პერსონალურ მონაცემთა დაცვის შესახებ

კონსოლიდირებული ვერსია (01/12/2016 - 22/03/2017)

ამ კანონის მიზანია, პერსონალური მონაცემის დამუშავებისას უზრუნველყოს ადამიანის უფლებათა და თავისუფლებათა, მათ შორის, პირადი ცხოვრების ხელშეუხებლობის დაცვა.

მუხლი 2. ტერმინთა განმარტება

ამ კანონში გამოყენებულ ტერმინებს აქვს შემდეგი მნიშვნელობა:

ა) პერსონალური მონაცემი (შემდგომ − მონაცემი) − ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს. პირი იდენტიფიცირებადია, როდესაც შესაძლებელია მისი იდენტიფიცირება პირდაპირ ან არაპირდაპირ, კერძოდ, საიდენტიფიკაციო ნომრით ან პირის მახასიათებე ლი ფიზიკური, ფიზიოლოგიური, ფსიქოლოგიური, ეკონომიკური, კულტურული ან სოციალური ნიშნებით ;

ბ) განსაკუთრებული კატეგორიის მონაცემი − მონაცემი, რომელიც დაკავშირებულია პირის რასობრივ ან ეთნიკურ კუთვნილებასთან, პოლიტიკურ შეხედულებებთან, რელიგიურ ან ფილოსოფიურ მრწამსთან, პროფესიულ კავშირში გაწევრებასთან, ჯანმრთელობის მდგომარეობასთან, სქესობრივ ცხოვრებასთან, ნასამართლობასთან, ადმინისტრაციულ პატიმრობასთან, პირისთვის აღკვეთის ღონისძიების შეფარდებასთან, პირთან საპროცესო შეთანხმების დადებასთან, განრიდებასთან, დანაშაულის მსხვერპლად აღიარებასთან ან დაზარალებულად ცნობასთან, აგრეთვე ბიომეტრიული და გენეტიკური მონაცემები, რომლებიც ზემოაღნიშნული ნიშნებით ფიზიკური პირის იდენტიფიცირების საშუალებას იძლევა;

გ) ბიომეტრიული მონაცემი − ფიზიკური, ფსიქიკური ან ქცევის მახასიათებელი, რომელიც უნიკალური და მუდმივია თითოეული ფიზიკური პირისათვის და რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება (თითის ანაბეჭდი, ტერფის ანაბეჭდი, თვალის ფერადი გარსი, თვალის ბადურის გარსი (თვალის ბადურის გამოსახულება), სახის მახასიათებელი);

გ¹) გენეტიკური მონაცემი − მონაცემთა სუბიექტის უნიკალური და მუდმივი მონაცემი გენეტიკური მემკვიდრეობის ან/და დნმ-ის კოდის შესახებ, რომლითაც შესაძლებელია ამ პირის იდენტიფიცირება;

დ) მონაცემთა დამუშავება − ავტომატური, ნახევრად ავტომატური ან არაავტომატური საშუალებების გამოყენებით მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედება, კერძოდ, შეგროვება, ჩაწერა, ფოტოზე აღბეჭდვა, აუდიოჩაწერა, ვიდეოჩაწერა, ორგანიზება, შენახვა, შეცვლა, აღდგენა, გამოთხოვა, გამოყენება ან გამჟღავნება მონაცემთა გადაცემის, გავრცელების ან სხვაგვარად ხელმისაწვდომად გახდომის გზით, დაჯგუფება ან კომბინაცია, დაბლოკვა, წაშლა ან განადგურება;

ე) მონაცემთა ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიების გამოყენებით დამუშავება;

ე¹) მონაცემთა ნახევრად ავტომატური დამუშავება − მონაცემთა ინფორმაციული ტექნოლოგიების გამოყენებით და არაავტომატური საშუალებებით დამუშავება;

ვ) მონაცემთა სუბიექტი − ნებისმიერი ფიზიკური პირი, რომლის შესახებ მონაცემიც მუშავდება;

ზ) თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე ზეპირად, სა ტელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით გამოხატული ნებაყოფლობითი თანხმობა, რომლითაც შესაძლებელია ნათლად დადგინდეს მონაცემთა სუბიექტის ნება ;

თ) მონაცემთა სუბიექტის წერილობითი თანხმობა − მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე გამოხატული ნებაყოფლობითი თანხმობა, რომელსაც მონაცემთა სუბიექტმა ხელი მოაწერა ან სხვაგვარად აღნიშნა წერილობით ან მასთან გათანაბრებული ფორმით ;

ი) მონაცემთა დამმუშავებელი − საჯარო დაწესებულება, ფიზიკური ან იურიდიული პირი, რომელიც ინდივიდუალურად ან სხვებთან ერთად განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებსა და საშუალებებს, უშუალოდ ან უფლებამოსილი პირის მეშვეობით ახორციელებს მონაცემთა დამუშავებას;

კ ) უფლებამოსილი პირი − ნებისმიერი ფიზიკური ან იურიდიული პირი, რომელიც ამუშავებს მონაცემებს მონაცემთა დამმუშავებლისათვის ან მისი სახელით;

ლ ) მონაცემთა მიმღები − კერძო ან საჯარო დაწესებულება, ფიზიკური ან იურიდიული პირი, კერძო ან საჯარო სექტორის თანამშრომელი, რომელსაც გადაეცა მონაცემები, გარდა პერსონალურ მონაცემთა დაცვის ინსპექტორისა;

მ ) მესამე პირი − ნებისმიერი ფიზიკური ან იურიდიული პირი, საჯარო დაწესებულება, გარდა მონაცემთა სუბიექტისა, პერსონალურ მონაცემთა დაცვის ინსპექტორისა, მონაცემთა დამმუშავებლისა და უფლებამოსილი პირისა;

ნ ) ფაილური სისტემა − მონაცემთა სტრუქტურიზებული წყება, რომელშ იც ისინი დალაგებული და ხელმისაწვდომია კონკრეტული კრიტერიუმის მიხედვით;

ო ) ფაილური სისტემის კატალოგი − ფაილური სისტემის სტრუქტურისა და შინაარსის დეტალური აღწერილობა;

პ ) ფაილურ სისტემათა კატალოგებ ის რეესტრი − რეესტრი, რომელიც უზრუნველყოფს არსებული ფაილური სისტემების დეტალურ აღრიცხვას;

ჟ ) მონაცემთა დაბლოკვა − მონაცემთა დამუშავების დროებით შეჩერება ;

რ ) მონაცემთა დეპერსონალიზაცია − მონაცემთა იმგვარი მოდიფიკაცია , რომ შეუძლებელი იყოს მათი დაკავშირება მონაცემთა სუბიექტთან ან ასეთი კავშირის დადგენა არაპროპორციულად დიდ ძალისხმევას , ხარჯებსა და დროს საჭიროებდეს;

ს ) საიდენტიფიკაციო ნომერი − პირადი საიდენტიფიკაციო ნომერი ან კანონით განსაზღვრული, ფიზიკურ პირთან დაკავშირებული ნებისმიერი სხვა საიდენტიფიკაციო ნომერი, რომლითაც შესაძლებელია ფაილური სისტემიდან ( სადაც საიდენტიფიკაციო ნომერი ასევე დამუშავებულია) მონაცემთა მოძიება ან გამჟღავნება;

ტ ) პერსონალურ მონაცემთა დაცვის ინსპექტორი − თანამდებობის პირი, რომელიც პასუხისმგებელია მონაცემთა დაცვის მარეგულირებელი კანონმდებლობის შესრულების ზედამხედველობაზე;

უ ) პირდაპირი მარკეტინგი − ფოსტის, სატელეფონო ზარების, ელექტრონული ფოსტის ან სხვა სატელეკომუნიკაციო საშუალებით საქონლის, მომსახურების, დასაქმების ან დროებითი სამუშაოს შეთავაზება;

ფ) უფლებამოსილი ორგანო − საქართველოს სისხლის სამართლის საპროცესო კოდექსის მე-3 მუხლის 32-ე ნაწილით განსაზღვრული ორგანო;

ქ) კონტროლის ელექტრონული სისტემა − ტექნიკურ და პროგრამულ გადაწყვეტილებათა ერთობლიობა, რომელიც უზრუნველყოფს უფლებამოსილი ორგანოს მონიტორინგის სისტემის მიერ გაცემულ ბრძანებათა ლოგირების მონაცემების კრიპტოგრაფიული მეთოდების გამოყენებით დამუშავებას, მართლზომიერი გადაჭერის მენეჯმენტის სისტემის მიერ განხორციელებულ ბრძანებათა ლოგირების მონაცემების ავტომატურ მიწოდებას პერსონალურ მონაცემთა დაცვის ინსპექტორისათვის, ამ მონაცემების კრიპტოგრაფიული მეთოდების გამოყენებით დამუშავებას და მიღებული შედეგების ავტომატურ შედარებას;

ღ) მონაცემთა ბანკების კონტროლის სპეციალური ელექტრონული სისტემა − ტექნიკურ და პროგრამულ გადაწყვეტილებათა ერთობლიობა, რომელიც უზრუნველყოფს უფლებამოსილი ორგანოს „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონის 8³მუხლის „ბ“ ქვეპუნქტით გათვალისწინებულ კოპირებულ მონაცემთა ბანკებში განხორციელებული აქტივობების ლოგირების მონაცემების ავტომატურ მიწოდებას პერსონალურ მონაცემთა დაცვის ინსპექტორისათვის.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

მუხლი 3. კანონის მოქმედების სფერო

1. ამ კანონის მოქმედება ვრცელდება საქართველოს ტერიტორიაზე ავტომატური და ნახევრად ავტომატური საშუალებებით მონაცემთა დამუშავებაზე, არაავტომატური საშუალებებით იმ მონაცემთა დამუშავებაზე, რომლებიც ფაილური სისტემის ნაწილია ან ფაილურ სისტემაში შეტანის მიზნით მუშავდება, აგრეთვე დანაშაულის თავიდან აცილებისა და გამოძიების, ოპერატიულ-სამძებრო ღონისძიებებისა და მართლწესრიგის დაცვის მიზნებისათვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა ავტომატურ დამუშავებაზე, გარდა ამ მუხლით გათვალისწინებული გამონაკლისებისა.

1¹. მონაცემთა არაავტომატური საშუალებებით დამუშავება დაუშვებელია, თუ მისი მიზანია ამ კანონის მოთხოვნების შესრულებისათვის თავის არიდება.

2. ამ კანონის მოქმედება აგრეთვე ვრცელდება:

ა) საზღვარგარეთ საქართველოს დიპლომატიური წარმომადგენლობებისა და საკონსულო დაწესებულებების მიერ მონაცემთა დამუშავებაზე;

ბ) მონაცემთა იმ დამმუშავებლის საქმიანობაზე, რომელიც რეგისტრირებული არ არის საქართველოს ტერიტორიაზე, მაგრამ მონაცემთა დამუშავებისათვის იყენებს საქართველოში არსებულ ტექნიკურ საშუალებებს, გარდა იმ შემთხვევისა, როდესაც ეს ტექნიკური საშუალებები გამოი ყენება მხოლოდ მონაცემთა ტრანზიტისათვის. ასეთ შემთხვევაში მონაცემთა დამმუშავებელმა უნდა დანიშნოს/განსაზღვროს საქართველოში რეგისტრირებული წარმომადგენელი.

3. ამ კანონის მოქმედება არ ვრცელდება:

ა) ფიზიკური პირის მიერ მონაცემთა აშკარად პირადი მიზნებისათვის დამუშავებაზე, როდესაც მათი დამუშავება დაკავშირებული არ არის მის სამეწარმეო ან პროფესიულ საქმიანობასთან;

ბ) სასამართლოში სამართალწარმოების მიზნებისათვის მონაცემთა დამუშავებაზე, რადგან ამან შეიძლება დააზიანოს სამართალწარმოება სასამართლოს მიერ საბოლოო გადაწყვეტილების გამოტანამდე;

გ) სახელმწიფო უსაფრთხოების (მათ შორის, ეკონომიკური უსაფრთხოების), თავდაცვის, სადაზვერვო და კონტრდაზვერვითი საქმიანობების მიზნებისათვის სახელმწიფო საიდუმლოებისთვის მიკუთვნებულ მონაცემთა დამუშავებაზე;

დ) სახელმწიფო საიდუმლოებისთვის მიკუთვნებული ინფორმაციის (გარდა ამ მუხლის პირველი პუნქტით გათვალისწინებული მონაცემებისა) დამუშავებაზე.

4. ამ კანონის (გარდა მე-17 მუხლისა) მოქმედება არ ვრცელდება მონაცემთა მედიასაშუალებების მიერ საზოგადოების ინფორმირების მიზნით დამუშავებაზე, აგრეთვე მონაცემთა სახელოვნებო და ლიტერატურული მიზნებისათვის დამუშავებაზე.

5. ამ კანონის მე-19 და მე-20 მუხლების მოქმედება არ ვრცელდება პოლიტიკური პარტიების, პროფესიული და სხვა კავშირებისა და რელიგიური ორგანიზაციების მიერ მათ წევრებთან დაკავშირებულ მონაცემთა დამუშავებაზე.

6. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება საზოგადოებრივი უსაფრთხოების, ოპერატიულ-სამძებრო ღონისძიებებისა და დანაშაულის გამოძიების მიზნით მონაცემთა დამუშავებაზე, თუ საკითხი პირდაპირ და სპეციალურად რეგულირდება საქართველოს სისხლის სამართლის საპროცესო კოდექსით ან „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონით ან სხვა სპეციალური კანონით.

7. ამ კანონის მე-6 მუხლის მოქმედება არ ვრცელდება „ოფიციალური სტატისტიკის შესახებ“ საქართველოს კანონით გათვალისწინებული მოსახლეობის საყოველთაო აღწერის მიზნით მონაცემთა დამუშავებაზე.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 4. მონაცემთა დამუშავების პრინციპები

მონაცემთა დამუშავებისას დაცული უნდა იქნე ს შემდეგი პრინციპები:

ა) მონაცემები უნდა დამუშავდეს სამართლიანად და კანონიერად, მონაცემთა სუბიექტის ღირსების შეულახავად;

ბ) მონაცემები შეიძლება დამუშავდეს მხოლოდ კონკრეტული, მკაფიოდ განსაზღვრული, კანონიერი მიზნებისათვის. დაუშვებელია მონაცემთა შემდგომი დამუშავება სხვა, თავდაპირველ მიზანთან შეუთავსებელი მიზნით;

გ) მონაცემები შეიძლება დამუშავდეს მხოლოდ იმ მოცულობით, რომელი ც აუცილებელია შესაბამისი კანონიერი მიზნის მისაღწევად. მონაცემები უნდა იყოს იმ მიზნის ადეკვატური და პროპორციული, რომლის მისაღწევადაც მუშავდ ება ისინი ;

დ) მონაცემები ნამდვილი და ზუსტი უნდა იყოს და, საჭიროების შემთხვევაში, უნდა განახლდეს. კანონიერი საფუძვლის გარეშე შეგროვებული და დამუშავების მიზნის შეუსაბამო მონაცემები უნდა დაიბლოკოს, წაიშალოს ან განადგურდეს;

ე) მონაცემები შეიძლება შენახულ იქნეს მხოლოდ იმ ვადით, რომელიც აუცილებელია მონაცემთა დამუშავების მიზნის მისაღწევად. იმ მიზნის მიღწევის შემდეგ, რომლისთვისაც მუშავდება მონაცემები, ისინი უნდა დაიბლოკოს, წაიშალოს ან განადგურდეს ან შენახული უნდა იქნეს პირის იდენტიფიცირების გამომრიცხავი ფორმით, თუ კანონით სხვა რამ არ არის დადგენილი.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

თავი II. მონაცემთა დამუშავების წესები

მუხლი 5. მონაცემთა დამუშავების საფუძვლები

მონაცემთა დამუშავება დასაშვებია, თუ:

ა) არსებობს მონაცემთა სუბიექტის თანხმობა;

ბ) მონაცემთა დამუშავება გათვალისწინებულია კანონით;

გ) მონაცემთა დამუშავება საჭიროა მონაცემთა დამმუშავებლის მიერ მისთვის კანონმდებლობით დაკისრებული მოვალეობების შესასრულებლად;

დ) მონაცემთა დამუშავება საჭიროა მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად;

ე ) მონაცემთა დამუშავება აუცილებელია მონაცემთა დამმუშავებლის ან მესამე პირის კანონიერი ინტერესების დასაცავად, გარდა იმ შემთხვევისა, როდესაც არსებობს მონაცემთა სუბიექტის უფლებებისა და თავისუფლებების დაცვის აღმატებული ინტერესი;

ვ ) კანონის თანახმად, მონაცემები საჯაროდ ხელმისაწვდომია ან მონაცემთა სუბიექტმა ისინი ხელმისაწვდომი გახადა;

ზ ) მონაცემთა დამუშავება აუცილებელია კანონის შესაბამისად მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

თ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის განცხადების განსახილველად (მისთვის მომსახურების გასაწევად).

მუხლი 6. განსაკუთრებული კატეგორიის მონაცემთა დამუშავება

1. აკრძალულია განსაკუთრებული კატეგორიის მონაცემთა დამუშავება.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემთა დამუშავება შესაძლებელია მონაცემთა სუბიექტის წერილობითი თანხმობით ან იმ შემთხვევებში, როცა:

ა) ნასამართლობასთან და ჯანმრთელობის მდგომარეობასთან დაკავშირებული მონაცემების დამუშავება აუცილებელია შრომითი ვალდებულებების და ურთიერთობის ხასიათიდან გამომდინარე, მათ შორის, დასაქმების თაობაზე გადაწყვეტილების მისაღებად;

ბ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად და მონაცემთა სუბიექტს ფიზიკურად ან სამართლებრივად უნარი არა აქვს, მონაცემთა დამუშავებაზე თანხმობა განაცხადოს;

გ) მონაცემები მუშავდება საზოგადოებრივი ჯანმრთელობის დაცვის, ჯანმრთელობის დაცვის ან დაწესებულების (მუშაკის) მიერ ფიზიკური პირის ჯანმრთელობის დაცვის მიზნით, აგრეთვე თუ ეს აუცილებელია ჯანმრთელობის დაცვის სისტემის მართვისათვის ან ფუნქციონირებისათვის;

დ) მონაცემთა სუბიექტმა საჯარო გახადა მის შესახებ მონაცემები მათი გამოყენების აშკარა აკრძალვის გარეშე;

ე) მონაცემები მუშავდება პოლიტიკური, ფილოსოფიური, რელიგიური ან პროფესიული გაერთიანების ან არაკომერციული ორგანიზაციის მიერ ლეგიტიმური საქმიანობის განხორციელებისას. ასეთ შემთხვევაში მონაცემთა დამუშავება შეიძლება დაკავშირებული იყოს მხოლოდ ამ გაერთიანების/ორგანიზაციის წევრებთან ან პირებთან, რომლებსაც მუდმივი კავშირი აქვთ ამ გაერთიანებასთან/ორგანიზაციასთან;

ვ) ხდება მონაცემთა დამუშავება ბრალდებულთა/მსჯავრდებულთა პირადი საქმეებისა და რეესტრების წარმოების, მსჯავრდებულის მიმართ მის მიერ სასჯელის მოხდის ინდივიდუალური დაგეგმვის ან/და მსჯავრდებულის სასჯელის მოხდისგან პირობით ვადამდე გათავისუფლებასთან და მისთვის სასჯელის მოუხდელი ნაწილის უფრო მსუბუქი სახის სასჯელით შეცვლასთან დაკავშირებული საკითხების განხილვის მიზნით;

ზ) მონაცემები მუშავდება „არასაპატიმრო სასჯელთა აღსრულების წესისა და პრობაციის შესახებ“ საქართველოს კანონის მე-2 მუხლით გათვალისწინებული სამართლებრივი აქტების აღსრულების მიზნით;

თ) მონაცემები მუშავდება „საერთაშორისო დაცვის შესახებ“ საქართველოს კანონით პირდაპირ გათვალისწინებულ შემთხვევებში.

3. ამ მუხლის მე-2 პუნქტის საფუძველზე მონაცემთა დამუშავების შემთხვევაში დაუშვებელია მონაცემთა სუბიექტის თანხმობის გარეშე მონაცემთა გასაჯაროება და მესამე პირისათვის გამჟღავნება.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

საქართველოს 2015 წლის 1 მაისის კანონი №3534 - ვებგვერდი, 18.05.2015წ.

საქართველოს 2016 წლის 27 აპრილის კანონი № 5017 - ვებგვერდი, 13.05.2016წ.

საქართველოს 2016 წლის 1 დეკემბრის კანონი №54 - ვებგვერდი, 15.12.2016წ.

მუხლი 7. გარდაცვლილი პირის შესახებ მონაცემების დაცვა

1. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება, გარდა ამ კანონის მე- 5 და მე-6 მუხლებით განსაზღვრული საფუძვლებისა, დასაშვებია მონაცემთა სუბიექტის მშობლის, შვილის, შვილიშვილის ან მეუღლის თანხმობით ან თუ მონაცემთა სუბიექტის გარდაცვალებიდან გასულია 30 წელი.

2. მონაცემთა სუბიექტის გარდაცვალების შემდეგ მის შესახებ მონაცემთა დამუშავება აგრეთვე დასაშვებია, თუ ეს აუცილებელია მემკვიდრეობასთან დაკავშირებული უფლებების რეალიზაციისათვის.

3. მონაცემთა ამ მუხლის პირველი და მე-2 პუნქტებით გათვალისწინებული საფუძვლებით დამუშავება დაუშვებელია, თუ მონაცემთა სუბიექტმა გარდაცვალებამდე წერილობითი ფორმით აკრძალა მის შესახებ მონაცემთა მისი გარდაცვალების შემდეგ დამუშავება, გარდა მონაცემთა ამ კანონის მე-5 და მე-6 მუხლებით გათვალისწინებული საფუძვლებით დამუშავებისა.

4. გარდაცვლილი პირის სახელის, სქესის, დაბადებისა და გარდაცვალების თარიღების დამუშავებისათვის არ არის საჭირო ამ კანონით გათვალისწინებული მონაცემთა დამუშავების საფუძვლის არსებობა.

5. გარდაცვლილი პირის შესახებ მონაცემები შეიძლება გამჟღავნდეს ისტორიული, სტატისტიკური და კვლევითი მიზნებისათვის, გარდა იმ შემთხვევისა, როდესაც გარდაცვლილმა პირმა წერილობითი ფორმით აკრძალა მათი გამჟღავნება.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 8. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავება

1. პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება დამუშავდეს საჯაროდ ხელმისაწვდომი წყაროებიდან მოპოვებული მონაცემები.

2. მონაცემთა შეგროვების მიზნის მიუხედავად, პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება დამუშავდეს შემდეგ ი მონაცემები: სახელი (სახელები), მისამართი, ტელეფონის ნომერი, ელექტრონული ფოსტის მისამართი, ფაქსის ნომერი.

3. მონაცემთა სუბიექტის მიერ ამ კანონით დადგენილი წესით გაცემული წერილობითი თანხმობის საფუძველზე პირდაპირი მარკეტინგის მიზნებისათვის შეიძლება ნებისმიერი მონაცემი დამუშავდეს.

4. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამმუშავებელს ნებისმიერ დროს მოსთხოვოს მის შესახებ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენების შეწყვეტა.

5. მონაცემთა დამმუშავებელი ვალდებულია შეწყვიტოს მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავება ან/და უზრუნველყოს უფლებამოსილი პირის მიერ მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების შეწყვეტა მონაცემთა სუბიექტის მოთხოვნის მიღებიდან არაუგვიანეს 10 სამუშაო დღისა.

6. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავებისას მონაცემთა დამმუშავებელი ვალდებულია შეატყობინოს მონაცემთა სუბიექტს ამ მუხლის მე-4 პუნქტით გათვალისწინებული უფლების შესახებ და უზრუნველყოს, რომ მონაცემთა სუბიექტს ჰქონდეს შესაძლებლობა მონაცემთა პირდაპირი მარკეტინგული მიზნებისათვის დამუშავების შეწყვეტის მოთხოვნისა იმავე ფორმით, რა ფორმითაც ხორციელდება პირდაპირი მარკეტინგი, ან/და განსაზღვროს ხელმისაწვდომი და ადეკვატური საშუალება მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის დამუშავების შეწყვეტის მოთხოვნისთვის.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 9. ბიომეტრულ მონაცემთა დამუშავება საჯარო დაწესებულების მიერ

1. საჯარო დაწესებულების მიერ ბიომეტრულ მონაცემთა დამუშავება შეიძლება მხოლოდ პირის უსაფრთხოებისა და საკუთრების დაცვის მიზნებისათვის, აგრეთვე საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნით, თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული პირობების მიუხედავად, ბიომეტრიულ მონაცემთა დამუშავება შეიძლება კანონით დადგენილი წესით პირადობის დამადასტურებელი დოკუმენტის გაცემის ან სახელმწიფო საზღვრის გადამკვეთი პირის იდენტიფიკაციის მიზნით, აგრეთვე საქართველოს საკანონმდებლო აქტით პირდაპირ გათვალისწინებულ სხვა შემთხვევაში.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2016 წლის 1 დეკემბრის კანონი №54 - ვებგვერდი, 15.12.2016წ.

მუხლი 10. ბიომეტრიულ მონაცემთა დამუშავება კერძო სამართლის იურიდიული პირისა და ფიზიკური პირის მიერ

კერძო სამართლის იურიდიული პირისა და ფიზიკური პირის მიერ ბიომეტრიულ მონაცემთა დამუშავება შეიძლება მხოლოდ იმ შემთხვევაში, თუ ეს აუცილებელია საქმიანობის განხორციელების, უსაფრთხოებისა და საკუთრების დაცვის, აგრეთვე საიდუმლო ინფორმაციის გამჟღავნების თავიდან აცილების მიზნებისათვის, თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია ან გაუმართლებლად დიდ ძალისხმევას საჭიროებს. თუ კანონით სხვა რამ არ არის დადგენილი, ბიომეტრიულ მონაცემთა გამოყენებამდე მონაცემთა დამმუშავებელმა პერსონალურ მონაცემთა დაცვის ინსპექტორს უნდა მიაწოდოს იგივე ინფორმაცია, რომელიც მიეწოდება მონაცემთა სუბიექტს, კერძოდ, მონაცემთა დამუშავების მიზნისა და მონაცემთა დასაცავად მიღებული უსაფრთხოების ზომების შესახებ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 11. ქუჩაში და საზოგადოებრივ ტრანსპორტში ვიდეოთვალთვალის განხორციელება

1. ქუჩაში (მათ შორის, პარკში, სკვერში, სათამაშო მოედანთან, საზოგადოებრივი ტრანსპორტის გაჩერებასთან და სხვა თავშეყრის ადგილზე) და საზოგადოებრივ ტრანსპორტში ვიდეოთვალთვალის განხორციელება დასაშვებია მხოლოდ დანაშაულის თავიდან აცილების, აგრეთვე პირის უსაფრთხოებისა და საკუთრების, საზოგადოებრივი წესრიგისა და არასრულწლოვნის მავნე ზეგავლენისაგან დაცვის მიზნებისათვის.

2. ვიდეოთვალთვალის სისტემის დაყენების შემთხვევაში საჯარო და კერძო დაწესებულებები ვალდებული არიან, თვალსაჩინო ადგილას განათავსონ შესაბამისი გამაფრთხილებელი ნიშანი. ამ შემთხვევაში მონაცემთა სუბიექტი ითვლება მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად .

3. ვიდეოთვალთვალის სისტემა და ვიდეო ჩანაწერები დაცული უნდა იყოს არამართლზომიერი ხელყოფისა და გამოყენებისაგან .

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 12. საჯარო და კერძო დაწესებულებათა შენობების ვიდეო თვალთვალი

1. საჯარო და კერძო დაწესებულებებს შესაბამისი მონიტორინგის განხორციელების მიზნით შეუძლიათ განახორციელონ თავიანთი შენობების ვიდეოთვალთვალი , თუ ეს აუცილებელია პირის უსაფრთხოებისა და საკუთრების დაცვის, არასრულწლოვნის მავნე ზეგავლენისაგან დაცვისა და საიდუმლო ინფორმაციის დაცვის მიზნებისათვის.

2. ვიდეოთვალთვალის სისტემის მეშვეობით შესაძლებელია მხოლოდ შენობის გარე პერიმეტრისა და შესასვლელის მონიტორინგის განხორციელება. მონაცემთა დამმუშავებელი ვალდებულია თვალსაჩინო ადგილას განათავსოს შესაბამისი გამაფრთხილებელი ნიშანი. ამ შემთხვევაში მონაცემთა სუბიექტი მის შესახებ მონაცემთა დამუშავების თაობაზე ინფორმირებულად ითვლება.

3. სამუშაო ადგილზე ვიდეოთვალთვალის სისტემის დაყენება შეიძლება მხოლოდ გამონაკლის შემთხვევაში , თუ ეს აუცილებელია პირის უსაფრთხოებისა და საკუთრების დაცვის, ასევე საიდუმლო ინფორმაციის დაცვის მიზნებისათვის და თუ ამ მიზნების სხვა საშუალებით მიღწევა შეუძლებელია .

4. ვიდეოთვალთვალის განხორციელება დაუშვებელია გამოსაცვლელ ოთახებსა და ჰიგიენისათვის განკუთვნილ ადგილებში .

5. ამ მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევაში სამუშაო ადგილზე ვიდეოთვალთვალის სისტემის გამოყენებისას შესაბამის კერძო ან საჯარო დაწესებულებაში დასაქმებული ყველა პირი წერილობითი ფორმით უნდა იყოს ინფორმირებული ვიდეოთვალთვალის განხორციელებისა და მისი უფლებების შესახებ.

6. მონაცემთა დამმუშავებელი ვალდებულია შექმნას ვიდეოჩანაწერების შენახვისათვის განკუთვნილი ფაილური სისტემა. ჩანაწერების (სურათები/ხმა) გარდა, სისტემა უნდა შეიცავდეს ინფორმაციას მონაცემთა დამუშავების თარიღის, ადგილისა და დროის შესახებ.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 13. საცხოვრებელი შენობის ვიდეო თვალთვალი

1. საცხოვრებელ შენობაში ვიდეოთვალთვალის სისტემის დასაყენებლად აუცილებელია ამ შენობის მესაკუთრეთა ნახევარზე მეტის წერილობითი თანხმობა. ვიდეოთვალთვალის სისტემის დაყენების შესახებ უნდა ეცნობოთ შენობაში მცხოვრებთ.

2. საცხოვრებელ შენობაში ვიდეოთვალთვალის სისტემის დაყენება დასაშვებია მხოლოდ პირისა და ქონების უსაფრთხოების მიზნებისათვის .

3. საცხოვრებელ შენობაში დაყენებული ვიდეოთვალთვალის სისტემის მეშვეობით შესაძლებელია განხორციელდეს მხოლოდ შესასვლელისა და საერთო სივრცის მონიტორინგი . მესაკუთრეთა ბინების მონიტორინგ ი დაუშვებელია .

4. ვიდეო თვალთვალის სისტემის მეშვეობით ბინის შესასვლელის მონიტორინგის განხორციელება დასაშვებია მხოლოდ ამ ბინის მესაკუთრის გადაწყვეტილებით ან მისი წერილობითი თანხმობის საფუძველზე.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

მუხლი 14. მონაცემთა დამუშავება საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გასვლის აღრიცხვის მიზნით

1. საჯარო და კერძო დაწესებულებებს შენობაში შესვლისა და შენობიდან გასვლის აღრიცხვის მიზნით შეუძლიათ შეაგროვონ შემდეგი მონაცემები: სახელი, საიდენტიფიკაციო დოკუმენტის ნომერი და სახე, მისამართი, შესვლისა და გასვლის თარიღები და დრო, ასევე შენობაში შესვლისა და შენობიდან გასვლის მიზეზები.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებულ მონაცემთა შენახვის ვადა არ უნდა აღემატებოდეს მათი ჩაწერის დღიდან სამ წელს, თუ კანონით სხვა რამ არ არის დადგენილი. სამწლიანი ვადის გასვლის შემდეგ ისინი უნდა წაიშალოს ან განადგურდეს.

თავი III. მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის უფლებები და მოვალეობები

მუხლი 15. მონაცემთა სუბიექტისათვის ინფორმაციის მიწოდება

1. თუ მონაცემთა შეგროვება ხორციელდება უშუალოდ მონაცემთა სუბიექტისაგან, მონაცემთა დამმუშავებელი ან უფლებამოსილი პირი ვალდებულია მონაცემთა სუბიექტს მიაწოდოს შემდეგი ინფორმაცია:

ა) მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ( ასეთის არსებობის შემთხვევაში) ვინაობა და რეგისტრირებული მისამართი;

ბ) მონაცემთა დამუშავების მიზანი;

გ) სავალდებულოა თუ ნებაყოფლობითი მონაცემთა მიწოდება; თუ სავალდებულოა − მასზე უარის თქმის სამართლებრივი შედეგები;

დ) მონაცემთა სუბიექტის უფლება, მიიღოს ინფორმაცია მის შესახებ დამუშავებულ მონაცემთა თაობაზე , მოითხოვოს მათი გასწორება, განახლება, დამატება, დაბლოკვა, წაშლა და განადგურება.

2. ამ მუხლის პირველ პუნქტში აღნიშნ ული ინფორმაციის მიწოდება არ არის სავალდებულო, თუ მონაცემთა სუბიექტს უკვე აქვს იგი .

3. თუ მონაცემთა შეგროვება არ ხორციელდება უშუალოდ მონაცემთა სუბიექტისაგან, მონაცემთა დამმუშავებელი ან უფლებამოსილი პირი ვალდებულია მოთხოვნის შემთხვევაში მონაცემთა სუბიექტს მიაწოდოს ამ მუხლის პირველ პუნქტში აღნიშნული ინფორმაცია.

4. სტატისტიკური, სამეცნიერო და ისტორიული მიზნებისათვის ინფორმაციის შეგროვებისას მისი მიწოდება არ არის სავალდებულო, თუ მონაცემთა სუბიექ ტისა თვის ინფორმაციის მიწოდება დაკავშირებულია არაპროპორციულად დიდ ძალისხმევასთან.

მუხლი 16. უფლებამოსილი პირის მიერ მონაცემთა დამუშავება

1. უფლებამოსილმა პირმა შეიძლება დაამუშაოს მონაცემები სამართლებრივი აქტის ან მონაცემთა დამმუშავებელთან დადებული წერილობითი ხელშეკრულების საფუძველზე, რომელიც უნდა შეესაბამებოდეს ამ კანონითა და სხვა ნორმატიული აქტებით დადგენილ მოთხოვნებს და უნდა ითვალისწინებდეს ამ კანონით დადგენილ წესებსა და აკრძალვებს.

2. უფლებამოსილმა პირმა მონაცემები უნდა დაამუშაოს შესაბამისი სამართლებრივი აქტით ან ხელშეკრულებით დადგენილ ფარგლებში. დაუშვებელია უფლებამოსილი პირის მიერ ნებისმიერი სხვა მიზნით მონაცემთა შემდგომი დამუშავება. დაუშვებელია, უფლებამოსილმა პირმა მონაცემთა დამუშავების უფლება სხვა პირს მონაცემთა დამმუშავებლის თანხმობის გარეშე გადასცეს.

3. დაუშვებელია მონაცემთა დამუშავების შესახებ ხელშეკრულების დადება, თუ, უფლებამოსილი პირის საქმიანობიდან ან/და მიზნებიდან გამომდინარე, არსებობს მონაცემთა არამიზნობრივი დამუშავების საფრთხე.

4. მონაცემთა დამმუშავებელი უნდა დარწმუნდეს, რომ უფლებამოსილი პირი მონაცემთა დასაცავად მიიღებს შესაბამის ორგანიზაციულ და ტექნიკურ ზომებს. იგი ვალდებულია მონიტორინგი გაუწიოს უფლებამოსილი პირის მიერ მონაცემთა დამუშავებას.

5. უფლებამოსილ პირსა და მონაცემთა დამმუშავებელს შორის დავის წარმოშობის შემთხვევაში უფლებამოსილი პირი ვალდებულია მოთხოვნისთანავე გადასცეს მონაცემთა დამმუშავებე ლს მის ხელთ არსებული მონაცემები.

6. უფლებამოსილი პირის მიერ ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლის გაუქმების ან საქმიანობის შეწყვეტის შემთხვევაში მონაცემთა დამუშავება უნდა შეწყდეს და აღნიშნული საფუძვლის გაუქმებამდე ან საქმიანობის შეწყვეტამდე დამუშავებული მონაცემები დაუყოვნებლივ უნდა გადაეცეს მონაცემთა დამმუშავებელს.

7. უფლებამოსილ პირთან დადებულ ხელშეკრულებაში გათვალისწინებული უნდა იყოს მონაცემთა უსაფრთხოებისათვის ზომების მიღების ვალდებულება.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 17. მონაცემთა უსაფრთხოება

1. მონაცემთა დამმუშავებელი ვალდებულია მიიღოს ისეთი ორგანიზაციული და ტექნიკური ზომები, რომლებ იც უზრუნველყოფს მონაცემთა დაცვას შემთხვევითი ან უკანონო განადგურებისაგან , შეცვლისაგან , გამჟღავნებისაგან , მოპოვებისაგან , ნებისმიერი სხვა ფორმით უკანონო გამოყენებისა და შემთხვევი თი ან უკანონო დაკარგვისაგან .

2. მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული ყველა მოქმედების აღრიცხვა. არაელექტრონული ფორმით არსებულ მონაცემთა დამუშავებისას მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს მონაცემთა გამჟღავნებასთან ან/და ცვლილებასთან დაკავშირებული ყველა მოქმედების აღრიცხვა.

3. მონაცემთა უსაფრთხოებისათვის მიღებული ზომები მონაცემთა დამუშავებასთან დაკავშირებული რისკების ადეკვატური უნდა იყოს.

4. მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ნებისმიერი თანამშრომელი, რომელიც მონაწილეობს მონაცემთა დამუშ ავებაში, ვალდებულია არ გასცდეს მისთვის მინიჭებული უფლებამოსილების ფარგლებს. ამასთანავე , მას ეკისრება ვალდებულება, დაიცვას მონაცემთა საიდუმლოება, მათ შორის, მისი სამსახურებრივი უფლებამოსილების შეწყვეტის შემდეგ.

5. მონაცემთა უსაფრთხოების დაცვის ზომები განისაზღვრება საქართველოს კანონმდებლობით.

მუხლი 18. მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის ვალდებულებები მონაცემთა გამჟღავნებასთან დაკავშირებით

მონაცემთა გამჟღავნებისას მონაცემთა დამმუშავებელი და უფლებამოსილი პირი ვალდებული არიან, უზრუნველყონ შემდეგი ინფორმაციის რეგისტრაცია: რომელი მონაცემი იქნა გამჟღავნებული, ვისთვის, როდის და რა სამართლებრივი საფუძვლით. ეს ინფორმაცია უნდა ინახებოდეს მონაცემთა სუბიექტის შესახებ მონაცემებთან ერთად მათი შენახვის ვადის განმავლობაში.

მუხლი 19. ფაილური სისტემის კატალოგი

1. მონაცემთა დამმუშავებელი ვალდებულია თითოეულ ფაილურ სისტემასთან დაკავშირებით აწარმოოს ფაილური სისტემის კატალოგი და აღრიცხოს შემდეგი ინფორმაცია:

ა) ფაილური სისტემის სახელწოდება;

ბ) მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის დასახელებები და მისამართები, მონაცემთა შენახვის ან/და დამუშავების ადგილი;

გ) მონაცემთა დამუშავების სამართლებრივი საფუძველი;

დ) მონაცემთა სუბიექტის კატეგორია;

ე) მონაცემთა კატეგორია ფაილურ სისტემაში;

ვ) მონაცემთა დამუშავების მიზანი;

ზ) მონაცემთა შენახვის ვადა;

თ) მონაცემთა სუბიექტის უფლების შეზღუდვის ფაქტი და საფუძვლები;

ი) ფაილურ სისტემაში განთავსებულ მონაცემთა მიმღები და მათი კატეგორიები;

კ) ინფორმაცია მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის შესახებ და ასეთი გადაცემის სამართლებრივი საფუძველი;

ლ) მონაცემთა უსაფრთხოების დაცვისათვის დადგენილი პროცედურის ზოგადი აღწერილობა.

2. მონაცემთა დამმუშავებელი ვალდებულია უზრუნველყოს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის სისტემატური განახლება.

მუხლი 20. პერსონალურ მონაცემთა დაცვის ინსპექტორისათვის შეტყობინების ვალდებულება

1. მონაცემთა დამმუშავებელი ვალდებულია ფაილური სისტემის შექმნამდე და მასში ახალი კატეგორიის მონაცემთა შეტანამდე წერილობითი ან ელექტრონული ფორმით შეატყობინოს პერსონალურ მონაცემთა დაცვის ინსპექტორს ამ კანონის მე-19 მუხლით გათვალისწინებული ინფორმაცია.

2. მონაცემთა დამმუშავებელი ვალდებულია შეატყობინოს პერსონალურ მონაცემთა დაცვის ინსპექტორს ამ კანონის მე-19 მუხლით გათვალისწინებულ ინფორმაციაში ცვლილების შეტანის შესახებ ცვლილების განხორციელებიდან არა უგვიანეს 30 დღისა.

3. სამართალდამცავი ორგანოს მიერ მოთხოვნილი ფარული საგამოძიებო მოქმედების ჩატარების ნებართვის გაცემის ან მისი ჩატარების ნებართვის გაცემაზე უარის თქმის შესახებ მოსამართლის განჩინების ერთი ეგზემპლარი, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, აგრეთვე სამართალდამცავი ორგანოს მიერ სასამართლოს ნებართვის გარეშე ჩატარებული ფარული საგამოძიებო მოქმედების კანონიერად ან უკანონოდ ცნობის შესახებ მოსამართლის განჩინების ერთი ეგზემპლარი, რომელიც შეიცავს მხოლოდ რეკვიზიტებსა და სარეზოლუციო ნაწილს, განჩინების გამოტანიდან 24 საათში გადაეცემა პერსონალურ მონაცემთა დაცვის ინსპექტორს.

4. ელექტრონული კომუნიკაციის კომპანიამ სამართალდამცავი ორგანოსათვის „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონის მე-8 მუხლის მე-3 პუნქტით გათვალისწინებული ელექტრონული კომუნიკაციის მაიდენტიფიცირებელი მონაცემების გადაცემის (როდესაც გადაცემა არ ხორციელდება ინფორმაციის რეალურ დროში მიწოდების ტექნიკური შესაძლებლობის გამოყენებით) შესახებ უნდა აცნობოს პერსონალურ მონაცემთა დაცვის ინსპექტორს მათი გადაცემიდან 24 საათში

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

თავი IV. მონაცემთა სუბიექტის უფლებები

მუხლი 21. მონაცემთა სუბიექტის მიერ ინფორმაციის მოთხოვნის უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, მონაცემთა დამმუშავებელს მოსთხოვოს ინფორმაცია მის შესახებ მონაცემთა დამუშავების თაობაზე. მონაცემთა დამმუშავებელმა მონაცემთა სუბიექტს უნდა მიაწოდოს შემდეგი ინფორმაცია:

ა) მის შესახებ რომელი მონაცემები მუშავდება;

ბ) მონაცემთა დამუშავების მიზანი;

გ ) მონაცემთა დამუშავების სამართლებრივი საფუძველი;

დ ) რა გზით შეგროვდა მონაცემ ები ;

ე ) ვისზე გაიცა მის შესახებ მონაცემები , მონაცემთა გაცემის საფუძველი და მიზანი.

2. მონაცემთა სუბიექტისათვის ამ მუხლის პირველი პუნქტის „ე“ ქვეპუნქტით გათვალისწინებული ინფორმაციის მიწოდება სავალდებულო არ არის , თუ მონაცემები , კანონის თანახმად , საჯაროა.

3. მონაცემთა სუბიექტს ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია უნდა მიეწოდოს მოთხოვნისთანავე, დაუყოვნებლივ, ან მოთხოვნიდან არაუგვიანეს 10 დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ა) ინფორმაციის სხვა დაწესებულებაში ან სტრუქტურულ ერთეულში მოძიებასა და დამუშავებას ან მასთან კონსულტაციას;

ბ) მნიშვნელოვანი მოცულობის, ერთმანეთთან დაუკავშირებელი დოკუმენტების მოძიებასა და დამუშავებას;

გ) სხვა დასახლებულ პუნქტში არსებულ მის სტრუქტურულ ქვედანაყოფთან ან სხვა საჯარო დაწესებულებასთან კონსულტაციას.

4. ამ მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაციის მიწოდების ფორმას ირჩევს მონაცემთა სუბიექტი.

5. პირს უფლება აქვს, გაეცნოს მის შესახებ საჯარო დაწესებულებაში არსებულ პერსონალურ მონაცემებს და უსასყიდლოდ მიიღოს ამ მონაცემების ასლები, გარდა იმ მონაცემებისა, რომელთა გაცემისათვის საქართველოს კანონმდებლობით გათვალისწინებულია საფასური.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

მუხლი 22. მონაცემთა სუბიექტის მიერ მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლისა და განადგურების მოთხოვნის უფლება

1. მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში მონაცემთა დამმუშავებელი ვალდებულია გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები, თუ ისინი არასრულია, არაზუსტია, არ არის განახლებული ან თუ მათი შეგროვება და დამუშავება განხორციელდა კანონის საწინააღმდეგოდ.

2. მონაცემთა დამმუშავებელმა მონაცემთა ყველა მიმღებს უნდა აცნობოს მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლის ან განადგურების შესახებ, გარდა იმ შემთხვევისა, როდესაც ასეთი ინფორმაციის მიწოდება შეუძლებელია მონაცემთა მიმღებების სიმრავლისა და არაპროპორციულად დიდი ხარჯების გამო. ამ უკანასკნელი გარემოების შესახებ უნდა ეცნობოს პერსონალურ მონაცემთა დაცვის ინსპექტორს.

3. ამ მუხლის მე-2 პუნქტის თანახმად ინფორმაციის მიღების შემთხვევაში მისი მიმღები მხარე ვალდებულია შესაბამისად გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები.

მუხლი 23. მონაცემთა გასწორების, განახლების, დამატების, დაბლოკვის, წაშლისა და განადგურების პროცედურა

1. ამ კანონის 22-ე მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენა შესაძლებელია წერილობით, ზეპირად ან ელექტრონული საშუალების გამოყენებით.

2. მონაცემთა სუბიექტის მოთხოვნის მიღებიდან 15 დღის ვადაში მონაცემთა დამმუშავებელი ვალდებულია გაასწოროს, განაახლოს, დაამატოს, დაბლოკოს, წაშალოს ან გაანადგუროს მონაცემები ან მონაცემთა სუბიექტს აცნობოს უარის თქმის საფუძველი .

3. თუ მონაცემთა დამმუშავებელი მონაცემთა სუბიექტის მოთხოვნის გარეშე, თავად ჩათვლის, რომ მის ხელთ არსებული მონაცემები არასრულია, არაზუსტია ან არ არის განახლებული, მან შესაბამისად უნდა გაასწოროს ან განაახლოს მონაცემები და ეს აცნობოს მონაცემთა სუბიექტს.

4. მონაცემთა სუბიექტის მიერ ამ კანონის 22-ე მუხლის პირველი პუნქტით გათვალისწინებული მოთხოვნის წარდგენის შემდეგ მონაცემთა დამმუშავებელი უფლებამოსილია განმცხადებლის თხოვნის საფუძველზე დაბლოკოს მონაცემები.

5. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება მიიღება შესაბამისი მოთხოვნის წარდგენიდან 3 დღის ვადაში და ძალაშია მონაცემთა დამმუშავებლის მიერ მონაცემთა გასწორების, განახლების, დამატების, წაშლისა და განადგურების შესახებ გადაწყვეტილების მიღებამდე.

6. მონაცემთა დაბლოკვის შესახებ გადაწყვეტილება დაბლოკვის მიზეზის არსებობის განმავლობაში უნდა ერთოდეს შესაბამის მონაცემებს.

მუხლი 24. მონაცემთა სუბიექტის უფლების შეზღუდვა

1. მონაცემთა სუბიექტის ამ კანონის მე-15, 21-ე და 22-ე მუხლებით გათვალისწინებული უფლებები საქართველოს კანონმდებლობით შეიძლება შეიზღუდოს, თუ ამ უფლებების რეალიზაციამ შეიძლება საფრთხე შეუქმნას:

ა) ქვეყნის ეროვნული უსაფრთხოების ან თავდაცვის ინტერესებს;

ბ) საზოგადოებრივი უსაფრთხოების ინტერესებს;

გ) დანაშაულის გამოვლენას, გამოძიებასა და აღკვეთას;

დ) ქვეყნის მნიშვნელოვან ფინანსურ ან ეკონომიკურ (მათ შორის, მონეტარულ, საბიუჯეტო და საგადასახადო საკითხებთან დაკავშირებულ) ინტერესებს;

ე) მონაცემთა სუბიექტისა და სხვათა უფლებებსა და თავისუფლებებს.

2. ამ მუხლის პირველი პუნქტით გათვალისწინებული ზომა შეიძლება გამოყენებულ იქნეს მხოლოდ იმ მოცულობით, რომელიც აუცილებელია შეზღუდვის მიზნის მისაღწევად.

3. ამ მუხლის პირველი პუნქტით გათვალისწინებული საფუძვლების არსებობისას მონაცემთა დამმუშავებლის ან პერსონალურ მონაცემთა დაცვის ინსპექტორის გადაწყვეტილება მონაცემთა სუბიექტს უნდა ეცნობოს იმგვარად, რომ ზიანი არ მიადგეს უფლების შეზღუდვის მიზანს.

მუხლი 25. თანხმობაზე უარი

1. მონაცემთა სუბიექტს უფლება აქვს, ნებისმიერ დროს, განმარტების გარეშე უარი განაცხადოს მის მიერვე მიცემულ თანხმობაზე და მოითხოვოს მონაცემთა დამუშავების შეწყვეტა ან/და დამუშავებულ მონაცემთა განადგურება.

2. მონაცემთა დამმუშავებელი ვალდებულია მონაცემთა სუბიექტის მოთხოვნის შესაბამისად შეწყვიტოს მონაცემთა დამუშავება ან/და გაანადგუროს დამუშავებული მონაცემები განცხადების წარდგენიდან 5 დღის ვადაში, თუ არ არსებობს მონაცემთა დამუშავების სხვა საფუძველი.

3. ამ მუხლის მოქმედება არ ვრცელდება მონაცემთა სუბიექტის მიერ ფულადი ვალდებულებების შესრულების შესახებ მისივე თანხმობით დამუშავებულ ინფორმაციაზე.

მუხლი 26. გასაჩივრების უფლება

1. მონაცემთა სუბიექტს უფლება აქვს, ამ კანონით გათვალისწინებული უფლებების დარღვევის შემთხვევაში კანონით დადგენილი წესით მიმართოს პერსონალურ მონაცემთა დაცვის ინსპექტორს ან სასამართლოს, ხოლო თუ მონაცემთა დამმუშავებელი საჯარო დაწესებულებაა, საჩივრის წარდგენა შესაძლებელია ასევე იმავე ან ზემდგომ ადმინისტრაციულ ორგანოში.

2. მონაცემთა სუბიექტს უფლება აქვს, საქმის განმხილველ ორგანოს მოსთხოვოს მონაცემთა დაბლოკვა გადაწყვეტილების გამოტანამდე.

3. მონაცემთა სუბიექტს უფლება აქვს, ზემდგომი ადმინისტრაციული ორგანოს ან პერსონალურ მონაცემთა დაცვის ინსპექტორის გადაწყვეტილება კანონით დადგენილი წესით გაასაჩივროს სასამართლოში.

4. მონაცემთა დამუშავებაზე მონაცემთა სუბიექტის თანხმობის არსებობასთან დაკავშირებით დავის წარმოშობის შემთხვევაში მონაცემთა დამმუშავებელს ეკისრება მონაცემთა სუბიექტის თანხმობის ფაქტის არსებობის მტკიცების ტვირთი.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

მუხლი 26¹. ფარული საგამოძიებო მოქმედების შედეგად მოპოვებული ინფორმაციის/პერსონალური მონაცემების განადგურების კომისია

1. ფარულ საგამოძიებო მოქმედებებთან დაკავშირებით მიღებული განჩინებების, აგრეთვე ფარული საგამოძიებო მოქმედებების შედეგად მოპოვებული ინფორმაციის განადგურების შესახებ ყოველი კვარტალის ბოლოს ეცნობება საქართველოს პარლამენტის მიერ შექმნილ ფარული საგამოძიებო მოქმედების შედეგად მოპოვებული ინფორმაციის/პერსონალური მონაცემების განადგურების კომისიას.

2. ფარული საგამოძიებო მოქმედების შედეგად მოპოვებული ინფორმაციის/პერსონალური მონაცემების განადგურების კომისია შედგება 7 წევრისაგან. კომისიის შემადგენლობაში შედიან: პერსონალურ მონაცემთა დაცვის ინსპექტორი, საქართველოს უზენაესი სასამართლოს თავმჯდომარის მოადგილე (კომისიის წევრად ნიშნავს საქართველოს უზენაესი სასამართლოს თავმჯდომარე), საქართველოს მთავარი პროკურორის მოადგილე (კომისიის წევრად ნიშნავს საქართველოს მთავარი პროკურორი), საქართველოს სახალხო დამცველი, საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტის თავმჯდომარე. კომისიის 2 წევრს არასამთავრობო ორგანიზაციების წარმომადგენელთაგან ირჩევს საქართველოს პარლამენტი. კომისიის თავმჯდომარეა პერსონალურ მონაცემთა დაცვის ინსპექტორი.

3. ფარული საგამოძიებო მოქმედების შედეგად მოპოვებული ინფორმაციის/პერსონალური მონაცემების განადგურების კომისიის შექმნისა და საქმიანობის წესი განისაზღვრება კომისიის მიერ დამტკიცებული დებულებით.

4. ფარული საგამოძიებო მოქმედების შედეგად მოპოვებული ინფორმაციის/პერსონალური მონაცემების განადგურების კომისიას პროკურატურა და სასამართლო საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143⁸მუხლით განსაზღვრული მასალის და „ოპერატიულ-სამძებრო საქმიანობის შესახებ“ საქართველოს კანონის მე-6 მუხლით გათვალისწინებული ინფორმაციის განადგურებისთანავე აცნობებენ მათი განადგურების შესახებ. პროკურატურიდან და სასამართლოდან მიღებული ინფორმაციისა და საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹⁰მუხლით გათვალისწინებული ფარული საგამოძიებო მოქმედებების რეესტრის ინფორმაციის დამუშავების საფუძველზე კომისია ყოველწლიურად აქვეყნებს ფარული საგამოძიებო მოქმედებებისა და ოპერატიულ-სამძებრო ღონისძიებების შედეგად მოპოვებული მასალების განადგურების შესახებ სტატისტიკურ ინფორმაციას განადგურების შემთხვევათა რაოდენობის, კლასიფიკაციის, საფუძვლების და სხვა მონაცემების მიხედვით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

თავი V. პერსონალურ მონაცემთა დაცვის ინსპექტორი

მუხლი 27. პერსონალურ მონაცემთა დაცვის ინსპექტორის საქმიანობის ძირითადი მიმართულებანი

1. საქართველოში მონაცემთა დამუშავების კანონიერებას აკონტროლებს პერსონალურ მონაცემთა დაცვის ინსპექტორი (შემდგომ − ინსპექტორი). ინსპექტორის საქმიანობის ძირითადი მიმართულებებია:

ა) საჯარო და კერძო დაწესებულებებისათვის, აგრეთვე ფიზიკური პირებისათვის მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე კონსულტაციის გაწევა;

ბ) მონაცემთა დაცვასთან დაკავშირებული განცხადებების განხილვა;

გ) საჯარო და კერძო დაწესებულებებში მონაცემთა დამუშავების კანონიერების შემოწმება (ინსპექტირება);

დ) საქართველოში მონაცემთა დაცვის მდგომარეობისა და მასთან დაკავშირებული მნიშვნელოვანი მოვლენების შესახებ საზოგადოების ინფორმირება.

2. ინსპექტორი თავის საქმიანობაში ხელმძღვანელობს საქართველოს კონსტიტუციით, საქართველოს საერთაშორისო ხელშეკრულებებითა და შეთანხმებებით, საერთაშორისო სამართლის საყოველთაოდ აღიარებული პრინციპებითა და ნორმებით, ამ კანონით, პერსონალურ მონაცემთა დაცვის ინსპექტორის საქმიანობისა და მის მიერ უფლებამოსილების განხორციელების წესის შესახებ დებულებით და სხვა სამართლებრივი აქტებით.

3. ინსპექტორის საქმიანობის პრინციპებია:

ა) კანონიერება;

ბ) ადამიანის უფლებათა და თავისუფლებათა პატივისცემა და დაცვა;

გ) დამოუკიდებლობა და პოლიტიკური ნეიტრალიტეტი;

დ) ობიექტურობა და მიუკერძოებლობა;

ე) პროფესიონალიზმი;

ვ) პროფესიული საიდუმლოებისა და კონფიდენციალურობის დაცვა.

4. ინსპექტორი საკუთარი უფლებამოსილების ფარგლებში გამოსცემს კანონქვემდებარე ნორმატიულ აქტებს, მათ შორის, შეტყობინების, ნებართვისა და განცხადების განხილვის თაობაზე, ინსპექტირების მეთოდისა და ფორმის შესახებ, ინსპექტორის აპარატის საქმიანობასთან დაკავშირებულ საკითხებზე.

5. ინსპექტორი ამ კანონის, ინსპექტორის საქმიანობისა და მის მიერ უფლებამოსილების განხორციელების წესის შესახებ დებულებისა და სხვა ნორმატიული აქტების საფუძველზე და მათ შესასრულებლად გამოსცემს ინდივიდუალურ ადმინისტრაციულ აქტებს, მათ შორის, გადაწყვეტილებას, ბრძანებას, ინსტრუქციას, მითითებას.

6. ინსპექტორის საქმიანობისა და მის მიერ უფლებამოსილების განხორციელების წესი განისაზღვრება შესაბამისი დებულებით, რომელსაც ამტკიცებს საქართველოს მთავრობა.

7. ინსპექტორს ჰყავს მოადგილე, რომელსაც კონკურსის წესით თანამდებობაზე ნიშნავს ინსპექტორი. ინსპექტორის უფლებამოსილების ვადის გასვლის ან მისი უფლებამოსილების ვადამდე შეწყვეტის შემთხვევაში ინსპექტორის მოადგილე ასრულებს ინსპექტორის მოვალეობას და სარგებლობს ინსპექტორისთვის მინიჭებული უფლებებითა და სამართლებრივი გარანტიებით საქართველოს პარლამენტის მიერ ახალი ინსპექტორის არჩევამდე.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 28. ინსპექტორის თანამდებობაზე დანიშვნა და მისი უფლებამოსილების შეწყვეტა

1. ინსპექტორად შეიძლება აირჩეს საქართველოს მოქალაქე, რომელსაც აქვს უმაღლესი იურიდიული განათლება, ადამიანის უფლებათა დაცვის სფეროში მუშაობის არანაკლებ 5 წლის გამოცდილება და შესაბამისი საქმიანი და მორალური თვისებები.

2. ინსპექტორის შესარჩევი საკონკურსო კომისია იქმნება საქართველოს პრემიერ-მინისტრის ბრძანებით. კომისიის შემადგენლობაში შედიან:

ა) საქართველოს მთავრობის წარმომადგენელი;

ბ) საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტის თავმჯდომარე;

გ) საქართველოს უზენაესი სასამართლოს თავმჯდომარის მოადგილე (კომისიის წევრად ნიშნავს საქართველოს უზენაესი სასამართლოს თავმჯდომარე);

დ) საქართველოს სახალხო დამცველი ან საქართველოს სახალხო დამცველის წარმომადგენელი;

ე) საქართველოს სახალხო დამცველის მიერ იმ არასამეწარმეო (არაკომერციული) იურიდიული პირის წევრთაგან დანიშნული, სათანადო გამოცდილების მქონე პირი, რომელსაც აქვს პერსონალურ მონაცემთა დაცვის სფეროში მუშაობის გამოცდილება.

3. ინსპექტორის უფლებამოსილების ვადის ამოწურვამდე არაუადრეს 11 და არაუგვიანეს 10 კვირისა, ხოლო უფლებამოსილების ვადამდე შეწყვეტის შემთხვევაში − უფლებამოსილების შეწყვეტიდან 1 კვირის ვადაში ამ მუხლის მე-2 პუნქტით განსაზღვრული პირები საქართველოს პრემიერ-მინისტრს წარუდგენენ ინსპექტორის შესარჩევი საკონკურსო კომისიის წევრებს. კომისიის ყველა წევრის წარდგენიდან 3 დღის ვადაში საქართველოს პრემიერ-მინისტრი იწვევს კომისიის პირველ სხდომას. კომისია პირველ სხდომაზე თავის წევრთაგან ირჩევს კომისიის თავმჯდომარეს და 1 კვირის ვადაში ამტკიცებს კომისიის დებულებას, რომლითაც განისაზღვრება კომისიის საქმიანობის წესი, აგრეთვე მისთვის ინსპექტორის კანდიდატურების წარდგენის ვადა და წესი.

4. ინსპექტორის შესარჩევი საკონკურსო კომისია ხმათა უმრავლესობით შეარჩევს ინსპექტორის არანაკლებ 2 და არაუმეტეს 5 კანდიდატურას და წარუდგენს საქართველოს პრემიერ-მინისტრს.

5. საქართველოს პრემიერ-მინისტრი 10 დღის ვადაში საქართველოს პარლამენტს წარუდგენს 2 კანდიდატურას ინსპექტორის თანამდებობაზე ასარჩევად. საქართველოს პარლამენტი საქართველოს პარლამენტის რეგლამენტით დადგენილი წესით, კანდიდატურების წარდგენიდან არაუგვიანეს 14 დღისა ირჩევს ინსპექტორს. თუ ვერცერთმა კანდიდატმა ვერ მიიღო არჩევისათვის საკმარისი რაოდენობის ხმები, საქართველოს პრემიერ-მინისტრი 2 კვირის ვადაში აცხადებს ხელახალ კონკურსს.

6. ინსპექტორი ინიშნება 3 წლის ვადით. ერთი და იგივე პირი ინსპექტორის თანამდებობაზე შეიძლება დაინიშნოს ზედიზედ მხოლოდ ორჯერ.

7. ინსპექტორი უნდა შეირჩეს თანამდებობაზე მყოფი ინსპექტორის უფლებამოსილების ვადის გასვლამდე არა უადრეს 60 და ვადის გასვლიდან არა უგვიანეს 30 დღისა.

8. ახალდანიშნული ინსპექტორის უფლებამოსილება იწყება თანამდებობაზე მყოფი ინსპექტორის უფლებამოსილების ვადის გასვლის მომდევნო დღიდან, თუ იგი დაინიშნა ამ ვადის გასვლამდე, ხოლო დანიშვნის მომდევნო დღიდან − თუ იგი დაინიშნა ამ ვადის გასვლის შემდეგ ან თუ ვადამდე შეწყდა წინა ინსპექტორის უფლებამოსილება.

9. ინსპექტორის უფლებამოსილება წყდება დანიშვნიდან 3 წლის გასვლისთანავე ან მისი უფლებამოსილების ვადამდე შეწყვეტისას.

10. ინსპექტორს ჰყავს მოადგილე, რომელსაც თანამდებობაზე ნიშნავს ინსპექტორი.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

მუხლი 29. ინსპექტორის თანამდებობრივი შეუთავსებლობა

1. ინსპექტორის თანამდებობა შეუთავსებელია საქართველოს სახელმწიფო ხელისუფლებისა და ადგილობრივი თვითმმართველობის წარმომადგენლობითი ორგანოების წევრობასთან, სახელმწიფო სამსახურში ნებისმიერ თანამდებობასთან და ანაზღაურებად საქმიანობასთან, გარდა სამეცნიერო, პედაგოგიური და სახელოვნებო საქმიანობისა. იგი არ შეიძლება იყოს პოლიტიკური პარტიის წევრი ან მონაწილეობდეს პოლიტიკურ საქმიანობაში.

2. ინსპექტორი ვალდებულია არჩევიდან 1 თვის ვადაში შეწყვიტოს მის თანამდებობასთან შეუთავსებელი საქმიანობა. თუ ინსპექტორი ამ ვადაში არ შეასრულებს აღნიშნულ მოთხოვნას, მისი უფლებამოსილება ვადამდე წყდება და საქართველოს პრემიერ-მინისტრი ამ კანონით დადგენილი წესით საქართველოს პარლამენტს ასარჩევად წარუდგენს ახალ კანდიდატურებს.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 30. ინსპექტორის უფლებამოსილების ვადამდე შეწყვეტა

1. ინსპექტორი ხელშეუხებელია. დაუშვებელია მისი სისხლის სამართლის პასუხისგებაში მიცემა, დაკავება ან დაპატიმრება, მისი ბინის, მანქანის, სამუშაო ადგილის ან პირადი ჩხრეკა საქართველოს პარლამენტის თანხმობის გარეშე. გამონაკლისია დანაშაულზე წასწრების შემთხვევა, რაც დაუყოვნებლივ უნდა ეცნობოს საქართველოს პარლამენტს. თუ საქართველოს პარლამენტი არ მისცემს თანხმობას, დაკავებული ან დაპატიმრებული ინსპექტორი დაუყოვნებლივ უნდა გათავისუფლდეს. საქართველოს პარლამენტი ამ საკითხზე გადაწყვეტილებას იღებს მიმართვიდან არაუგვიანეს 14 დღისა.

2. ინსპექტორის დაკავებაზე ან დაპატიმრებაზე საქართველოს პარლამენტის მიერ თანხმობის მიცემის შემთხვევაში მას საქართველოს პარლამენტის თანხმობით შეუჩერდება უფლებამოსილება სისხლის სამართლის საქმის შეწყვეტის შესახებ დადგენილების გამოტანამდე ან სასამართლო განაჩენის კანონიერ ძალაში შესვლამდე.

3. ინსპექტორს უფლებამოსილება ვადამდე შეუწყდება, თუ:

ა) მან დაკარგა საქართველოს მოქალაქეობა;

ბ) მან ზედიზედ 4 თვის განმავლობაში ვერ შეასრულა თავისი მოვალეობა;

გ) მის მიმართ კანონიერ ძალაში შევიდა სასამართლოს გამამტყუნებელი განაჩენი;

დ) ის სასამართლომ უგზო-უკვლოდ დაკარგულად აღიარა, გარდაცვლილად გამოაცხადა ან მხარდაჭერის მიმღებად ცნო, თუ სასამართლოს გადაწყვეტილებით სხვა რამ არ არის განსაზღვრული;

ე) მან დაიკავა ან უკავია ინსპექტორის სტატუსთან შეუთავსებელი თანამდებობა ან ახორციელებს მასთან შეუთავსებელ საქმიანობას;

ვ) ის ნებაყოფლობით გადადგა თანამდებობიდან;

ზ) ის გარდაიცვალა.

4. ამ მუხლის მე-3 პუნქტით გათვალისწინებულ შემთხვევებში ინსპექტორის უფლებამოსილება შეწყვეტილად ჩაითვლება აღნიშნული გარემოების დადგენის მომენტიდან, რის შესახებაც დაუყოვნებლივ უნდა ეცნობოს საქართველოს პრემიერ-მინისტრსა და საქართველოს პარლამენტს.

5. ამ მუხლის მე-3 პუნქტის „ბ“ და „ე“ ქვეპუნქტებით გათვალისწინებულ შემთხვევებში ინსპექტორს უფლებამოსილებას უწყვეტს საქართველოს პარლამენტი საკუთარი ინიციატივით ან საქართველოს პრემიერ-მინისტრის მიმართვის საფუძველზე.

საქართველოს 2012 წლის 25 მაისის კანონი №6325 – ვებგვერდი, 12.06.2012წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

საქართველოს 2015 წლის 20 მარტის კანონი №3350 - ვებგვერდი, 31.03.2015წ.

მუხლი 31. ინსპექტორის დამოუკიდებლობა

1. ინსპექტორი თავისი უფლებამოსილების განხორციელებისას დამოუკიდებელია და არ ექვემდებარება არცერთ თანამდებობის პირს და ორგანოს. ინსპექტორზე რაიმე ზემოქმედება ან ინსპექტორის საქმიანობაში ჩარევა აკრძალულია და კანონით ისჯება.

2. ინსპექტორის დამოუკიდებლობის უზრუნველყოფის მიზნით სახელმწიფო ვალდებულია შეუქმნას მას საქმიანობის სათანადო პირობები.

3. ინსპექტორს უფლება აქვს, არ მისცეს ჩვენება იმ ფაქტის გამო, რომელიც მას გაანდეს, როგორც ინსპექტორს. ეს უფლება მას უნარჩუნდება უფლებამოსილების შეწყვეტის შემდეგაც.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 32. ინსპექტორის საქმიანობის ფინანსური და ორგანიზაციული უზრუნველყოფა

1. ინსპექტორი თავის უფლებებს ახორციელებს და მოვალეობებს ასრულებს ინსპექტორის აპარატის (შემდგომ − აპარატი) დახმარებით.

2. აპარატის სტრუქტურას, საქმიანობისა და თანამშრომელთა შორის უფლებამოსილებების განაწილების წესს ადგენს ინსპექტორი აპარატის დებულებით.

3. აპარატს ხელმძღვანელობს უშუალოდ ინსპექტორი ან მისი დავალებით ინსპექტორის მოადგილე.

4. ინსპექტორისა და აპარატის საქმიანობა ფინანსდება საქართველოს სახელმწიფო ბიუჯეტიდან. ხარჯთაღრიცხვის პროექტს კანონით დადგენილი წესით წარადგენს ინსპექტორი. ინსპექტორისა და აპარატის საქმიანობისათვის საჭირო ასიგნებები განსაზღვრულია საქართველოს სახელმწიფო ბიუჯეტის ცალკე კოდით.

5. ინსპექტორი უფლებამოსილია ამ კანონით გათვალისწინებული უფლებების განსახორციელებლად და მოვალეობების შესასრულებლად მიიღოს გრანტები და შემოწირულებები საქართველოს კანონმდებლობით დადგენილი წესით.

მუხლი 33. ინსპექტორის მიერ კონსულტაციის გაწევა და საგანმანათლებლო საქმიანობის განხორციელება

1. ინსპექტორი ვალდებულია შესაბამისი თხოვნის არსებობის შემთხვევაში კონსულტაცია გაუწიოს საქართველოს სახელმწიფო ხელისუფლებისა და ადგილობრივი თვითმმართველობის ორგანოებს, სხვა საჯარო დაწესებულებებს, კერძო სამართლის იურიდიულ პირებს და ფიზიკურ პირებს მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე.

2. ინსპექტორი ახორციელებს საგანმანათლებლო საქმიანობას მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებულ საკითხებზე.

მუხლი 34. ინსპექტორის მიერ მონაცემთა სუბიექტის განცხადების განხილვა

1. ინსპექტორი ვალდებულია განიხილოს მონაცემთა სუბიექტის განცხადება მონაცემების დამუშავებასთან დაკავშირებით და მიიღოს ამ კანონით გათვალისწინებული ზომები.

2. მონაცემთა სუბიექტის განცხადების მიღებიდან 10 დღის ვადაში ინსპექტორი იღებს გადაწყვეტილებას გასატარებელი ღონისძიებების შესახებ და ამას აცნობებს განმცხადებელს.

3. ინსპექტორი უფლებამოსილია მონაცემთა სუბიექტის განცხადებასთან დაკავშირებული გარემოებების შესწავლისა და გამოკვლევის მიზნით განახორციელოს შემოწმება. მონაცემთა დამმუშავებელი და უფლებამოსილი პირი ინსპექტორის მოთხოვნის შემთხვევაში ვალდებული არიან, გადასცენ მას შესაბამისი ინფორმაცია და დოკუმენტი.

4. ინსპექტორის მიერ მონაცემთა სუბიექტის განცხადების განხილვის ვადა არ უნდა აღემატებოდეს 2 თვეს. ინსპექტორის დასაბუთებული გადაწყვეტილებით განცხადების განხილვის ვადა შეიძლება გაგრძელდეს არა უმეტეს 1 თვით.

4¹. ინსპექტორი უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვისას შეაჩეროს საქმის წარმოება დამატებითი დოკუმენტაციის გამოთხოვის საფუძვლით, რის შესახებაც აცნობებს მონაცემთა სუბიექტს. მონაცემთა სუბიექტის განცხადების განხილვა გაგრძელდება ამ საფუძვლის გაუქმებისთანავე. საქმის წარმოების შეჩერების პერიოდი არ ჩაითვლება ამ მუხლის მე-4 პუნქტით გათვალისწინებულ ვადაში.

5. ინსპექტორი უფლებამოსილია მონაცემთა სუბიექტის განცხადების განხილვის დასრულებამდე მიიღოს გადაწყვეტილება მონაცემთა დაბლოკვის შესახებ. მონაცემთა დაბლოკვის მიუხედავად, შეიძლება გაგრძელდეს ამ მონაცემთა დამუშავება, თუ ეს აუცილებელია მონაცემთა სუბიექტის ან მესამე პირის სასიცოცხლო ინტერესების დასაცავად, ასევე სახელმწიფო უსაფრთხოებისა და თავდაცვის მიზნებისათვის.

6. მონაცემთა სუბიექტის განცხადების განხილვის შემდეგ ინსპექტორი იღებს გადაწყვეტილებას ამ კანონის 39-ე მუხლით გათვალისწინებული ერთ-ერთი ღონისძიების გამოყენების შესახებ, რაც დაუყოვნებლივ უნდა ეცნობოს მონაცემთა სუბიექტსა და მონაცემთა დამმუშავებელს.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 35. ინსპექტორის მიერ შემოწმების განხორციელება

1. ინსპექტორი უფლებამოსილია, როგორც საკუთარი ინიციატივით, ისე დაინტერესებული პირის განცხადების საფუძველზე, განახორციელოს ნებისმიერი მონაცემთა დამმუშავებლისა და უფლებამოსილი პირის შემოწმება.

2. ინსპექტორის მიერ შემოწმების განხორციელება გულისხმობს:

ა) მონაცემთა დამუშავების პრინციპების დაცვისა და მონაცემთა დამუშავების კანონიერი საფუძვლების არსებობის დადგენას;

ბ) მონაცემთა დაცვისათვის მიღებული პროცედურებისა და ორგანიზაციული და ტექნიკური ზომების ამ კანონით დადგენილ მოთხოვნებთან შესაბამისობის შემოწმებას;

გ) ფაილური სისტემის კატალოგის, ფაილურ სისტემათა კატალოგების რეესტრისა და მონაცემთა გაცემის აღრიცხვის შესახებ ამ კანონით დადგენილი მოთხოვნების შესრულების შემოწმებას;

დ) მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის კანონიერების შემოწმებას;

ე) ამ კანონითა და სხვა ნორმატიული აქტებით დადგენილი მონაცემთა დაცვასთან დაკავშირებული წესების დაცვის შემოწმებას.

3. ინსპექტორი უფლებამოსილია შემოწმების განხორციელებისას ნებისმიერი დაწესებულებისაგან, ფიზიკური თუ იურიდიული პირისაგან გამოითხოვოს დოკუმენტები და ინფორმაცია, მათ შორის, კომერციული და პროფესიული საიდუმლოებების შემცველი ინფორმაცია, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველი მასალა, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება და აუცილებელია შემოწმების ამ მუხლის მე-2 პუნქტით დადგენილ ფარგლებში განსახორციელებლად.

4. მონაცემთა დამმუშავებელი და უფლებამოსილი პირი ვალდებული არიან, ინსპექტორს ნებისმიერი ინფორმაცია და დოკუმენტი მიაწოდონ დაუყოვნებლივ ან არაუგვიანეს 10 დღისა, თუ ინფორმაციის მოთხოვნაზე პასუხის გაცემა მოითხოვს:

ბ) მნიშვნელოვანი მოცულობის ინფორმაციის/დოკუმენტის მოძიებასა და დამუშავებას.

შენიშვნა: მონაცემთა დამმუშავებლის ან/და უფლებამოსილი პირის მიმართვის საფუძველზე ინსპექტორმა ამ მუხლის მე-4 პუნქტში აღნიშნული ვადა შეიძლება გააგრძელოს არაუმეტეს 10 დღისა.

5. ინსპექტორი უფლებამოსილია შემოწმების განსახორციელებლად შევიდეს ნებისმიერ დაწესებულებასა თუ ორგანიზაციაში და გაეცნოს ნებისმიერ დოკუმენტსა და ინფორმაციას, მათ შორის, კომერციული და პროფესიული საიდუმლოებების შემცველ ინფორმაციას, აგრეთვე ოპერატიულ-სამძებრო საქმიანობისა და დანაშაულის გამოძიების ამსახველ მასალას, რომელიც სახელმწიფო საიდუმლოებას მიეკუთვნება, მიუხედავად მათი შინაარსისა და შენახვის ფორმისა.

6. (ამოღებულია - 01.08.2014, №2636).

7. შემოწმების შედეგების გათვალისწინებით, ინსპექტორი უფლებამოსილია მიიღოს ამ კანონის 39-ე მუხლით გათვალისწინებული ღონისძიებები.

8. ინსპექტორი ვალდებულია დაიცვას კომერციული, პროფესიული და სახელმწიფო საიდუმლოებების შემცველი ინფორმაციის უსაფრთხოება და არ გაამჟღავნოს საიდუმლო ინფორმაცია, რომელიც მას გაანდეს ან მისთვის ცნობილი გახდა სამსახურებრივი მოვალეობის შესრულების დროს. ეს ვალდებულება ინსპექტორს უფლებამოსილების შეწყვეტის შემდეგაც უნარჩუნდება.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014წ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014წ.

მუხლი 35¹. ფარული საგამოძიებო მოქმედებების და უფლებამოსილი ორგანოს მონაცემთა ბანკებში განხორციელებული აქტივობების კონტროლი

1. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹მუხლის პირველი ნაწილის „ა“ ქვეპუნქტით გათვალისწინებული ფარული საგამოძიებო მოქმედების − სატელეფონო საუბრის ფარული მიყურადებისა და ჩაწერის − განხორციელებაზე ზედამხედველობას პერსონალურ მონაცემთა დაცვის ინსპექტორი ახორციელებს:

ა) კონტროლის ელექტრონული სისტემის მეშვეობით, მონაცემთა დამუშავების საფუძვლის კანონიერების შემოწმებით;

ბ) ფარული საგამოძიებო მოქმედებების განხორციელების ორეტაპიანი ელექტრონული სისტემის მეშვეობით, ფარული საგამოძიებო მოქმედების განხორციელებაზე ელექტრონული თანხმობის გაცემით;

გ) მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

2. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე−138-ე მუხლებით გათვალისწინებულ საგამოძიებო მოქმედებებზე ზედამხედველობას პერსონალურ მონაცემთა დაცვის ინსპექტორი ახორციელებს სასამართლოს, პროკურატურის და ელექტრონული საკომუნიკაციო მომსახურების მიმწოდებლის მიერ მიწოდებული ინფორმაციის შედარებით და მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

3. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 143¹ მუხლის პირველი ნაწილის „ბ“ ქვეპუნქტით გათვალისწინებულ ფარულ საგამოძიებო მოქმედებაზე ზედამხედველობას პერსონალურ მონაცემთა დაცვის ინსპექტორი ახორციელებს მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

4. უფლებამოსილი ორგანოს მონაცემთა ბანკებში განხორციელებულ აქტივობებზე ზედამხედველობას პერსონალურ მონაცემთა დაცვის ინსპექტორი ახორციელებს მონაცემთა ბანკების კონტროლის სპეციალური ელექტრონული სისტემის მეშვეობით და მონაცემთა დამმუშავებლის/უფლებამოსილი პირის მიერ მონაცემთა დამუშავების კანონიერების შემოწმებით (ინსპექტირებით).

5. საქართველოს სისხლის სამართლის საპროცესო კოდექსის 136-ე−138-ე მუხლებით და 143 ¹ მუხლის პირველი ნაწილის „ა“ და „ბ“ ქვეპუნქტებით გათვალისწინებულ საგამოძიებო მოქმედებებზე განხორციელებული კონტროლის შედეგების შესახებ ანგარიშს პერსონალურ მონაცემთა დაცვის ინსპექტორი და საქართველოს სახელმწიფო უსაფრთხოების სამსახური წელიწადში ორჯერ წარუდგენენ საქართველოს პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტს.

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

საქართველოს 2015 წლის 8 ივლისის კანონი №3940 - ვებგვერდი, 15.07.2015წ.

მუხლი 36. ინსპექტორის მონაწილეობა სამართალშემოქმედებით პროცესში

ინსპექტორი უფლებამოსილია საკუთარი ინიციატივით საქართველოს პარლამენტსა და სხვა საჯარო დაწესებულებებს წარუდგინოს წინადადებები კანონმდებლობის სრულყოფის მიზნით და მოამზადოს დასკვნები იმ კანონებსა და სხვა ნორმატიულ აქტებზე, რომლებიც დაკავშირებულია მონაცემთა დამუშავებასთან.

მუხლი 37. ინსპექტორის თანამშრომლობა სხვა ორგანიზაციებსა და დაწესებულებებთან

ინსპექტორი უფლებამოსილია ითანამშრომლოს სხვა დაწესებულებასთან, საერთაშორისო ორგანიზაციასა და სხვა სახელმწიფოს შესაბამის დაწესებულებასთან მონაცემთა დაცვასთან დაკავშირებულ ნებისმიერ საკითხზე.

მუხლი 38. ინსპექტორის წლიური ანგარიში

1. ინსპექტორი საქართველოს მთავრობასა და საქართველოს პარლამენტს წელიწადში ერთხელ, არაუგვიანეს 1 მარტისა, წარუდგენს ანგარიშს ქვეყანაში პერსონალურ მონაცემთა დაცვის მდგომარეობისა და ინსპექტორის მიერ განხორციელებული საქმიანობის შესახებ. ინსპექტორის ანგარიში საჯაროა. ინსპექტორის ანგარიშის გამოქვეყნებას ინსპექტორი უზრუნველყოფს.

2. ინსპექტორის ანგარიში უნდა შეიცავდეს ქვეყანაში მონაცემთა დაცვის მდგომარეობის ზოგად შეფასებებს, დასკვნებსა და რეკომენდაციებს, აგრეთვე ინფორმაციას წლის განმავლობაში გამოვლენილი მნიშვნელოვანი დარღვევებისა და განხორციელებული ღონისძიებების შესახებ.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2636 - ვებგვერდი, 18.08.2014 წ.

მუხლი 39. ინსპექტორის მიერ კანონის აღსრულების მიზნით გამოყენებული ღონისძიებები

1. თუ ინსპექტორი აღმოაჩენს ამ კანონის ან მონაცემთა დამუშავების მარეგულირებელი სხვა ნორმატიული აქტების დარღვევას, იგი უფლებამოსილია:

ა) მოითხოვოს დარღვევისა და მონაცემთა დამუშავებასთან დაკავშირებული ნაკლოვანებების მის მიერ მითითებული ფორმით და მითითებულ ვადაში გამოსწორება;

ბ) მოითხოვოს მონაცემთა დამუშავების დროებით ან სამუდამოდ შეწყვეტა, თუ მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ მონაცემთა უსაფრთხოებისთვის მიღებული ზომები და პროცედურები არ შეესაბამება კანონის მოთხოვნებს;

გ) მოითხოვოს მონაცემთა დამუშავების შეწყვეტა, მათი დაბლოკვა, წაშლა, განადგურება ან დეპერსონალიზაცია, თუ მიიჩნევს, რომ მონაცემთა დამუშავება ხორციელდება კანონის საწინააღმდეგოდ;

დ) მოითხოვოს მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის შეწყვეტა, თუ მათი გადაცემა ხორციელდება ამ კანონით დადგენილ მოთხოვნათა დარღვევით;

ე) წერილობით მისცეს რჩევები და გაუწიოს რეკომენდაციები მონაცემთა დამმუშავებელსა და უფლებამოსილ პირს მათ მიერ მონაცემთა დამუშავებასთან დაკავშირებული წესების უმნიშვნელოდ დარღვევის შემთხვევაში.

2. მონაცემთა დამმუშავებელი და უფლებამოსილი პირი ვალდებული არიან, ინსპექტორის მიერ მითითებულ ვადაში შეასრულონ მისი მოთხოვნები და ეს აცნობონ ინსპექტორს.

3. თუ მონაცემთა დამმუშავებელი ან უფლებამოსილი პირი არ ასრულებს ინსპექტორის მოთხოვნებს, ინსპექტორი უფლებამოსილია მიმართოს სასამართლოს.

4. თუ ინსპექტორი გამოავლენს ადმინისტრაციულ სამართალდარღვევას, იგი უფლებამოსილია შეადგინოს ადმინისტრაციული სამართალდარღვევის ოქმი და შესაბამისად მონაცემთა დამმუშავებელს ან უფლებამოსილ პირს დააკისროს ადმინისტრაციული პასუხისმგებლობა კანონით დადგენილი წესით.

5. თუ ინსპექტორი საქმიანობის პროცესში მიიჩნევს, რომ არსებობს დანაშაულის ნიშნები, იგი ვალდებულია ეს აცნობოს უფლებამოსილ სახელმწიფო ორგანოს კანონით დადგენილი წესით.

6. ინსპექტორის გადაწყვეტილება შესასრულებლად სავალდებულოა და მისი გასაჩივრება შეიძლება მხოლოდ სასამართლოში, კანონით დადგენილი წესით.

მუხლი 40. ფაილურ სისტემათა კატალოგების რეესტრი

1. ინსპექტორი ვალდებულია აწარმოოს ფაილურ სისტემათა კატალოგების რეესტრი, რომელშიც შეტანილი უნდა იყოს ამ კანონის მე-19 მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია.

2. ფაილურ სისტემათა კატალოგების რეესტრში შეტანილი ინფორმაცია საჯაროა და ინსპექტორი უზრუნველყოფს მის სათანადო წესით გამოქვეყნებას.

თავი VI. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა

მუხლი 41. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა

1. მონაცემთა სხვა სახელმწიფო სა და საერთაშორისო ორგანიზაციისათვის გადაცემა შეიძლება იმ შემთხვევაში, თუ არსებობს ამ კანონით გათვალისწინებული მონაცემთა დამუშავების საფუძვლები და თუ შესაბამის სახელმწიფოში ან საერთაშორისო ორგანიზაციაში უზრუნველყოფილია მონაცემთა დაცვის სათანადო გარანტიები.

2. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემა, გარდა ამ მუხლის პირველი პუნქტისა, შეიძლება აგრეთვე იმ შემთხვევაში, თუ:

ა) მონაცემთა გადაცემა გათვალისწინებულია საქართველოს საერთაშორისო ხელშეკრულებით და შეთანხმებით;

ბ) მონაცემთა დამმუშავებელი უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს და მონაცემთა სუბიექტის ძირითადი უფლებების დაცვას მონაცემთა დამმუშავებელსა და შესაბამის სახელმწიფოს, ასეთი სახელმწიფოს იურიდიულ ან ფიზიკურ პირს ან საერთაშორისო ორგანიზაციას შორის დადებული ხელშეკრულების საფუძველზე.

3. ამ მუხლის მე-2 პუნქტის „ბ“ ქვეპუნქტის საფუძველზე მონაცემთა გადაცემა შეიძლება მხოლოდ ინსპექტორის ნებართვის შემდეგ.

მუხლი 42. მონაცემთა დაცვის სათანადო გარანტიების დადგენა

სხვა სახელმწიფოში ან/და საერთაშორისო ორგანიზაციაში მონაცემთა დაცვის სათანადო გარანტიების არსებობას აფასებს და გადაწყვეტილებას იღებს ინსპექტორი მონაცემთა დამუშავების მარეგულირებელი კანონმდებლობისა და პრაქტიკის ანალიზის საფუძველზე.

თავი VII. ადმინისტრაციული პასუხისმგებლობა ამ კანონის დარღვევისათვის

მუხლი 43. მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

1. მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით .

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებული დარღვევისათვის, –

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

მუხლი 44. მონაცემთა დამუშავების პრინციპების დარღვევა

1. ამ კანონით გათვალისწინებული მონაცემთა დამუშავების პრინციპების დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით .

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

მუხლი 45. განსაკუთრებული კატეგორიის მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება

1. განსაკუთრებული კატეგორიის მონაცემთა ამ კანონით გათვალისწინებული საფუძვლების გარეშე დამუშავება −

გამოიწვევს დაჯარიმებას 1 000 ლარის ოდენობით .

გამოიწვევს დაჯარიმებას 5 000 ლარის ოდენობით .

მუხლი 46. მონაცემთა უსაფრთხოების დაცვის მოთხოვნების შეუსრულებლობა

1. მონაცემთა უსაფრთხოების დაცვისათვის ამ კანონით დადგენილი მოთხოვნების შეუსრულებლობა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით .

მუხლი 47. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენება წესების დარღვევით

1. მონაცემთა პირდაპირი მარკეტინგის მიზნებისათვის გამოყენება ამ კანონით დადგენილი წესების დარღვევით –

გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით .

გამოიწვევს დაჯარიმებას 10 000 ლარის ოდენობით .

მუხლი 48. ვიდეოთვალთვალის წესების დარღვევა

1. ამ კანონით დადგენილი ვიდეოთვალთვალის წესების დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 500 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით .

მუხლი 49. საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გამოსვლის შესახებ მონაცემთა დამუშავების წესების დარღვევა

საჯარო და კერძო დაწესებულებათა შენობაში შესვლისა და შენობიდან გამოსვლის შესახებ მონაცემთა დამუშავების ამ კანონით დადგენილი წესების დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 100 ლარის ოდენობით.

მუხლი 50. მონაცემთა დამმუშავებლის მიერ მონაცემთა სუბიექტის ინფორმირების წესების დარღვევა

1. მონაცემთა დამმუშავებლის მიერ მონაცემთა სუბიექტის ინფორმირების ამ კანონით დადგენილი წესებ ის დარღვევა −

გამოიწვევს გაფრთხილებას ან დაჯარიმებას 100 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით .

მუხლი 51. მონაცემთა დამმუშავებლის მიერ მონაცემთა დამუშავების უფლებამოსილი პირისათვის დავალება წესების დარღვევით

1. მონაცემთა დამმუშავებლის მიერ მონაცემთა დამუშავების უფლებამოსილი პირისათვის დავალება ამ კანონით დადგენილი წესების დარღვევით −

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

2. იგივე ქმედება, ჩადენილი იმ პირის მიერ, რომელსაც ერთი წლის განმავლობაში შეეფარდა ადმინისტრაციული სახდელი ამ მუხლის პირველი პუნქტით გათვალისწინებ ული დარღვევისათვის, –

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით .

მუხლი 52. უფლებამოსილი პირის მიერ ამ კანონის მე-16 მუხლით გათვალისწინებული წესების დარღვევა

1. უფლებამოსილი პირის მიერ ამ კანონის მე-16 მუხლით გათვალისწინებული წესების დარღვევა −

გამოიწვევს დაჯარიმებას 1000 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით .

მუხლი 52¹. მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის წესის დარღვევა

1. მონაცემთა ამ კანონის 41-ე მუხლით დადგენილი წესის დარღვევით გადაცემა −

გამოიწვევს დაჯარიმებას 1000 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 3000 ლარის ოდენობით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 53. ინსპექტორის მოთხოვნის შეუსრულებლობა

1. მონაცემთა დამმუშავებლის ან უფლებამოსილი პირის მიერ ინსპექტორისათვის ინფორმაციისა და დოკუმენტის წარდგენის წესის დარღვევა, მათ შორის, ამ კანონის მე-10 მუხლით განსაზღვრული ინფორმაციის მიუწოდებლობა და მე-20 მუხლით გათვალისწინებული შეტყობინების ვალდებულების შეუსრულებლობა, −

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 2 000 ლარის ოდენობით.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 54. მონაცემთა დამუშავებასთან დაკავშირებული სხვა წესების დარღვევა

1. ამ კანონის მე-3 მუხლის 1 ¹პუნქტით დადგენილი წესის დარღვევა −

გამოიწვევს დაჯარიმებას 500 ლარის ოდენობით.

გამოიწვევს დაჯარიმებას 2000 ლარის ოდენობით .

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639- ვებგვერდი, 18.08.2014 წ.

მუხლი 55. ადმინისტრაციული სამართალდარღვევის საქმის განხილვა

1. ამ კანონის 43-ე−54-ე მუხლებით გათვალისწინებულ ადმინისტრაციულ სამართალდარღვევათა საქმეების განხილვისა და ადმინისტრაციული სახდელების დადების უფლება აქვს ინსპექტორს.

2. ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს ინსპექტორი.

3. ინსპექტორის მიერ უფლებამოსილი პირი ადმინისტრაციული სამართალდარღვევის ოქმს ადგენს და საქმეს განიხილავს საქართველოს ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი წესით.

თავი VII¹. გარდამავალი დებულებები

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

მუხლი 55¹. გარდამავალი დებულებები

საქართველოს შინაგან საქმეთა სამინისტრომ 2015 წლის 31 მარტამდე უზრუნველყოს კონტროლის ელექტრონული სისტემის და მონაცემთა ბანკების კონტროლის სპეციალური ელექტრონული სისტემის ფუნქციონირებისათვის აუცილებელი ტექნიკურ-ორგანიზაციული ღონისძიებების განხორციელება და შესაბამისი პროგრამული უზრუნველყოფის საშუალების შექმნა.

საქართველოს 2014 წლის 30 ნოემბრის კანონი №2869 - ვებგვერდი, 30.11.2014წ.

თავი VIII. დასკვნითი დებულებები

მუხლი 56. კანონის ამოქმედება

1. ეს კანონი , გარდა ამ კანონის 43-ე−55-ე მუხლებისა , ამოქმედდეს 2012 წლის 1 მაისიდან.

2. ამ კანონის 43-ე−55-ე მუხლები ამოქმედდეს 2013 წლის 1 იანვრიდან.

3. ამ კანონის 34-ე, 35-ე და 39-ე მუხლები კერძო სექტორის მიმართ ამოქმედდეს 2014 წლის 1 ნოემბრიდან.

საქართველოს 2014 წლის 1 აგვისტოს კანონი №2639 - ვებგვერდი, 18.08.2014წ.

საქართველოს პრეზიდენტი მ . სააკაშვილი

თბილისი,

2011 წლის 28 დეკემბერი.

№5669-რს

LAW OF GEORGIA

ON PERSONAL DATA PROTECTION

Chapter I – General Provisions

Article 1 – Purpose of this Law

This Law is intended to ensure protection of human rights and freedoms, including the right to privacy, in the course of personal data processing.

Article 2 – Definition of terms

The terms used in this Law have the following meanings:

a) personal data (‘the data’) – any information connected to an identified or identifiable natural person. A person shall be identifiable when he/she may be identified directly or indirectly, in particular by an identification number or by any physical, physiological, psychological, economic, cultural or social features specific to this person;

b) special categories of data – data connected to a person’s racial or ethnic origin, political views, religious or philosophical beliefs, membership of professional organisations, state of health, sexual life, criminal history, administrative detention, putting a person under restraint, plea bargains, abatement, recognition as a victim of crime or as a person affected, also biometric and genetic data that allow to identify a natural person by the above features;

c) biometric data – any physical, mental or behavioural feature which is unique and constant for each natural person and which can be used to identify this person (fingerprints, foot prints, iris, retina (retinal image), facial features);

c¹) genetic datum – a unique and constant datum of a data subject on genetic inheritance and/or DNA code that makes it possible to identify this person;

d) data processing – any operation performed in relation to the data by automated, semi-automatic or non-automatic means, in particular collection, recording, photographing, audio recording, video recording, organisation, storage, alteration, restoration, request for access to, use or disclosure by way of data transmission, dissemination or otherwise making them available, grouping or combination, locking, deletion, or destruction;

e) automated data processing – data processing by means of information technologies;

e¹) semi-automatic data processing – data processing by means of information technologies and non-automatic means;

f) data subject – any natural person whose data is being processed;

g) consent – a voluntary consent of a data subject, after receipt of the respective information, on his/her personal data processing for specific purposes expressed orally, through telecommunication or other appropriate means, which enables clearly establishing the will of the data subject;

h) written consent of the data subject – a voluntary consent expressed by a data subject, after receipt of the respective information on his/her personal data processing for specific purposes, which was signed or otherwise acknowledged by the data subject in writing or in any other equivalent form;

i) data controller – a public agency, a natural or legal person who individually or in collaboration with others determines purposes and means of personal data processing and who, directly or through a data processor, processes personal data;

j) data processor – any natural or legal person who processes personal data for or on behalf of the data controller;

k) data recipient – a private or public agency, a natural or legal person, an employee of the private or public sector to whom the data were transferred, except for a personal data protection inspector;

l) third party – any natural or legal person, a public agency, except for a data subject, a personal data protection inspector, a data controller, and a data processor;

m) filing system – a structured set of data where they are arranged and available according to specific criteria;

n) filing system catalogue – a detailed description of structure and contents of the filing system;

o) registry of filing system catalogues – a registry providing a detailed record of the existing filing systems;

p) blocking of data – temporary suspension of data processing;

q) data depersonalisation – data modification in a way to make it impossible to link the data to the data subject or to require disproportionately great effort, expense and time to establish such a link;

r) identification number – a personal identification number or any other identification number defined by law, which is connected to a natural person and may be used to retrieve data from the filing system (where the identification number is also processed) or to disclose them;

s) personal data protection inspector – a public official responsible for the supervision of the execution of personal data protection legislation;

t) direct marketing – offering goods, services, employment or temporary jobs by mail, telephone calls, e-mail or other means of telecommunication;

u) authorised body – a body defined under Article 3(32) of the Criminal Procedure Code of Georgia;

v) electronic control system – combination of technical and software solutions to ensure that the logging of data by an authorised body monitoring system commands are processed with cryptographic methods, the logging of data of commands performed by the Legal Interception Management System are automatically communicated to the Personal Data Protection Inspector, these data are processed with cryptographic methods and that the results are automatically collated;

w) special data bank electronic control system – combination of technical and software solutions to ensure that the data logging operations performed within the copied data banks of an authorised body provided in Article 8³(1)(b) of the Law of Georgia on Electronic Communications are automatically communicated to the Personal Data Protection Inspector.

Law of Georgia No 6325 of 25 May 2012 - website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Article 3 – Scope of the Law

1. This Law shall apply to the processing of data through automatic or semi-automatic means, and to the processing of data through non-automatic means within the territory of Georgia, which data form part of the filing system or are intended to form part of the filing system. This Law shall also apply to automatic processing of data defined as a state secret for the crime prevention and investigation, operational-investigative activities and protection of the rule of law, except as provided in this article.

1¹. Non-automatic data processing shall be inadmissible if it is intended to avoid performance of the requirements of this Law.

2. This Law shall also apply to:

a) data processing by diplomatic representations and consular offices of Georgia abroad;

b) activities of a data processor who is not registered in the territory of Georgia but employs technical means existing in Georgia for data processing, except when these technical means are used only for data transfer. In this case, the data controller must appoint/designate a registered representative in Georgia.

3. This Law shall not apply to:

a) data processing by a natural person clearly for personal purposes when the data processing is not related to his/her entrepreneurial or professional activity;

b) data processing for court proceedings as far as it may prejudice the proceedings before the final decision of the court;

c) processing of the data defined as a state secret for the purposes of state security (including economic security), defence, intelligence and counter-intelligence activities;

d) processing of information defined as a state secret (except for the data specified in paragraph 1 of this article).

4. This Law (except for Article 17) shall not apply to processing of data by media for public information, also to processing of data in the fields of art and literature.

5. Articles 19 and 20 of this Law shall not apply to processing of data by political parties, professional and other unions, and religious organisations with respect to their members.

6. Article 6 of this Law shall not apply to data processing for public safety, operational and investigative activities and criminal investigations if the issue is directly and specifically regulated under the Criminal Procedure Code of Georgia or the Law of Georgia on Operational and Investigative Activities or other special laws.

7. Article 6 of this Law shall not apply to data processing for the national population census under the Law of Georgia on Official Statistics.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 4 – Principles of data processing

The following principles must be observed during data processing:

a) data must be processed fairly and lawfully, without impinging on the dignity of a data subject;

b) data may be processed only for specific, clearly defined and legitimate purposes. Further processing of data for purposes that are incompatible with the original purpose shall be inadmissible;

c) data may be processed only to the extent necessary to achieve the respective legitimate purpose. The data must be adequate and proportionate to the purpose for which they are processed;

d) data must be valid and accurate, and must be updated, if necessary. Data that are collected without legal grounds and irrelevant to the processing purpose must be blocked, deleted or destroyed;

e) data may be kept only for the period necessary to achieve the purpose of data processing. After the purpose of data processing is achieved, the data must be locked, deleted or destroyed, or stored in a form that excludes identification of a person, unless otherwise determined by Law.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Chapter II – Rules for Data Processing

Article 5 – Grounds for data processing

Data processing shall be admissible if:

a) there is a data subject’s consent;

b) data processing is provided for by Law;

c) data processing is necessary for a data controller to perform his/her statutory duties;

d) data processing is necessary to protect vital interests of a data subject;

e) data processing is necessary to protect legitimate interests of a data controller or a third person, except when there is a prevalent interest to protect the rights and freedoms of the data subject;

f) according to the Law, data are publicly available or a data subject has made them publicly available;

g) data processing is necessary to protect a significant public interest under the Law;

h) data processing is necessary to deal with the application of a data subject (to provide services to him/her).

Article 6 – Processing of special category data

1. Special category data processing shall be prohibited.

2. Processing of data under paragraph 1 of this article shall be possible with written consent of a data subject or when:

a) processing of the data related to previous convictions and state of health is necessary for labour obligations and labour relations, including making a decision regarding employment;

b) data processing is necessary to protect the vital interests of a data subject or a third person and when the data subject is physically or legally unable to give his/her consent to data processing;

c) the data are processed for public health protection, health care or protection of health of a natural person by an institution (employee), and if it is necessary to manage or operate the health care system;

d) a data subject has made his/her data publicly available without an explicit prohibition of their use;

e) data are processed by a political, philosophical, religious or professional union or a non-commercial organisation when implementing legitimate activities; In this case, the data processing may only be connected with the members of this union/organisation or persons who have regular contacts with this union/organisation;

f) data are processed to consider the issues related to the maintenance of personal files and registers of the accused/convicted persons; to the individual planning for a convicted person to serve his/her sentence, and/or the release of a convicted person on parole and the change of an unserved term of his/her sentence with a lighter punishment;

g) data are processed for the purpose of enforcing legal acts under Article 2 of the Law of Georgia on Enforcement Procedure of Non-custodial Sentences and Probation;

h) data are processed in the cases directly provided for by the Law of Georgia on International Protection.

3. When data are processed under paragraph 2 of this article, it shall be prohibited to make the data publicly available and to disclose the data to a third party without the consent of the data subject.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3534 of 1 May 2015 – website, 18.5.2015

Law of Georgia No 5017 of 27 April 2016 – website, 13.5.2016

Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016

Article 7 – Protection of personal data of a deceased person

1. After a data subject dies, processing of his/her data, except for the grounds specified in Articles 5 and 6 of this Law, shall be permissible with the consent of a parent, child, grandchild or spouse of the data subject, or when 30 years have passed since the death of the data subject.

2. Data processing of a data subject after his/her death shall also be permissible if it is necessary to realise inheritance rights.

3. Data processing under the grounds defined in paragraphs 1 and 2 of this article shall be inadmissible if a data subject, before he/she died, had prohibited in writing having his/her data processed after death, except when data are processed on the grounds specified in Articles 5 and 6 of this Law.

4. To process the name, gender or birth and death dates of a deceased person, existence of grounds under this Law for data processing shall not be necessary.

5. The data of a deceased person may be disclosed for historical, statistical and research purposes, except when the deceased person had prohibited in writing disclosure of his/her data.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 8 – Data processing for direct marketing purposes

1. Data obtained from publicly available sources may be processed for direct marketing purposes.

2. Regardless of the purpose of data collection, the following data may be processed for direct marketing purposes: name (names), address, telephone number, e-mail address, fax number.

3. Any data may be processed for direct marketing purposes on the basis of a written consent given by a data subject as determined by this Law.

4. A data subject shall have the right to require at any time that a data controller stop to use of his/her data for direct marketing purposes.

5. A data controller shall be obliged to stop data processing for direct marketing purposes and/or ensure that a data processor stop data processing for direct marketing purposes not later than 10 working days after the request of a data subject is received.

6. When data are processed for direct marketing purposes a data controller shall be obliged to notify a data subject of the right under paragraph 4 of this article and to ensure the possibility to stop data processing for direct marketing purposes in the same form as the direct marketing is conducted, and/or to determine the available and adequate means to require discontinuation of data processing for direct marketing purposes.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 9 – Biometric data processing by public agencies

1. A public agency may process biometric data only for human security and property protection purposes, also to prevent disclosure of secret information if these goals may not be reached by other means or require disproportionately great efforts.

2. Regardless of the conditions under paragraph 1 of this article, biometric data may be processed to issue an identity document under procedures established by Law, or to identify a person crossing the state border, as well as in other cases directly provided for by a legislative act of Georgia.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 54 of 1 December 2016 – website, 15.12.2016

Article 10 – Biometric data processing by legal entities under private law and natural persons

A legal entity under private law and a natural person may only process biometric data if it is necessary to perform activities, provide human safety and property protection, also to prevent disclosure of secret information, if these goals may not be reached by other means or require unjustifiably great efforts. Unless otherwise determined by law, before using biometric data, a data processor shall provide the personal data protection inspector with the same information that is provided to the data subject, in particular on the purpose of data processing and the security measures taken to protect the data.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 11 – Video surveillance in the streets and public transport

1. Video surveillance in streets (including in parks, public gardens, near playgrounds, public transport stops and other public gathering places) and in public transport shall only be permissible to prevent crime, also for human safety reasons, protection of property and public order, or to prevent minors from harmful influence.

2. If a video surveillance system is installed, public and private institutions shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject has been informed about the processing of his/her data.

3. The video surveillance system and video recordings must be protected from unlawful trespass and use.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 12 – Video surveillance of buildings of public and private institutions

1. For monitoring purposes, public and private institutions may implement video surveillance of their buildings if it is necessary for human security and property protection, and also to prevent minors from harmful influences and protect secret information.

2. A video surveillance system may only be used to monitor outside perimeters and entrances of buildings. A data processor shall be obliged to put up an appropriate warning sign in a visible place. In this case, it shall be considered that a data subject is informed about processing of his/her data.

3. A video surveillance system may be installed at a workplace only in exceptional cases if it is necessary for human security and property protection or to protect secret information and if these goals may not be reached by other means.

4. Video surveillance shall be inadmissible in cloak rooms and hygiene facilities.

5. When using a video surveillance system at the workplace under paragraph 3 of this article, all persons working in their respective private or public institutions must be informed in writing about the video surveillance and their rights.

6. A data processor shall be obliged to create a filing system to store video recordings. In addition to the recordings (images/voice), the system must include information about the date, place and time of data processing.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 13 – Video surveillance of residential buildings

1. To install a video surveillance system within a residential building, a written consent of more than a half of the building owners shall be necessary. Residents of the building must be notified of the video surveillance system installation.

2. Installation of a video surveillance system within residential buildings shall only be permissible for human security and property protection.

3. A video surveillance system installed within a residential building may only monitor the entrance and common spaces. Monitoring of owners’ apartments shall not be allowed.

4. Monitoring of the hallway of an apartment by a video surveillance system shall be allowed only by the apartment owner's decision or based on his/her written consent.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Article 14 – Data processing for registration of entry into and exit from buildings of public and private institutions

1. Public and private institutions may collect the following data for registration of entry into and exit from buildings: name, number and type of the identity document, address, date and time of entry and exit, and reasons for entry into and exit from the building.

2. The storage period for the data under paragraph 1 of this article must not exceed three years after they were recorded unless otherwise provided by law. The data must be deleted or destroyed after three years.

Chapter III – Rights and Obligations of Data Controllers and Data Processors

Article 15 – Provision of data subjects with data

1. If data are collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the following information:

a) identities and registered addresses of the data controller and the data processor (if applicable);

b) purpose of data processing;

c) whether provision of data is mandatory or voluntary; if mandatory – the legal consequences of refusal to submit them;

d) the right of the data subject to obtain information on his/her personal data processed, request their correction, updating, addition, blocking, deletion and destruction.

2. Provision of the information mentioned in paragraph 1 of this article shall not be mandatory if the data subject already has it.

3. If the data are not collected directly from a data subject, a data controller or a data processor shall be obliged to provide the data subject with the information in paragraph 1 of this article upon request.

4. When collecting data for statistic, scientific and historic purposes, provision of information shall not be mandatory if this requires disproportionately great efforts.

Article 16 – Processing of data by data processors

1. A data processor may process data on the basis of a legal act or a written contract concluded with a data controller, which must comply with the requirements established by this Law and other normative acts and must take account of the rules and restrictions established by this Law.

2. A data processor must process data within the scope determined by a respective normative act or an agreement. Any further data processing by a data processor for any other purposes shall be inadmissible. A data processor may not transfer the right to process data to any other person without the consent of a data controller.

3. Conclusion of an agreement for data processing shall be inadmissible if, due to the activities and/or aims of a data processor, there is a risk of inappropriate data processing.

4. A data controller must be assured that a data processor applies appropriate organisational and technical measures to protect data. It shall be obliged to monitor data processing by a data processor.

5. In case of a dispute between a data processor and a data controller, the data processor shall be obliged to transfer all available data to the data controller upon request.

6. In the case of cancellation by a data processor of the grounds mentioned in paragraph 1 of this article or termination of activities, the data processing must be stopped and the data that were processed before cancellation of these grounds or termination of the activities shall be immediately transferred to the data controller.

7. The agreement with a data processor must include the obligation to apply measures for data security.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 17 – Data security

1. A data controller shall be obliged to take appropriate organisational and technical measures to ensure protection of data against accidental or unlawful destruction, alteration, disclosure, collection or any other form of unlawful use, and accidental or unlawful loss.

2. A data controller shall be obliged to ensure registration of all operations performed in relation to electronic data. When processing non-electronic data, a data controller shall be obliged to register all operations with respect to disclosure and/or alteration of data.

3. Measures taken to ensure data security must be adequate to the risks related to processing of data.

4. Any employee of a data controller and of a data processor, who is involved in processing of data, shall be obliged to stay within the scope of powers granted to him/her. In addition, he/she shall be obliged to protect data secrecy, including after his/her term of office terminates.

5. The data security measures shall be defined by the legislation of Georgia.

Article 18 – Obligations of data controllers and data processors for the disclosure of data

When disclosing data, a data controller and a data processor shall be obliged to ensure registration of the following information: the data that were disclosed, to whom, when and on what legal grounds they were disclosed. This information must be stored together with the data on a data subject for the entire storage period.

Article 19 – Filing system catalogue

1. A data controller shall be obliged to keep a filing system catalogue for each filing system and to register the following information:

a) the name of a filing system

b) the names and addresses of a data controller and a data processor, place of storing and/or processing of data

c) the legal grounds for data processing

d) the category of a data subject

e) the category of data in a filing system

f) the purpose of data processing

g) the period for data storage

h) the fact and grounds for the restriction of a right of a data subject

i) the recipient of data stored in a filing system, and their categories

j) the information on the transborder flows of data and transmission of data to international organisation, and the legal grounds for the transfer

k) the general description of the procedure established to ensure data security.

2. A data controller shall be obliged to ensure that the information under paragraph 1 of this article is regularly updated.

Article 20 – Obligation to notify the Personal Data Protection Inspector

1. A data controller shall be obliged, before creation of a filing system and entry of a new category of data therein, to notify the Personal Data Protection Inspector, in writing or electronically, of the information required under Article 19 of this Law.

2. A data controller shall be obliged to notify the Personal Data Protection Inspector of any alteration made to the information under Article 19 of this Law not later than 30 days after the alteration.

3. One copy of a court ruling on issuance of a permit or refusal to issue a permit to conduct a covert investigative action requested by a law enforcement body, which contains only the details and the resolution part, as well as one copy of a court ruling on recognition as lawful or unlawful of a covert investigative action conducted by a law enforcement body without court permission, which contains only the details and the resolution part, shall be provided to the Personal Data Protection Inspector within 24 hours after the ruling is delivered.

4. An electronic communications company shall notify the Personal Data Protection Inspector of the transfer to a law enforcement body of identification data of electronic communication under Article 8(3) of the Law of Georgia on Electronic Communications (when data are not transferred through technical means of real time data transfer) within 24 hours after the transfer.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Chapter IV – Rights of Data Subjects

Article 21 – Right of data subjects to request information

1. A data subject shall have the right to request information from a data processor on processing of his/her data. The data processor must provide the data subject with the following information:

a) which personal data are being processed;

b) the purpose of data processing;

c) the legal grounds for data processing;

d) the ways in which the data were collected;

e) to whom his/her personal data were disclosed, and the grounds and purpose of the disclosure.

2. Provision of the data specified in paragraph 1(e) of this article, to a data subject shall not be mandatory if the data are public under law.

3. A data subject must be provided with the information under paragraph 1 of this article upon request immediately or not later than 10 days after the request if for responding to the information request it is required to:

a) retrieve and process the information at another institution or structural unit or consult with either one;

b) retrieve and process voluminous documents not linked to each other;

c) consult with its structural unit located in another populated place, or with other public agency.

4. A data subject shall opt for the way in which the information under paragraph 1 of this article is provided to him/her.

5. A person shall have the right to review his/her personal data kept at a public institution and obtain copies of the data for free, except for information when payment of a fee is required under the legislation of Georgia to issue it.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Article 22 – The right of data subjects to request for correction, update, addition, blocking, deletion and destruction of data

1. When requested by a data subject, a data controller shall be obliged to correct, update, add, block, delete, or destroy data if the data are incomplete, inaccurate, not updated, or were illegally collected and processed.

2. A data controller must inform all data recipients of correction, update, addition, blocking, deletion, and destruction of the data, except when provision of this information is impossible due to large number of data recipients or disproportionately high costs. The personal data protection controller must be notified of the latter circumstance.

3. If information is received in accordance with paragraph 2 of this article, the recipient party shall be obliged to correct, update, add, block, delete, or destroy the data, respectively.

Article 23 – Procedure for correction, update, addition, blocking, deletion and destruction of data

1. A request under Article 22(1) of this Law shall be submitted either in writing, orally or by electronic means.

2. Within 15 days after the request of a data subject is received, a data processor shall be obliged to correct, update, add, block, delete or destroy the data or inform the data subject of the grounds for refusal.

3. If a data processor, without a request from a data subject, considers on its own that the data at his/her disposal are incomplete, inaccurate, or not updated, the data processor shall correct or update the data accordingly and inform the data subject.

4. After a data subject submits a request under Article 22(1) of this Law, a data processor shall have the right to block the data based on the applicant's request.

5. A decision to block data shall be made within three days after an appropriate request is submitted and shall be valid until a data controller decides to correct, update, add, delete or destroy the data.

6. The decision to block data shall be attached to the relevant data for as long as the reason of blocking the data exists.

Article 24 – Limitation of rights of data subjects

1. The rights of a data subject under Articles 15, 21 and 22 of this Law may be limited by the legislation of Georgia if the exercise of these rights endangers:

a) the interests of the national security and defence

b) the interests of public security

c) crime detection, investigation and prevention

d) significant financial and economic interests of the country (including those related to monetary, budgetary and taxation issues)

e) the rights and freedoms of a data subject and others.

2. A measure under paragraph 1 of this article may be applied only to the extent necessary to achieve the intent of the limitation.

3. If the grounds in paragraph 1 of this article exist, the decision of a data controller or the Personal Data Protection Inspector must be provided to a data subject without prejudice to the intent of the limitation of a right.

Article 25 – Withdrawal of consent

1. A data subject shall have the right to, at any time and without explanation, withdraw his/her consent given and to request that the data processing be stopped and/or the processed data be destroyed.

2. A data controller shall be obliged to stop the data processing and/or destroy the processed data according to the request of a data subject within five days after the application is submitted, unless there are other grounds to process data.

3. This Article shall not apply to information that is related to fulfilment of a data subject’s financial obligations and processed with his/her consent.

Article 26 – Right to appeal

1. If the rights under this Law are violated, a data subject shall have the right to apply to the Personal Data Protection Inspector or to the court under procedures determined by law, and if a data controller is a public institution, he/she may also submit an appeal to the same or senior administrative body.

2. A data subject shall have the right to require from a body considering the case to block data until a decision is made.

3. A data subject shall have right to appeal the decision of a higher administrative body or the Personal Data Protection Inspector to the court under procedures determined by law.

4. In case of a dispute with respect to the existence of a data subject’s consent to process data, a data processor shall carry the burden of proof for the existence of the data subject's consent.
Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Article 26¹ – Commission on Destruction of Information/Personal Data obtained through Covert Investigative Actions

1. Information about judgements delivered in relation to covert investigative actions, as well as the destruction of information obtained through covert investigative actions shall be provided at the end of each quarter to the Commission on Destruction of Information/Personal Data obtained through Covert Investigative Actions established by the Parliament of Georgia.

2. The Commission on Destruction of Information/Personal Data obtained through Covert Investigative Actions shall consist of 7 members. The commission shall include: The Personal Data Protection Inspector, Vice-President of the Supreme Court of Georgia (to be appointed as member of the Commission by the president of the Supreme Court of Georgia), Deputy Chief Prosecutor of Georgia (to be appointed as member of the Commission by the Chief Prosecutor of Georgia), the Public Defender of Georgia, the chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia. Two members of the Commission shall be elected by the Parliament of Georgia from among representatives of the non-governmental organisations. The Personal Data Protection Inspector shall be the chairperson of the Commission.

3. The procedures for creation of the Commission on Destruction of Information/Personal Data obtained through Covert Investigative Actions and its rules of procedure shall be defined by a statute approved by the Commission.

4. The Prosecutor's Office and the court shall notify the Commission on Destruction of Information/Personal Data obtained through Covert Investigative Actions immediately after the destruction of materials defined under Article 143⁸ of the Code of Criminal Procedure of Georgia and of the information under Article 6 of the Law of Georgia on Operative and Investigative Actions. As a result of processing of information received from the Prosecutor's Office and the court and the information in the registry of covert investigative actions under Article 143¹⁰ of the Code of Criminal Procedure of Georgia, the Commission shall annually publish statistical information about the destruction of materials obtained through covert investigative actions and operative and investigative actions according to the number of cases, classification, grounds and other data.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Chapter V – The Personal Data Protection Inspector

Article 27 – Main areas of activity of the Personal Data Protection Inspector

1. The legality of data processing in Georgia shall be monitored by the Personal Data Protection Inspector (’Inspector’). Main areas of the Personal Data Protection Inspector activity shall be:

a) rendering consultations to public and private institutions, as well as to natural persons on data protection issues;

b) review of applications on data protection;

c) examination (inspection) of lawfulness of data processing at public and private institutions;

d) information for the public about the situation in the area of data protection and significant developments in this respect in Georgia.

2. In his/her activity, the Inspector shall be governed by the Constitution of Georgia, treaties and international agreements of Georgia, universally recognised principles and norms of international law, this Law, the Regulations on rules of procedure of the Personal Data Protection Inspector and on procedure for his/her exercise of powers, and other legal acts.

3. Principles of the Inspector’s activity shall be:

a) lawfulness

b) respect for and protection of human rights and freedoms

c) independence and political neutrality

d) objectivity and impartiality

e) professionalism

f) maintenance of professional secrecy and confidentiality.

4. The Inspector shall, within the scope of his/her authority, issue subordinate normative acts, including with respect to notification, approval and review of applications, on the method and form of inspection, and issues related to the operation of the Inspector’s Office.

5. Based on this Law, the Regulations on rules of procedure of the Personal Data Protection Inspector and the procedure for his/her exercise of powers and other normative acts, and in order to comply with them, the Inspector shall issue individual administrative acts, including decisions, orders, instructions and directions.

6. Rules of procedure of the Personal Data Protection Inspector and the procedure for his/her exercise of powers shall be defined under the appropriate Regulations approved by the Government of Georgia.

7. The Inspector shall have a Deputy appointed by the Inspector based on competition. If the term of office of the Inspector expires or his/her powers are prematurely terminated, a Deputy Inspector shall act as the Inspector and enjoy the rights and legal safeguards granted to the Inspector until the Parliament of Georgia elects a new Inspector.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 28 – Appointment of the Inspector and termination of his/her powers

1. Any citizen of Georgia who has a higher legal education, at least five years of working experience in the field of human rights and appropriate business and moral qualities may be elected as the Inspector.

2. A competition committee for selection of the Inspector shall be established by order of the Prime Minister of Georgia. The committee shall include:

a) a representative of the Government of Georgia;

b) the chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia;

c) the Vice-president of the Supreme Court (appointed as member of the Committee by the President of the Supreme Court of Georgia);

d) the Public Defender of Georgia or a representative of the Public Defender's Office;

e) a person appointed by the Public Defender of Georgia from among members of a non-entrepreneurial (non-commercial) legal person that has experience in the area of data protection.

3. Not earlier than 11 and not later than 10 weeks before the term of office of the Inspector expires, or if his/her powers are prematurely terminated – within one week after the powers are terminated, persons defined under paragraph 2 of this article shall introduce members of the competition committee for selection of the Inspector to the Prime Minister. The Prime Minister of Georgia shall convene the first Committee meeting within three days after all members of the Committee are introduced. At the first Committee meeting, the Committee shall elect the Chairperson from among its members and within one week it shall approve the statute of the Committee to determine the rules of procedure of the Committee, as well as the time limit and procedure for nominating candidates for Inspector to the Committee.

4. The competition committee for selection of Inspector shall select, by majority of votes, a minimum of two and maximum of five candidates for Inspector and introduce them to the Prime Minister of Georgia.

5. The Prime Minister of Georgia shall, within 10 days, introduce to the Parliament of Georgia two candidates to be elected to the position of Inspector. The Parliament of Georgia, under the procedures determined by the Rules of the Parliament of Georgia, shall elect the Inspector not later than 14 days after nomination of the candidates. If neither of the candidates receives enough votes for election, the Prime Minister of Georgia shall announce a new competition within two weeks.

6. The Inspector shall be appointed for three years. The same person may be appointed to the position of Inspector for only two consecutive terms.

7. A new Inspector must be selected not earlier than sixty days before and not later than thirty days after the term of office of the current Inspector expires.

8. The term of office of a newly-appointed Inspector shall run from the day following the expiry of the term of office of the current Inspector, if he/she was appointed before this term expired, and from the day following the appointment – if he/she was appointed after the term of office of a previous Inspector expired or was prematurely terminated.

9. Powers of the Inspector shall be terminated immediately three years after his/her appointment or when his/her powers are prematurely terminated.

10. The Inspector shall have a deputy appointed by the Inspector.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Article 29 – Incompatibility with duties of the Inspector

1. Duties of the Inspector shall be incompatible with membership in state and local self-government representative bodies of Georgia, any post within state service and remunerative work, except for scientific and pedagogic activity or activity in the field of art. The Inspector may not be a member of any political party or participate in political activity.

2. The Inspector shall be obliged, within one month after his/her election, to discontinue activities incompatible with his/her duties. If the Inspector fails to meet this requirement within the mentioned time period, his/her powers shall be prematurely terminated and the Prime Minister of Georgia shall present new candidates to the Parliament of Georgia for selection under the procedures determined by this law.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 30 – Premature termination of powers of the Inspector

1. The Inspector shall be inviolable. It shall be inadmissible to institute criminal proceedings against the Inspector, detain or arrest him/her, search his/her residence, automobile, workplace or perform personal search without the consent of the Parliament of Georgia. The exception to this shall be catching the Inspector in flagrante delicto which must be immediately reported to the Parliament of Georgia. If the Parliament of Georgia refuses to give consent, the arrested or detained Inspector must be immediately released. The Parliament of Georgia shall decide on this issue not later than 14 days after application.

2. If the Parliament of Georgia consents to have the Inspector arrested or detained, with consent of the Parliament of Georgia his/her powers shall be suspended until a resolution to terminate criminal proceedings is made or a court judgement enters into force.

3. Powers of the Inspector shall be prematurely terminated if:

a) he/she loses the citizenship of Georgia;

b) he/she fails to perform his/her duties for four consecutive months;

c) a valid court judgement of conviction against him/her enters into force;

d) the Court declares him/her as missing or dead, or recognises as a beneficiary of support, unless otherwise determined under court decision;

e) he/she held or has been holding a position incompatible with the status of Inspector, or is engaged in an activity incompatible with his/her status;

f) he/she voluntarily resigns;

g) he/she dies.

4. In cases under paragraph 3 of this article, powers of the Inspector shall be considered as terminated from the establishment of any of the above circumstances, which must be immediately reported to the Prime Minister of Georgia and the Parliament of Georgia.

5. In cases under paragraph 3(b, e) of this article, powers of the Inspector shall be terminated by the Parliament of Georgia on its own initiative or based on the request of the Prime Minister of Georgia.

Law of Georgia No 6325 of 25 May 2012 – website, 12.6.2012

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 3350 of 20 March 2015 – website, 31.3.2015

Article 31 – Independence of the Inspector

1. The Inspector shall be independent in exercising his/her powers and shall not be subordinate to any official or body. Any type of influence or interference with the Inspector’s activities shall be prohibited and punishable by law.

2. To ensure independence of the Inspector, the state shall be obliged to put in place adequate working conditions for him/her.

3. The Inspector shall have the right to refuse to testify regarding any fact that was disclosed to him/her as Inspector. This right shall be reserved to him/her even after the termination of powers.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 32 – Financial and organisational support of the Inspector’s activities

1. The Inspector shall exercise his/her rights and fulfil his/her obligations with the support of the Inspector’s Office (‘the Office’).

2. The structure of the Office, the rules of procedure and the procedures for distribution of powers among employees shall be established by the Inspector under the statute of the Office.

3. The Inspector directly or the Deputy Inspector as assigned by the Inspector shall administer the Office.

4. Activities of the Inspector and the Office shall be funded from the state budget of Georgia. The Inspector shall submit a draft budget under the procedures determined by law. Allocations necessary for the activities of the Inspector and the Office shall be defined in a separate item of the state budget of Georgia.

5. The Inspector shall be entitled to receive grants and contributions under procedures established by the legislation of Georgia to exercise the rights and fulfil the obligations under this Law.

Article 33 – Offering consultations and conducting educational activities by the Inspector

1. The Inspector shall be obliged, if requested, to offer consultations to the state and local self-government bodies of Georgia, other public institutions, legal entities of private law and natural persons on any issue with respect to data processing and protection.

2. The Inspector shall conduct educational activities on issues with respect to data processing and protection.

Article 34 – Review of applications of data subjects by the Inspector

1. The Inspector shall be obliged to review an application of a data subject in relation to data processing and take measures under this Law.

2. Within 10 days after an application from a data subject is received, the Inspector shall decide which measures to take and notify the applicant.

3. To examine and investigate circumstances related to an application of a data subject, the Inspector shall have the right to conduct an inspection. A data controller and a data processor shall be obliged to provide the Inspector with appropriate information and documents, if the Inspector so requires.

4. The time limit for the Inspector to review an application of a data subject shall not exceed two months. Based on a substantiated decision of the Inspector, the time period for reviewing an application may be extended by not more than one month.

4¹. When reviewing an application of a data subject, the Inspector shall be authorised to suspend proceedings on the ground of a request for additional documents and shall notify the data subject. The review of the application shall be resumed immediately after this ground is cancelled. The period of suspension of proceedings shall be excluded from the period specified in paragraph 4 of this article.

5. The Inspector shall be authorised to block data before the review of an application of a data subject ends. Notwithstanding that data may be blocked, the data processing may continue if it is necessary to protect the vital interests of a data subject or a third person, as well as for the state security and defence purposes.

6. After reviewing an application of a data subject, the Inspector shall decide to apply one of the measures under Article 39 of this Law, which must be immediately reported to the data subject and data controller.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 35 – Inspection conducted by the Inspector

1. The Inspector shall be authorised, on his/her own initiative and upon application of an interested person, to conduct an inspection of any data controller and data processor.

2. An inspection conducted by the Inspector shall mean to:

a) establish the existence of compliance with data processing principles and legal grounds for data processing;

b) inspect the compliance of procedures to protect data and of the organisational and technical measures with the requirements of this Law;

c) inspect the fulfilment of requirements under this Law concerning a file system catalogue, a register for file system catalogues and keeping record of issuance of data;

d) inspect the lawfulness of data transfer to other states and international organisations;

e) inspect compliance with the procedures for data protection established by this Law and other normative acts.

3. When conducting an inspection, the Inspector shall be authorised to demand from any institution, natural or legal person the production of documents and information, including information containing commercial and professional secrets, as well as materials concerning the operative and investigative activities and crime investigation that are considered as state secrets and are necessary to conduct the inspection within the scope established by paragraph 2 of this article.

4. A data controller and a data processor shall be obliged to provide the Inspector with any information and document immediately or not later than 10 days if for responding to the information request it is required to:

a) retrieve and process the information at another institution or structural unit or consult with either one;

b) retrieve and process voluminous information/documents.

Note: based on an application of a data controller and/or a data processor, the Inspector may extend the time period specified in paragraph 4 of this article by not more than 10 days.

5. The Inspector shall be authorised to enter any institution or organisation to conduct an inspection, and review any document and information, including information containing commercial and professional secrets, as well as materials concerning operative and investigative activities and crime investigation that are considered as state secrets, regardless of their content and form of storage.

6. (Deleted – 1.8.2014, No2636)

7. Based on the inspection results, the Inspector shall be authorised to apply measures under Article 39 of this Law.

8. The Inspector shall be obliged to ensure security of information containing commercial, professional and state secrets, and not to disclose classified information that was confided to him/her or he/she became aware of when performing official duties. The Inspector shall retain this obligation even after his/her powers are terminated.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 35¹ – Monitoring of covert investigative actions and operations performed within the data banks of authorised bodies

1. Monitoring of covert investigative actions under Article 143¹(1)(a) of the Code of Criminal Procedure of Georgia – telephone bugging and recording – shall be conducted by the Personal Data Protection Inspector via:

a) an electronic control system by inspection of lawfulness of the grounds for data processing;

b) a two-step electronic system for performing covert investigative actions by giving electronic consent to conduct a covert investigative action;

c) inspection of the lawfulness of data processing by a data controller/a data processor.

2. The Personal Data Protection Inspector shall conduct monitoring of investigative actions under Articles 136-138 of the Code of Criminal Procedure of Georgia through collation of information provided by the court, the Prosecutor’s Office or an electronic communication service provider, and through the inspection of lawfulness of data processing by a data processor/a data processor.

3. The Personal Data Protection Inspector shall conduct monitoring of a covert investigative action under Article 143¹(1)(b) of the Code of Criminal Procedure of Georgia by the inspection of lawfulness of data processing by a data controller/a data processor.

4. The Personal Data Protection Inspector shall conduct monitoring of operations performed within the data banks of an authorised body through a special data bank electronic control system and the inspection of the lawfulness of data processing by a data controller/a data processor.

5. The Personal Data Protection Inspector and the State Security Service of Georgia shall, biannually, submit a report on the results of monitoring of investigative actions under Articles 136-138 and Article 143¹(1)(a-b) of the Code of Criminal Procedure of Georgia to the Human Rights and Civil Integration Committee of the Parliament of Georgia.

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Law of Georgia No 3940 of 8 July 2015 – website, 15.7.2015

Article 36 – Participation of the Inspector in the law-making process

The Inspector shall be authorised, on his/her own initiative, to submit proposals to the Parliament of Georgia and other public institutions intended to improve the legislation and to prepare reports on laws and other normative acts that refer to data processing.

Article 37 – Cooperation of the Inspector with other organisations and institutions

The Inspector shall be authorised to cooperate with other institutions, international organisations and respective institutions of other states on any issues concerning data protection.

Article 38 – Annual report of the Inspector

1. The Inspector shall, not later than March 1 of each year, submit an annual report to the Government of Georgia and the Parliament of Georgia on the situation with respect to personal data protection in the country and the activities performed by the Inspector. The annual report of the Inspector shall be public. The Inspector shall ensure that the Inspector’s report is published.

2. The Inspector’s report must include general assessments of the situation in the area of data protection, conclusions and recommendations, as well as the information on significant violations detected during a given year and measures undertaken.

Law of Georgia No 2636 of 1 August 2014 – website, 18.8.2014

Article 39 – Measures applied by the Inspector for the enforcement of law

1. If the Inspector detects a violation of this Law or other normative acts that regulate data processing, he/she shall be authorised to:

a) require elimination of the violation and the deficiencies related to data processing in the form and within the period indicated by him/her;

b) require temporary or permanent termination of data processing if measures and procedures applied by a data controller or a data processor for data protection fail to comply with the statutory requirements;

c) require termination of data processing, their blocking, deletion, destruction or depersonalisation if he/she believes that the data processing is conducted unlawfully;

d) require termination of data transfer to other states and international organisations if they are transferred in violation of the requirements of this Law;

e) give written advice and recommendations to a data controller and a data processor if they insignificantly violate the data processing rules.

2. A data controller and a data processor shall be obliged to fulfil the requirements of the Inspector within the period indicated by the Inspector and to notify him/her.

3. If a data controller or a data processor fails to fulfil the requirements of the Inspector, the Inspector shall be authorised to apply to court.

4. If the Inspector identifies an administrative offence, he/she shall have the right to draw up an administrative offence report and impose administrative liability upon a data controller and a data processor, respectively, under statutory procedures.

5. If, in the course of activities, the Inspector believes that elements of a crime are present, he/she shall be obliged to notify an authorised state body under statutory procedures.

6. The Inspector's decision shall be binding and may be appealed only to a court under statutory procedures.

Article 40 – Registry of the file system catalogues

1. The Inspector shall be obliged to maintain a register of the file system catalogues where the information under Article 19(1) of this Law must be entered.

2. The information entered in the register of file system catalogues shall be public and the Inspector shall ensure that it is appropriately published.

Chapter VI – Transfer of Data to Other States and International Organisations

Article 41 – Data transfer to other states and international organisations

1. Data may be transferred to other states and international organisations if there are grounds for data processing under this Law and if appropriate data protection guarantees are provided by the respective state or international organisation.

2. Data may also be transferred to other states and international organisations, except for paragraph 1 of this article, if:

a) the data transfer is part of a treaty or an international agreement of Georgia;

b) a data processor provides appropriate guarantees for protection of data and of fundamental rights of a data subject on the basis of an agreement between a data processor and the respective state, a natural or legal person of this state or an international organisation.

3. Data may be transferred under paragraph 2(b) of this article only with permission of the Inspector.

Article 42 – Establishing appropriate guarantees for data protection

The Inspector shall assess the presence of appropriate guarantees for data protection in other states and/or international organisations, and make a decision on the basis of analysis of the legislation regulating data processing and the practice.

Chapter VII – Administrative Liability for Violation of this Law

Article 43 – Data processing without the grounds under this Law

1. Data processing without the grounds under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Article 44 – Violation of principles of data processing

1. Violation of principles of data processing under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Article 45 – Processing of special category data without the grounds under this Law

1. Processing of special category data without the grounds under this Law shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 5 000.

Article 46 – Failure to comply with data protection requirements

1. Failure to comply with data protection requirements established by this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for the violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Article 47 – Using data for direct marketing purposes in violation of the rules under this Law

1. Using data for direct marketing purposes in violation of the rules under this Law shall result in a fine of GEL 3 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 10 000.

Article 48 – Violation of video surveillance rules

1. Violation of video surveillance rules under this Law shall result in a warning or a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Article 49 – Violation of rules for processing the building entry/exit data of public and private institutions

Violation of rules under this Law for processing of the building entry/exit data of public and private institutions shall result in a warning or a fine of GEL 100.

Article 50 – Violation of rules for notification of the data subject by the data processor

1. Violation of rules under this Law for notification of a data subject by a data controller shall result in a warning or a fine of GEL 100.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 500.

Article 51 – Assignment of data processing to the data processor by the data controller in violation of rules

1. Assignment of data processing to a data processor by a data controller in violation of rules under this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Article 52 – Violation of rules under Article 16 of this Law by the data processor

1. Violation of rules under Article 16 of this Law by a data processor shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.

Article 52¹ – Violation of rules for data transfer to another state and international organisation

1. Transfer of data in violation of rules established under Article 41 of this Law shall result in a fine of GEL 1 000.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 3 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 53 – Failure to fulfil requirements of the Inspector

1. Violation of the rule for submitting information and documents to the Inspector by a data controller or a data processor, including the failure to provide the information under Article 10 of this Law and to fulfil the notification obligation under Article 20 of this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 54 – Violation of other rules related to data processing

1. Violation of the rule under Article 3(1¹) of this Law shall result in a fine of GEL 500.

2. The same act committed by a person who has had an administrative penalty imposed in the course of one year for a violation under paragraph 1 of this article shall result in a fine of GEL 2 000.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

Article 55 – Consideration of administrative proceedings

1. The Inspector shall have the right to consider administrative proceedings under Articles 43-54 of this Law and to impose administrative penalties.

2. The Inspector shall draw up an administrative offence report.

3. A person authorised by the Inspector shall draw up an administrative offence report and review a case under procedures established by the Code of Administrative Offences of Georgia.

Chapter VII¹ – Transitional Provisions

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Article 55¹ – Transitional provisions

The Ministry of Internal Affairs of Georgia shall, before 31 March 2015, ensure the implementation of technical and organisational measures necessary for the operation of a special data bank electronic control system and the development of appropriate software.

Law of Georgia No 2869 of 30 November 2014 – website, 30.11.2014

Chapter VIII – Final Provisions

Article 56 – Entry of the Law into force

1. This Law, except for Articles 43–55 of this Law, shall enter into force from 1 May 2012.

2. Articles 43–55 of this Law shall enter into force from 1 January 2013.

3. Articles 34, 35 and 39 of this Law shall become valid for private sector from 1 November 2014.

Law of Georgia No 2639 of 1 August 2014 – website, 18.8.2014

President of Georgia M. Saakashvili

Tbilisi

28 December 2011

No 5669 - რს