On the Approval of the Criteria for Determining the Circumstances Giving Rise to the Obligation for a Data Protection Impact Assessment, and the Assessment Procedure

Document structure

View explanations

Referenced documents

Document comments

Document Highlights

Return back
 

პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის

ბრძანება №21

2024 წლის 28 თებერვალი

ქ. თბილისი

 
მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმებისა და შეფასების წესის დამტკიცების შესახებ

„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 31-ე მუხლის მე-9 პუნქტის და 88-ე მუხლის მე-4 პუნქტის „ბ“ ქვეპუნქტის შესაბამისად, ვბრძანებ:

მუხლი 1
თანდართული სახით დამტკიცდეს მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების წესი.
მუხლი 2
ეს ბრძანება ამოქმედდეს 2024 წლის 1 ივნისიდან.

პერსონალურ მონაცემთა დაცვის სამსახურის უფროსილელა ჯანაშვილი




მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების წესი

 

თავი I. ზოგადი დებულებები

მუხლი 1. რეგულირების სფერო

მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმები და შეფასების წესი (შემდგომ  წესი) განსაზღვრავს „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის (შემდგომ – კანონი) 31-ე მუხლის პირველი პუნქტით გათვალისწინებულ, მონაცემთა დაცვაზე ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენის კრიტერიუმებსა და  შეფასების განხორციელების პროცედურას.

მუხლი 2. ტერმინები

ამ წესში გამოყენებულ ტერმინებს აქვს კანონით განსაზღვრული მნიშვნელობა.

მუხლი 3. მონაცემთა დაცვაზე ზეგავლენის შეფასების მიზანი

1. მონაცემთა დაცვაზე ზეგავლენის შეფასება (შემდგომ – ზეგავლენის შეფასება) წარმოადგენს პერსონალურ მონაცემთა (შემდგომ – მონაცემი) დამუშავებასთან დაკავშირებული იმ გარემოებების შეფასებას, რომლებიც საფრთხეს უქმნის ადამიანის ძირითად უფლებებსა და თავისუფლებებს.

2. ზეგავლენის შეფასება ხელს უწყობს დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა დამუშავებისას უზრუნველყოს:

ა) მონაცემთა დამუშავების საწყის ეტაპზე მონაცემთა მიმართ არსებული საფრთხეების პროაქტიულად გათვალისწინება;

ბ) მონაცემთა დამუშავების შედეგად, ადამიანის ძირითადი უფლებებისა და თავისუფლებების მიმართ წარმოშობილი საფრთხეების იდენტიფიცირება, შეფასება და არსებითად შემცირება;

გ) კანონიერი და სამართლიანი გადაწყვეტილების მიღება მონაცემთა დამუშავების პროცესის დაწყების თაობაზე;

დ) ყველა დაინტერესებული პირის ჩართვა მონაცემთა დამუშავების დაგეგმვის პროცესში;

ე) მონაცემთა დამუშავების გამჭვირვალობა;

ვ) კანონის 26-ე მუხლით გათვალისწინებულ ვალდებულებებთან შესაბამისობა.

 

თავი II. ზეგავლენის შეფასების ვალდებულების წარმომშობი გარემოებების დადგენა

მუხლი 4. ზეგავლენის შეფასების ვალდებულება

1. ზეგავლენის შეფასების ვალდებულება წარმოიშობა, თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე.

2. გარდა ამ მუხლის პირველი პუნქტით გათვალისწინებული შემთხვევისა, მონაცემთა დაცვაზე ზეგავლენის შეფასების განხორციელება სავალდებულოა, თუ დამუშავებისთვის პასუხისმგებელი პირი:

ა) მონაცემთა სუბიექტისთვის სამართლებრივი, ფინანსური ან სხვა სახის არსებითი მნიშვნელობის შედეგის მქონე გადაწყვეტილებას იღებს სრულად ავტომატიზებულად, მათ შორის, პროფაილინგის საფუძველზე;

ბ) ამუშავებს დიდი რაოდენობით მონაცემთა სუბიექტების განსაკუთრებული კატეგორიის მონაცემებს;

გ) ახორციელებს მონაცემთა სუბიექტების ქცევის სისტემატურ და მასშტაბურ მონიტორინგს საზოგადოებრივი თავშეყრის ადგილებში.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებულ შემთხვევებში ზეგავლენის შეფასების ვალდებულების არსებობის დასადგენად მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა უნდა შეაფასოს, არსებობს თუ არა ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის დადგენის ამ წესის მე-5 მუხლით გათვალისწინებული გარემოებები.

4. ამ წესის მიზნებისთვის მონაცემთა სუბიექტების დიდ რაოდენობად მიიჩნევა საქართველოს მოსახლეობის არანაკლებ 3 პროცენტისა, რომელიც გამოითვლება მოსახლეობის აღწერის ბოლო შედეგების მიხედვით.

მუხლი 5. ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის დადგენა

ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალების გამოყენებით მონაცემთა დამუშავების შედეგად ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხის (შემდგომ – საფრთხე) შექმნის მაღალი ალბათობის დასადგენად აუცილებელია ქვემოთ ჩამოთვლილთაგან სულ მცირე ორი გარემოების ერთდროულად არსებობა:

ა) პროფაილინგი, რომლის შედეგების გათვალისწინებაც ხდება ისეთი გადაწყვეტილების მიღებისას, რომელიც სამართლებრივ შედეგს წარმოშობს მონაცემთა სუბიექტის მიმართ, ან ასეთი გადაწყვეტილება ეხება მონაცემთა სუბიექტისთვის პროდუქტის ან მომსახურების შეთავაზებას, გარკვეული სარგებლის მიღებას, დასაქმებულთა მიერ შესრულებული სამუშაოს  ხარისხის შეფასებას ან ადამიანური რესურსების მართვასთან დაკავშირებულ სხვა აქტივობებს, გარკვეულ ადგილებზე ფიზიკურ წვდომას ან გადაადგილებას;

ბ) მონაცემთა სუბიექტების ქცევის ან მდგომარეობის (მათ შორის, ფიზიკური/ჯანმრთელობის მდგომარეობის) სისტემატური და მასშტაბური მონიტორინგი ელექტრონული სისტემის/ტექნოლოგიის მეშვეობით, ან როცა ასეთი მონიტორინგი მიმდინარეობს დასაქმებულთა მიმართ;

გ) ელექტრონული სისტემის გამოყენება, რომელიც მიზნად ისახავს მომხმარებლისათვის პროდუქტის ან მომსახურების შეთავაზებას ან/და მიწოდებას და რომლის მეშვეობითაც მუშავდება მომხმარებლის ფინანსური მონაცემები ან/და რეალურ დროში მომხმარებელთა ადგილსამყოფლის შესახებ მონაცემები;

დ)  ახალი ტექნოლოგიის დანერგვა ან ინოვაციური გამოყენება;

ე) იმ მონაცემთა ბაზების შედარება ან გაერთიანება, რომელიც წარმოიქმნება ორი ან მეტი სხვადასხვა მონაცემთა დამუშავების პროცესიდან, სხვადასხვა მიზნისთვის ან/და სხვადასხვა დამუშავებისთვის პასუხიმგებელი პირის მიერ;

ვ) მონაცემთა დამუშავება, რომელსაც შედეგად შესაძლოა მოჰყვეს მონაცემთა სუბიექტის დისკრიმინაცია;

ზ) მონაცემთა დამუშავება, რომელსაც შედეგად შესაძლოა მოჰყვეს უარი პროდუქტის/მომსახურების შეთავაზებაზე ან მონაცემთა სუბიექტის უფლების შეზღუდვა;

თ) მუშავდება დამუშავებისთვის პასუხისმგებელი პირის თანამშრომლების, სამედიცინო დაწესებულების პაციენტების, არასრულწლოვნების, შეზღუდული შესაძლებლობისა და სხვა განსაკუთრებული სოციალური თუ სამართლებრივი დაცვის საჭიროების მქონე პირების მონაცემები.

თავი III. ზეგავლენის შეფასების წესი

მუხლი 6. ზეგავლენის შეფასების განხორციელება

1. ზეგავლენის შეფასება უნდა განხორციელდეს მონაცემთა დამუშავების პროცესის დაწყებამდე ან მისი ცვლილების/განახლების შემთხვევაში.

2. თუ დამუშავებისთვის პასუხისმგებელი პირი მონაცემთა დამუშავებას ახორციელებს დამუშავებაზე უფლებამოსილი პირის მეშვეობით, დამუშავებაზე უფლებამოსილი პირი, საჭიროების შემთხვევაში, მის ხელთ არსებული ინფორმაციისა და მონაცემთა დამუშავების ხასიათის გათვალისწინებით, დამუშავებისთვის პასუხისმგებელი პირის მოთხოვნის საფუძველზე ვალდებულია დაეხმაროს მას ზეგავლენის შეფასებაში.

3. თანადამუშავებისთვის პასუხისმგებელმა პირებმა ზეგავლენის შეფასება შესაძლებელია განახორციელონ ერთობლივად ან ინდივიდუალურად, სამართლებრივი აქტით ან წერილობითი შეთანხმებით განსაზღვრული პირობებით, ამ წესის შესაბამისად.

მუხლი 7. ზეგავლენის შეფასების პროცესში მონაწილე პირები

1. დამუშავებისთვის პასუხისმგებელმა პირმა ზეგავლენის შეფასების პროცესში, არსებობის შემთხვევაში, უნდა უზრუნველყოს შემდეგი პირების მონაწილეობა:

ა) შესაბამისი სტრუქტურული ერთეული ან პირი, რომელიც პასუხისმგებელია კონკრეტული პროდუქტის ან მომსახურების შექმნასა თუ განახლებაზე, რომლის ფარგლებშიც ხორციელდება მონაცემთა დამუშავება;

ბ) პერსონალურ მონაცემთა დაცვის ოფიცერი;

გ) ინფორმაციულ უსაფრთხოებაზე პასუხისმგებელი სტრუქტურული ერთეული/პირი;

დ) საინფორმაციო ტექნოლოგიებზე პასუხისმგებელი სტრუქტურული ერთეული/პირი.

2. დამუშავებისთვის პასუხისმგებელმა პირმა ზეგავლენის შეფასების პროცესში საჭიროების შემთხვევაში შეიძლება ჩართოს:

ა) ექსპერტი, რომელიც ფლობს კონკრეტული პროცესების შესახებ სპეციალურ ცოდნას;

ბ) მონაცემთა სუბიექტები ან მათი წარმომადგენლები;

გ)  სხვა პირი, რომლის მონაწილეობა მნიშვნელოვანია ზეგავლენის შეფასების პროცესში.

მუხლი 8. ზეგავლენის შეფასების პროცესში კომუნიკაციისა და კონსულტაციის მიღების უზრუნველყოფა

1. დამუშავებისთვის პასუხისმგებელმა პირმა ზეგავლენის შეფასების პროცესის ყველა ეტაპზე უნდა უზრუნველყოს როგორც პროცესის მონაწილე შესაბამის ერთეულებსა და თანამშრომლებს შორის, ასევე, დამუშავებისთვის პასუხისმგებელი პირის ხელმძღვანელობასთან სათანადო კომუნიკაცია.

2. დამუშავებისთვის პასუხისმგებელი პირი, საჭიროების შემთხვევაში, მონაცემთა დამუშავების დაგეგმილ პროცესთან დაკავშირებული მოსაზრებების გაზიარების მიზნით უფლებამოსილია დაამყაროს კომუნიკაცია უშუალოდ მონაცემთა სუბიექტებთან ან მათ წარმომადგენლებთან.

3. ზეგავლენის შეფასებისას ამ წესის მე-7 მუხლით განსაზღვრულ პირებთან სათანადო კომუნიკაცია და მათგან კონსულტაციის მიღება განგრძობითი და უწყვეტი პროცესია და უნდა მიმდინარეობდეს ზეგავლენის შეფასების სრული ციკლის განმავლობაში.

მუხლი 9. ზეგავლენის შეფასების ეტაპები

ზეგავლენის შეფასება შედგება შემდეგი ეტაპებისაგან:

ა)  მონაცემთა დამუშავების პროცესის აღწერა;

ბ) მონაცემთა დამუშავების აუცილებლობისა და თანაზომიერების შეფასება;

გ) საფრთხეების შეფასება.

მუხლი 10. ზეგავლენის შეფასებისას მონაცემთა დამუშავების პროცესის აღწერა და დამუშავების აუცილებლობისა და თანაზომიერების შეფასება

1. დამუშავებისთვის პასუხისმგებელი პირი ზეგავლენის შეფასებას იწყებს მონაცემთა დამუშავების პროცესის აღწერით, რაც მოიცავს ინფორმაციას მონაცემთა კატეგორიის, მონაცემთა დამუშავების მიზნებისა და საფუძვლების, მონაცემთა შენახვის ვადის, მონაცემთა დამუშავების მასშტაბის, მონაცემთა სუბიექტების კატეგორიის, მონაცემთა დამუშავების პროცესის ტექნიკური აღწერილობის, ასევე, არსებობის შემთხვევაში, მონაცემთა მიმღები მესამე პირის, თანადამუშავებისთვის პასუხისმგებელი პირის, დამუშავებაზე უფლებამოსილი პირის, შესაბამისი შიდაორგანიზაციული მარეგულირებელი აქტების შესახებ და მონაცემთა კონკრეტული დამუშავების პროცესთან დაკავშირებულ სხვა ინფორმაციას;

2. მონაცემთა დამუშავების პროცესის აღწერა/შეფასება ინკლუზიური პროცესია და უნდა მოიცავდეს ამ წესის მე-7 მუხლით განსაზღვრულ პირებთან აქტიურ კონსულტაციასა და სათანადო კომუნიკაციას.

3. მონაცემთა დამუშავების პროცესის აღწერისას/შეფასებისას გამოიყენება შემდეგი საშუალებები:

ა) „SWOT“ ანალიზი – სტრატეგიული დაგეგმარების მეთოდი, რომელიც აფასებს დამუშავებისთვის პასუხისმგებელი პირის მდგომარეობას, მის შესაძლებლობებს და შეისწავლის საქმიან გარემოს, მათ შორის, ახდენს დაინტერესებული მხარეების მოლოდინების, ასევე მონაცემთა დამუშავების პროცესის ძლიერი და სუსტი მხარეების, შესაძლებლობებისა და საფრთხეების ანალიზს, ადგენს დამუშავებისთვის პასუხისმგებელი პირის წინაშე არსებულ მოთხოვნებსა და მონაცემთა დამუშავების პროცესის მონაწილეების უნარებს.

ბ) ინდივიდუალური და ჯგუფური დისკუსიები, რომლებიც იგეგმება საჭიროებიდან გამომდინარე, ნებისმიერი რელევანტური ინფორმაციის გადაცემის/გაზიარების მიზნით;

გ) მონაცემთა დამუშავების პროცესის სამიზნე ჯგუფებთან შეხვედრები;

დ) სამუშაო შეხვედრები/სემინარები, რაც მიზნად ისახავს მონაცემთა დამუშავების პროცესის მონაწილეებისთვის საფრთხის შესახებ ინფორმაციის გაზიარებას.

4. დამუშავებისთვის პასუხისმგებელი პირის მიერ ზეგავლენის შეფასების საწყის ეტაპზე ფასდება, მუშავდება თუ არა მონაცემები მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შესაბამისი ლეგიტიმური მიზნის მისაღწევად და არის თუ არა მონაცემები იმ მიზნის თანაზომიერი, რომლის მისაღწევადაც მუშავდება ისინი.

მუხლი 11.  საფრთხის შეფასების პროცესი

1. მონაცემთა დამუშავების პროცესის აღწერისა და მონაცემთა დამუშავების აუცილებლობისა და თანაზომიერების შეფასების შემდგომ, დამუშავებისთვის პასუხისმგებელმა პირი იწყებს  საფრთხის შეფასების პროცესს, რომელიც მოიცავს:

ა) საფრთხეებისა და მათი წყაროების იდენტიფიცირებას;

ბ) საფრთხეების ხარისხობრივ ანალიზს;

გ) საფრთხეებზე რეაგირებას;

დ) საფრთხეების აღრიცხვას.

2. საფრთხის შეფასების პროცესი – მიმდინარეობს ინკლუზიურობის პრინციპის დაცვით, უწყვეტი კომუნიკაციისა და კონსულტაციის მეთოდის გამოყენებით. საფრთხის შეფასების პროცესის თითოეულ ეტაპზე შესაძლოა გამოყენებული იქნეს, ამ წესის მე-8 მუხლით გათვალისწინებული, ან/და დამუშავებისთვის პასუხისმგებელი პირის მიერ შერჩეული, ყველა შესაძლო საფრთხის შეფასების ხელშემწყობი სხვა, შესაბამისი მეთოდი.

3. საფრთხეებისა და მათი წყაროების იდენტიფიცირების ეტაპზე ხორციელდება  შესაძლო, მათ შორის, კანონის 31-ე მუხლის მე-5 პუნქტით გათვალისწინებული, თითოეული მაღალი საფრთხისა და მისი წყაროს იდენტიფიცირება.

4. საფრთხეების ხარისხობრივი ანალიზის ეტაპზე ფასდება იდენტიფიცირებული საფრთხეების შესაძლო საზიანო შედეგებისა და ადამიანის ძირითად უფლებებსა და თავისუფლებებზე მათი გავლენის ხარისხი.  საფრთხეების ხარისხობრივი ანალიზის ეტაპზე უნდა შეფასდეს:

ა) იდენტიფიცირებული საფრთხით გამოწვეული, მონაცემთა სუბიექტისთვის შესაძლო საზიანო შედეგები, რაც, მათ შორის, შეიძლება მოიცავდეს: ვინაობის მითვისებას ან გაყალბებას, ფინანსურ დანაკარგს, რეპუტაციის შელახვას, პროფესიული საიდუმლოებით დაცული პერსონალური მონაცემების კონფიდენციალობის დარღვევას, ფსევდონიმიზებული პერსონალური მონაცემების უკანონო გამჟღავნებას, ჯანმრთელობის მდგომარეობის გაუარესებას, სასიცოცხლო მნიშვნელობის ინფრასტრუქტურაზე წვდომის შეზღუდვას, ასევე, სხვა სახის მნიშვნელოვან ფიზიკურ, ქონებრივი ან არაქონებრივი ღირებულების მატერიალურ ან არამატერიალურ ზიანს;

ბ) ამ პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული შედეგის დადგომის მაღალი ალბათობა, დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა დაცვისა და უსაფრთხოების უზრუნველყოფის მიზნით უკვე მიღებული ზომების გათვალისწინებით.

5. იმ შემთხვევაში, თუ საფრთხეების ხარისხობრივი ანალიზის ეტაპზე დადგინდება, რომ სახეზეა ამ მუხლის მე-4 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული ერთ-ერთი გარემოების დადგომის მაღალი ალბათობა, დამუშავებისთვის პასუხისმგებელმა პირმა უნდა დაიწყოს შესაბამის საფრთხეებზე რეაგირება.

6. საფრთხეებზე რეაგირება გულისხმობს დამუშავებისთვის პასუხისმგებელი პირის მიერ, საფრთხეების შემცირებისკენ მიმართული კონკრეტული ღონისძიებების დაგეგმვასა და განხორციელებას, რაც შეიძლება ემსახურებოდეს ერთ-ერთი შემდეგი მიზნის მიღწევას:

ა) ამ მუხლის მე-4 პუნქტის „ა“ ქვეპუნქტით  გათვალისწინებული გარემოების აღმოფხვრას;

ბ) ამ მუხლის მე-4 პუნქტის „ა“ ქვეპუნქტით გათვალისწინებული გარემოების დადგომის მაღალი ალბათობის შემცირებას.

7. საფრთხის შესამცირებლად, როგორც წესი, გამოიყენება მონაცემთა უსაფრთხოების დაცვის ადეკვატური ტექნიკური და ორგანიზაციული ზომები.

8. თუ ზეგავლენის შეფასების შედეგად გამოვლინდება მაღალი საფრთხე, დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია მიიღოს ყველა აუცილებელი ზომა საფრთხეების არსებითად შესამცირებლად და, საჭიროების შემთხვევაში, კონსულტაციის მიზნით მიმართოს პერსონალურ მონაცემთა დაცვის სამსახურს.

9. პერსონალურ მონაცემთა დაცვის სამსახურისთვის მიმართვის შემთხვევაში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა წარადგინოს:

ა) დამუშავებისთვის პასუხისმგებელი პირის, თანადამუშავებისთვის პასუხისმგებელი პირებისა და დამუშავებაზე უფლებამოსილი პირის უფლებამოსილების შესახებ ინფორმაცია;

ბ) დაგეგმილი მონაცემთა დამუშავების მიზნებისა და საშუალებების შესახებ ინფორმაცია;

გ) მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დასაცავად განსაზღვრული უსაფრთხოების ზომების შესახებ ინფორმაცია;

დ) პერსონალურ მონაცემთა დაცვის ოფიცრის (ასეთის არსებობის შემთხვევაში) საკონტაქტო ინფორმაცია;

ე) მონაცემთა დაცვაზე ზეგავლენის შეფასება;

ვ) სხვა (დამატებითი) ინფორმაცია პერსონალურ მონაცემთა დაცვის სამსახურის მიერ მოთხოვნის არსებობის შემთხვევაში.

10. მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია არ დაიწყოს მონაცემთა დამუშავება იქამდე, სანამ ყველა იდენტიფიცირებული საფრთხის მიმართ არ განახორციელებს ამ მუხლის მე-6 პუნქტით გათვალისწინებულ რეაგირებას.

11. თუ დამატებითი ორგანიზაციულ-ტექნიკური ზომებით შეუძლებელია საფრთხის არსებითად შემცირება, მონაცემთა დამუშავება არ უნდა განხორციელდეს.

12. საფრთხეების აღრიცხვა წარმოადგენს დამუშავებისთვის პასუხისმგებელი პირის მიერ იდენტიფიცირებული საფრთხეების, მათი წყაროების, მათზე რეაგირების ღონისძიებებისა და საფრთხეების შემცირებისთვის გატარებული ღონისძიებებისა და მიღწეული შედეგების დოკუმენტურ აღრიცხვას.

მუხლი 12. ზეგავლენის შეფასების დოკუმენტი

1. ზეგავლენის შეფასებისას დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია შექმნას წერილობითი დოკუმენტი, რომელიც შეიცავს:

ა) მონაცემთა კატეგორიის, მათი დამუშავების მიზნების, პროპორციულობის, პროცესისა და საფუძვლების აღწერას;

ბ) ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის შესაძლო საფრთხეების შეფასებას და მონაცემთა უსაფრთხოების დაცვის მიზნით გათვალისწინებული ორგანიზაციულ-ტექნიკური ზომების აღწერას.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული დოკუმენტი შესაძლოა ასევე შეიცავდეს:

ა) ინფორმაციას ზეგავლენის შეფასების პროცესში ჩართული პირებისა და მათ მიერ გამოთქმული მოსაზრებების შესახებ;

ბ) ინფორმაციას ზეგავლენის შესაფასებლად გამოყენებული მეთოდების შესახებ;

გ) ინფორმაციას ზეგავლენის შეფასების შედეგების გათვალისწინებით მიღებული გადაწყვეტილებების შესახებ.

3. მონაცემთა დამუშავების პროცესის არსებითი ცვლილების შემთხვევაში დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია განაახლოს ზეგავლენის შეფასების დოკუმენტი.

4. დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია ზეგავლენის შეფასების დოკუმენტი შეინახოს მონაცემთა დამუშავების მთელი პერიოდის განმავლობაში, ხოლო მონაცემთა დამუშავების შეწყვეტის შემთხვევაში − არანაკლებ 1 წლის ვადით.

5. მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი არ ექვემდებარება გასაჯაროებას, თუ ამით შეიძლება საფრთხე შეექმნას სახელმწიფო უსაფრთხოების, ინფორმაციული უსაფრთხოებისა და კიბერუსაფრთხოების ან/და თავდაცვის ინტერესებს, საზოგადოებრივი უსაფრთხოების ინტერესებს, დანაშაულის თავიდან აცილებას, ოპერატიულ-სამძებრო საქმიანობას, დანაშაულის გამოძიებას, სისხლისსამართლებრივ დევნას, მართლმსაჯულების განხორციელებას, პატიმრობისა და თავისუფლების აღკვეთის აღსრულებას, არასაპატიმრო სასჯელთა აღსრულებას და პრობაციას, ქვეყნისთვის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო), საზოგადოებრივი ჯანმრთელობისა და სოციალური დაცვის საკითხებთან დაკავშირებულ ინტერესებს, დამუშავებისთვის პასუხისმგებელი პირის ან დამუშავებაზე უფლებამოსილი პირის აღმატებულ ლეგიტიმურ ინტერესებს.

მუხლი 13. ზეგავლენის შეფასების დოკუმენტის   გადასინჯვა

მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, ზეგავლენის შეფასების დასრულებისა და შესაბამისი დოკუმენტის მომზადების შემდგომ, მონაცემთა დამუშავების პროცესისა და მისი თანამდევი საფრთხეების შესაძლო ცვლილების გათვალისწინებით, კანონით დადგენილ მოთხოვნებთან შესაბამისობის უზრუნველყოფის მიზნით, განახორციელოს ზეგავლენის პროცესის მუდმივი მეთვალყურეობა და, საჭიროების შემთხვევაში, ზეგავლენის შეფასების დოკუმენტის გადასინჯვა.


 

Order No 21

of 28 February 2024

of the Head of the Personal Data Protection Service

Tbilisi

 

On the Approval of the Criteria for Determining the Circumstances Giving Rise to the Obligation for a Data Protection Impact Assessment, and the Assessment Procedure

 

 

In accordance with Article 31(9) and Article 88(4)(b) of the Law of Georgia on Personal Data Protection, I hereby order:

 

 

Article 1

 

The annexed criteria for determining the circumstances giving rise to the obligation for a Data Protection Impact Assessment and the assessment procedure shall be approved.

 

Article 2

 

This Order shall enter into force on 1 June 2024.

 

 

Head of the Personal Data Protection Service                     Lela Janashvili

 

 

The Criteria for Determining the Circumstances Giving Rise to the Obligation for a Data Protection Impact Assessment, and the Assessment Procedure

 

Chapter I – General Provisions

Article 1 – Scope

The Criteria for Determining the Circumstances Giving Rise to the Obligation for a Data Protection Impact Assessment, and the Assessment Procedure (the Procedure) shall determine the criteria for determining the circumstances giving rise to the obligation for a Data Protection Impact Assessment and the procedure for carrying out the assessment provided for by Article 31(1) of the Law of Georgia on Personal Data Protection (the Law).

Article 2 – Terms

The terms used in this Procedure shall have the meanings as defined by the Law.

Article 3 – Purpose of the Data Protection Impact Assessment

1. The Data Protection Impact Assessment (impact assessment) shall constitute an assessment of the circumstances relating to the processing of personal data (data) which poses a threat to fundamental human rights and freedoms.

2. An impact assessment shall facilitate a controller in ensuring the following during data processing:

a) the proactive consideration of any threat posed with regard to data at the initial stage of data processing;

b) the identification, assessment and significant mitigation of threats posed to fundamental human rights and freedoms as a result of data processing;

c) taking a lawful and fair decision regarding the initiation of the process of data processing;

d) the involvement of all interested persons in the planning process of data processing;

e) the transparency of data processing;

f) compliance with the obligations provided for by Article 26 of the Law.

 

Chapter II Determining the Circumstances Giving Rise to the Obligation for an Impact Assessment

Article 4 – Obligation for an impact assessment

1. The obligation for an impact assessment shall arise if the threat of the violation of fundamental human rights and freedoms is highly probable taking into account new technologies for data processing, the data category, their amount, and the purpose and means of data processing.

2. Except for the case provided for by paragraph 1 of this article, an impact assessment on data processing shall be obligatory if a controller:

a) makes a decision with a legal, financial or any other outcome of essential significance for a data subject in a fully automated manner, including on the basis of profiling;

b) processes large quantities of a data subject’s data of a special category;

c) carries out the systematic and large-scale monitoring of the behaviour of a data subject in places of public gathering.

3. In the cases provided for by paragraph 1 of this article, in order to determine the existence of the obligation for an impact assessment, a controller shall assess whether there are circumstances for determining a threat of violation of fundamental human rights and freedoms as provided for by Article 5 of this Law.

4. For the purposes of this Procedure, not less than 3% of the population of Georgia shall be deemed as large quantities of data subjects, which shall be calculated according to the latest results of the census of population.

Article 5 – Determining a threat of violation of fundamental human rights and freedoms

To determine the high probability of a threat of violation of fundamental human rights and freedoms (threat) as a result of data processing by applying new technologies, a data category, their amount, and the purpose and means of data processing, at least two of the following circumstances shall be present simultaneously:

a) profiling, the results of which shall be taken into consideration in making a decision which produces legal effects for a data subject, or when such decision concerns offering a product or a service to a data subject, gaining a certain benefit, the assessment of the quality of work performed by employees, or other activities related to human resources management, or physical access to certain places or movement;

b) the systematic and large-scale monitoring of the behaviour or state (including physical/health status) of a data subject by means of an electronic system/technology, or when such monitoring is performed in respect of employees;

c) the use of an electronic system which aims at offering and/or providing a product or service to a user and through which the financial data and/or the data concerning the real-time location of the user are processed;

d) the implementation of new technology or an innovative application;

e) the comparison or unification of databases generated from the process of two or more different data processing activities, for different purposes and/or by different controllers;

f) data processing which may result in discrimination against a data subject;

g) data processing which may result in the refusal of an offer of a product/service or the restriction of the rights of a data subject;

h) the processing of the data of the employees of a controller, the patients of a medical institution, minors, persons with disability and those in need of special social or legal protection.

 

Chapter III Procedure for an Impact Assessment

Article 6 – Carrying out an impact assessment

1. An impact assessment shall be carried out before the initiation of data processing or in the case of its change/update.

2. If a controller carries out data processing through a processor, the processor shall, if required, assist him/her in impact assessment at the request of a controller taking into consideration the information available to him/her and the nature of data processing.

3. Joint controllers may carry out an impact assessment jointly or individually, by a legal act or on the basis of conditions determined by a written agreement, in accordance with this Procedure.

Article 7 – Persons participating in the process of impact assessment

1. A controller shall ensure the participation of the following persons in the process of an impact assessment, if any:

a) a respective structural unit or a person responsible for the creation or update of a certain product or service within the frameworks of which data processing is carried out;

b) a personal data protection officer;

c) a structural unit/person responsible for information security;

d) a structural unit/person responsible for information technologies.

2. A controller may involve the following in the process of an impact assessment, if necessary:

a) an expert possessing special knowledge regarding certain processes;

b) data subjects or their representatives;

c) other persons whose participation is important in the process of an impact assessment.

Article 8 – Ensuring communication and receiving consultations in the process of an impact assessment

1. A controller shall ensure proper communication between the respective units participating in the process and employees, as well as with the management of the controller at all stages of the process of an impact assessment.

2. A controller shall be authorised to communicate directly with data subjects or their representatives if necessary, to share opinions related to the planned process of data processing.

3. The proper communication with persons provided for by Article 7 of this Law, and receiving consultations from them during an impact assessment, shall be a continuous process and shall be carried out during the entire impact assessment cycle.

Article 9 – Stages of an impact assessment

An impact assessment shall consist of the following stages:

a) a description of the process of data processing;

b) an assessment of the necessity and proportionality of data processing;

c) a threat assessment.

Article 10 – Description of the process of data processing and assessment of the necessity and proportionality of processing during an impact assessment

1. A controller shall start an impact assessment by describing the process of data processing, which shall include information regarding the data category, the purpose and grounds for the data processing, the time limits for data storage, the extent of the data processing, the data subject category, a technical description of the process of the data processing, as well as information about any third person receiving data, a joint controller or processor, if any, relevant intraorganisational regulatory acts, and other information related to the process of the specific data processing.

2. The description/assessment of the process of data processing is an inclusive process and shall include active consultations and proper communication with the persons provided for by Article 7 of this Law.

3. During the description/assessment of the process of data processing, the following means shall be used:

a) a SWOT analysis – a strategic planning technique that assesses the condition of a controller and his/her capabilities, and studies the business environment, analyses the expectations of interested parties, as well as the advantages and disadvantages, and capabilities and threats of the data processing, and determines requirements for the controller and the skills of the participants in the process of the data processing;

b) individual and group discussions scheduled based on the necessity to transfer/share any relevant information;

c) meetings with the target groups of the process of the data processing;

d) workshops/seminars, aiming at sharing information regarding any threats, with the participants of the process of the data processing.

4. At the initial stage of an impact assessment by a controller, it shall be assessed whether the data in the amount necessary to achieve a relevant legitimate purpose only are being processed and whether the data are proportionate to the purpose for which they are being processed.

Article 11 – Process of threat assessment

1. After the description of the process of the data processing and the assessment of the necessity and proportionality of the data processing, a controller shall initiate the process of threat assessment which includes:

a) the identification of threats and their sources;

b) a qualitative threat analysis;

c) a response to the threats;

d) the registration of the threats.

2. The process of threat assessment shall be carried out in compliance with the principle of inclusiveness, using the method of continuous communication and consultation. Other relevant methods facilitating all potential threat assessments selected by a person as provided for by Article 8 of this Procedure and/or a controller may be used at each stage of a threat assessment.

3. At the stage of the identification of threats and their sources, each potential severe threat, including those provided for by Article 31(5) of the Law, and its source shall be identified.

4. The stage of qualitative threat analysis shall assess the possible harmful results of the identified threats and the degree of their impact on fundamental human rights and freedoms. During the stage of qualitative threat analysis, the following shall be assessed:

a) potential harmful results for a data subject, posed by the identified threat, which may include: the appropriation or falsification of an identity, financial loss, the discrediting of a reputation, the breach of confidentiality of personal data protected by professional secrecy, the illegal disclosure of pseudonymised personal data, the deterioration of health status, the restriction of access to an infrastructure of vital importance, as well as other kinds of significant tangible or intangible damage of physical, property or non-property value;

b) the high probability of the occurrence of a result provided for by subparagraph (a) of this paragraph, taking into consideration the measures already taken by a controller to ensure data protection and security.

5. If, at the stage of qualitative threat analysis, it is discovered that a high probability of the occurrence of one of the results provided for by paragraph 4(a) of this article is present, a controller shall start the response to relevant threats.

6. The response to threats shall include the planning and implementation by the controller of specific measures intended for the mitigation of the threats, which may serve one of the following purposes:

a) the elimination of the circumstances provided for by paragraph 4(a) of this article;

b) a decrease in the high probability of the occurrence of the circumstances provided for by paragraph 4(a) of this article.

7. As a rule, adequate technical and organisational measures for ensuring data security shall be used for the mitigation of threats.

8. If a severe threat is detected as a result of an impact assessment, a controller shall be obliged to take all necessary measures to mitigate the threat significantly and, if necessary, apply to the Personal Data Protection Service for consultation.

9. In the case of applying to the Personal Data Protection Service, a controller shall submit:

a) information on the authority of a controller, a joint controller and a processor;

b) information on the planned purposes and means of the data processing;

c) information on the security measures determined for the protection of the rights and freedoms of a data subject;

d) the contact details of the personal data protection officer (if any);

e) the Data Protection Impact Assessment;

f) any other (additional) information at request of the Personal Data Protection Service.

10. A controller may not start data processing until the response provided for by paragraph 6 of this article is carried out with regard to all identified threats.

11. If additional organisational and technical measures cannot ensure the significant mitigation of the threat, data processing shall not be carried out.

12. The registration of threats constitutes the documented registration by the controller of the identified threats, their sources, the measures of response to them and the measures taken for the mitigation of the threats, as well as the results achieved.

Article 12 – Impact assessment document

1. During an impact assessment, a controller shall be obliged to create a written document which includes:

a) the description of the data category, the purposes of their processing, proportionality, process and grounds;

b) the assessment of potential threats of violation of fundamental human rights and freedoms and the description of the organisational and technical measures intended for the purpose of protecting data security.

2. The document provided for by paragraph 1 of this article may also include the following:

a) information on persons involved in the process of the impact assessment and their opinions;

b) information on the methods used for the impact assessment;

c) information on the decisions made taking into consideration the results of the impact assessment.

3. In the case of an essential change in the process of data processing, the controller shall be obliged to update the impact assessment document.

4. The controller shall be obliged to keep the impact assessment document throughout the period of data processing and in the case of the termination of the data processing – for at least 1 year.

5. The data processing impact assessment document shall not be subject to disclosure, if it may threaten state security interests, information security and cyber security interests and/or defence interests, public safety interests, crime prevention, the conduct of operative and investigative activities, crime investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, interests relating to financial or economic matters (including monetary, budgetary and taxation matters), public health and social protection issues, and the overriding legitimate interests of a controller and a processor.

Article 13 – Revision of an impact assessment document

After the termination of an impact assessment and the preparation of the relevant document, a controller shall be obliged to carry out the constant monitoring of the impact process and, if necessary, to revise the impact assessment document taking into consideration potential changes in the process of data processing and the accompanying threats, to ensure compliance with the requirements established by the Law.