Для компаний
Для частных лиц
Статьи
О нас
Консультация
Поиск по сайту
GE
EN
Отзывы

Новые правила защиты персональных данных в Грузии: что изменится в 2024 году

Рекламные рассылки без согласия запрещены, для компаний или ИП предусмотрены штрафы
6 декабря 2023
Марина Пидуашвили, адвокат JUST Advisors
  • Блог
  • Бизнес в Грузии
  • Новые правила защиты персональных данных в Грузии: что изменится в 2024 году
Установлены принципы обработки данных
Требование о назначении лиц, ответственных за защиту данных
Расширены основания для обработки данных
Определены права субъектов данных
Определен порядок сообщения об инцидентах
Установлена возможность отказа от рассылки рекламы
Ответственность за нарушение закона
1 марта и 1 июня 2024 года вступят в силу изменения к закону «О защите персональных данных». Они приведут грузинское законодательство в соответствие с требованиями международных стандартов: например, введут запрет на рекламные рассылки без согласия пользователя и обязуют некоторые организации нанимать офицера по защите данных. Если новые требования не исполнять, компаниям и ИП грозят крупные штрафы.
О том, что закон Грузии понимает под персональными данными и как с ними нужно работать, мы писали в отдельной статье. В этом материале сосредоточимся на пунктах, которые изменятся с 2024 года:

1. Установлены принципы обработки данных

  • 1
    Данные должны обрабатываться законно, справедливо, прозрачно для субъекта данных и без ущемления его достоинства. Обязательство прозрачности обработки данных не распространяется на исключительные случаи, установленные законом.
  • 2
    Данные следует собирать и получать только для конкретных, четко определенных и законных целей. Дальнейшая обработка данных в иных целях, несовместимых с первоначальной целью обработки данных, не допускается.
  • 3
    Данные должны обрабатываться только в той степени, в которой это необходимо для достижения соответствующей законной цели. Данные должны быть пропорциональны цели, для которой они обрабатываются.
  • 4
    Данные должны быть правдивыми, точными и, при необходимости, должны обновляться. Принимая во внимание цели обработки данных, неточные данные должны быть исправлены, удалены или уничтожены без неоправданной задержки.
  • 5
    Данные могут храниться только в течение периода, необходимого для достижения соответствующей законной цели обработки данных. После достижения цели, ради которой данные обрабатываются, они должны быть удалены, уничтожены или сохранены в обезличенном виде, если обработка данных не определена законом и/или подзаконным нормативным актом, изданным в соответствии с законом, и порядок хранения данных является необходимой и соразмерной мерой первостепенных интересов демократического общества.
  • 6
    В целях защиты безопасности данных при обработке данных должны быть приняты такие технические и организационные меры, которые должным образом обеспечивают защиту данных, в том числе от несанкционированной или незаконной обработки, случайной потери, уничтожения и/или повреждения.

2. Требование о назначении лиц, ответственных за защиту данных

В определенных организациях контроль за обработкой и хранением персональных данных должен осуществлять специальный субъект — офицер по защите персональных данных. Он обязателен для:

  • Публичных учреждений (за исключением религиозных и политических организаций).
  • Страховых компаний.
  • Коммерческих банков.
  • Микрофинансовых организаций.
  • Кредитных бюро.
  • Компаний электросвязи.
  • Авиакомпаний, аэропортов.
  • Медицинских учреждений.
  • Других ответственных за обработку персональных данных субъектов, которые обрабатывают большое количество данных субъектов данных.

Офицером по защите персональных данных может быть любое лицо, состоящее в штате организации или с которым заключен договор об оказании услуг. Требований к образованию или наличию специального сертификата нет. Офицер может выполнять функции по защите данных в нескольких компаниях одновременно, при этом внутри конкретной компании он может выполнять другие трудовые функции.
Персональная ответственность офицера регулируется только в рамках договора с работодателем или заказчиком. Законом ответственность не установлена.

3. Расширены основания для обработки данных

Дополнительно в закон включены случаи, когда обработка данных необходима для выполнения контракта или выполнения обязательств по контракту, а также когда это необходимо для выполнения задач в области общественных интересов, в том числе для предотвращения или расследования преступлений.

4. Определены права субъектов данных

Субъект, данные которого обрабатываются, имеет право требовать прекращения обработки, удаления или уничтожения своих данных (в том числе профайлинга), особенно если обработка данных больше не необходима для целей, для которых они были собраны.

5. Определен порядок сообщения об инцидентах

Организации и физические лица, ответственные за обработку данных, должны регистрировать все нарушения безопасности данных и сообщать об инцидентах в соответствующие органы в течение 72 часов после их обнаружения: электронно или путем отправки письменного уведомления. Единственное исключение — если маловероятно, что инцидент нанесет значительный ущерб и/или создаст значительную угрозу основным правам и свободам человека.

6. Установлена возможность отказа от рассылки рекламы

С 2024 года обработка персональных данных и отправка рекламных сообщений допускаются только с предварительного согласия тех, чьи данные обрабатываются. Любая рассылка от магазинов, ресторанов и иных учреждений станет незаконна, если человек самостоятельно и напрямую не дал согласия на такую рассылку.
Пункт 1, а также пункты с 3-го по 6-й, указанные выше, начнут действовать с 1 марта 2024 года. Пункт 2 вступит в силу немного позже, 1 июня 2024 года. Эти поправки — важный шаг в укреплении права граждан Грузии на конфиденциальность личных данных.

Ответственность за нарушение закона

Следить за соблюдением закона призвана Служба защиты персональных данных. Выявив нарушение, она может вынести предупреждение или назначить штраф. Для компаний и ИП с оборотом до 500 000 лари размер штрафа следующий:

  • 1000 лари — за нарушение какого-либо одного принципа обработки данных.
  • 2000 лари — если нарушено несколько принципов обработки данных.
  • 2000 лари — если нарушены правила обработки данных при рекламе.
  • 2000 лари — в случае неуведомления об инциденте.
Специалисты JUST Advisors занимаются полным юридическим сопровождением компаний в Грузии. Запишитесь на консультацию: расскажем, какие данные и как нужно обрабатывать в вашей сфере деятельности, чтобы исполнить закон «О защите персональных данных».
Было полезно? Поделитесь своим мнением
Читайте также
Коммерческая недвижимости в Грузии: оформление и налоги
Как купить, зарегистрировать и сдать в аренду коммерческую недвижимость в Грузии? Какие налоги нужно уплачивать и в каком размере? Как претендовать на ВНЖ?
Обработка и хранение персональных данных в Грузии в 2023 году
Как действует закон «О защите персональных данных» в Грузии в 2023 году? Какой порядок обработки, хранения и учета данных? Кого касается законодательство и какие штрафы предусмотрены за нарушения?
Особенности статуса малого бизнеса для индивидуальных предпринимателей в Грузии
Кому подходит быть ИП в Грузии?
Просто заполните форму по кнопке ниже или напишите нам в удобном мессенджере: WhatsApp, Telegram
Написать
Есть задача или вопрос?
МАРИЯ ГУСЕЙНОВА
Ведущий менеджер коммерческого департамента