხორციელებლობის, მისი უფლებამოსილების შეჩერების, ვადის გასვლის ან ვადამდე შეწყვეტის შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილებას ახორციელებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე, ხოლო მისი პირველი მოადგილის არყოფნის შემთხვევაში − პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოადგილე. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მოვალეობის შესრულების დროს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილე და მოადგილე სარგებლობენ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის მინიჭებული უფლებამოსილებებითა და სამართლებრივი გარანტიებით.

მუხლი 43. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ხელშეუხებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ხელშეუხებელია. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის სისხლის სამართლის პასუხისგებაში მიცემა, დაკავება ან დაპატიმრება, მისი საცხოვრებელი ან სამუშაო ადგილის, მანქანის ან პირადი გაჩხრეკა შეიძლება მხოლოდ საქართველოს პარლამენტის წინასწარი თანხმობით. გამონაკლისია დანაშაულზე წასწრების შემთხვევა, რაც დაუყოვნებლივ უნდა ეცნობოს საქართველოს პარლამენტს. თუ საქართველოს პარლამენტი 48 საათის განმავლობაში არ მისცემს თანხმობას, დაკავებული ან დაპატიმრებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი დაუყოვნებლივ უნდა გათავისუფლდეს.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის დაკავებაზე ან დაპატიმრებაზე საქართველოს პარლამენტის მიერ თანხმობის მიცემის შემთხვევაში მას საქართველოს პარლამენტის დადგენილებით შეუჩერდება უფლებამოსილება სისხლისსამართლებრივი დევნის შეწყვეტის შესახებ დადგენილების/განჩინების გამოტანამდე ან სასამართლოს განაჩენის კანონიერ ძალაში შესვლამდე.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირად უსაფრთხოებას დადგენილი წესით უზრუნველყოფენ შესაბამისი სახელმწიფო ორგანოები.

მუხლი 44. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობრივი შეუთავსებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობა შეუთავსებელია სახელმწიფო ხელისუფლების ორგანოსა და მუნიციპალიტეტის წარმომადგენლობითი ორგანოს წევრობასთან, სახელმწიფო სამსახურსა და საჯარო სამსახურში ნებისმიერ თანამდებობასა და სხვა ანაზღაურებად საქმიანობასთან, გარდა სამეცნიერო, პედაგოგიური და სახელოვნებო საქმიანობებისა. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი არ შეიძლება ეწეოდეს სამეწარმეო საქმიანობას, უშუალოდ ახორციელებდეს სამეწარმეო საქმიანობის სუბიექტის მუდმივმოქმედი ხელმძღვანელის, სამეთვალყურეო, საკონტროლო, სარევიზიო ან საკონსულტაციო ორგანოს წევრის უფლებამოსილებას, იყოს პოლიტიკური პარტიის წევრი ან მონაწილეობდეს პოლიტიკურ საქმიანობაში.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს ეკრძალება მოქალაქეთა პოლიტიკური გაერთიანების მხარდამჭერ ან საწინააღმდეგო შეკრებასა და მანიფესტაციაში მონაწილეობა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი ვალდებულია არჩევიდან 10 დღის ვადაში შეწყვიტოს თანამდებობასთან შეუთავსებელი საქმიანობა ან გადადგეს მის სტატუსთან შეუთავსებელი თანამდებობიდან. სანამ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის თანამდებობაზე არჩეული პირი არ შეწყვეტს თანამდებობასთან შეუთავსებელ საქმიანობას ან არ გადადგება მის სტატუსთან შეუთავსებელი თანამდებობიდან, იგი უფლებამოსილი არ არის, შეუდგეს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების განხორციელებას. თუ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი აღნიშნულ ვადაში არ შეასრულებს ამ პუნქტით დადგენილ მოთხოვნას, მას უფლებამოსილება ვადამდე შეუწყდება.

მუხლი 45. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილების ვადამდე შეწყვეტა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილება ვადამდე შეუწყდება, თუ:

ა) მან დაკარგა საქართველოს მოქალაქეობა;

ბ) იგი ჯანმრთელობის მდგომარეობის გამო ზედიზედ 4 თვის განმავლობაში ვერ ახორციელებს თავის უფლებამოსილებას;

გ) მის მიმართ კანონიერ ძალაში შევიდა სასამართლოს გამამტყუნებელი განაჩენი;

დ) იგი სასამართლომ ცნო მხარდაჭერის მიმღებად (თუ სასამართლოს გადაწყვეტილებით სხვა რამ არ არის განსაზღვრული), აღიარა უგზო-უკვლოდ დაკარგულად ან გამოაცხადა გარდაცვლილად;

ე) მან დაიკავა მის სტატუსთან შეუთავსებელი თანამდებობა ან ახორციელებს თანამდებობასთან შეუთავსებელ საქმიანობას;

ვ) იგი ნებაყოფლობით გადადგა თანამდებობიდან;

ზ) იგი გარდაიცვალა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილება ვადამდე შეწყვეტილად ჩაითვლება შესაბამისი გარემოების დადგომის მომენტიდან, რის შესახებაც საქართველოს პარლამენტის თავმჯდომარე დაუყოვნებლივ აცნობებს საქართველოს პარლამენტს. საქართველოს პარლამენტი პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილებას უწყვეტს საქართველოს პარლამენტის თავმჯდომარის ინფორმაციის ცნობად მიღების საფუძველზე.

მუხლი 46. პერსონალურ მონაცემთა დაცვის სამსახურის ორგანიზაციული და ფინანსური უზრუნველყოფა

1. პერსონალურ მონაცემთა დაცვის სამსახურის სტრუქტურა, საქმიანობისა და თანამშრომელთა შორის უფლებამოსილებების განაწილების წესები დგინდება პერსონალურ მონაცემთა დაცვის სამსახურის დებულებით, რომელსაც ამტკიცებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი (გარდა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისა, მისი პირველი მოადგილისა და მოადგილისა) არის საჯარო მოსამსახურე. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონის მოქმედება იმავე კანონით დადგენილი წესით, თუ ამ კანონით ან ამ კანონის საფუძველზე გამოცემული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტით სხვა რამ არ არის დადგენილი.

3. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობა ფინანსდება საქართველოს სახელმწიფო ბიუჯეტიდან. პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობისთვის საჭირო ასიგნებები განისაზღვრება საქართველოს სახელმწიფო ბიუჯეტის ცალკე კოდით. საქართველოს სახელმწიფო ბიუჯეტში პერსონალურ მონაცემთა დაცვის სამსახურისთვის განკუთვნილი მიმდინარე ხარჯების შემცირება წინა წლის საბიუჯეტო სახსრების ოდენობასთან შედარებით შეიძლება მხოლოდ პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის წინასწარი თანხმობით.

მუხლი 47. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობა

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილებების განხორციელებისას დამოუკიდებელია და არ ექვემდებარება არცერთ ორგანოს და თანამდებობის პირს. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსსა და პერსონალურ მონაცემთა დაცვის სამსახურის მოსამსახურეზე რაიმე ზემოქმედება და მათ საქმიანობაში უკანონო ჩარევა აკრძალულია და კანონით ისჯება.

2. პერსონალურ მონაცემთა დაცვის სამსახურის დამოუკიდებლობის უზრუნველყოფის მიზნით სახელმწიფო ვალდებულია შეუქმნას მას საქმიანობის სათანადო პირობები.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლება აქვს, მონაცემთა დამუშავების კანონიერების კონტროლის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლის ფუნქციების შესრულებასთან დაკავშირებით არ მისცეს ჩვენება იმ ფაქტის გამო, რომელიც მას გაანდვეს, როგორც პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს. ეს უფლება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

მუხლი 48. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი საქართველოს პარლამენტს წელიწადში ერთხელ, არაუგვიანეს 31 მარტისა, წარუდგენს ანგარიშს საქართველოში მონაცემთა დაცვის მდგომარეობის, ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლის შესახებ.

2. პერსონალურ მონაცემთა დაცვის სამსახურის წლიური ანგარიში უნდა შეიცავდეს ინფორმაციას საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა დაცვის სფეროში განხორციელებული საქმიანობის შესახებ, საქართველოში მონაცემთა დაცვის მდგომარეობასთან დაკავშირებულ ზოგად შეფასებებს, დასკვნებსა და რეკომენდაციებს, ინფორმაციას წლის განმავლობაში გამოვლენილი მნიშვნელოვანი დარღვევებისა და განხორციელებული ღონისძიებების თაობაზე, ზოგად სტატისტიკურ ინფორმაციას ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში განხორციელებული საქმიანობის შესახებ.

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე–138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებებისა და იმავე კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის შედეგების შესახებ ანგარიშს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი წელიწადში ერთხელ წარუდგენს საქართველოს პარლამენტის ბიუროს მიერ საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით განსაზღვრულ პარლამენტის კომიტეტსა და ნდობის ჯგუფს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ განხორციელებული საქმიანობის შესახებ ინფორმაცია, ამ მუხლით დადგენილი შეზღუდვების გათვალისწინებით, მიეწოდება საზოგადოებას პერსონალურ მონაცემთა დაცვის სამსახურის ვებგვერდის მეშვეობით.

თავი VII

პერსონალურ მონაცემთა დაცვის სამსახურის უფლებამოსილებები მონაცემთა დაცვის სფეროსა და ფარული საგამოძიებო მოქმედებების ჩატარების კონტროლის სფეროში

მუხლი 49. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებები

პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საქართველოში მონაცემთა დამუშავების კანონიერების კონტროლს. ამ სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის საქმიანობის ძირითადი მიმართულებებია:

ა) მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე კონსულტაციის გაწევა;

ბ) მონაცემთა დაცვასთან დაკავშირებული განცხადებების განხილვა;

გ) მონაცემთა დამუშავების კანონიერების შემოწმება (ინსპექტირება);

დ) საქართველოში მონაცემთა დაცვის მდგომარეობისა და მასთან დაკავშირებული მნიშვნელოვანი მოვლენების შესახებ ინფორმაციის საზოგადოებისთვის მიწოდება და მისი ინფორმირებულობის გაზრდა.

მუხლი 50. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვა

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია განიხილოს მონაცემთა სუბიექტის განცხადება მონაცემების დამუშავებასთან დაკავშირებით და გამოიყენოს საქართველოს კანონმდებლობით გათვალისწინებული ღონისძიებები.

2. მონაცემთა სუბიექტის განცხადების მიღებიდან 10 დღის ვადაში პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას გამოსაყენებელი ღონისძიებების შესახებ, რის თაობაზედაც აცნობებს განმცხადებელს.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადებასთან დაკავშირებული გარემოებების შესწავლისა და გამოკვლევის მიზნით განახორციელოს შემოწმება. ნებისმიერი დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნის შემთხვევაში გადასცეს მას შესაბამისი მასალა, ინფორმაცია ან/და დოკუმენტი.

4. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მონაცემთა სუბიექტის განცხადების განხილვის ვადა 2 თვეს არ უნდა აღემატებოდეს. პერსონალურ მონაცემთა დაცვის სამსახურის დასაბუთებული გადაწყვეტილებით მონაცემთა სუბიექტის განცხადების განხილვის ვადა შეიძლება გაგრძელდეს არაუმეტეს 1 თვით.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვისას შეაჩეროს შესაბამისი საქმის წარმოება დამატებითი მასალის, ინფორმაციის ან/და დოკუმენტაციის გამოთხოვის საფუძვლით, რის შესახებაც აცნობებს მონაცემთა სუბიექტს. მონაცემთა სუბიექტის განცხადების განხილვა გაგრძელდება ამ საფუძვლის გაუქმებისთანავე. საქმის წარმოების შეჩერების პერიოდი არ ჩაითვლება ამ მუხლის მე-4 პუნქტით გათვალისწინებულ ვადაში.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვის დასრულებამდე მიიღოს გადაწყვეტილება მონაცემთა დაბლოკვის შესახებ. მონაცემთა დაბლოკვის მიუხედავად, ამ მონაცემთა დამუშავება შეიძლება გაგრძელდეს, თუ ეს აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად, აგრეთვე სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისთვის.

7. მონაცემთა სუბიექტის განცხადების განხილვის შემდეგ პერსონალურ მონაცემთა დაცვის სამსახური იღებს გადაწყვეტილებას ამ კანონის 52-ე მუხლით გათვალისწინებული ერთ-ერთი ღონისძიების გამოყენების შესახებ, რის თაობაზედაც საქართველოს კანონმდებლობით დადგენილი წესით და დადგენილ ვადაში აცნობებს მონაცემთა სუბიექტს და დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს.

მუხლი 51. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია საკუთარი ინიციატივით ან დაინტერესებული პირის განცხადების საფუძველზე განახორციელოს ნებისმიერი დამუშავებისთვის პასუხისმგებელი პირის ან/და დამუშავებაზე უფლებამოსილი პირის შემოწმება. ამ მუხლით გათვალისწინებული შემოწმების განხორციელების შესახებ გადაწყვეტილებას იღებს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

2. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების განხორციელება გულისხმობს:

ა) მონაცემთა დამუშავების პრინციპების დაცვისა და მონაცემთა დამუშავების კანონიერი საფუძვლების არსებობის დადგენას;

ბ) მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ორგანიზაციული და ტექნიკური ღონისძიებებისა და პროცედურების საქართველოს კანონმდებლობით დადგენილ მოთხოვნებთან შესაბამისობის შემოწმებას;

გ) მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის კანონიერების შემოწმებას;

დ) მონაცემთა დაცვისთვის ამ კანონითა და სხვა ნორმატიული აქტებით დადგენილი წესებისა და მოთხოვნების დაცვის შემოწმებას.

3. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განხორციელებისას ნებისმიერი დაწესებულებისგან, ფიზიკური პირისგან ან/და იურიდიული პირისგან გამოითხოვოს დოკუმენტი ან/და ინფორმაცია, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველი ინფორმაცია, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველი მასალა ან/და დოკუმენტაცია ან/და ინფორმაცია, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება და აუცილებელია შემოწმების ამ მუხლის მე-2 პუნქტით დადგენილ ფარგლებში განსახორციელებლად.

4. დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურს ნებისმიერი მასალა, ინფორმაცია ან/და დოკუმენტი მიაწოდოს დაუყოვნებლივ, არაუგვიანეს 10 სამუშაო დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ა) ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან ამ დაწესებულებასთან ან ერთეულთან კონსულტაციას;

ბ) მნიშვნელოვანი მოცულობის ინფორმაციის/დოკუმენტის მოძიებასა და დამუშავებას.

5. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია დამუშავებისთვის პასუხისმგებელი პირის ან/და დამუშავებაზე უფლებამოსილი პირის დასაბუთებული მიმართვის საფუძველზე ამ მუხლის მე-4 პუნქტში აღნიშნული ვადა გააგრძელოს არაუმეტეს 10 სამუშაო დღით.

6. პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია შემოწმების განსახორციელებლად შევიდეს ნებისმიერ დაწესებულებასა და ორგანიზაციაში და გაეცნოს ნებისმიერ დოკუმენტსა და ინფორმაციას, მათ შორის, სახელმწიფო, საგადასახადო, საბანკო, კომერციული, პროფესიული საიდუმლოებების ან/და მონაცემების შემცველ ინფორმაციას, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველ მასალას ან/და დოკუმენტაციას ან/და ინფორმაციას, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება, მიუხედავად მათი შინაარსისა და შენახვის ფორმისა.

7. შემოწმების შედეგების გათვალისწინებით, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია გამოიყენოს ამ კანონის 52-ე მუხლით გათვალისწინებული ღონისძიებები.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი ვალდებულია დაიცვას ნებისმიერი სახის საიდუმლოების შემცველი ინფორმაციის უსაფრთხოება და არ გაამჟღავნოს საიდუმლო ინფორმაცია, რომელიც მისთვის სამსახურებრივი მოვალეობის შესრულების დროს გახდა ცნობილი. ეს ვალდებულება პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

მუხლი 52. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ ღონისძიებების გამოყენება

1. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ამ კანონის ან მონაცემთა დამუშავების მომწესრიგებელი სხვა ნორმატიული აქტის დარღვევას, იგი უფლებამოსილია გამოიყენოს შემდეგ ღონისძიებათაგან ერთ-ერთი ან ერთდროულად რამდენიმე:

ა) მოითხოვოს დარღვევისა და მონაცემთა დამუშავებასთან დაკავშირებული ნაკლოვანებების მის მიერ მითითებული ფორმით და მითითებულ ვადაში გამოსწორება;

ბ) მოითხოვოს მონაცემთა დამუშავების დროებით ან სამუდამოდ შეწყვეტა, თუ დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა უსაფრთხოების დაცვისთვის განხორციელებული ღონისძიებები და პროცედურები არ შეესაბამება საქართველოს კანონმდებლობით დადგენილ მოთხოვნებს;

გ) მოითხოვოს მონაცემთა დამუშავების შეწყვეტა, მონაცემთა დაბლოკვა, წაშლა, განადგურება ან დეპერსონალიზაცია, თუ მიიჩნევს, რომ მონაცემთა დამუშავება საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

დ) მოითხოვოს მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისთვის გადაცემის შეწყვეტა, თუ მონაცემთა გადაცემა საქართველოს კანონმდებლობის დარღვევით ხორციელდება;

ე) წერილობით მისცეს რჩევები და გაუწიოს რეკომენდაცია დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს მის მიერ მონაცემთა დამუშავებასთან დაკავშირებული წესების უმნიშვნელოდ დარღვევის შემთხვევაში;

ვ) სამართალდამრღვევს დააკისროს ადმინისტრაციული პასუხისმგებლობა.

2. დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი ვალდებულია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მითითებულ ვადაში შეასრულოს მისი მოთხოვნები და მათი შესრულების შესახებ აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს.

3. თუ დამუშავებისთვის პასუხისმგებელი პირი ან/და დამუშავებაზე უფლებამოსილი პირი არ შეასრულებს პერსონალურ მონაცემთა დაცვის სამსახურის მოთხოვნებს, პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია მიმართოს სასამართლოს, სამართალდამცავ ორგანოს ან/და შესაბამისი სფეროს საქართველოს კანონმდებლობით განსაზღვრულ ზედამხედველ (მარეგულირებელ) სახელმწიფო დაწესებულებას.

4. თუ პერსონალურ მონაცემთა დაცვის სამსახური გამოავლენს ადმინისტრაციულ სამართალდარღვევას, იგი უფლებამოსილია შეადგინოს ადმინისტრაციული სამართალდარღვევის ოქმი და, შესაბამისად, დამუშავებისთვის პასუხისმგებელ პირს ან/და დამუშავებაზე უფლებამოსილ პირს დააკისროს ადმინისტრაციული პასუხისმგებლობა ამ კანონითა და საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით.

5. თუ პერსონალურ მონაცემთა დაცვის სამსახური საქმიანობის განხორციელებისას მიიჩნევს, რომ არსებობს დანაშაულის ნიშნები, იგი ვალდებულია ამის შესახებ კანონით დადგენილი წესით აცნობოს უფლებამოსილ სახელმწიფო ორგანოს.

6. მონაცემთა დაცვის სფეროში პერსონალურ მონაცემთა დაცვის სამსახურის გადაწყვეტილების შესრულება სავალდებულოა და იგი კანონით დადგენილი წესით შეიძლება გასაჩივრდეს მხოლოდ სასამართლოში.

მუხლი 53. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ კონსულტაციის გაწევა და საგანმანათლებლო საქმიანობის განხორციელება

1. პერსონალურ მონაცემთა დაცვის სამსახური ვალდებულია შესაბამისი თხოვნის არსებობის შემთხვევაში კონსულტაცია გაუწიოს სახელმწიფო ხელისუფლების ორგანოებს, მუნიციპალიტეტის ორგანოებს, სხვა საჯარო დაწესებულებებს, კერძო სამართლის იურიდიულ პირებსა და ფიზიკურ პირებს მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე.

2. პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს საგანმანათლებლო საქმიანობას მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ საკითხებზე.

მუხლი 54. ფარული საგამოძიებო მოქმედებების ჩატარებისა და ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებული აქტივობის კონტროლი

1. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების – სატელეფონო კომუნიკაციის ფარული მიყურადებისა და ჩაწერის − ჩატარების დროს პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს:

ა) კონტროლის ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

ბ) კონტროლის სპეციალური ელექტრონული სისტემით − მონაცემთა დამუშავების კანონიერებას;

გ) დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერებას (ინსპექტირებას).

2. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე−138-ე მუხლებით გათვალისწინებული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს სასამართლოს, პროკურატურისა და ელექტრონული საკომუნიკაციო მომსახურების მიმწოდებლის მიერ მიწოდებული ინფორმაციის შედარებით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ბ“, „დ“ და „ვ“ ქვეპუნქტებით გათვალისწინებული ფარული საგამოძიებო მოქმედებების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

4. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „ე“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების ზედამხედველობას პერსონალურ მონაცემთა დაცვის სამსახური ახორციელებს დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით), ამ კანონით დადგენილი წესით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელებისას ფარული საგამოძიებო მოქმედების ჩატარებაში მონაწილე პირის (გარდა მონაცემთა სუბიექტისა, გამომძიებლისა და პროკურორისა) ვინაობის შესახებ ინფორმაციის გამოთხოვა და მისი შემოწმების (ინსპექტირების) განხორციელების პროცესში მონაწილეობა, აგრეთვე ამ პუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარების დროს გამოყენებული ოპერატიული და ოპერატიულ-ტექნიკური აღჭურვილობის მახასიათებლების შესახებ ინფორმაციის გამოთხოვა შესაძლებელია მხოლოდ ფარული საგამოძიებო მოქმედების ჩამტარებელი ორგანოს ხელმძღვანელის თანხმობით. ამ პუნქტით გათვალისწინებულ შემთხვევაში შემოწმების (ინსპექტირების) განხორციელება არ მოიცავს ფარული საგამოძიებო მოქმედების მომზადების/ჩატარების პროცესში უშუალო მონაწილეობას და შენიღბული საცხოვრებელი ან სამსახურებრივი ან სხვა შენიღბული ობიექტისა და შენობა-ნაგებობის ადგილზე შემოწმებას.

5. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 1431 მუხლის პირველი ნაწილის „გ“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების ჩატარებას, აგრეთვე „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონის მე-7 მუხლის მე-3 პუნქტის „ბ“ ქვეპუნქტით გათვალისწინებული ღონისძიების განხორციელებას პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს გეოლოკაციის რეალურ დროში განსაზღვრის კონტროლის სპეციალური ელექტრონული სისტემით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

6. ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალურ ბანკში განხორციელებულ აქტივობას პერსონალურ მონაცემთა დაცვის სამსახური აკონტროლებს ელექტრონული კომუნიკაციის მაიდენტიფიცირებელ მონაცემთა ცენტრალური ბანკის კონტროლის ელექტრონული სისტემით და დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

7. სააგენტოს შემოწმების (ინსპექტირების) განხორციელებისას პერსონალურ მონაცემთა დაცვის სამსახური უფლებამოსილია:

ა) შევიდეს სააგენტოს შეზღუდული დაშვების არეალში და მიმდინარე რეჟიმში დააკვირდეს უფლებამოსილი ორგანოების მიერ საქმიანობის განხორციელებას;

ბ) გაეცნოს სააგენტოს საქმიანობის მომწესრიგებელ (მათ შორის, სახელმწიფო საიდუმლოების შემცველ) სამართლებრივ დოკუმენტებსა და ტექნიკურ ინსტრუქციებს;

გ) მიიღოს ინფორმაცია ფარული საგამოძიებო მოქმედებების მიზნებისთვის გამოყენებული ტექნიკური ინფრასტრუქტურის შესახებ და შეამოწმოს ეს ინფრასტრუქტურა;

დ) სააგენტოს მოსამსახურეებს მოსთხოვოს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით;

ე) განახორციელოს ამ კანონით გათვალისწინებული სხვა უფლებამოსილებები.

8. სააგენტოს მოსამსახურე ვალდებულია ითანამშრომლოს პერსონალურ მონაცემთა დაცვის სამსახურთან − პერსონალურ მონაცემთა დაცვის სამსახურს სრულად მიაწოდოს მოთხოვნილი ინფორმაცია და დოკუმენტები, აგრეთვე მისცეს ახსნა-განმარტებები შემოწმების (ინსპექტირების) განხორციელებისას გამოვლენილ ცალკეულ საკითხებთან დაკავშირებით.

თავი VIII

პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი და სოციალური დაცვა, პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი

მუხლი 55. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამართლებრივი დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი სამსახურებრივი მოვალეობის შესრულებისას სახელმწიფო ხელისუფლების წარმომადგენელია და მას სახელმწიფო იცავს. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის კანონიერი მოთხოვნის შესრულება ყველასთვის სავალდებულოა.

2. არავის არა აქვს უფლება, ჩაერიოს პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სამსახურებრივ საქმიანობაში, გარდა კანონით გათვალისწინებული შემთხვევებისა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის მიერ სამსახურებრივი მოვალეობის შესრულებისას მისთვის ხელის შეშლა, მისი პატივისა და ღირსების შელახვა, მისთვის წინააღმდეგობის გაწევა, მის მიმართ მუქარა, ძალადობა ან მისი სიცოცხლის, ჯანმრთელობის ან ქონების ხელყოფა იწვევს საქართველოს კანონმდებლობით დადგენილ პასუხისმგებლობას. სამსახურებრივი უფლებამოსილებების განხორციელებასთან დაკავშირებით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის პირველი მოადგილის ან მოადგილის, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის ან მისი ოჯახის წევრის სიცოცხლის, ჯანმრთელობისა და ქონების ხელყოფის შესახებ ინფორმაციის მიღების შემთხვევაში სახელმწიფო ორგანოები ვალდებული არიან განახორციელონ კანონით გათვალისწინებული ღონისძიებები მისი/მათი პირადი და ქონებრივი უსაფრთხოების დასაცავად.

4. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა უარი უნდა თქვას აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, თუ მან იცოდა ან უნდა სცოდნოდა მისი უკანონობის შესახებ, და უნდა იმოქმედოს კანონის ფარგლებში.

5. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელმა აშკარად უკანონო ბრძანების ან განკარგულების მიღების შემთხვევაში ამის შესახებ უნდა აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსს.

6. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს, რომელიც უარს ამბობს აშკარად უკანონო ბრძანების ან განკარგულების შესრულებაზე, პასუხისმგებლობა არ დაეკისრება.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლისთვის აშკარად უკანონო ბრძანების ან განკარგულების მიმცემ პირს დაეკისრება პასუხისმგებლობა კანონით დადგენილი წესით.

8. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს უფლება აქვს, თავისი უფლებებისა და თავისუფლებების დასაცავად მიმართოს სასამართლოს.

9. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელს მისი სამსახურებრივი უფლებამოსილების დასადასტურებლად ეძლევა პირადობის მოწმობა ან/და სპეციალური ჟეტონი, რომლის ფორმასა და გაცემის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

მუხლი 56. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სოციალური დაცვა

1. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სოციალურ დაცვას სახელმწიფო უზრუნველყოფს.

2. თუ საქართველოს კანონმდებლობით სხვა რამ არ არის დადგენილი, პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელზე ვრცელდება „საჯარო სამსახურის შესახებ“ საქართველოს კანონით გათვალისწინებული მოხელის სოციალური დაცვის გარანტიები (მათ შორის, სამსახურებრივი მოვალეობის შესრულებასთან დაკავშირებით სხეულის დაზიანებასთან ან დაღუპვასთან დაკავშირებული სოციალური დაცვის გარანტიები).

3. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი იღებს:

ა) ამ მუხლის მე-5 პუნქტით დადგენილი წესით განსაზღვრულ თანამდებობრივ სარგოს;

ბ) ამ მუხლის მე-5 პუნქტისა და „საჯარო დაწესებულებაში შრომის ანაზღაურების შესახებ“ საქართველოს კანონის შესაბამისად დადგენილ სახელფასო დანამატსა და ფულად ჯილდოს;

გ) სპეციალური წოდების შესაბამის წოდებრივ სარგოს, თუ აქვს სპეციალური წოდება;

დ) წელთა ნამსახურობის დანამატს;

ე) საქართველოს კანონმდებლობით გათვალისწინებულ სხვა დანამატებსა და კომპენსაციებს.

4. პერსონალურ მონაცემთა დაცვის სამსახურის შესაბამის თანამშრომელს უფლება აქვს, საქართველოს კანონმდებლობის თანახმად მიიღოს სახელმწიფო კომპენსაცია ან სახელმწიფო პენსია.

5. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის შრომის ანაზღაურების წესი და ოდენობა, წოდებრივი სარგოსა და წელთა ნამსახურობის დანამატის ოდენობები, აგრეთვე საქართველოს კანონმდებლობით გათვალისწინებული სხვა დანამატებისა და კომპენსაციების ოდენობები განისაზღვრება პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებითა და საქართველოს სხვა საკანონმდებლო და კანონქვემდებარე ნორმატიული აქტებით.

6. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომელი ექვემდებარება სავალდებულო სახელმწიფო დაზღვევას. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის ოჯახის წევრთა სახელმწიფო დაზღვევასთან დაკავშირებულ საკითხებს (მათ შორის, ოჯახის წევრთა წრეს) განსაზღვრავს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი.

7. პერსონალურ მონაცემთა დაცვის სამსახურის თანამშრომლის სპეციალური წოდებები განისაზღვრება „სახელმწიფო სპეციალური წოდებების შესახებ“ საქართველოს კანონით.

მუხლი 57. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შერჩევა, თანამდებობაზე დანიშვნა და უფლებამოსილებები

1. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელი (გარდა ამ მუხლის მე-2 პუნქტით გათვალისწინებული შემთხვევისა) თანამდებობაზე ინიშნება კონკურსის საფუძველზე, პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ბრძანებით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების წესი და პირობები, აგრეთვე დასანიშნი პირის საკვალიფიკაციო მოთხოვნები (ძირითადი მოთხოვნები, რომლებიც არ უნდა იყოს „საჯარო სამსახურის შესახებ“ საქართველოს კანონის 27-ე მუხლით დადგენილ ძირითად მოთხოვნებზე ნაკლები, სპეციალური მოთხოვნები და დამატებითი მოთხოვნები) განისაზღვრება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის შესარჩევად და თანამდებობაზე დასანიშნად კონკურსის ჩატარების მიზნით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ქმნის საკონკურსო კომისიას და ადგენს მისი საქმიანობის წესს.

2. დასაშვებია პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომლის უკონკურსოდ „საჯარო სამსახურის შესახებ“ საქართველოს კანონით განსაზღვრული მობილობით გადაყვანა ან ჰორიზონტალური გადაყვანა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის სამსახურებრივი ინსპექტირების განმახორციელებელი სტრუქტურული ერთეულის თანამშრომელზე ვრცელდება ამ კანონითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის შესაბამისი სამართლებრივი აქტით გათვალისწინებული უფლებამოსილებები და მოვალეობები.

თავი IX

საქმის წარმოების, ადმინისტრაციული სამართალდარღვევის განხილვის და ადმინისტრაციული სახდელის დადების წესები

მუხლი 58. პერსონალურ მონაცემთა დაცვის სამსახურის მიერ საქმის წარმოების ზოგადი დებულებები

1. ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ადმინისტრაციული სამართალდარღვევის (შემდგომ − ადმინისტრაციული სამართალდარღვევა) გამოვლენა და შესაბამისი ადმინისტრაციული პასუხისმგებლობის დაკისრება ხდება პერსონალურ მონაცემთა დაცვის სამსახურის მიერ შემოწმების (ინსპექტირების) ან/და მონაცემთა სუბიექტის განცხადების განხილვის (შემდგომ − საქმის წარმოება) საფუძველზე. ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს და სამართალდამრღვევს ადმინისტრაციულ სახდელს ადებს პერსონალურ მონაცემთა დაცვის სამსახური საქართველოს კანონმდებლობით დადგენილი წესით.

2. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილებით დასაშვებია როგორც რამდენიმე საქმის წარმოების ერთ საქმედ გაერთიანება, ისე ერთი საქმის წარმოებიდან ცალკე წარმოებისთვის საქმის გამოყოფა.

3. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის უფლებამოსილება და საქმის წარმოების წესი განისაზღვრება ამ კანონით, საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით, სხვა საკანონმდებლო აქტებითა და პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ნორმატიული აქტებით.

4. საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსისა და ამ კანონის ნორმების ურთიერთმიმართებისას უპირატესობა ენიჭება ამ კანონით განსაზღვრულ ნორმებს.

მუხლი 59. მტკიცებულებები

1. საქმის წარმოების მიზნებისთვის მტკიცებულება არის ყველა ფაქტობრივი მონაცემი, რომელთა საფუძველზედაც საქართველოს კანონმდებლობით დადგენილი წესით პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი ან/და სამსახურის უფლებამოსილი პირი ადგენს ადმინისტრაციული სამართალდარღვევის არსებობას ან არარსებობას, პირის ბრალეულობას მის ჩადენაში და სხვა გარემოებებს, რომლებსაც მნიშვნელობა აქვს საქმის სწორად გადაწყვეტისთვის.

2. ამ მუხლის მიზნებისთვის მტკიცებულებად შეიძლება მიჩნეულ იქნეს: მონაცემთა სუბიექტის განცხადების განხილვის ფარგლებში ან/და შემოწმების (ინსპექტირების) შედეგად მოპოვებული ინფორმაცია და დოკუმენტი; მონაცემთა სუბიექტის, დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირების, დამუშავებაზე უფლებამოსილი პირის, სპეციალური წარმომადგენლის და მოწმის ახსნა-განმარტებები; სამართალდამრღვევის აღიარება; ზეპირი სხდომის ოქმი (ჩანაწერი); ექსპერტის დასკვნა; ფაქტების კონსტატაციის მასალები; აუდიოჩანაწერი; ვიდეოჩანაწერი; ფოტო; საჯარო წყაროებიდან მოპოვებული ინფორმაცია და დოკუმენტი; უფლებამოსილი პირის ან ორგანოს მიერ მომზადებული/გამოცემული/დამოწმებული დოკუმენტი; პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის ან სამსახურის უფლებამოსილი პირის მიერ შედგენილი ადმინისტრაციულ სამართალდარღვევათა ოქმი, რომლის ფორმას და გაცნობის წესს ადგენს პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი; მონაცემთა დამუშავების კანონიერების შემოწმების (ინსპექტირების) ოქმი; ნივთიერი მტკიცებულება; ნებისმიერი სხვა ინფორმაცია, დოკუმენტი ან მასალა, რომელსაც მნიშვნელობა აქვს საქმეზე ობიექტური გარემოებების დასადგენად.

მუხლი 60. საქმის წარმოებისას გამოსარკვევი გარემოებები და ადმინისტრაციული სახდელის დადება

1. ადმინისტრაციულ სამართალდარღვევათა საქმეების განხილვისას და ადმინისტრაციული სახდელის დადებისას პერსონალურ მონაცემთა დაცვის სამსახური ან სასამართლო ადგენს: ჩადენილი იყო თუ არა ადმინისტრაციული სამართალდარღვევა, ბრალეულია თუ არა პირი მის ჩადენაში, ექვემდებარება თუ არა იგი ადმინისტრაციულ პასუხისმგებლობას, არის თუ არა ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი და დამამძიმებელი გარემოებები, აგრეთვე ადგენს სხვა გარემოებებს, რომლებსაც მნიშვნელობა აქვს საქმის სწორად გადაწყვეტისთვის.

2. ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი გარემოების არსებობისას პერსონალურ მონაცემთა დაცვის სამსახური ან სასამართლო უფლებამოსილია სამართალდამრღვევს გამოუცხადოს შენიშვნა, თუ ადმინისტრაციული სამართალდარღვევა უმნიშვნელოა.

3. სამართალდამრღვევს ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული სახდელი დაედება ამ კანონით დადგენილ ფარგლებში, იმ მუხლის შესაბამისად, რომელიც ადმინისტრაციულ პასუხისმგებლობას ითვალისწინებს.

მუხლი 61. ადმინისტრაციული სამართალდარღვევისთვის პასუხისმგებლობის შემამსუბუქებელი გარემოებები

1. ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელ გარემოებებად მიიჩნევა:

ა) მართლსაწინააღმდეგო ქმედების შეწყვეტა და ადმინისტრაციული სამართალდარღვევის შედეგად მიყენებული ზიანის გამოსწორება ან/და მსგავსი სამართალდარღვევის შემდგომ თავიდან აცილების მიზნით შესაბამისი ორგანიზაციულ-ტექნიკური ზომების მიღება;

ბ) ადმინისტრაციული სამართალდარღვევის ჩადენა არასრულწლოვანის მიერ;

გ) ადმინისტრაციული სამართალდარღვევის გულწრფელი მონანიება და პერსონალურ მონაცემთა დაცვის სამსახურთან თანამშრომლობა;

დ) სხვა გარემოებები, როგორებიცაა ადმინისტრაციული სამართალდარღვევის ხასიათი და სამართალდამრღვევის ბრალის ხარისხი, რომლებსაც საქმის გადაწყვეტისას პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი შემამსუბუქებელ გარემოებად მიიჩნევს.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელი გარემოებების არსებობის დამადასტურებელი მტკიცებულებების წარდგენის ვალდებულება ეკისრება დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს.

3. ამ მუხლის პირველი პუნქტის „ა“ ან/და „ბ“ ქვეპუნქტით გათვალისწინებული შემამსუბუქებელი გარემოების არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 30 პროცენტით მცირდება.

4. ამ მუხლის პირველი პუნქტის „გ“ ან/და „დ“ ქვეპუნქტით გათვალისწინებული შემამსუბუქებელი გარემოების არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 20 პროცენტით მცირდება.

5. ამ მუხლის მე-3 და მე-4 პუნქტებით გათვალისწინებული ჯარიმის ოდენობის შემცირების საფუძვლების ერთდროულად არსებობისას ამ კანონის 66-ე−87-ე მუხლებით გათვალისწინებული ჯარიმის ოდენობა 50 პროცენტით მცირდება.

მუხლი 62. ადმინისტრაციული სამართალდარღვევისთვის პასუხისმგებლობის დამამძიმებელი გარემოებები

ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევებისთვის ადმინისტრაციული პასუხისმგებლობის დამამძიმებელ გარემოებებად მიიჩნევა:

ა) 1 წლის განმავლობაში იმავე ადმინისტრაციული სამართალდარღვევის განმეორებით ჩადენა, რომლის გამოც დამუშავებისთვის პასუხისმგებელ პირს/დამუშავებაზე უფლებამოსილ პირს/მესამე პირს უკვე დაედო ადმინისტრაციული სახდელი;

ბ) დიდი რაოდენობით მონაცემთა სუბიექტების მონაცემთა დამუშავება ამ კანონის მოთხოვნათა დარღვევით ან ასეთი საფრთხის შექმნა;

გ) არასრულწლოვანის მონაცემების დამუშავება ამ კანონის მოთხოვნათა დარღვევით;

დ) ადმინისტრაციული სამართალდარღვევის ჩადენა ანგარებით;

ე) ადმინისტრაციული სამართალდარღვევის ჩადენა დისკრიმინაციული მოტივით.

მუხლი 63. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილების გასაჩივრების უფლება

1. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილება საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით სასამართლოში შეიძლება გაასაჩივროს პირმა, რომლის მიმართაც გამოტანილია ეს გადაწყვეტილება, მისი ოფიციალური გაცნობიდან 1 თვის ვადაში.

2. საქმის წარმოების შედეგად მიღებული პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის გადაწყვეტილების სასამართლოში გასაჩივრების შემთხვევაში იგი აღსრულდება სასამართლოს მიერ მიღებული გადაწყვეტილების კანონიერ ძალაში შესვლის მომენტიდან.

მუხლი 64. ადმინისტრაციული სახდელის დადება რამდენიმე ადმინისტრაციული სამართალდარღვევის ჩადენისთვის

1. ერთი და იმავე პირის მიერ ჩადენილი ადმინისტრაციული სამართალდარღვევების სიმრავლისას მისთვის დაკისრებული ჯარიმების საერთო ოდენობა არ უნდა აღემატებოდეს ამ მუხლის მე-2 პუნქტით გათვალისწინებულ ოდენობებს, თუ არსებობს ერთ-ერთი შემდეგი პირობა:

ა) ადმინისტრაციული სამართალდარღვევები გამოვლენილია ერთიანი შემოწმების ფარგლებში;

ბ) რამდენიმე ადმინისტრაციული სამართალდარღვევისთვის ადმინისტრაციული პასუხისმგებლობის დაკისრების შესახებ საკითხი განიხილება ერთიანი წარმოების ფარგლებში;

გ) ადმინისტრაციული პასუხისმგებლობის დაკისრება ხდება იმ ადმინისტრაციული სამართალდარღვევისთვის, რომელიც ჩადენილია იმავე პირის მიმართ უკვე გამოყენებული ადმინისტრაციული სახდელის დადებამდე, რა დროსაც გაითვალისწინება როგორც დაკისრებული, ისე დასაკისრებელი ადმინისტრაციული პასუხისმგებლობის ოდენობა.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევაში პირისთვის დაკისრებული ჯარიმების საერთო ოდენობა არ უნდა აღემატებოდეს:

ა) 10 000 ლარს ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის შემთხვევაში, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის შემთხვევაში, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება;

ბ) 20 000 ლარს იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის შემთხვევაში, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება.

3. თუ ერთი და იგივე ქმედება შეიძლება მიიჩნეოდეს ამ კანონის შესაბამისი მუხლებით გათვალისწინებულ რამდენიმე ადმინისტრაციულ სამართალდარღვევად, ადმინისტრაციული პასუხისმგებლობის ზომა გამოიყენება მხოლოდ იმ ადმინისტრაციული სამართალდარღვევისთვის და იმ ფარგლებში, რომლისთვისაც ამ კანონით გათვალისწინებულია ყველაზე მძიმე პასუხისმგებლობა.

4. ამ მუხლის მე-3 პუნქტის მიზნებისთვის დარღვევა ერთ ქმედებად მიიჩნევა იმ შემთხვევაშიც, თუ არსებობს ერთმანეთთან მჭიდროდ და უშუალოდ დაკავშირებული რამდენიმე ქმედების ერთობლიობა, რომელიც თავისი არსით ერთიანი ადმინისტრაციული სამართალდარღვევაა.

5. თუ ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენისას იკვეთება მხოლოდ ერთი თანადამუშავებისთვის პასუხისმგებელი პირის ბრალი, ადმინისტრაციული სახდელი მხოლოდ მას დაედება, ხოლო ერთდროულად რამდენიმე თანადამუშავებისთვის პასუხისმგებელი პირის ბრალის დადგენის შემთხვევაში ადმინისტრაციული სახდელი სამართალდამრღვევ თანადამუშავებისთვის პასუხისმგებელ პირებს დაედებათ სოლიდარულად.

6. ამ კანონით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენისას ადმინისტრაციულ სახდელთან ერთად შეიძლება აგრეთვე გამოყენებულ იქნეს ამ კანონის 52-ე მუხლით გათვალისწინებული სხვა ღონისძიებები.

7. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსი უფლებამოსილია ამ კანონით გათვალისწინებული ადმინისტრაციული პასუხისმგებლობის დაკისრებისმიზნებისთვის საჯარო სამართლის იურიდიული პირისგან − შემოსავლების სამსახურისგან გამოითხოვოს იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის წლიური ბრუნვის შესახებ ინფორმაცია და მიიღოს იგი, აგრეთვე ჰქონდეს წვდომა საჯარო სამართლის იურიდიული პირის − შემოსავლების სამსახურის შესაბამის ელექტრონულ მონაცემთა ბაზაზე.

მუხლი 65. ადმინისტრაციული სახდელის დადების ვადები

1. ამ კანონით განსაზღვრული ადმინისტრაციული სამართალდარღვევის ჩადენისთვის პირს პასუხისმგებლობა შეიძლება დაეკისროს არაუგვიანეს 4 თვისა სამართალდარღვევის ჩადენის დღიდან, ხოლო თუ სამართალდარღვევა დენადია − არაუგვიანეს 4 თვისა მისი გამოვლენის დღიდან.

2. სისხლისსამართლებრივი დევნის ან გამოძიების შეწყვეტის შემთხვევაში, მაგრამ როცა სამართალდამრღვევის მოქმედებაში არის ადმინისტრაციული სამართალდარღვევის ნიშნები, მას ადმინისტრაციული სახდელი შეიძლება დაედოს არაუგვიანეს 2 თვისა სისხლისსამართლებრივი დევნის ან გამოძიების შეწყვეტის შესახებ გადაწყვეტილების მიღების დღიდან.

3. ადმინისტრაციული სამართალდარღვევის შესახებ მიღებული გადაწყვეტილების სასამართლოში გასაჩივრების შემთხვევაში ამ მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული სახდელის დადების ვადის დენა შეჩერდება სასამართლოს მიერ ამ საქმეზე საბოლოო გადაწყვეტილების გამოტანამდე.

თავი X

ადმინისტრაციული სამართალდარღვევა და ადმინისტრაციული პასუხისმგებლობა

მუხლი 66. მონაცემთა დამუშავების პრინციპების დარღვევა

1. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების რომელიმე პრინციპის დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების ორი ან ორზე მეტი პრინციპის დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 1 500 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 67. მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე

1. მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 68. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე

1. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება ამ კანონით გათვალისწინებული საფუძვლების გარეშე −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 69. ვიდეომონიტორინგის ან აუდიომონიტორინგის განხორციელების წესების დარღვევა

1. ამ კანონის მე-10 მუხლით დადგენილი ვიდეომონიტორინგის (გარდა ამ მუხლის მე-2 და მე-4 პუნქტებით გათვალისწინებული შემთხვევებისა) ან ამავე კანონის მე-11 მუხლით გათვალისწინებული აუდიომონიტორინგის წესების დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ვიდეომონიტორინგის განხორციელება გამოსაცვლელ ოთახებში, ჰიგიენისთვის განკუთვნილ ადგილებში ან სხვა ისეთ სივრცეში, სადაც სუბიექტს პირადი ცხოვრების დაცულობის გონივრული მოლოდინი აქვს ან/და თვალთვალი საყოველთაოდ აღიარებულ ზნეობრივ ნორმებს ეწინააღმდეგება, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 70. გარდაცვლილი პირის შესახებ მონაცემთა დამუშავების წესების დარღვევა

1. გარდაცვლილი პირის შესახებ მონაცემთა დამუშავება ამ კანონის მე-8 მუხლით დადგენილი წესების დარღვევით −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 71. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება წესების დარღვევით

1. პირდაპირი მარკეტინგის მიზნით მონაცემთა დამუშავება ამ კანონით დადგენილი წესების დარღვევით −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 72. ამ კანონის III თავით გათვალისწინებული მონაცემთა სუბიექტის უფლებების დარღვევა

1. ამ კანონის III თავით (გარდა 22-ე მუხლისა) გათვალისწინებული მონაცემთა სუბიექტის რომელიმე უფლების დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 1 500 ლარის ოდენობით.

2. ამ კანონის III თავით (გარდა 22-ე მუხლისა) გათვალისწინებული მონაცემთა სუბიექტის ორი ან ორზე მეტი უფლების დარღვევა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 1 500 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება,დაჯარიმებას 3 000 ლარის ოდენობით.

4. ამ მუხლის მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 73. ამ კანონის 21-ე მუხლის მე-2 და მე-4 პუნქტებით გათვალისწინებული ვალდებულებების შეუსრულებლობა

1. ამ კანონის 21-ე მუხლის მე-2 პუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 1 500 ლარის ოდენობით.

2. ამ კანონის 21-ე მუხლის მე-4 პუნქტით გათვალისწინებული ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 1 500 ლარის ოდენობით.

3. ამ მუხლის პირველი ან მე-2 პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 74. მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა

1. ამ კანონის 24-ე და 25-ე მუხლებით გათვალისწინებული მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 1 500 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 75. მონაცემთა მეტად დაფარვის პრიორიტეტის, როგორც ალტერნატიული მიდგომის არჩევამდე ავტომატურად გამოყენებული საწყისი მეთოდი ახალი პროდუქტის ან მომსახურების შექმნისას, მოთხოვნის დარღვევა

1. ამ კანონის 26-ე მუხლით გათვალისწინებული რომელიმე ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 76. მონაცემთა უსაფრთხოების დაცვის ვალდებულების შეუსრულებლობა

1. ამ კანონის 27-ე მუხლით გათვალისწინებული მონაცემთა უსაფრთხოების დაცვის ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 4 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 77. მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვის ვალდებულების შეუსრულებლობა

1. ამ კანონის 28-ე მუხლით გათვალისწინებული მონაცემთა დამუშავებასთან დაკავშირებული ინფორმაციის აღრიცხვის ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 1 500 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 78. ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულების შეუსრულებლობა

1. ამ კანონის 29-ე მუხლით გათვალისწინებული ინციდენტის შესახებ პერსონალურ მონაცემთა დაცვის სამსახურისთვის შეტყობინების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 79. ინციდენტის შესახებ მონაცემთა სუბიექტის ინფორმირების ვალდებულების შეუსრულებლობა

1. ამ კანონის 30-ე მუხლით გათვალისწინებული ინციდენტის შესახებ მონაცემთა სუბიექტისთვის შეტყობინების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 5 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 10 000 ლარის ოდენობით.

მუხლი 80. მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების შეუსრულებლობა

1. ამ კანონის 31-ე მუხლით გათვალისწინებული მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 81. მონაცემთა სუბიექტისგან თანხმობის მიღებისა და მის მიერ თანხმობის გამოხმობის დროს კანონით დადგენილი ვალდებულების შეუსრულებლობა

1. ამ კანონის 32-ე მუხლით გათვალისწინებული მონაცემთა სუბიექტისგან თანხმობის მიღებისა და მის მიერ თანხმობის გამოხმობის დროს ამავე კანონით დადგენილი ვალდებულების შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 82. პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა

1. ამ კანონის 33-ე მუხლის პირველი პუნქტით გათვალისწინებული პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა −

გამოიწვევს სამართალდამრღვევის გაფრთხილებას.

2. ამ კანონის 33-ე მუხლის პირველი პუნქტით გათვალისწინებული პერსონალურ მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ ადმინისტრაციული სახდელის დადებიდან 1 წლის განმავლობაში −

გამოიწვევს სამართალდამრღვევის დაჯარიმებას 3 000 ლარის ოდენობით.

მუხლი 83. სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა

1. ამ კანონის 34-ე მუხლის პირველი პუნქტით გათვალისწინებული სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების დამუშავებისთვის პასუხისმგებელი პირის მიერ შეუსრულებლობა −

გამოიწვევს სამართალდამრღვევის გაფრთხილებას ან დაჯარიმებას 3 000 ლარის ოდენობით.

2. ამ კანონის 34-ე მუხლის პირველი პუნქტით გათვალისწინებული სპეციალური წარმომადგენლის განსაზღვრასთან/დანიშვნასთან დაკავშირებული ვალდებულების შეუსრულებლობა პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის მიერ ადმინისტრაციული სახდელის დადებიდან 1 წლის განმავლობაში −

გამოიწვევს სამართალდამრღვევის დაჯარიმებას 5 000 ლარის ოდენობით.

მუხლი 84. ამ კანონის 35-ე და 36-ე მუხლებით გათვალისწინებული ვალდებულებების შეუსრულებლობა

1. ამ კანონის 35-ე და 36-ე მუხლებით გათვალისწინებული ვალდებულებების დამუშავებისთვის პასუხისმგებელი პირის/დამუშავებაზე უფლებამოსილი პირის მიერ შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით.

მუხლი 85. ამ კანონის 37-ე მუხლით დადგენილი წესების დარღვევა

1. ამ კანონის 37-ე მუხლით დადგენილი წესების დარღვევით მონაცემთა სხვა სახელმწიფოსთვის ან/და საერთაშორისო ორგანიზაციისთვის გადაცემა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 4 000 ლარის ოდენობით.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ქმედება, ჩადენილი დამამძიმებელი გარემოების (გარემოებების) არსებობისას, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 86. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონით განსაზღვრული უფლების განხორციელებაში ხელის შეშლა

1. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონის 51-ე მუხლის მე-3 პუნქტით გათვალისწინებული ინფორმაციის ან/და დოკუმენტის წარდგენის წესის დარღვევა ან ცრუ ინფორმაციის მიწოდება −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული სამართალდარღვევისთვის, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 3 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 5 000 ლარის ოდენობით.

3. პერსონალურ მონაცემთა დაცვის სამსახურისთვის ან სამსახურის უფლებამოსილი პირისთვის ამ კანონის 51-ე მუხლის მე-6 პუნქტით განსაზღვრული უფლების განხორციელებაში ნებისმიერი სახით ხელის შეშლა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 4 000 ლარის ოდენობით.

4. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც 1 წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის მე-3 პუნქტით გათვალისწინებული სამართალდარღვევისთვის, −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, დაჯარიმებას 4 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, დაჯარიმებას 6 000 ლარის ოდენობით.

მუხლი 87. პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის შეუსრულებლობა

პერსონალურ მონაცემთა დაცვის სამსახურის კანონიერი მოთხოვნის (ამ კანონის 52-ე მუხლის პირველი პუნქტის „ა“−„დ“ ქვეპუნქტების შესაბამისად) შეუსრულებლობა −

გამოიწვევს:

ა) ფიზიკური პირის, საჯარო დაწესებულების, არასამეწარმეო (არაკომერციული) იურიდიული პირის, აგრეთვე იურიდიული პირის, უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს არ აღემატება, გაფრთხილებას ან დაჯარიმებას 1 000 ლარის ოდენობით;

ბ) იურიდიული პირის (გარდა არასამეწარმეო (არაკომერციული) იურიდიული პირისა), უცხო ქვეყნის საწარმოს ფილიალისა და ინდივიდუალური მეწარმის, რომელთა წლიური ბრუნვა 500 000 ლარს აღემატება, გაფრთხილებას ან დაჯარიმებას 2 000 ლარის ოდენობით.

თავი XI

გარდამავალი და დასკვნითი დებულებები

მუხლი 88. გარდამავალი დებულებები

1. 2024 წლის 1 მარტამდე პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ადმინისტრაციული სამართალდარღვევის ჩადენისთვის სამართალდამრღვევს ადმინისტრაციული პასუხისმგებლობა ეკისრება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს 2011 წლის 28 დეკემბრის კანონის შესაბამისად.

2. დამუშავებისთვის პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი თავისუფლდება ამ კანონის მე-10 მუხლის მე-9 პუნქტითა და მე-11 მუხლის მე-4 პუნქტით გათვალისწინებული ვალდებულებისგან იმ გამაფრთხილებელ ნიშნებთან მიმართებით, რომლებიც მან 2024 წლის 1 მარტამდე განათავსა.

3. დამუშავებისთვის პასუხისმგებელი პირი თავისუფლდება ამ კანონის 26-ე მუხლით გათვალისწინებული ვალდებულების შესრულებისგან იმ პროგრამულ უზრუნველყოფასთან მიმართებით, რომელიც გამოიყენება მონაცემთა დამუშავებისთვის და შეიქმნა 2024 წლის 1 მარტამდე, გარდა იმ შემთხვევისა, როდესაც 2024 წლის 1 მარტის შემდეგ ეს პროგრამული უზრუნველყოფა მნიშვნელოვნად განახლდა და იმავე მუხლით გათვალისწინებული ვალდებულების შესრულება დამუშავებისთვის პასუხისმგებელი პირის მიერ არ მოითხოვს გაუმართლებელი ხარჯების გაწევას.

4. პერსონალურ მონაცემთა დაცვის სამსახურის უფროსმა 2024 წლის 1 მარტამდე გამოსცეს შემდეგი ნორმატიული აქტები:

ა) ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები, პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესი. ეს ნორმატიული აქტი გამოიცემა შესაბამის სახელმწიფო უწყებებთან შეთანხმებით;

ბ) მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმებისა და შეფასების წესის შესახებ;

გ) იმ პირთა წრის განსაზღვრის შესახებ, რომლებსაც არ აქვთ ვალდებულება, განსაზღვრონ/დანიშნონ პერსონალურ მონაცემთა დაცვის ოფიცერი;

დ) პერსონალურ მონაცემთა დაცვის სამსახურის მიერ სპეციალური წარმომადგენლის რეგისტრაციის წესი.

მუხლი 89. ძალადაკარგული ნორმატიული აქტი

ძალადაკარგულად გამოცხადდეს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს 2011 წლის 28 დეკემბრის კანონი (საქართველოს საკანონმდებლო მაცნე (www.matsne.gov.ge), 16.01.2012, სარეგისტრაციო კოდი: 010100000.05.001.016606).

მუხლი 90. კანონის ამოქმედება

1. ეს კანონი, გარდა ამ კანონის პირველი − 87-ე მუხლებისა, 88-ე მუხლის მე-2 და მე-3 პუნქტებისა და 89-ე მუხლისა, ამოქმედდეს გამოქვეყნებისთანავე.

2. ამ კანონის პირველი−მე-5 მუხლები, მე-6 მუხლის პირველი პუნქტის „ა“−„რ“ ქვეპუნქტები, მე-2 და მე-3 პუნქტები, მე-7−30-ე, 32-ე, 34-ე−79-ე, 81-ე და 83-ე−87-ე მუხლები, 88-ე მუხლის მე-2 და მე-3 პუნქტები და 89-ე მუხლი ამოქმედდეს 2024 წლის 1 მარტიდან.

3. ამ კანონის 31-ე, 33-ე, მე-80 და 82-ე მუხლები ამოქმედდეს 2024 წლის 1 ივნისიდან.

4. ამ კანონის მე-6 მუხლის პირველი პუნქტის „ს“ და „ტ“ ქვეპუნქტები ამოქმედდეს 2025 წლის 1 იანვრიდან.


საქართველოს პრეზიდენტისალომე ზურაბიშვილი

 

 

თბილისი,

14 ივნისი 2023 წ.

N3144-XIმს-Xმპ

 

 

LAW OF GEORGIA

ON PERSONAL DATA PROTECTION

 

Chapter I – General Provisions

 

Article 1 – Purpose of the Law

The purpose of this Law is to ensure the protection of fundamental human rights and freedoms, including the right to the inviolability of private and family life, and to privacy and communication, in the processing of personal data.

 

Article 2 – Scope of the Law

1. This Law shall apply to the processing of data wholly or partly by automated means within the territory of Georgia, to the processing other than by automated means of data which form part of a filing system or are processed to form part of a filing system, as well as to the processing of data by a controller not established in Georgia, using technical means available in Georgia, except where the technical means are used solely for the transit of data.

2. This Law shall not apply to:

a) the processing of data by a natural person in the course of purely personal and/or household activities, which has no connection to his/her entrepreneurial and/or economic and professional activities or the performance of official duties. The processing of data in the course of purely personal and/or household activities can include correspondence and the holding of addresses, or online activity (including social networking) undertaken within the context of such activities;

b) the processing of data for the purposes of national security (including economic security), defence, intelligence and counter-intelligence activities;

c) semi-automated processing and non-automated processing of data deemed to be a state secret, for the purposes of the prevention, investigation and prosecution of crime, and the conduct of operative and investigative activities or the protection of the rule of law;

d) the processing of data for the purposes of court proceedings;

e) the processing of data by mass media for public information (except for Article 4(1)(f) and Article 27);

f) the processing of data for academic, artistic or literary purposes.

4. Article 6 of this Law shall not apply to the processing of data for the purposes of a population census as provided for by the Law of Georgia on Official Statistics.

4. This Law shall apply to the automated and semi-automated processing of data by institutions that carry out the activities under Article 2(b-d), and to the non-automated processing of data which form part of a filing system or are processed to form part of a filing system, unless the data are processed in the context of the activities under the same subparagraphs.

5. Anyone who unknowingly obtains another person’s data that is not intended for him/her shall respect the rights of the data subject and shall not attempt to carry out unlawful data processing.

 

Article 3 – Definition of terms

For the purposes of this Law, the terms used herein shall have the following meanings:

a) personal data (‘data’) – any information relating to an identified or identifiable natural person. An identifiable natural person is one who can be identified, directly or indirectly, including by his/her name, surname, identification number, location data and electronic communication identifiers, or by physical, physiological, mental, psychological, genetic, economic, cultural or social characteristics;

b) special categories of data – data connected to a person’s racial or ethnic origin, political views, religious, philosophical or other beliefs, membership of professional unions, health, sexual life, status of an accused, convicted or acquitted person or a victim in criminal proceedings, conviction, criminal record, diversion, recognition as a victim of trafficking in human beings or of a crime under the Law of Georgia on the Elimination of Violence against Women and/or Domestic Violence, and the Protection and Support of Victims of Such Violence, detention and enforcement of his/her sentence, or his/her biometric and genetic data that are processed to allow for the unique identification of a natural person;

c) data concerning health − data related to the physical or mental health of a data subject, including the provision of health care services, which reveal information about his/her physical or mental health;

d) biometric data − data processed using technical means and related to the physical, physiological or behavioural characteristics of a data subject (such as facial images, voice characteristics or dactyloscopic data), which allow the unique identification or confirm the identity of that data subject;

e) genetic data − data relating to the acquired or inherited genetic characteristics of a data subject which, through an analysis of a biological sample from that data subject, give unique information about his/her physiology or health;

f) processing of data − any operation performed on personal data, including collecting, obtaining, accessing, photographing, video monitoring and/or audio monitoring, organising, grouping, interconnecting, storing, altering, retrieving, requesting for access, using, blocking, erasing or destroying, and disclosing by transmission, publication, dissemination or otherwise making available;

g) automated data processing − the processing of data by means of information technologies;

h) non-automated data processing − the processing of data without using information technologies;

i) semi-automated data processing − the processing of data without using information technologies;

j) filing system − a structured set of data which are arranged and accessible according to specific criteria;

k) data subject – any natural person whose data are being processed;

l) consent of the data subject – consent freely and unambiguously expressed by a data subject after the receipt of the respective information, by an active action, in writing (including in electronic form) or verbally, to the processing of data concerning him/her for specific purposes;

m) written consent of the data subject − consent, signed or otherwise expressed by a data subject in writing (including in electronic form) after the receipt of the respective information, to the processing of data concerning him/her for specific purposes;

n) controller – a natural person, a legal person, or a public institution, who individually or in collaboration with others determines the purposes and means of the processing of data, and who directly or through a processor processes data;

o) joint controllers − two or more controllers who jointly determine the purposes and means of data processing;

p) processor − a natural person, a legal person, or a public institution, which processes data for or on behalf of the controller. A natural person who is in labour relations with the controller shall not be considered a processor;

q) recipient − a natural person, a legal person, or a public institution, to which data are disclosed, except the Personal Data Protection Service;

r) categories of recipients − the classification/grouping of recipients according to their area of activities or organisational and legal form;

s) third party − a natural person, a legal person, or a public institution, other than a data subject, the Personal Data Protection Service, a controller, a processor, a special representative and persons who, under the direct authority of the controller or processor, are authorised to process data;

t) special representative − a natural or legal person established outside Georgia, or an association of persons with no legal personality, designated/appointed by the controller or processor as a representative on the basis of this Law;

u) personal data protection officer − a person designated/appointed by a controller or a processor, who performs the functions as provided for by Article 33 of this Law;

v) blocking of data − the temporary suspension of data processing (except storing);

w) video monitoring − the processing of visual image data using the technical means located/installed in a public or private space, including video control and/or video recording (except for covert investigative actions);

x) audio monitoring − the processing of audio signal data using the technical means located/installed in a public or private space, including audio control and/or audio recording (except for covert investigative actions);

y) direct marketing − the direct and immediate delivery of information to a data subject by telephone, mail, email or other electronic means to generate and maintain interest in, sell and/or support a natural and/or legal person, product, idea, service, work and/or initiative, as well as image and social issues. The provision of information by a public institution to a natural person shall not be considered direct marketing if the provision of such information is compatible with any of the grounds for data processing as provided for by Articles 5 and 6 of this Law;

z) profiling − any form of automated processing of data involving the use of data to evaluate certain personal characteristics relating to a natural person, in particular to analyse or predict characteristics concerning the natural person’s performance of work, his/her economic situation, health, personal interests, reliability, behaviour, location or movements;

z1) data depersonalisation − the processing of data in such a manner that the data cannot be attributed to the data subject or attributing them to the data subject involves disproportionate effort, expense and/or time;

z2) data pseudonymisation − the processing of data in such a manner that the data cannot be attributed to a specific data subject without the use of additional information, and such additional information is kept separately and, by virtue of technical and organisational measures, the data are not attributed to an identified or identifiable natural person;

z3) incident − breach of security of data leading to the unlawful or accidental damage or loss of data, or the unauthorised disclosure, destruction, alteration of or access to data, or the collection/obtaining of data, or other unauthorised processing;

z4) public institution − an institution as defined in Article 27(a) of the General Administrative Code of Georgia (except for political and religious associations);

z5) continuing offence − an offence as provided for by this Law, the commission of which starts with an act and which then is committed continuously. A continuing offence shall be considered completed upon the termination of the act;

z6) covert investigative action − an investigative action as provided for by Article 1431(1) of the Criminal Procedure Code of Georgia;

z7) the Agency – the Legal Entity under Public Law called the Operative-Technical Agency of Georgia, a body with exclusive authority to conduct covert investigative actions as provided for by Article 1431(1)(a-d) of the Criminal Procedure Code of Georgia;

z8) electronic control system – the system as provided for by Article 2(i) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;

z9) special electronic control system – the system as provided for by Article 2(j) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;

z10) electronic control system of the central bank of electronic communication identification data – the system as provided for by Article 2(k) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;

z11) special electronic control system for real-time location – the system as provided for by Article 2(n) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia.

 

Chapter II – Lawfulness of Data Processing

 

Article 4 – Principles of data processing

1. The following principles shall be observed during data processing:

a) data shall be processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’). The obligation to ensure the transparency of data processing shall not apply to the exceptional cases established by this Law;

b) data shall be collected/obtained for specified, explicit and legitimate purposes. The further processing of data for other purposes that are incompatible with the initial purposes shall be inadmissible;

c) data shall be processed only to the extent necessary to achieve the respective legitimate purpose. The data shall be proportionate to the purpose for which they are processed;

d) data shall be valid and accurate and, where necessary, kept up to date. Having regard to the purposes of data processing, inaccurate data shall be rectified, erased or destroyed without undue delay;

e) data may be stored only for a period which is necessary for achieving the legitimate purpose for which the data are processed. Once the purpose for which the data was processed has been achieved, the data shall be erased, destroyed or stored in a depersonalised form, unless the processing of data is required by law and/or a subordinate normative legal act issued in accordance with law, and the storing of data is a necessary and proportionate measure in a democratic society to safeguard overriding interests;

f) to ensure the security of data, technical and organisational measures shall be taken during the processing of data to ensure appropriate security, including protection against unauthorised or unlawful processing, accidental loss, destruction and/or damage.

2. If data are to be processed for purposes other than those for which they have been collected/obtained, and the processing is not based on the consent of the data subject or on law, the controller shall, in order to decide whether the data were processed for purposes other than those for which they have been collected/obtained, take into account:

a) any link between the initial purpose for which the data have been collected/obtained and the intended further purpose;

b) the nature of the relationship between the controller and the data subject in the context of collecting/obtaining data;

c) whether the data subject has reasonable expectations as to the further processing of data concerning him/her;

d) whether special categories of data are processed;

e) possible consequences for the data subject that may accompany further data processing;

f) the existence of technical and organisational safeguards.

4. Data collected by a law enforcement agency in the course of its activities may be processed for the purpose of general analysis of criminal activity and to establish the relationship between the various offences detected.

4. For the purposes of observing the principle of data processing under paragraph 1(d) of this article, the controller shall ensure that, depending on the context, data based on facts are distinguished from data based on personal assessments. In the case of data based on personal assessments, strict compliance with the principle of data processing under paragraph 1(d) of this article is not mandatory.

5. The further processing of data by the controller for the purposes of crime prevention (including the conduct of appropriate analytical research), investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, ensuring the placement of a person in a temporary detention cell, combating illegal migration, the implementation of international protection, responding to administrative offences, ensuring public and fire safety, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law (including the conduct of criminological research by a relevant law enforcement body or a court), shall not be considered to be incompatible with initial purposes if the processing of data is required by law, or a law and a subordinate normative act issued on the basis thereof.

6. The further processing of data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with initial purposes. Long-term storage of data for the purposes referred to in this paragraph shall be permitted if appropriate technical and organisational measures are in place to protect the rights of the data subject.

7. The controller shall be responsible for, and demonstrate compliance with, the principles under this article when processing data.

 

Article 5 – Grounds for data processing

1. Data processing shall be admissible where one of the following grounds exists:

a) the data subject has given consent to the processing of data concerning him/her for one or more specific purposes;

b) data processing is necessary for the performance of a contract entered into with the data subject or to enter into a contract at the request of the data subject;

c) data processing is provided for by law;

d) data processing is necessary for the controller to perform his/her statutory duties;

e) according to law, the data are publicly available or the data subject has made them publicly available;

f) data processing is necessary to protect the vital interests of the data subject or another person, including to monitor epidemics and/or prevent their spread, or manage humanitarian crises and natural and man-made disasters;

g) data processing is necessary to protect substantial public interests;

h) data processing is necessary to perform tasks falling within the scope of public interest as defined by the legislation of Georgia, including for the purposes of crime prevention, investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law, including information security and cyber security;

i) data processing is necessary to protect important legitimate interests pursued by the controller or a third party, unless there is an overriding interest in protecting the rights of the data subject (including a minor);

j) data processing is necessary to review an application submitted by the data subject (to provide services to him/her).

2. The controller shall have an obligation to justify the legal basis for the processing of data.

 

Article 6 – Processing of special categories of data

1. The processing of special categories of data shall be permitted only if the controller provides safeguards for the rights and interests of the data subject as provided for by this Law and if one of the following grounds exists:

a) the data subject has given consent to the processing of the special category data for one or more specified purposes;

b) the processing of special categories of data is expressly and specifically regulated by law, and their processing is a necessary and proportionate measure in a democratic society;

c) the processing of special categories of data is necessary to protect the vital interests of the data subject or another person and the data subject is physically or legally incapable of giving consent to the processing of special categories of data;

d) the processing of special categories of data is necessary in the area of health care for the purposes of preventive, prophylactic, diagnostic, therapeutic, rehabilitative and palliative care, and for the management of services, medical equipment and the quality and safety of products, public health and the health care system, in accordance with the legislation of Georgia or a contract with a health professional (if these data are processed by a person who has an obligation to protect professional secrets);

e) the processing of special categories of data is necessary for the purposes of performing the statutory duties of the controller or exercising the specific rights of the data subject in the field of social security and social protection, including for the management of the social security system and services;

f) the processing of special categories of data is necessary for the purposes of crime prevention (including the conduct of appropriate analytical research), investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, ensuring the placement of a person in a temporary detention cell, combating illegal migration, the implementation of international protection, responding to administrative offences, ensuring public and fire safety, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law (including the conduct of criminological research by a relevant law enforcement body or a court), and the processing of such data is required by law, or a law and a subordinate normative act issued on the basis thereof;

g) special categories of data are processed to ensure information security and cyber security;

h) the processing of special categories of data is necessary because of the nature of labour obligations and relations, including for making decisions on employment and assessing the working capacity of the employee;

i) the data subject has made his/her data publicly available without an explicit prohibition of their use;

j) the processing of special categories of data is necessary to protect substantial public interests;

k) special categories of data are processed by political or professional associations, and organisations with religious or non-religious philosophical aims, for their legitimate activities. In this case, the processing of such data may relate solely to the members or former members of this association/organisation or persons who have regular contact with this association/organisation in connection with its purposes, on condition that these data are not disclosed to a third party without the consent of the data subjects;

l) the processing of special categories of data is necessary for archiving purposes in the public interest as provided for by law, for scientific or historical research purposes or statistical purposes if the law provides for the implementation of appropriate and specific measures to protect the rights and interests of the data subject. This ground for the processing of special categories data shall not apply if a special law expressly provides for the restriction of the processing of such data under additional and different conditions;

m) special categories of data are processed for the purpose of the functioning of the Unified Migration Analytical System;

n) special categories of data are processed for the purposes of exercising the right to education of persons with disabilities and persons with special educational needs;

o) special categories of data are processed for the purposes of reviewing the issue under Article 11(2) of the Law of Georgia on the Elimination of Violence against Women and/or Domestic Violence, and the Protection and Support of Victims of Such Violence;

p) special categories of data are processed for the purpose of the re-socialisation and rehabilitation of convicted persons and former prisoners, and for the coordination of the process of the referral of minors;

q) special categories of data are processed for the purposes of issuing and publishing as public information, in accordance with the Organic Law of Georgia on General Courts, a judicial act adopted as a result of open court hearings;

r) special categories of data are processed in cases expressly provided for by the Law of Georgia on Public Procurement;

s) special categories of data are processed for the functioning of the institutional inter-agency coordination mechanism – for the purposes of identifying and/or managing cases involving harm or anticipated risks to the life, health or safety of the child and/or to the best interests of the child or to his/her rights, and ensuring, within the limits of these purposes, coordination between competent bodies (agencies) as designated by the Government of Georgia in the cases provided for by Article 83(3) and Article 84(21) of the Code on the Rights of the Child.

2. In the case of the processing of data as provided for by paragraph 1(q) of this article, they may be issued and published as public information in accordance with the Organic Law of Georgia on General Courts.

3. The controller shall have an obligation to justify the legal basis for the processing of special categories of data.

 

Article 7 – Procedure and conditions for giving consent to the processing of data relating to a minor

1. The processing of data relating to a minor shall be permitted on the basis of his/her consent if he/she has attained the age of 16, and the processing of data relating to a minor under the age of 16 shall be permitted with the consent of his/her parent or other legal representative, except in cases expressly provided for by law, including where the consent of a minor between the ages of 16 and 18 and his/her parent or other legal representative is required for the processing of data.

2. The controller shall be obliged to take reasonable and adequate measures to confirm the existence of the consent of the parent or other legal representative of a minor under the age of 16.

3. The processing of special categories of data relating to a minor shall be permitted only on the basis of the written consent of the minor’s parent or other legal representative, except in cases expressly provided for by law.

4. When processing data relating to a minor, the controller shall be obliged to take into account and protect the best interests of the minor.

5. The consent of a minor, his/her parents or other legal representative to the processing of data shall not be considered valid if the processing of the data jeopardises or harms the best interests of the minor.

6. The provisions of this article shall not apply to relations related to the validity of a contract as defined by the Civil Code of Georgia.

 

Article 8 – Protection of data of a deceased person

1. After a data subject dies, the processing of data concerning him/her shall be permitted:

a) on the grounds specified in Articles 5 and 6 of this Law;

b) unless the processing of such data has been prohibited by the data subject’s parent, child, grandchild or spouse (except in cases where the data subject has prohibited in writing the processing of data concerning him/her after his/her death);

c) if 30 years have passed since the death of the data subject;

d) if this is necessary to exercise an inheritance right.

2. The processing of the name, surname, sex, date of birth and date of death of a deceased person shall be permitted irrespective of the circumstances and grounds as provided for by paragraph 1 of this article.

 

Article 9 – Processing of biometric data

1. Biometric data may be processed only if this is necessary for the purposes of carrying out activities, security, protection of property and prevention of the disclosure of secret information, and these purposes cannot be achieved by other means or involve disproportionate effort, as well as for the purposes of issuing an identity document in accordance with law, identifying a person crossing the state border, combating illegal migration, implementation of international protection, crime prevention, investigation, prosecution, administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, the re-socialisation and rehabilitation of convicted persons and former prisoners, the coordination of the process of the referral of minors, the conduct of operative and investigative activities, and ensuring information security and cyber security and in other cases expressly provided for by law.

2. The controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing, prior to processing, the purpose and amount of biometric data to be processed, the period of storage of these data, the procedure and conditions for their storage and destruction, and the mechanisms for the protection of the rights of the data subject.

 

Article 10 – Video monitoring

1. Video monitoring is permitted for the purposes of crime prevention, crime detection, public safety, the protection of personal safety and property, the protection of minors (including from harmful influence), the protection of secret information, examination/testing, and for the performance of tasks related to public and/or other legitimate interests, provided that the video monitoring is adequate and proportionate to the purpose of data processing.

2. To carry out video monitoring, the controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing the purpose and amount of video monitoring, the duration of the video monitoring and the period of storage of the video recording, the procedure and conditions for accessing, storing and destroying the video recording, and the mechanism for the protection of the rights of the data subject, except in cases where a natural person carries out video monitoring in a residential building.

3. Video monitoring of the work process/area of an employee shall only be permitted in exceptional cases where the purposes referred to in paragraph 1 of this article cannot be achieved by other means or involve disproportionate effort.

4. Video monitoring shall not be permitted in changing rooms, hygiene facilities or other places where a data subject has a reasonable expectation of privacy and/or where video monitoring is contrary to generally accepted moral standards.

5. A video monitoring system and video recordings shall be protected from unlawful encroachment and use. The controller shall ensure that any access to the video recordings is recorded, including the time of access and the user name that allow the identification of the person who accessed the video recording.

6. In a residential building, the video monitoring of a common entrance to a residential building and of a common space in a residential building shall be permitted with the written consent of more than half of the owners (if an owner cannot be identified, the consent of a possessor may be obtained), unless the controller/the processor carries out video monitoring to perform his/her statutory duties and the area of video monitoring includes the common entrance and common space of the residential building.

7. The video monitoring of an entrance to an individual property in a residential building shall be permitted only by a decision of the owner/possessor or with his/her written consent, in such a manner that the video monitoring does not harm the legitimate interests of other persons (including those lawfully using the owner’s property).

8. The controller/processor shall be obliged to place a warning sign indicating that video monitoring is being carried out in a visible place and, in the case referred to in paragraph 3 of this article, also to warn the employee in writing of the specific purpose(s) of the video monitoring. Where the requirements under this paragraph are met, the data subject shall be deemed to be informed of the processing of data concerning him/her.

9. A warning sign indicating that video monitoring is being carried out shall have an appropriate inscription, a clearly visible image of video monitoring in progress, and the name and contact details of the controller.

 

Article 11 – Audio monitoring

1. Audio monitoring shall be permitted:

a) with the consent of the data subject;

b) to make a record;

c) to protect important legitimate interests pursued by the controller, provided that appropriate and specific measures are in place to safeguard the rights and interests of the data subject;

d) in other cases expressly provided for by the legislation of Georgia.

2. To carry out audio monitoring, the controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing and in advance, the purpose and amount of audio monitoring, the duration of the audio monitoring, the procedure and conditions for accessing, storing and destroying the audio recording, and the mechanism for the protection of the rights of the data subject.

3. The controller shall warn the data subject, prior to or upon starting audio monitoring, about the carrying out of audio monitoring, and explain to him/her his/her right to object (if any). The burden of proof of informing the data subject lies with the controller/processor.

4. If the data subject is informed of audio monitoring by means of a warning sign, the warning sign shall have an appropriate inscription, a clearly visible image of audio monitoring in progress, and the name and contact details of the controller.

 

Article 12 – Processing of data for direct marketing purposes

1. Irrespective of the ground for collecting/obtaining data and their accessibility, data may only be processed for direct marketing purposes with the consent of the data subject.

2. In addition to the name, surname, address, telephone number and e-mail address of the data subject, other data shall be processed for direct marketing purposes with the written consent of the data subject.

3. Prior to obtaining the data subject’s consent and when carrying out direct marketing, the controller/processor shall inform the data subject, in clear, simple and understandable language, of his/her right to withdraw his/her consent at any time and of the mechanism/procedure for exercising this right.

4. The controller/processor shall be obliged to terminate the processing of data for direct marketing purposes within a reasonable period after receiving an appropriate request from the data subject, but no later than 7 working days. To ensure that this obligation is met, the controller/processor shall have an obligation to provide information on the withdrawal of consent by the data subject.

5. The controller/processor shall ensure that the data subject has the possibility to request that the processing of data for direct marketing purposes be terminated in the same form in which the direct marketing is carried out, or to determine other available and adequate means to request the termination of the processing.

6. The means referred to in paragraph 5 of this article to request the termination of data processing for direct marketing purposes shall be simple. In addition, the data subject shall be provided with a clear and easily understandable instruction on the use of the means.

7. No fee or other restriction shall be imposed on the data subject for exercising the right to withdraw consent.

8. In the case of direct marketing, the burden of proof for the existence of the data subject’s consent, the simplicity of the means of objection, and the ease of understanding, accessibility and adequacy of instructions on the use thereof shall lie with the controller and/or processor.

9. The controller/processor shall record and keep the date and fact of the data subject’s consent to the processing of data concerning him/her and the withdrawal of such consent for the duration of the direct marketing and for 1 year after the direct marketing has been discontinued.

 

Chapter III – Rights of Data Subjects

 

Article 13 – Right of data subjects to receive information on the processing of data

1. The data subject shall have the right to obtain from the controller confirmation as to whether or not data concerning him/her are being processed and, if requested by the data subject, the following information free of charge:

a) which data concerning him/her are being processed, as well as the grounds for and the purpose of the processing;

b) the source from which the data were collected/obtained;

c) the period for which the data will be stored and, if no specific period can be determined, the criteria used to determine that period;

d) the right of the data subject as provided for by this chapter;

e) the legal basis and purposes of the data transfer, as well as the appropriate data protection safeguards if the data are transferred to another state or an international organisation;

f) the identity of the recipients or the categories of recipients, including information on the ground for and purpose of the transfer, if the data are transferred to a third party;

g) the decision made as a result of automated processing, including profiling, and the logic involved in making such a decision, as well as its impact on the processing and the expected results of the processing.

2. The data subject shall have the right to receive the information referred to in paragraph 1 of this article not later than 10 working days after the request. This period may, in special cases and upon appropriate justification, be extended by no more than 10 working days, of which the data subject shall be notified immediately.

3. The controller shall have the right to provide the data subject with any information necessary to ensure transparent processing in accordance with Article 4(1)(a) of this Law, unless the disclosure of the information is contrary to the law.

4. Unless otherwise provided by the legislation of Georgia, the data subject shall have the right to choose the form of the provision of information as provided for by paragraph 1 of this article. In addition, if the data subject does not request the information in another form, the information shall be provided in the same form in which it was requested.

 

Article 14 – Right to access and to obtain a copy

1. The data subject shall have the right to access personal data concerning him/her and to obtain copies of such data from the controller free of charge, except in cases where in order to access and/or issue the copies of data:

a) a fee is required under the legislation of Georgia;

b) a reasonable fee is established by the controller because of the resources spent on issuing them in a form other than the data are stored, and/or frequent requests.

2. The data subject shall have the right to access the data referred to in paragraph 1 of this article and/or to obtain copies thereof not later than 10 working days after the request, unless different time limits are set by the legislation of Georgia.

3. The period referred to in paragraph 2 of this article may be extended in special cases and upon appropriate justification by no more than 10 working days, of which the data subject shall be notified immediately.

4. The data subject shall have the right to access the data referred to in paragraph 1 of this article and/or to obtain copies thereof in a form in which they are kept by the controller and/or processor. The data subject shall also have the right to obtain copies of data concerning him/her in another form in return for a reasonable fee established by the controller and where technically feasible.

5. The fee under paragraph 1(b) of this article shall not exceed the amount of resources actually spent by the controller. The burden of establishing a fee and of proving that its amount is reasonable shall lie with the controller.

 

Article 15 – Right to the rectification, update and completion of data

1. The data subject shall have the right to request the controller to rectify, update and/or complete erroneous, inaccurate and/or incomplete data concerning him/her.

2. Within not later than 10 working days after the data subject has made the request under paragraph 1 of this article (unless different time limits are set by the legislation of Georgia), the data shall be rectified, updated and/or completed, or the grounds on which the request was refused shall be notified, and the procedure for appealing against the refusal shall be explained, to the data subject.

3. If the controller, independently of the data subject, discovers that the data available to him/her are erroneous, inaccurate and/or incomplete, the controller shall rectify, update and/or complete the data within a reasonable period of time and inform the data subject thereof within 10 working days after the rectification of the data.

4. The controller shall not be obliged to inform the data subject in accordance with paragraph 3 of this article if the rectification, update and/or completion of the data is related to the correction/removal of a technical error.

5. If there are objective circumstances that make it impossible to fulfil the obligation to inform the data subject within the period referred to in paragraph 3 of this article, the controller shall inform the data subject of the change made at the time of the first communication to the data subject.

6. The collector shall inform all the recipients and all respective controllers and processors, to whom the controller transferred the same data, of the update and completion of the data, unless this information cannot be provided due to a large number of controllers/processors or recipients, and/or disproportionately high costs.

7. The persons referred to in paragraph 6 of this article shall rectify, update and/or complete the data within a reasonable period after receiving the respective information.

 

Article 16 – Right to the termination of the processing, erasure or destruction of data

1. The data subject shall have the right to request the controller to terminate the processing of (including profiling), erase or destroy data concerning him/her.

2. Within not later than 10 working days after the data subject has made the request under paragraph 1 of this article (unless otherwise provided for by the legislation of Georgia), the processing of the data shall be terminated, and/or the data shall be erased or destroyed, or the grounds on which the request was refused shall be notified and the procedure for appealing against the refusal shall be explained to the data subject.

3. The controller shall have the right to refuse the request under paragraph 1 of this article if:

a) one of the grounds provided for in Articles 5 or 6 of this Law exists;

b) data are processed for the purposes of substantiating a legal claim or a statement of defence;

c) the processing of data is necessary for the exercise of the right of freedom of expression or information;

d) data are processed for archiving purposes in the public interest as provided for by law, for scientific or historical research purposes or statistical purposes, and the exercise of the right to the termination of the processing, erasure or destruction of the data would render impossible or substantially impair the achievement of the purposes of the processing.

4. Where any of the grounds provided for by paragraph 3 of this article exists, the controller shall have an obligation to justify the respective ground.

5. The data subject shall have the right to be informed of the termination of the processing, erasure or destruction of the data once the respective action has been taken, without delay and at the latest within 10 working days.

6. The data subject shall have the right, where the data concerning him/her are processed in a publicly available form, to also request the controller to restrict access to the data and/or erase copies of or any internet links to the data.

7. The collector shall inform all the recipients and all respective controllers and processors, to whom the controller transferred the same data, of the termination of the processing, erasure and destruction of the data, unless this information cannot be provided due to a large number of controllers/processors or recipients, and/or disproportionately high costs.

8. The persons referred to in paragraphs 6 and 7 of this article shall, after the receipt of the respective information, terminate the processing of the data and erase or destroy the data.

 

Article 17 – Right to the blocking of data

1. The data subject shall have the right to request the controller to block data if any of the following circumstances exists:

a) the authenticity or accuracy of the data is contested by the data subject;

b) the processing of the data is unlawful, although the data subject opposes the erasure of the data and requests their blocking;

c) the data are no longer needed for the purposes of the processing, but they are required by the data subject to lodge a complaint/claim;

d) the data subject requests the termination of the processing, erasure or destruction of the data and this request is being considered;

e) there is a need to retain the data for use as evidence.

2. The controller shall be obliged to block the data upon the request of the data subject if one of the circumstances provided for by paragraph 1 of this article applies, unless blocking the data could jeopardise one of the following:

a) the fulfilment by the controller of the duties assigned to him/her by law and/or a law and a subordinate normative act issued on the basis thereof;

b) the performance of tasks falling within the scope of public interest in accordance with law and the exercise by the controller of the powers conferred on him/her under the legislation of Georgia;

c) the legitimate interests of the controller or a third party, unless there is an overriding interest in protecting the rights of a data subject, in particular a minor;

d) the protection of interests as provided for by Article 50(6) of this Law.

3. After the decision to block the data has been made, the controller may decide to unblock the data if any of the grounds provided for by paragraph 2(a)-(d) of this article exists.

4. The data shall be blocked for the period that the reason for blocking them exists, and during this period, if technically feasible, the decision to block the data shall be attached to the relevant data.

5. The data subject shall have the right to be informed of a decision to block the data or of the grounds for refusing to block the data once the decision has been made, without delay and at the latest within 3 working days after the request.

6. Where data are blocked in accordance with paragraph 1 of this article, the data may be processed otherwise than by storage in the following cases:

a) with the consent of the data subject;

b) to substantiate a legal claim or a statement of defence;

c) to protect the interests of the controller or a third party;

d) to protect public interests in accordance with law.

 

Article 18 – Right to the transmission of data

In the case of the automated processing of data on the grounds provided for by Article 5(1)(a) and (b) and Article 6(1)(a) of this Law, if technically feasible, the data subject shall have the right to receive from the controller data concerning him/her which he/she has provided to the controller in a structured, commonly used and machine-readable format, or to require that the data be transmitted to another controller.

 

Article 19 – Automated individual decision-making and related rights

1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal or other similarly significant effects concerning him/her, except where a decision based on profiling is:

a) based on the data subject’s explicit consent;

b) necessary for entering into, or performing, a contract between the data subject and a controller;

c) provided for by law or by a subordinate normative act issued within the powers delegated on the basis of the law.

2. Where there is a respective request from the data subject, the controller shall take appropriate measures to safeguard the data subject’s rights and freedoms and legitimate interests, including by involving human resources in the decision-making as provided for by paragraph 1(c) of this article, and by giving the right to the data subject to express his/her point of view and to contest the decision.

3. The use of special categories of data in the decision-making as referred to in paragraph 1 of this article shall be permitted only in the cases provided for by Article 6(1)(a), (f) and (j) of this Law, provided that appropriate measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

 

Article 20 – Right to withdraw consent

1. A data subject shall have the right to withdraw his/her consent at any time and without explanation. In such case, the processing of the data shall be terminated, and/or the processed data shall be erased or destroyed, according to the request of the data subject, within not later than 10 working days after the request, provided that no other ground for the processing exists.

2. The data subject shall have the right to withdraw his/her consent in the same form in which it was given.

3. Before withdrawing consent, the data subject shall have the right to request and receive from the controller information on the possible consequences of withdrawing the consent.

 

Article 21 – Restriction of the rights of data subjects

1. The rights of the data subject under Articles 13-20, 24 and 25 of this Law may be restricted if this is expressly provided for by the legislation of Georgia, does not violate fundamental human rights and freedoms, and is a necessary and proportionate measure in a democratic society, and the exercise of these rights may jeopardise:

a) national security, information security and cyber security and/or defence interests;

b) public safety interests;

c) crime prevention, investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, and the conduct of operative and investigative activities;

d) interests relating to financial or economic (including monetary, budgetary and taxation), public health and social protection issues of importance to the country;

e) the detection of the data subject’s violations of professional ethical standards, including those of a regulated profession, and the imposition of liability on the data subject;

f) the exercise of the functions and powers of regulatory and/or supervisory bodies in the areas defined by paragraph 1(a), (b), (c), (d), (e), (g) or (i) of this article;

g) the protection of the rights and freedoms, including freedom of expression, of the data subject and others;

h) the protection of state, commercial, professional and other secrets provided for by law;

i) the substantiation of a legal claim or a statement of defence.

2. A measure under paragraph 1 of this article may be applied only to the extent necessary to achieve the purpose of the restriction.

3. If the grounds under paragraph 1 of this article exist, the decision of the controller to restrict, or to refuse the exercise of, the rights of the data subject shall be notified to the data subject, except where the provision of the information would jeopardise the purpose (purposes) of the restriction of the right.

4. The exercise by the data subject of the rights as provided for by Articles 13-20, 24 and 25 of this Law shall be free of charge, subject to the exceptions established by this Law. Where the data subject makes an unreasonable number of requests, the controller may refuse to comply with the request, in which case he/she shall immediately inform the data subject in writing and explain to him/her his/her right to appeal.

5. Where the rights of the data subject are restricted and his/her request is refused, the burden of proof shall lie with the controller.

 

Article 22 – Right to appeal

1. If the rights as provided for and the rules established by this Law are violated, the data subject shall have the right to apply to the Personal Data Protection Service, to a court and/or a superior administrative body in accordance with procedures established by law.

2. The data subject shall have the right to request the Personal Data Protection Service to make a decision to block the data until a decision is made to complete the consideration of the application.

3. The data subject shall have the right to appeal the decision of the Personal Data Protection Service to a court, in compliance with the conditions and time limits established by the legislation of Georgia.

 

Chapter IV – Obligations of Controllers and Processors

 

Article 23 – Obligation to protect the rights of the data subject

1. According to the request of the data subject, the controller shall be obliged to ensure, in accordance with established procedures, the exercise of the rights of the data subject as provided for by Chapter III of this Law, including taking all measures to comply with the requirements of this Law and, if necessary, demonstrate them.

2. The obligations under paragraph 1 of this article shall also apply to the processor in relation to the information kept with/available to him/her.

 

Article 24 – Informing the data subject where data are collected directly from him/her

1. Where data are collected directly from the data subject, the controller shall be obliged to provide the data subject with at least the following information before or at the beginning of the collection:

a) the identity/name and the contact details of the controller, his/her representative and/or the processor (if any);

b) the purposes and the legal basis of the processing of the data;

c) whether the provision of the data is mandatory, and where the provision of the data is mandatory, the legal consequences of refusal to provide them, as well as the information that the collection/obtaining of the data is required by the legislation of Georgia or is a necessary condition for entering into a contract (if such information exists);

d) the important legitimate interests pursued by the controller or of a third party if the data are processed in accordance with Article 5(1)(i) of this Law;

e) the identity and the contact details of the personal data protection officer (if any);

f) the identity of the recipients or categories of recipients of the data (if any);

g) the planned transfer of data and the existence of appropriate safeguards for the protection of the data, including authorisation to transfer the data (if any) if the controller plans to transfer the data to another state or an international organisation;

h) the period for which the data will be stored and, if no specific period can be determined, the criteria used to determine that period;

i) the right of the data subject as provided for by this chapter.

2. The provision of the information referred to in paragraph 1 of this article shall not be mandatory if it is reasonably foreseeable that the data subject already has such information.

3. The procedure under paragraph 1 of this article shall not apply if special legislation provides for a different procedure for informing the data subject when data are collected from the data subject and that procedure does not result in the infringement of the fundamental rights and freedoms of the data subject. In such case, where there is a written request from the data subject, the controller shall be obliged to provide the data subject with the information referred to in paragraph 1 of this article within 10 working days of the request, unless there are grounds for restricting the right as provided for by Article 21 of this Law.

4. The time limit for providing the information referred to in paragraph 3 of this article may, in special cases and upon appropriate justification, be extended by no more than 10 working days, of which the data subject shall be notified immediately.

5. The controller shall be obliged to provide the information referred to in paragraph 1 of this article to the data subject, especially if the data subject is a minor, in simple and understandable language. This information may be provided orally or in writing (including electronically), unless the data subject requests the provision of the information in writing.

 

Article 25 – Informing the data subject where data are not collected directly from him/her

1. Where data are not collected directly from the data subject, the collector shall be obliged to provide the data subject with the information referred to in Article 24(1)(a)-(i) of this Law, as well as information as to which data concerning him/her are being processed, and the source of the data, including whether the data have been obtained from a publicly accessible source.

2. The controller shall provide the data subject with the information referred to in paragraph 1 of this article within a reasonable period, or if the data are used to communicate with the data subject, at the time of the first communication with the data subject, or if the disclosure of the data is envisaged, before the data are disclosed, but not later than 10 working day after obtaining the data, unless there are grounds for restricting the right as provided for by Article 21 of this Law.

3. The obligation to provide the information under this article shall not apply to the controller and/or the processor if:

a) the data subject already has the information referred to in paragraph 1 of this article;

b) the collection or disclosure of the data is established by law or required for the performance of statutory duties;

c) the information cannot be provided or involves disproportionate effort, or the fulfilment of the obligation under this article would seriously impair or render impossible the achievement of the legitimate purpose(s) of the processing. In such cases, the controller shall take appropriate measures to protect the rights and legitimate interests of the data subject, including by making general information about the collection of data publicly available/publishing general information about the collection of data in an easily accessible form.

 

Article 26 – Data masking priority as an initial method used automatically before choosing an alternative approach when creating a new product or service

1. Taking into account the new technologies, development costs, nature, scope, context and purposes of data processing, the expected risks to the rights and freedoms of data subjects, and the principles of data processing, a controller shall take appropriate technical and organisational measures (including pseudonymisation, etc.) when determining the means of data processing and during the data processing. Taking such measures will ensure the effective implementation of data processing principles and the integration of data protection mechanisms in data processing, in order to ensure the protection of the rights of data subjects.

2. When determining the volume and scope of data processing, the periods of data storage and the authority to access such data, a controller shall ensure that technical and organisational measures are taken to process automatically only the volume of such data that is necessary for the specific purpose of the processing. Such measures shall be applied in such a manner that, before choosing an authorised alternative approach, an indefinite number of persons are automatically provided with access to the minimum volume of data.

 

Article 27 – Data security

1. A controller is obliged to take appropriate technical and organisational measures to ensure the processing of data in accordance with this Law and the confirmation of the compliance of data processing with this Law.

2. A controller and a processor are obliged to take organisational and technical measures that are adequate for the possible and associated risks of data processing (including data pseudonymisation, registration of the access to data, information security mechanisms (confidentiality, integrity, accessibility), etc.), which will ensure the protection of the data against loss or unlawful processing, including destruction, deletion, alteration, disclosure or use.

3. When determining the necessary organisational and technical measures for ensuring data security, a controller and a processor are obliged to take into account the data categories and volume, and the purpose, form and means of data processing and possible threats of violation of the rights of data subjects, and to periodically assess the efficiency of technical and organisational measures taken for ensuring data security, and where necessary, to take adequate measures and/or update existing measures for ensuring data security.

4. A controller and a processor are obliged to ensure that all operations performed in relation to electronic data (including information on incidents, data collection, data alteration, data access, data disclosure (transfer), data links and data deletion) are registered. When processing non-electronic data, the controller and the processor are obliged to ensure that all operations related to data disclosure and/or alteration (including information on incidents) are registered.

5. Any employee of a data controller and a data processor who is involved in data processing, or who has access to data, is obliged to act within the scope of powers granted to him/her, maintain data secrecy and confidentiality, and to comply with same after the termination of his/her term of office.

6. A controller and a processor are obliged to determine the volume of data to be accessed by employees depending on their scope of authority, and to take adequate measures to safeguard such data from incidents of unlawful data processing by employees, and to identify and prevent such incidents, and to provide information to employees on matters related data security.

 

Article 28 – Registration of information related to data processing and notifying the Personal Data Protection Service thereof

1. A controller and a special representative (if any) are obliged to ensure, in writing or electronically, the registration of the following data processing information on:

a) the identity / name and contact details of the controller, special representative, personal data protection officer, joint controller, and the processor ;

b) the objectives of the data processing ;

c) the data subjects and the data categories ;

d) the categories of data recipients (including the categories of data recipients from another state or international organisation) ;

e) the transfer of data to another state or international organisation, as well as appropriate guarantees of data protection, including a permit from the Personal Data Protection Service (if any) ;

f) the periods of data storage, and where such periods cannot be specified, the criteria for determining the periods of storage ;

g) a general description of the organisational and technical measures taken for ensuring data security ;

h) information on incidents (if any).

2. A processor and a person involved in data processing in accordance with the procedure established by Article 36(7) of this Law are obliged to ensure, in writing or electronically, the registration of the following data processing information on:

a) the name and contact details of the processor, personal data protection officer, controller, joint controller, and special representative ;

b) the types of data processing carried out for or on behalf of the controller ;

c) the information provided for by paragraph 1(e) of this article, if they participate in the process of transferring data to another state or international organisation ;

d) a general description of the organisational and technical measures taken for ensuring the data security ;

e) information on incidents (if any).

3. A controller, co-controller, processor and a special representative shall provide to the Personal Data Protection Service the information provided for by paragraphs 1 and 2 of this article immediately upon request, but not later than 3 working days after a request.

4. A copy of a court ruling on issuing or refusing to issue a permit to conduct covert investigative actions requested by a law enforcement body, which contains only the particulars and the resolution part, as well as a copy of a court ruling on recognising an investigative action, conducted by a law enforcement body without a court permission , as lawful/ unlawful, which contains only the particulars and the resolution part, shall be submitted to the Personal Data Protection Service in accordance with the procedures determined by the Criminal Procedure Code of Georgia.

5. An electronic communications company shall notify the Personal Data Protection Service about the transfer of electronic communication identification data to a law enforcement body in accordance with the procedure established by Article 136 of the Criminal Procedure Code of Georgia, and the notification shall be sent within 24 hours after such transfer.

6. In the case of urgent necessity, a prosecutor’s decree on the conduct of a covert investigative action, which contains only the particulars and the resolution part, shall be submitted as a tangible document to the Personal Data Protection Service by a prosecutor or an investigator, on the instruction of the prosecutor, not later than 12 hours after the time of the start of the covert investigative action as specified in the decree.

7. An electronic copy of a court ruling on the issuance of a permit for conducting a covert investigative action as provided for by Article 1431(a) of the Criminal Procedure Code of Georgia, which contains only the particulars and the resolution part, as well as an electronic copy of the prosecutor’s decree on conducting a covert investigative action, which contains only the particulars and the resolution part, shall be submitted to the Personal Data Protection Service immediately after their receipt by the Agency, via the electronic control system.

 

Article 29 – Obligation to notify the Personal Data Protection Service about an incident

1. A controller is obliged to register an incident, its resulting outcome, the measures taken, and to notify the Personal Data Protection Service about the incident, not later than 72 hours after the identification of the incident, in writing or electronically, except for the case where it is least expected that the incident would cause significant damage and/or pose a significant threat to fundamental human rights and freedoms.

2. A processor is obliged to notify a controller immediately about an incident.

3. A notification as referred to in paragraph 1 of this article shall contain the following information on:

a) the circumstances, type and time of the incident;

b) the possible categories and volume of data that have been disclosed, damaged, deleted, destroyed, obtained, lost, or altered in a non-authorised manner as a result of the incident, as well as the possible categories and number of data subjects that have been exposed to a threat as a result of the incident;

c) the measures taken or planned by a controller for mitigating or eliminating any possible damage caused by the incident;

d) whether or not, and within what time frame, a controller plans to notify a data subject(s) about the incident in accordance with the procedures established by Article 30 of this Law;

e) the data of a personal data protection officer or other contact persons.

4. If it is impossible to provide the information provided for by paragraph 3 of this article entirely and in full, a controller shall have the right, in agreement with the Personal Data Protection Service, to provide the information gradually, within a reasonable period.

5. If, in accordance with the notification submitted to the Personal Data Protection Service, a controller does not inform or fails to inform a data subject(s) about the incident, the Personal Data Protection Service shall be authorised to make public the available information on the incident considering the circumstances of the incident, the possible damage and/or the number of data subjects, except where one of the circumstances provided for by Article 30(3) of this Law prevails.

6. The procedure provided for by paragraph 5 of this article shall not apply if the notification provided for by paragraph 1 of this article is accompanied by an instruction of a public or private controller that the disclosure of information on the incident would pose a threat to:

a) the interests of state security, information security and cyber security, and/or defence ;

b) the interests of public security ;

c) crime prevention, investigation, a criminal prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, and operative and investigative activities ;

d) interests related to financial or economic (including monetary, budgetary, and taxation) matters, public health and social protection that are essential for the country.

7. The Personal Data Protection Service is entitled not to disclose information in the cases provided for by paragraph 6 of this article, even if the notification is not accompanied by any of the instructions provided for by paragraph 6 (a-d) of this article.

8. A controller shall notify the Personal Data Protection Service about the circumstances provided for in the relevant sub-paragraph of paragraph 6 of this article in the form of a notification of incident in accordance with the procedure established by paragraph 9 of this article.

9. The criteria for identifying an incident posing a significant threat to fundamental human rights and freedoms as provided for by paragraph 1 of this article, and the procedure for notifying the Personal Data Protection Service about the incident, shall be established by a normative act of the head of the Personal Data Protection Service.

10. A public controller shall specify the appropriate circumstances determined by the relevant sub-paragraph of paragraph 6 of this article in accordance with its own competence/area of activity.

11. The subject of the critical information system, taking into account its category, shall specify the basis of information security and cyber security provided for by paragraph 6(a) of this article, in agreement with the relevant agency competent in the field of information security and cyber security.

 

Article 30 – Obligation to inform a data subject on the incident

1. If there is a high probability that an incident will cause significant damage and/or pose a significant threat to fundamental human rights and freedoms, a controller is obliged to inform a data subject about the incident immediately, or without unreasonable delay, after the identification of the incident, and to provide, in a simple and understandable language, the following information on:

a) a general description of the incident and the related circumstances;

b) the possible/resulting damage caused by the incident, and the measures taken or planned in order to mitigate or eliminate the damage;

c) the contact details of the personal data protection officer or other persons.

2. If informing a data subject requires disproportionately great efforts, expenses and time, a controller is obliged to make public the information provided for by paragraph 1 of this article or to disseminate it in another form that ensures the possibility of the data subject receiving the information.

3. The obligation provided for by paragraphs 1 and 2 of this article shall not arise where one of the following circumstances exists; namely if:

a) informing a data subject on the incident poses a threat to the interests of the protection of state secrets, the interests of state security, information security and cyber security and/or defence, the interests of public safety, crime prevention, operative and investigative activities, a criminal investigation, a criminal prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences or probation, interests related to financial or economic (including monetary, budgetary, and taxation) matters, public health and social protection that are essential for the country;

b) if a controller has taken appropriate security measures that have resulted in the prevention of a significant risk of violation of fundamental human rights and freedoms.

4. The criteria for identifying an incident posing a significant threat to fundamental human rights and freedoms as provided for by paragraph 1 of this article, the procedures for notifying the Personal Data Protection Service about such incident shall be established by a normative act of the head of the Personal Data Protection Service.

 

Article 31 – Data protection impact assessment

1. If, taking into account the new technologies, categories and the volume of data, and the purposes and means of data processing, there is a high probability of threat of violation of fundamental human rights and freedoms during data processing, a controller is obliged to carry out a data protection impact assessment in advance.

2. Except for the case provided for by paragraph 1 of this article, the data protection impact assessment shall be mandatory if a controller:

a) makes decisions, in a fully automated manner, including on the basis of profiling, having legal, financial or other significant consequences for a data subject;

b) processes data of a special category of a large number of data subjects;

c) carries out systematic and large-scale monitoring of data subjects’ behaviour in places of public gathering.

3. During the data protection impact assessment, a controller is obliged to create a written document containing:

a) a description of the data category, the purposes, proportionality, process and grounds of data processing;

b) an assessment of possible threats of violation of fundamental human rights and freedoms and a description of the organisational and technical measures provided for data security.

4. In the case of a substantial change in the process of data processing, a controller is obliged to update the data protection impact assessment document, to keep the data protection impact assessment document for the entire period of the data processing, and in the case of the termination of data processing, for at least 1 year thereafter.

5. If, as a result of a data protection impact assessment, a high risk of violation of fundamental human rights and freedoms is identified, a controller is obliged to take all necessary measures to mitigate the risk substantially, and where necessary, address the Personal Data Protection Service for consultation. Where the threat of violation of fundamental human rights and freedoms cannot be mitigated by taking additional organisational and technical measures, the data processing shall not be carried out.

6. To address the Personal Data Protection Service on the basis of paragraph 5 of this article a controller shall submit:

a) information on the authority of the controller, joint controller and a processor ;

b) information on the purposes and means of the planned data processing ;

c) information on security measures for protecting the rights and freedoms of a data subject ;

d) the contact details of a personal data protection officer (if any) ;

e) the data protection impact assessment ;

f) other (additional) information in the event of a request by the Personal Data Protection Service.

7. A significant number of data subjects shall be considered to be not less than 3 percent of the population of Georgia, which is calculated in accordance with the results of the latest population census.

8. A data protection impact assessment document as specified in paragraph 3 of this article shall not be subject to disclosure, insofar as it may endanger the interests of state security, information security and cyber security and/or defence, the interests of public security, crime prevention, operative and investigation activities, a criminal investigation, a criminal prosecution, the administration of justice, the enforcement of detention or imprisonment, the execution of non-custodial sentences and probation, interests related to financial or economic (including monetary, budgetary and tax) matters, and public health and social protection, that are of significance for the country, and the prevalent legitimate interests of a controller and a processor.

9. The criteria for determining the circumstances giving rise to the obligation for a data protection impact assessment as provided for by paragraph 1 of this article and the procedure for conducting the assessment shall be established by a normative act of the head of the Personal Data Protection Service.

 

Article 32 – Obligations of a controller when receiving consent from a data subject and the withdrawing of consent by a data subject

1. If a controller plans to obtain written consent from a data subject with a document that also covers other matters, the controller is obliged to formulate the wording of the consent in the document in a clear, simple and understandable language and to separate it from other parts of the document.

2. If the consent of a data subject is given within the scope of a contract or service, when determining whether or not the consent was given on a voluntary basis, among other circumstances, it shall be assessed whether the consent is a required term of the contract or service, and whether it is possible to receive the relevant service/enter into the relevant contract without such consent.

3. Before obtaining consent from a data subject, a controller shall ensure that the data subject is informed of his/her right to withdraw the consent.

4. A controller is obliged to immediately terminate the data processing and delete or destroy the processed data if a data subject withdraws his/her consent, unless otherwise provided for by this Law.

5. The obligation determined by paragraph 4 of this article shall not apply to the case provided for by Article 16(3) of this Law.

6. The withdrawal of consent by a data subject shall not lead to the cancellation of legal consequences arising before the withdrawal of the consent and within the scope of the consent.

7. On the basis of a request of a data subject or in the event that this results in legal, financial or other significant consequences for the data subject, a controller is obliged to provide the data subject, prior to the withdrawal of consent by the data subject, with information on the consequences of the withdrawal of consent.

8. A controller is obliged to provide a free, simple and accessible mechanism for withdrawing consent, including the possibility of withdrawing consent in the same form in which the consent was given.

9. In the event of a dispute regarding the existence of a data subject’s consent to data processing, a controller shall bear the burden of proving the fact of the existence of the data subject’s consent.

 

Article 33 – Personal data protection officer

1. Public institutions, insurance organisations, commercial banks, micro-finance organisations, credit bureaus, electronic communication companies, airlines, airports, and medical institutions, as well as controllers/processors processing the data of a significant number of data subjects or carrying out systematic and large-scale monitoring of their behaviour, are obliged to appoint or designate a personal data protection officer. The personal data protection officer shall:

a) inform a controller, a processor and their employees on matters related to data protection, including on matters related to the adoption or modification of regulatory legal norms, and provide them with consultation and assistance in terms of the methodology used;

b) participate in the development of internal regulations related to data processing and the data protection impact assessment document, and also monitor whether a controller or a processor complies with the legislation of Georgia and the internal organisational documents;

c) analyse received applications and grievances regarding data processing and make appropriate recommendations;

d) receive consultations from the Personal Data Protection Service, represent a controller and a processor in the relationship with the Personal Data Protection Service, submit information and documents at its request, and coordinate and monitor the execution of its tasks and recommendations;

e) in the event of an application by a data subject, provide him/her with information on data processing and his/her rights;

f) perform other functions for ensuring the improvement of standards of data processing by a controller and a processor.

2. Except for the cases provided for by paragraph 1 of this article, other controllers shall have the right, at their own discretion, to appoint or designate a personal data protection officer.

3. The function of a personal data protection officer may be performed by an employee of a controller or a processor or by other person(s) on the basis of a service contract. The personal data protection officer shall have the right to perform other functions unless they give rise to a conflict of interest.

4. A controller or a processor may appoint or designate a common personal data protection officer provided that he/she completes his/her functions. If the controller or the processor is a public institution, it shall also be permissible to appoint or designate a common personal data protection officer for several state institutions, taking into account the organisational structure and size of the said institutions.

5. A personal data protection officer shall have appropriate knowledge in the field of data protection.

6. A personal data protection officer shall be accountable to the highest governance structure, taking into account the specific circumstances.

7. A controller and a processor shall ensure the proper involvement of a personal data protection officer in the process of taking important decisions regarding data processing, provide him/her with appropriate resources, and ensure his/her autonomy during the carrying out of activities.

8. A controller and a processor are obliged to provide to the Personal Data Protection Service information on the identity and contact details of a personal data protection officer, who is in charge of making such information public; this shall be carried out within 10 working days after the appointment or designation and/or replacement of the relevant personal data protection officer. The controller and the processor are obliged to publish the identity and contact details of the personal data protection officer on a website (if any) in a proactive manner, or through other available means.

9. A controller and a processor, in the case of the temporary absence of a personal data protection officer or the termination of his/her authority, are obliged, without unjustifiable delay, to grant the authority of the personal data protection officer to another person.

10. The number of controllers and processors with no obligation to appoint or designate a personal data protection officer shall be determined by a normative act of the head of the Personal Data Protection Service. When determining the number of controllers and processors, the head of the Personal Data Protection Service shall take into account the criteria established by paragraph 1 of this article.

 

Article 34 – Special representative

1. In the case of data processing by a controller/processor who is registered outside Georgia using the technical means available in Georgia, the controller/processor is obliged to appoint or designate a special representative in Georgia before data processing using the technical means available in Georgia. The special representative shall be registered in the manner established by a normative act issued by the Personal Data Protection Service.

2. In the case provided for by paragraph 1 of this article, a controller shall have the right to data processing only after the registration of a special representative.

3. A special representative is obliged to comply with a request and/or decision made by the head of the Personal Data Protection Service in the manner provided for by law.

4. A data subject shall have the right to request, through a special representative, the exercise of his/her rights in relation to a controller/processor registered outside Georgia.

5. The appointment of a special representative shall not relieve a controller/processor registered outside Georgia from the obligation to respond to the request and/or decision made in relation to the relevant controller/processor by the head of the Personal Data Protection Service in the manner provided for by law.

6. The obligation stipulated by paragraph 1 of this article shall not apply to a controller/processor, which is founded in a member state of the European Union, in which case the personal data protection rules applicable in the European Union will apply.

7. The obligation stipulated by paragraph 1 of this article shall not apply to a controller/processor, which is founded in a state with adequate data protection rules recognised by the European Union.

 

Article 35 – Joint controllers

1. Where joint controllers are involved in data processing, they are obliged to determine, in advance, each joint controller’s written obligations and responsibilities related to compliance with the requirements of this Law, including in relation to the protection of the rights of data subjects and the obligations stipulated by Articles 13 through 20, and Articles 24 and 25 of this Law.

2. If joint data processing is provided for by the legislation of Georgia, the obligations and responsibilities of each joint controller shall be determined by a relevant legal act and/or written agreement.

3. Information on the distribution of obligations and responsibilities between joint controllers shall be available to data subjects. Their rights to apply to joint controllers individually shall not be restricted.

 

Article 36 – Processor

1. A processor may carry out data processing only on the basis of a legal act or a written agreement concluded with a controller, which shall specify the grounds and purposes of the data processing, the categories of data to be processed, the term of data processing, and the rights and obligations of a controller and a processor.

2. The written agreement provided for by paragraph 1 of this article shall also include the following obligations of a processor:

a) to carry out data processing only in accordance with the written instructions or guidelines of a controller;

b) to ensure that a natural person who directly participates in data processing has an obligation to maintain confidentiality;

c) to ensure data security in accordance with this Law;

d) to delete or transfer data to a controller in the case of the cancellation or termination of the agreement provided for by paragraph 1 of this article, and to delete their copies, unless an obligation to keep them is established by the legislation of Georgia;

e) to provide appropriate information to a controller in order to ensure compliance with the obligations established by this Law and the monitoring of data processing by the controller.

3. A legal act as provided for by paragraph 1 of this article or a written agreement concluded with a controller in order to ensure data security and the protection of the data subject’s rights may provide for the obligation of a processor to provide assistance to the controller.

4. A processor shall not be allowed to carry out further data processing for purposes other than those determined by an agreement or a legal act.

5. A processor shall be allowed to carry out data processing only if the processor ensures the taking of appropriate organisational and technical measures to protect the rights of data subjects and if he/she ensures compliance with the requirements of law. An agreement on data processing may not be concluded if, due to the activities and/or purposes of the processor, there is a high risk of inappropriate data processing, or the risk of violation of the rights of data subjects.

6. A controller is obliged to request from a processor, in advance, information on statutory data processing, and to monitor data processing by the processor.

7. Unless otherwise provided for by the legislation of Georgia, a processor may not transfer his/her rights and duties, fully or partially, to another person without the prior written consent of a controller. The consent of the controller shall not relieve the processor from the relevant obligations and responsibilities.

8. Unless otherwise provided for by the legislation of Georgia, in the event of a dispute between a processor and a controller in relation to data processing, the processor is obliged to immediately terminate data processing and transfer all the data in his/her possession to the controller.

9. In the event of the cancellation or invalidity of a legal act (or a relevant provision therein), or the termination of a written agreement as provided for by paragraph 1 of this article, data processing shall be terminated and the processed data shall be immediately transferred to a controller in full.

10. A processor is obliged to take appropriate organisational and technical measures to assist a controller in the fulfilment of his/her obligations related to the exercise of the rights of a data subject.

 

Chapter V – International Data Transfer

 

Article 37 – Transfer of data to another state and international organisation

1. The transfer of data to another state and international organisation shall be allowed if the requirements for data processing provided for by this Law and appropriate safeguards in the relevant state or international organisation are in place for ensuring data protection and the protection of data subjects’ rights.

2. In addition to paragraph 1 of this article, the transfer of data to another state and international organisation shall be allowed if:

a) the transfer of data is envisaged by an international treaty and the agreements of Georgia;

b) a controller provides appropriate safeguards for data protection on the basis of an agreement concluded between the controller and the relevant state, the appropriate public institution of such state, a legal person or a natural person, or an international organisation;

c) the transfer of data is stipulated by the Criminal Procedure Code of Georgia (for the purpose of carrying out investigative action), the Law of Georgia On the Legal Status of Aliens and Stateless Persons, the Law of Georgia On International Cooperation in Criminal Matters, the Law of Georgia On International Cooperation in Law Enforcement, and a normative act adopted on the basis of the Organic Law of Georgia On the National Bank of Georgia or the Law of Georgia On Facilitating the Prevention of Money Laundering and the Financing of Terrorism;

d) a data subject gives written consent after receiving information on the lack of proper safeguards for data protection in the relevant state and on possible threats;

e) the transfer of data is necessary to protect the vital interests of a data subject and the data subject is physically or legally incapable to give consent to such data processing;

f) there is a lawful public interest (including for the purposes of crime prevention, investigation, identification and criminal prosecution, the execution of a sentence and carrying out operative and investigation actions) and the transfer of data is a necessary and proportionate measure in a democratic society.

3. On the basis of paragraph 2(b) of this article, data transfer shall be allowed only after obtaining a permit from the Personal Data Protection Service, and the procedure for issuing such permit shall be established by a normative act of the head of the Personal Data Protection Service.

4. In the case of data transfer on any of the grounds stipulated in paragraph 2 of this article, a controller/processor is obliged to take necessary organisational and technical measures to safeguard such data transfer.

5. In the case of data transfer on the basis of paragraph 2(b) of this article, an agreement on data transfer shall provide that the provisions therein are legally binding.

6. Data transferred to another state or international organisation may be further transferred to a third party only if such data transfer serves the initial purpose of data transfer and meets the basis for data transfer and guarantees adequate safeguards for data protection as provided for by this article.

 

Article 38 – Establishing adequate safeguards for data protection

1. The existence of adequate safeguards for data protection in another state and/or international organisation shall be assessed by the Personal Data Protection Service on the basis of international obligations and regulatory legislation relating to data protection, guarantees for the protection of the rights and freedoms of data subjects (including effective legal protection mechanisms), rules for further international data transfer, and the analysis of the existence, powers and activities of an independent data protection supervisory body.

2. A list of states and international organisations in which adequate data protection guarantees are ensured shall be determined by a normative act of the head of the Personal Data Protection Service.

3. The list determined by a normative act of the Personal Data Protection Service shall be reviewed at least once every 3 years. If a state and/or international organisation no longer meets the conditions provided for by paragraph 1 of this article, appropriate changes shall be made in the list as provided for by a normative act, which shall not have retroactive force.

 

Chapter VI –Principles of Activities of the Personal Data Protection Service and Guarantees for the Exercise of its Powers, the Powers of the Head of the Personal Data Protection Service, his/her Election, Inviolability, Incompatibility of Duties and Early Termination of his/her Powers

 

Article 39 – Status and principles of activities of the Personal Data Protection Service

1. The Personal Data Protection Service is an independent state body established and operating on the basis of law.

2. The Personal Data Protection Service shall be guided by the Constitution of Georgia, the international treaties of Georgia, generally recognised principles and norms of international law, this Law and other relevant legal acts.

3. The principles of activities the Personal Data Protection Service are:

a) legality;

b) the protection of human rights and freedoms;

c) independence and political neutrality;

d) objectivity and impartiality;

e) professionalism;

f) the ensuring of secrecy and confidentiality.

4. The procedure for submitting a report to the Parliament of Georgia by the Personal Data Protection Service shall be determined by this Law and the Rules of Procedure of the Parliament of Georgia.

 

Article 40 – Powers of the head of the Personal Data Protection Service

1. The head of Personal Data Protection Service shall:

a) direct the Personal Data Protection Service and take decisions on matters related to the activities of the Service;

b) determine the structure of the Personal Data Protection Service, and the powers of its structural units and employees, and establish procedures for employees serving at the Personal Data Protection Service;

c) approve a staff list of employees of the Personal Data Protection Service, and remuneration procedures and the amount of remuneration, in accordance with the legislation of Georgia;

d) determine the functions and duties of the first deputy and deputy head of the Personal Data Protection Service and delegate powers;

e) appoint and dismiss employees of the Personal Data Protection Service;

f) assign a special state rank (the special rank) to an employee of the Personal Data Protection Service (except for a person employed under an employment contract) and demote from the special state rank in accordance with the procedure established by the legislation of Georgia;

g) represent the Personal Data Protection Service in relations with state bodies, and international and other organisations;

h) ensure the protection and targeted use of state property transferred to the Personal Data Protection Service;

i) exercise other powers in accordance with law.

2. The head of the Personal Data Protection Service shall, within the scope of his/her powers, issue subordinate normative acts called orders on matters related to the activities of the Personal Data Protection Service.

3. The head of the Personal Data Protection Service shall issue individual legal acts, including decisions, orders, and instructions, on the basis of an appropriate normative act and within the scope of his/her powers.

 

Article 41 – Election of the head of the Personal Data Protection Service and his/her term of office

1. A citizen of Georgia with no criminal record who has higher education in law and at least 5 years of work experience in the system of justice and law enforcement bodies or in the field of human rights, as well as with a high professional and moral reputation, may be elected to the position of head of the Personal Data Protection Service.

2. A competition for the selection of the head of the Personal Data Protection Service shall be announced and a competition commission shall be established by an order of the Prime Minister of Georgia. The members of the competition commission shall be:

a) a representative of the Government of Georgia ;

b) the chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia ;

c) the chairperson of the Legal Issues Committee of the Parliament of Georgia ;

d) the deputy chairperson of the Supreme Court of Georgia ;

e) the first deputy or the deputy General Prosecutor of Georgia ;

f) the Public Defender of Georgia or a representative of the Public Defender of Georgia ;

g) a person with appropriate experience, including experience working in the field of the protection of human rights and/or data protection, who has been selected by the Public Defender of Georgia through an open competition from among members of non-entrepreneurial (non-commercial) legal entities.

3. Not earlier than 11 weeks and not later than 10 weeks before the termination of the term of office of the head of the Personal Data Protection Service, and in the case of early termination of the term of office, within 1 week after the termination of the term of office, the agencies and institutions determined by paragraph 2 of this article shall inform the Prime Minister of Georgia of the identity of the members of a competition commission for the selection of the head of the Personal Data Protection Service. 7 days after the expiry of the deadline for the nomination of the members of the competition commission, the Prime Minister of Georgia shall convene the first meeting of the competition commission. The meeting of the competition commission shall be quorate if the majority of the full composition of the competition commission is present. The competition commission shall elect the chairperson of the competition commission from among its members at the first meeting and shall approve the regulations of the competition commission for the selection of the head of the Personal Data Protection Service within 1 week, which shall include the rules of the activities of the competition commission, as well as the deadline and procedures for the nomination of candidacies for the head of the Personal Data Protection Service.

4. The competition commission for the selection of the head of the Personal Data Protection Service shall select not less than 2 and not more than 5 candidates for the head of the Personal Data Protection Service by a majority of votes, and shall nominate them to the Prime Minister of Georgia. Taking into account the number of selected candidates, the number of candidates of different genders shall be maximally equal.

5. The Prime Minister of Georgia shall, within 10 days, nominate 2 candidates to the Parliament of Georgia for the selection to the position of the head of the Personal Data Protection Service.

6. The Parliament of Georgia shall elect the head of the Personal Data Protection Service in accordance with the rules established by the Rules of Procedure of the Parliament of Georgia not later than 14 days after the nomination of candidates. If the term fully or partially coincides with the period between the sessions of the Parliament of Georgia, the time period specified by this paragraph for the election of the head of the Personal Data Protection Service shall be equally extended. If the Parliament of Georgia fails to elect the head of the Personal Data Protection Service through the voting or if both candidates refuse to be elected to the position of the head of the Personal Data Protection Service before the voting, the Prime Minister of Georgia shall announce a repeated competition within 2 weeks.

7. If the head of the Personal Data Protection Service was elected before the expiry of the term of office of the current head of the Personal Data Protection Service, the powers of the newly elected head of the Personal Data Protection Service shall take effect on the day following the expiry of the term of office of the current head of the Personal Data Protection Service. If the head of the Personal Data Protection Service was elected after the expiry of the term of office of the head of the Personal Data Protection Service or before the termination of his/her term of office, the powers of the newly elected head of the Personal Data Protection Service shall take effect on the day following his/her election.

8. The term of office of the head of the Personal Data Protection Service shall be 6 years. A person may not be elected to the position of head of the Personal Data Protection Service twice in succession. The head of the Personal Data Protection Service may not perform his/her duties after the expiry or the termination of the term of office.

 

Article 42 – First deputy and deputy head of the Personal Data Protection Service

1. The head of the Personal Data Protection Service shall have a first deputy and a deputy, whom he/she shall appoint to the positions by an order. Upon the expiry or termination of the term of office of the head of the Personal Data Protection Service, the term of office of the first deputy and deputy head of the Personal Data Protection Service shall cease as soon as the newly elected head of the Personal Data Protection Service starts the exercise of powers in accordance with the procedure established by this Law.

2. In the case of the absence of the head of the Personal Data Protection Service, his/her failure to exercise powers, the suspension, expiry or termination of his/her powers, the powers of the head of the Personal Data Protection Service shall be exercised by the first deputy head of the Personal Data Protection Service, and in the absence of the first deputy, by the deputy head of the Personal Data Protection Service. During the performance of the duties of the head of the Personal Data Protection Service, the first deputy and the deputy head of the Personal Data Protection Service shall enjoy the powers and legal guarantees granted to the head of the Personal Data Protection Service.

 

Article 43 – Inviolability of the head of the Personal Data Protection Service

1. The head of the Personal Data Protection Service shall be inviolable. The criminal prosecution, detention or arrest of the head of the Personal Data Protection Service, the search of his/her residence, workplace or car, or a personal search, can only be carried out with the prior consent of the Parliament of Georgia. An exception is the case when he/she has been caught in flagrante delicto, which shall be immediately reported to the Parliament of Georgia. If the Parliament of Georgia does not give its consent within 48 hours, the arrested or detained head of the Personal Data Protection Service shall be released immediately.

2. In the event that the Parliament of Georgia gives its consent to the arrest or detention of the head of the Personal Data Protection Service, his/her powers shall be suspended by a resolution of the Parliament of Georgia before the resolution/judgment on the termination of a criminal prosecution is issued or a court judgment enters into legal force.

3. The personal security of the head of the Personal Data Protection Service shall be duly ensured by the relevant state bodies.

 

Article 44 – Incompatibility of the duties of the head of the Personal Data Protection Service

1. The position of the head of the Personal Data Protection Service shall be incompatible with membership of the representative bodies of state authorities and municipalities, any position in public and state services, and with other paid activities, except for scientific, pedagogical and artistic activities. The head of the Personal Data Protection Service may not engage in entrepreneurial activities, or directly exercise the powers of a permanent head of a business entity, or a member of a supervisory, control, audit or advisory body, or be a member of a political party or participate in political activities.

2. The head of the Personal Data Protection Service shall not be allowed to participate in gatherings and demonstrations supporting or opposing the political union of citizens.

3. The person elected to the position of the head of the Personal Data Protection Service is obliged to terminate any activities which are incompatible with the position or to resign from a position which is incompatible with his/her status within 10 days after the election. Until the person elected to the position of the head of the Personal Data Protection Service terminates activities which are incompatible with the position or resigns from a position which is incompatible with his/her status, he/she shall not be authorised to start exercising the powers of the head of the Personal Data Protection Service. If the head of the Personal Data Protection Service does not comply with the requirements established by this paragraph within the said period, his/her powers shall be terminated.

 

Article 45 – Termination of the powers of the head of the Personal Data Protection Service

1. The powers of the head of the Personal Data Protection Service shall be terminated if:

a) he/she has lost the citizenship of Georgia;

b) he/she has not been able to exercise his/her powers for 4 consecutive months due to his/her health condition;

c) a court’s judgement of conviction has entered into legal force;

d) he/she has been recognised by a court as a recipient of support (unless otherwise determined by the court’s judgment), as missing or has been declared dead;

e) he/she has occupied a position incompatible with his/her status or carries out activities incompatible with the position;

f) he /she has resigned voluntarily;

g) he/she has died.

2. In the case provided for by paragraph 1 of this article, the powers of the head of the Personal Data Protection Service shall be considered terminated from the moment of the occurrence of the relevant circumstances, of which the Chairperson of the Parliament of Georgia shall immediately inform the Parliament of Georgia. The Parliament of Georgia shall terminate the powers of the head of the Personal Data Protection Service after receiving the information from the Chairperson of the Parliament of Georgia.

 

Article 46 – Organisational and financial support of the Personal Data Protection Service

1. The structure, the rules for activities and the distribution of powers among employees of the Personal Data Protection Service shall be established by the regulations of the Personal Data Protection Service, which shall be approved by the head of the Personal Data Protection Service.

2. An employee of the Personal Data Protection Service (except for the head, first deputy head and the head of the Personal Data Protection Service) shall be a public servant. The Law of Georgia o n Public Service shall apply to employees of the Personal Data Protection Service under the procedures established by the same law, unless otherwise provided for by this Law or a normative act of the head of the Personal Data Protection Service issued on the basis of this Law.

3. The activities of the Personal Data Protection Service shall be financed from the State Budget of Georgia. The allocations necessary for the activities of the Personal Data Protection Service shall be determined under a separate code of the State Budget of Georgia. The current expenses allocated from the State Budget of Georgia for the Personal Data Protection Service, as compared to the amount budgeted for the previous year, may be reduced only with the prior approval of the head of the Personal Data Protection Service.

 

Article 47 – Independence of the Personal Data Protection Service

1. The Personal Data Protection Service shall be independent in exercising its powers and shall not be subject to any body or official. Any influence on the head of the Personal Data Protection Service or the employees of the Personal Data Protection Service, and any unlawful interference in their activities, shall not be allowed and shall be punishable by law.

2. In order to ensure the independence of the Personal Data Protection Service, the State is obliged to create appropriate conditions for its activities.

3. The head of the Personal Data Protection Service shall have the right not to testify in connection with the carrying out of the functions of controlling the lawfulness of data processing, conducting covert investigative actions and activities carried out in the electronic data identification central bank due to a fact that has been disclosed to him/her during his/her term of office as the head of the Personal Data Protection Service. Such right shall be preserved by him/her after the termination of his/her powers as the head of the Personal Data Protection Service.

 

Article 48 – Annual report of the Personal Data Protection Service

1. Once a year, not later than 31 March, the head of the Personal Data Protection Service shall submit to the Parliament of Georgia a report on the status of data protection in Georgia, the monitoring of the conduct of covert investigative actions, and the activities carried out in the electronic data identification central bank.

2. The annual report of the Personal Data Protection Service shall contain information on the activities carried out by the Personal Data Protection Service in the field of data protection during the reporting period, general assessments related to the status of data protection in Georgia, conclusions and recommendations, information on significant violations identified during the year and measures taken, and general statistical information on the activities carried out in the field of monitoring the conduct of covert investigative actions.

3. Once a year, the head of the Personal Data Protection Service shall submit a report on the results of monitoring the investigative actions provided for by Articles 136 - 138 of the Criminal Procedure Code of Georgia, and the covert investigative actions provided for by Article 1431(1)(a-b) of the same Code, to the Parliamentary Committee and the Trust Group determined in accordance with the procedures established by the Parliamentary Bureau on the basis of the Rules of Procedure of the Parliament of Georgia.

4. Information on the activities carried out by the Personal Data Protection Service, taking into account the limitations established by this article, shall be made public through the website of the Personal Data Protection Service.

 

Chapter VII – Powers of the Personal Data Protection Service in the Fields of Data Protection and Monitoring the Conduct of Covert Investigative Actions

 

Article 49 – Main fields of activities of the Personal Data Protection Service in the field of data protection

The Personal Data Protection Service shall monitor the lawfulness of data processing in Georgia. The main fields of activities of the Personal Data Protection Service in the field of data protection shall be to:

a) provide consultations on matters related to data protection;

b) review applications related to data protection;

c) examine (inspect) the lawfulness of data processing;

d) inform the public on the data protection status in Georgia, and important events related thereto, and ensure the raising of awareness among the public.

 

Article 50 – Review of applications of data subjects by the Personal Data Protection Service

1. The Personal Data Protection Service is obliged to review the applications of data subjects regarding data processing and to take the measures provided for by the legislation of Georgia.

2. Within 10 days after receiving a data subject’s application, the Personal Data Protection Service shall take a decision on the measures to be taken, and inform the applicant thereof.

3. The Personal Data Protection Service shall be authorised to carry out an inspection in order to study and investigate the circumstances related to a data subject’s application. Any processor and/or controller is obliged to transfer the relevant material, information and/or documents to the Personal Data Protection Service upon request.

4. The period for reviewing an application of a data subject by the Personal Data Protection Service shall not exceed 2 months. On the basis of a grounded decision of the Personal Data Protection Service, the period of review of an application of a data subject may be extended for not more than 1 month.

5. The Personal Data Protection Service shall be authorised to suspend the review of a data subject’s application on the grounds of a request for additional material, information and/or documentation, of which the data subject shall be informed. The review of the data subject’s application shall continue where such grounds no longer exist. The period of suspension shall not be included in the period provided for by paragraph 4 of this article.

6. The Personal Data Protection Service shall be authorised to take a decision on data blocking before the review of the data subject’s application is completed. Despite the blocking of data, the data processing may continue if it is necessary to protect the vital interests of a data subject or a third party, or for the purposes of the security and defence of the State.

7. After reviewing the application of a data subject, the Personal Data Protection Service shall take a decision on one of the measures provided for by Article 52 of this Law, and inform the data subject and a processor and/or a controller thereof in accordance with the procedure and within the time frame specified by the legislation of Georgia.

 

Article 51 – Inspection by the Personal Data Protection Service

1. The Personal Data Protection Service shall be authorised to carry out, on its own initiative or based on an application of an interested person, an inspection of any controller and/or processor. A decision to carry out an inspection provided for by this article shall be taken by the Head of the Personal Data Protection Service.

2. Inspection by the Personal Data Protection Service involves:

a) determining compliance with the principles of data processing and the existence of legal grounds for data processing;

b) checking the compliance of organisational and technical measures and procedures implemented for data security with the requirements of the legislation of Georgia;

c) the checking of the lawfulness of data transfer to another state and international organisation;

d) checking compliance with the rules and requirements of this Law and other normative acts with respect to data protection.

3. During an inspection, the Personal Data Protection Service shall be authorised to request from any institution, natural and/or legal person, documents and/or information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as materials and/or documents and/or information describing operative and investigative activities and criminal investigations, which constitute state secrets and are necessary to carry out the inspection within the scope determined by paragraph 2 of this article.

4. A controller and/or a processor is obliged to provide any material, information and/or document to the Personal Data Protection Service immediately, within not later than 10 working days, if a response to the request for information requires:

a) finding and processing information in another institution or structural unit, or consulting with the said institution or unit;

b) searching for and processing a significant volume of information/documents.

5. The Personal Data Protection Service shall be authorised to extend the period referred to in paragraph 4 of this article by not more than 10 working days based on a substantiated application of a controller and/or a processor.

6. The Personal Data Protection Service shall be authorised to visit any institution and organisation for inspection and to obtain any document and information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as materials and/or documents and/or information describing operative and investigative activities and criminal investigations, which constitute state secrets, irrespective of their content and mode of storage.

7. Taking into account the results of an inspection, the Personal Data Protection Service shall be authorised to apply the measures provided for in Article 52 of this Law.

8. An employee of the Personal Data Protection Service is obliged to secure information containing any kind of secret and not to disclose the secret information that he/she has become aware of in the course of performing his/her official duties. Such obligation shall survive after the termination of the powers of an employee of the Personal Data Protection Service.

 

Article 52 – Application of measures by the Personal Data Protection Service

1. If the Personal Data Protection Service identifies a violation of this Law or another normative act regulating data processing, it shall be authorised to apply one, or simultaneously more than one, of the following measures:

a) require the remedy of any violations and shortcomings related to data processing in the manner and within the period specified by it;

b) require the suspension or termination of data processing, if the measures and procedures implemented by a controller or a processor for ensuring data security do not comply with the requirements of the legislation of Georgia;

c) require the termination of data processing, the blocking, erasure, destruction or depersonalisation of data, if it believes that the data are being processed in violation of the legislation of Georgia;

d) require the termination of data transfer to another state and international organisation, if the data transfer is being carried out in violation of the legislation of Georgia;

e) provide written advice and recommendations to a controller and/or a processor in the case of a minor violation of the procedures related to data processing;

f) impose administrative liability on an offender.

2. A controller and/or a processor is obliged to fulfil the requirements of the Personal Data Protection Service within the period determined by the latter, and to inform the Personal Data Protection Service thereof.

3. If a controller and/or a processor fails to comply with the requirements of the Personal Data Protection Service, the Personal Data Protection Service shall have the right to apply to a court, a law enforcement body and/or a state institution supervising (regulating) the respective area, as provided for by the legislation of Georgia.

4. If the Personal Data Protection Service identifies an administrative offence, it shall be authorised to draw up an administrative offence report and, accordingly, to impose administrative liability on a controller and/or a processor in accordance with this Law and the Administrative Offences Code of Georgia.

5. If, in the course of performing its activities, the Personal Data Protection Service believes that there are elements of a crime, it shall inform the authorised state body thereof as provided for by law.

6. Compliance with the decisions of the Personal Data Protection Service in the area of data protection shall be mandatory and may only be appealed in a court according to the procedure established by law.

 

Article 53 – Consultation and implementation of educational activities by the Personal Data Protection Service

1. If requested, the Personal Data Protection Service is obliged to provide consultations to state authorities, municipal bodies, other public institutions, legal entities under private law, and natural persons on any issue related to data processing and data protection.

2. The Personal Data Protection Service shall carry out educational activities on issues related to data processing and data protection.

 

Article 54 – Monitoring covert investigative actions and activities carried out in the central bank of electronic communication identification data

1. During the conduct of a covert investigative action, namely the secret eavesdropping and recording of telephone communication, as determined by Article 1431(1)(a) of the Criminal Procedure Code of Georgia, the Personal Data Protection Service shall monitor:

a) the lawfulness of data processing, through the electronic control system;

b) the lawfulness of data processing, through the special electronic control system;

c) the lawfulness of processing of data by a controller/processor (inspection).

2. The Personal Data Protection Service shall carry out the monitoring of the investigative activities provided for by Articles 136-138 of the Criminal Procedure Code of Georgia by comparing the information provided by courts, the Prosecutor’s Office, and the providers of electronic communication services, and by checking (inspecting) the lawfulness of the processing of data by a controller/processor.

3. The Personal Data Protection Service shall carry out the monitoring of the covert investigative actions provided for by Article 1431(1)(b), (d) and (f) of the Criminal Procedure Code of Georgia by checking (inspecting) the lawfulness of the processing of data by a controller/processor.

4. The Personal Data Protection Service shall carry out the monitoring of the covert investigative actions provided for by Article 1431(1)(e) of the Criminal Procedure Code of Georgia by checking (inspecting) the lawfulness of the processing of data by a controller/processor, as provided for by this Law. If the checking (inspection) is carried out in the case provided for by this paragraph, information about the identity of a person participating in the conduct of the covert investigative actions (except for a data subject, an investigator and a prosecutor) and his/her participation in the process of checking (inspection), as well as information on the characteristics of the operational and operational-technical equipment used during the conduct of the covert investigative actions provided for by this paragraph, may be requested only upon the approval of the head of the body conducting the covert investigative actions. The carrying out of the checking (inspection) in the case provided for by this paragraph shall not imply direct participation in the process of preparing/conducting the covert investigative action and the on-site inspection of a disguised residential or service premises or other disguised facilities and buildings.

5. The Personal Data Protection Service shall monitor the conduct of the covert investigative actions provided for by Article 1431(1)(c) of the Criminal Procedure Code of Georgia, as well as the application of the measure provided for by Article 7(3)(b) of the Law of Georgia on Operative and Investigative Activities, with a special electronic control system for real-time location and by checking (inspecting) the lawfulness of processing data by a controller/processor.

6. The Personal Data Protection Service shall monitor the activities carried out in the central bank of electronic communication identification data through the electronic control system of the central bank of electronic communication identification data and by checking (inspecting) the lawfulness of processing data by a controller/processor.

7. During the checking (inspection) of the Agency, the Personal Data Protection Service shall be authorised to:

a) enter the area of limited access of the Agency and monitor the implementation of activities by the authorised bodies in an on-going mode;

b) acquire the legal documents and technical instructions regulating the activities of the Agency (including those containing state secrets);

c) obtain information on the technical infrastructure used for the purposes of covert investigative actions and inspect the infrastructure;

d) request explanations from Agency employees with respect to individual issues identified during the checking (inspection);

e) exercise other powers provided for by this Law.

8. Employees of the Agency are obliged to cooperate with the Personal Data Protection Service, to provide the Personal Data Protection Service with requested information and documents in full, and to provide explanations regarding the individual issues identified during the checking (inspection).

 

Chapter VIII – Legal Protection and Social Security of Employees of the Personal Data Protection Service, and Employees of the Structural Unit Carrying out Official Inspections of the Personal Data Protection Service

 

Article 55 – Legal protection of employees of the Personal Data Protection Service

1. In the course of performing his/her official duties, an employee of the Personal Data Protection Service is a representative of the state authority and is protected by the State. The fulfilment of a lawful request of an employee of the Personal Data Protection Service is mandatory for everyone.

2. No one has the right to interfere with the official activities of an employee of the Personal Data Protection Service, except for the cases provided for by law.

3. Obstructing an employee of the Personal Data Protection Service in the performance of his/her duties, encroaching upon his/her honour and dignity, resisting, threatening, or using violence against him/her, or encroaching upon his/her life, health or property, shall result in the imposition of liability as provided for by the legislation of Georgia. In the case of obtaining information on the encroachment upon the life, health and property of the Head of the Personal Data Protection Service, the First Deputy or Deputy Head of the Personal Data Protection Service, an employee of the Personal Data Protection Service or his/her family members, in connection with the exercise of official powers, the state authorities are obliged to apply the measures provided for by law for their personal safety and the safety of their property.

4. An employee of the Personal Data Protection Service shall refuse to comply with an obviously unlawful order or instruction, if he/she had known or should have known about its unlawfulness, and shall act within the scope of law.

5. An employee of the Personal Data Protection Service shall inform the Head of the Personal Data Protection Service in the case of receiving an obviously unlawful order or instruction.

6. An employee of the Personal Data Protection Service who refuses to comply with an obviously unlawful order or instruction shall not be held liable.

7. A person giving an obviously unlawful order or instruction to an employee of the Personal Data Protection Service shall be held liable according to the procedure established by law.

8. An employee of the Personal Data Protection Service shall have the right to apply to a court to protect his/her rights and freedoms.

9. An employee of the Personal Data Protection Service shall be given an identity card and/or a special badge to confirm his/her official powers, the form and the procedure of issuance of which shall be determined by the Head of the Personal Data Protection Service.

 

Article 56 – Social security of the employees of the Personal Data Protection Service

1. The State shall ensure the social security of the employees of the Personal Data Protection Service.

2. Unless otherwise provided for by the legislation of Georgia, the social security guarantees of an official provided for by the Law of Georgia on Public Service shall apply to the employees of the Personal Data Protection Service (including the social security guarantees related to bodily injury or death while performing official duties).

3. An employee of the Personal Data Protection Service shall have:

a) an official salary determined in accordance with paragraph 5 of this article;

b) a salary increment and monetary reward as determined by paragraph 5 of this article and the Law of Georgia on Remuneration in Public Institutions;

c) if an employee has a special rank, the rank salary corresponding to such rank;

d) a salary increment according to the years of service;

e) other increments and compensations provided for by the legislation of Georgia.

4. A respective employee of the Personal Data Protection Service shall have the right to receive state compensation or a state pension as provided for by the legislation of Georgia.

5. The amount of and the procedure for the remuneration of an employee of the Personal Data Protection Service, the amounts of the rank salary and increments according to the years of service, as well as the amounts of other increments and compensations provided for by the legislation of Georgia, shall be determined by the normative acts of the Head of the Personal Data Protection Service, and other legislative and subordinate normative acts of Georgia.

6. An employee of the Personal Data Protection Service shall be subject to mandatory state insurance. The matters related to the state insurance of family members of the employees of the Personal Data Protection Service (including the category of family members) shall be determined by the Head of the Personal Data Protection Service.

7. The special ranks of the employees of the Personal Data Protection Service shall be determined by the Law of Georgia on Special State Ranks.

 

Article 57 – Selection, appointment, and powers of employees of the structural unit carrying out an official inspection of the Personal Data Protection Service

1. An employee of the structural unit carrying out an official inspection of the Personal Data Protection Service (except for the case provided for by paragraph 2 of this article) shall be appointed on the basis of a competition, by an order of the Head of the Personal Data Protection Service. The rules and conditions of the competition for the selection and appointment of an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service, as well as the qualification requirements of a person to be appointed (the basic requirements, which should not be less than the basic requirements established by Article 27 of the Law of Georgia on Public Service, special requirements and additional requirements) shall be determined by this Law and a respective legal act of the Head of the Personal Data Protection Service. In order to hold a competition for the selection and appointment of an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service, the Head of the Personal Data Protection Service shall establish a competition commission and determine the rules for its operation.

2. An employee of the structural unit carrying out an official inspection of the Personal Data Protection Service may be transferred, without a competition, to another institution based on the principle of mobility, or through a horizontal transfer, as provided for by the Law of Georgia on Public Service.

3. The powers and duties determined by this Law and a respective legal act of the Head of the Personal Data Protection Service shall apply to an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service.

 

Chapter IX – Procedures for Carrying out Proceedings, Reviewing Administrative Offences and Imposing Administrative Penalties

 

Article 58 – General provisions for carrying out proceedings by the Personal Data Protection Service

1. Administrative offences related to processing personal data as provided for by Articles 66-87 of this Law (‘an administrative offence’) shall be identified and the respective administrative liability shall be imposed based on the checking (inspection) carried out by the Personal Data Protection Service, and/or the review of an application of a data subject (‘the proceedings’). An administrative offence report shall be drawn up and a respective administrative penalty shall be imposed on an offender by the Personal Data Protection Service according to the procedure established by the legislation of Georgia.

2. Based on a decision of the Head of the Personal Data Protection Service, it is permissible to combine more than one proceedings into one case, or to separate a case from the proceedings.

3. The powers of the Head of the Personal Data Protection Service and the procedure for carrying out the proceedings shall be determined by this Law, the Administrative Offences Code of Georgia, other legislative acts, and the normative acts of the Head of the Personal Data Protection Service.

4. In the case of any interrelation between the norms of the Administrative Offences Code of Georgia and of this Law, the norms of this Law shall prevail.

 

Article 59 – Evidence

1. For the purposes of proceedings, evidence is all actual data, based on which the Head and/or an authorised person of the Personal Data Protection Service shall, according to the procedure established by the legislation of Georgia, establish the existence or otherwise of an administrative offence, a person’s culpability in committing such an offence, and other circumstances that are of importance for the correct resolution of the case.

2. For the purposes of this article, the following may be considered as evidence: information and documents obtained as a result of the review of an application of a data subject and/or the checking (inspection); the explanations of a data subject, a controller, a joint controller, a processor, a special representative, and a witness; an offender’s confession; minutes of an oral session (recording); an expert opinion; fact-finding materials; an audio recording; a video recording; a photo; information and documents obtained from public sources; a document prepared/issued/certified by an authorised person or body; an administrative offence report drawn up by the Head or an authorised person of the Personal Data Protection Service, the form of and procedure of acquainting with which shall be determined by the Head of the Personal Data Protection Service; a report for checking (inspecting) the lawfulness of data processing; material evidence; any other information, document or material that is of importance in establishing the objective circumstances of a case.

 

Article 60 – Circumstances to be established during the proceedings and imposition of an administrative penalty

1. In the course of reviewing cases of administrative offences and imposing an administrative penalty, the Personal Data Protection Service or a court shall establish whether an administrative offence has been committed, whether a person is guilty of committing it, whether such person is subject to administrative liability, whether any circumstances mitigating or aggravating administrative liability are present, as well as other circumstances that are of importance for the correct resolution of a case.

2. If there are any circumstances mitigating administrative liability, the Personal Data Protection Service or a court shall be authorised to issue a warning to an offender in the case of a minor administrative offence.

3. An administrative penalty for committing an administrative offence shall be imposed on an offender within the scope determined by this Law, in accordance with the article that provides for administrative liability.

 

Article 61 – Circumstances mitigating liability for an administrative offence

1. The following circumstances shall be considered as mitigating the administrative liability for an administrative offence:

a) terminating an unlawful act and remedying the damage caused as a result of the administrative offence, and/or taking appropriate organisational and technical measures for the prevention of similar offences in the future;

b) the commission of an administrative offence by a minor;

c) the sincere repentance of an administrative offence and cooperation with the Personal Data Protection Service;

d) other circumstances, such as the nature of the administrative offence and the degree of charges against the offender, which are considered as mitigating circumstances by the Head of the Personal Data Protection Service during the resolution of the case.

2. The obligation to submit evidence of the existence of circumstances mitigating administrative liability determined by paragraph 1 of this article shall rest with a controller/processor.

3. If there are any mitigating circumstances as provided for by paragraph 1(a) and/or (b) of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 30 per cent.

4. If there are any mitigating circumstances as provided for by paragraph 1(c) and/or (d) of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 20 per cent.

5. In the case of the simultaneous existence of grounds for reducing the amount of fines under paragraphs 3 and 4 of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 50 per cent.

 

Article 62 – Circumstances aggravating liability for an administrative offence

The following circumstances shall be considered as aggravating administrative liability for the administrative offences provided for by this Law:

a) the repeated commission of the same administrative offence within 1 year, for which an administrative penalty has already been imposed on a controller/processor/third party;

b) processing large quantities of data subjects’ data in violation of the requirements of this Law, or a risk thereof;

c) processing minors’ data in violation of the requirements of this Law;

d) the commission of an administrative offence for financial or other gain;

e) the commission of an administrative offence on the grounds of discrimination.

 

Article 63 – Right to appeal a decision of the Head of the Personal Data Protection Service made as a result of the proceedings

1. A decision made by the Head of the Personal Data Protection Service as a result of the proceedings may be appealed before a court, according to the procedure established by the Administrative Offences Code of Georgia, by a person, against whom such decision has been made, within 1 month after the official notification of such decision.

2. If a decision made by the Head of the Personal Data Protection Service as a result of the proceedings is appealed before a court, it shall be enforced from the moment the decision of the court enters into legal force.

 

Article 64 – Imposition of an administrative penalty for committing several administrative offences

1. If a person commits multiple administrative offences, the total amount of fines imposed on the person shall not exceed the amounts provided for by paragraph 2 of this article, if any of the following conditions is met:

a) the administrative offences have been identified as a result of a single checking;

b) the issue of imposition of administrative liability for several administrative offences is examined within the framework of a single set of proceedings;

c) administrative liability is imposed for the administrative offence that had been committed before the imposition of an administrative penalty already applied against the same person, in which case both the amount of imposed administrative liability and the amount of the administrative liability to be imposed shall be taken into account.

2. In the case provided for by paragraph 1 of this article, the total amount of fines imposed on a person shall not exceed:

a) GEL 10 000 in the case of a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) GEL 20 000 in the case of a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. If the same action can be qualified as several administrative offences determined by the respective articles of this Law, administrative liability shall be imposed only for the administrative offence and within the scope for which the heaviest liability is provided for by this Law.

4. For the purposes of paragraph 3 of this article, a violation shall be considered as a single action even if it constitutes a combination of several actions closely and directly related to one another, which amount to essentially a single administrative offence.

5. If only one joint controller is guilty of committing an administrative offence provided for by this Law, an administrative penalty shall be imposed only on him/her/it, and if simultaneously more than one joint controllers are found guilty, an administrative penalty shall be imposed on the offending joint controllers jointly and severally.

6. In the case of the commission of an administrative offence provided for by this Law, other measures determined by Article 52 of this Law may also be applied together with an administrative penalty.

7. The Head of the Personal Data Protection Service shall be authorised, for the purposes of the imposition of administrative liability under this Law, to request and receive from the LEPL Revenue Service information on the annual turnover of a legal person, a branch of a foreign enterprise, and an individual entrepreneur, as well as to have access to the relevant electronic database of the LEPL Revenue Service.

 

Article 65 – Timeframe for imposing an administrative penalty

1. Liability may be imposed on a person for committing an administrative offence provided for by this Law within not later than 4 months from the date of the commission of the administrative offence, and if the offence is continuing, within not later than 4 months from the date of its identification.

2. If a criminal prosecution or an investigation has been terminated but there are elements of administrative offence in the actions of an offender, an administrative penalty may be imposed on the offender within not later than 2 months from the date the decision on the termination of the criminal prosecution or investigation was made.

3. If a decision made regarding an administrative offence is appealed before a court, the running of the timeframe for the imposition of an administrative penalty provided for by paragraph 1 of this article shall be suspended until the court delivers a final decision on the case.

 

Chapter X − Administrative Offence and Administrative Liability

 

Article 66 – Violation of the principles of data processing

1. The violation of any principle of data processing provided for by this Law –

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. The violation of two or more principles of data processing provided for by this Law –

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 1 500 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 67 – Processing data without the grounds provided for by this Law

1. Processing data without the grounds provided for by this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 68 – Processing special category data without the grounds provided for by this Law

1. Processing of special category data without the grounds provided for by this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 69 – Violation of the rules for video monitoring or audio monitoring

1. The violation of the rules of video monitoring determined by Article 10 of this Law (except for the cases provided for by paragraphs 2 and 4 of this article) or of the rules of audio monitoring determined by Article 11 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. Carrying out video monitoring in changing rooms, hygiene facilities, or other places, where a data subject has a reasonable expectation of protection of privacy and/or where the carrying out of surveillance contradicts universally recognised moral norms, −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 70 – Violation of the rules for processing the data of deceased persons

1. Processing the data of a deceased person in violation of Article 8 of this Law –

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 71 – Processing data for the purposes of direct marketing in violation of rules

1. Processing data for the purposes of direct marketing in violation of the rules established by this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 72 – Violation of the rights of a data subject as provided for by Chapter III of this Law

1. The violation of any right of a data subject provided for by Chapter III (except for Article 22) of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. The violation of two or more rights of a data subject provided for by Chapter III (except for Article 22) of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 1 500 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 73 – Failure to comply with the obligations provided for by Article 21(2) and (4) of this Law

1. The failure to comply with the obligation provided for by Article 21(2) of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. The failure to comply with the obligation provided for by Article 21(4) of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. An act provided for by paragraph 1 or 2 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 74 – Failure to comply with the obligation to inform a data subject

1. The failure to comply with the obligation to inform a data subject as provided for by Articles 24 and 25 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 75 – Violation of the requirement of data masking priority as an initial method used automatically before choosing an alternative approach when creating a new product or service

1. The failure to comply with any of the obligations determined by Article 26 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 76 – Failure to comply with the obligation to ensure data security

1. The failure to comply with the obligation, as provided for by this Law, to ensure data security determined by Article 27 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 77 – Failure to comply with the obligation to register information related to data processing

1. The failure to comply with the obligation, as provided for by this Law, to register information related to data processing under Article 28 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 78 – Failure to comply with the obligation to notify the Personal Data Protection Service of an incident

1. The failure to comply with the obligation to notify the Personal Data Protection Service of an incident as provided for by Article 29 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 79 – Failure to comply with the obligation to inform a data subject of an incident

1. The failure to comply with the obligation to inform a data subject of an incident as provided for by Article 30 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 5 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 10 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 80 – Failure to comply with the obligation to carry out a data protection impact assessment

1. The failure to comply with the obligation to carry out a data protection impact assessment as provided for by Article 31 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 81 – Failure to comply with the obligations, as provided for by the law, in the course of obtaining the consent of a data subject and the withdrawing of consent by a data subject

1. The failure to comply with the obligations, as provided for by this Law, in the course of obtaining the consent of a data subject and the withdrawing of consent by a data subject under Article 32 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 82 – Failure to comply with the obligation to appoint a personal data protection officer

1. The failure to comply with the obligation to appoint a personal data protection officer as provided for by Article 33(1) of this Law −

shall result in the issuance of a warning to the offender.

2. The failure by a personal data processor/processor to comply with the obligation to appoint a personal data protection officer as provided for by Article 33(1) of this Law within 1 year after the imposition of an administrative penalty by the Head of the Personal Data Protection Service −

shall result in the imposition of a fine of GEL 3 000 on the offender.

 

Article 83 – Failure to comply with the obligation to designate/appoint a special representative

1. The failure by a controller to comply with the obligation to designate/appoint a special representative as provided for by Article 34(1) of this Law −

shall result in the issuance of a warning to or the imposition of a fine of GEL 3 000 on the offender.

2. The failure to comply with the obligation to designate/appoint a special representative as provided for by Article 34(1) of this Law within 1 year after the imposition of an administrative penalty by the Head of the Personal Data Protection Service −

shall result in the imposition of a fine of GEL 5 000 on the offender.

 

Article 84 – Failure to comply with the obligations provided for by Articles 35 and 36 of this Law

1. The failure by a controller/processor to comply with the obligations provided for by Articles 35 and 36 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 85 – Violation of the rules established by Article 37 of this Law

1. The transfer of data to another state and/or an international organisation in violation of the rules established by Article 37 of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −

shall result in:

a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 86 – Obstructing the Head or an authorised person of the Personal Data Protection Service to exercise rights provided for by this Law

1. The violation of the rules for providing information and/or documents under Article 51(3) of this Law, or the provision of false information, to the Head or an authorised person of the Personal Data Protection Service −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

2. The same act committed by a person on whom an administrative penalty has been imposed in the course of 1 year for committing an offence provided for by paragraph 1 of this article −

shall result in:

a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

3. Obstructing, in any form, the Personal Data Protection Service or an authorised person of the Personal Data Protection Service from exercising the right provided for by Article 51(6) of this Law −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

4. The same act committed by a person on whom an administrative penalty has been imposed in the course of 1 year for committing an offence provided for by paragraph 3 of this article −

shall result in:

a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Article 87 – Failure to comply with a lawful request of the Personal Data Protection Service

The failure to comply with a lawful request of the Personal Data Protection Service (in accordance with Article 51(1)(a)-(d) of this Law) −

shall result in:

a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;

b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.

 

Chapter XI – Transitional and Final Provisions

 

Article 88 – Transitional provisions

1. Before 1 March 2024, administrative liability shall be imposed on an offender for committing an administrative offence related to the processing of personal data in accordance with the Law of Georgia on Personal Data Protection of 28 December 2011.

2. A controller/processor shall be exempted from the obligations provided for by Article 10(9) and Article 11(4) of this Law with respect to warning signs placed before 1 March 2024.

3. A controller shall be exempted from the obligation provided for by Article 26 of this Law with respect to software used for data processing and developed before 1 March 2024, unless the software has been significantly updated after 1 March 2024 and the compliance with the obligation provided for by the same Article does not require the controller to incur unreasonable expenses.

4. Before 1 March 2024, the Head of the Personal Data Protection Service shall issue the following normative acts:

a) the criteria for determining incidents posing a significant threat to fundamental human rights and freedoms, and the procedure for notifying the Personal Data Protection Service of an incident. This normative act shall be issued in agreement with the relevant state agencies;

b) on the criteria for determining the circumstances giving rise to the obligation for a data protection impact assessment, and the assessment procedure;

c) on determining the category of persons who are not obliged to designate/appoint a personal data protection officer;

d) the procedure for registering a special representative by the Personal Data Protection Service.

 

Article 89 – Invalidated normative acts

The Law of Georgia on Personal Data Protection of 28 December 2011 shall be declared invalid (Legislative Herald of Georgia (www.matsne.gov.ge), 16.1.2012, registration code: 010100000.05.001.016606).

 

Article 90 – Entry into force of the Law

1. This law, except for Articles 1-87, Article 88(2) and (3) and Article 89 of this Law, shall enter into force upon its promulgation.

2. Articles 1-5, Article 6(1)(a)-(q), (2) and (3), Articles 7-30, Article 32, Articles 34-79, Article 81, Articles 83-87, Article 88(2) and (3), and Article 89 of this Law shall enter into force on 1 March 2024.

3. Articles 31, 33, 80 and 82 of this Law shall enter into force on 1 June 2024.

4. Article 6(1)(r) and (s) of this Law shall enter into force on 1 January 2025.

 

President of Georgia                                                     Salome Zourabiсhvili

 

Tbilisi

14 June 2023

No 3144-XI მს -X მპ