⭐ Вы оказались в блоге JUST Advisors о юридической жизни иностранцев в Грузии. ✋ Статьи готовятся экспертами, но юридическая информация часто актуальна на дату публикации. Обратите внимание на возможные изменениями законодательства, смену тарифов указанных ведомств и т.п.. ✈️ Как ничего не пропустить: подписывайтесь на instagram, facebook, telegram ✅
Обработка и хранение персональных данных в Грузии в 2023 году
Как сейчас регулируется вопрос, какая ответственность за нарушения
Анна Давидсон, основатель и управляющий партнер JUST Advisors
25 июля 2023
14 июня 2023 года Парламент Грузии в третьем чтении принял новый закон «О защите персональных данных». Документ подразумевает ряд нововведений, расширяет права пользователей и гарантии их защиты и в целом приводит национальное законодательство в соответствие с международными стандартами. Изменения вступят в силу в несколько этапов — в марте и июне 2024 года. Еще год мы будем жить по старым правилам, о которых расскажем в этой статье. Материал о том, как изменится действующий порядок, опубликуем отдельно.
«Закон о защите персональных данных» в Грузии применяется в равной степени к государственным и частным организациям — практически все они обрабатывают персональные данные. Какой бы деятельностью ни занималось агентство, какой бы продукт ни производила организация, если в процессе работы она собирает, хранит, использует информацию о клиентах, сотрудниках или партнерах, она автоматически приобретает статус субъекта обработки данных и, соответственно, определенные обязанности — перед законом и людьми, чьи персональные данные это затрагивает.
Общие сведения о данных
Под персональными закон признает любые данные, которые помогают идентифицировать человека, в том числе имя и фамилию, личный номер (например, у сотрудника в договоре) и даже размер его заработной платы, а также электронную почту пользователя (он может вводить ее при регистрации на сервисе), номер его банковского счета, видео, записанное на камеры видеонаблюдения, переписку и многое другое.
Существуют данные особой категории — их обработка, за отсутствием оснований, отдельно прописанных в законодательстве, запрещена. К таким данным относятся, например, биометрические и генетические, а также связанные с:
Существуют данные особой категории — их обработка, за отсутствием оснований, отдельно прописанных в законодательстве, запрещена. К таким данным относятся, например, биометрические и генетические, а также связанные с:
- расовой или национальной принадлежностью человека;
- его политическими, религиозными и философскими взглядами;
- членством в профессиональном союзе;
- состоянием здоровья;
- половой жизнью;
- административным задержанием, судимостью, применением меры пресечения, условно-досрочным освобождением, заключением соглашения о признании вины, признанием в качестве потерпевшего, в том числе от преступления.
Под обработкой подразумевается любое действие, совершаемое с персональной информацией: не только сбор, запись, хранение, но также использование, раскрытие, передача третьему лицу, распространение, удаление, уничтожение и так далее
Кто может хранить данные
Обработку персональных данных может осуществлять как публичное учреждение, так и юридическое или физлицо (иногда его называют «процессором»), которое работает с данными пользователей на основании предпринимательской или профессиональной деятельности, а не в личных целях (это справедливо, например, для аудиторов, юристов и других экспертов).
Обрабатывать данные можно самостоятельно или через уполномоченное лицо — им тоже может быть любое физическое или юрлицо, действующее в интересах процессора. Например, вы решили информировать клиентов о новой услуге с помощью SMS-сообщений и наняли для этого подрядчика — он и будет вашим уполномоченным лицом. Обрабатывать данные он будет на основании правового акта или письменного договора, заключенного с вами, — в документе прописывают объем передаваемых и обрабатываемых данных и риски распределения ответственности.
Уполномоченное лицо (например, подрядчик) и обрабатывающее лицо (организация, бизнес, ИП) должны составлять каталог файловых систем, он регистрируется в реестре защиты персональных данных. Перед созданием системы или внесением изменений в нее уполномоченное лицо и процессор обязаны предоставить информацию в Службу защиты персональных данных — этот орган осуществляет контроль за законностью обработки данных на территории Грузии.
Обрабатывать данные можно самостоятельно или через уполномоченное лицо — им тоже может быть любое физическое или юрлицо, действующее в интересах процессора. Например, вы решили информировать клиентов о новой услуге с помощью SMS-сообщений и наняли для этого подрядчика — он и будет вашим уполномоченным лицом. Обрабатывать данные он будет на основании правового акта или письменного договора, заключенного с вами, — в документе прописывают объем передаваемых и обрабатываемых данных и риски распределения ответственности.
Уполномоченное лицо (например, подрядчик) и обрабатывающее лицо (организация, бизнес, ИП) должны составлять каталог файловых систем, он регистрируется в реестре защиты персональных данных. Перед созданием системы или внесением изменений в нее уполномоченное лицо и процессор обязаны предоставить информацию в Службу защиты персональных данных — этот орган осуществляет контроль за законностью обработки данных на территории Грузии.
Создание каталогов и сортировка информации в них должны осуществляться на грузинском языке. Обработчик сам определяет состав информации в файлах и ее категоризацию. Скажем, данные о сотрудниках могут быть загружены в один файл, о контрактах — в другой, а могут быть загружены вместе и отличаться только названиями
Какие данные можно обрабатывать
В первую очередь обработка данных разрешена, если человек (субъект персональных данных) дал на это согласие — добровольное, осознанное и четко выраженное: например, принял политику конфиденциальности на сайте компании или подписал иное соглашение. Но в некоторых случаях согласие не обязательно. Обработка данных допускается, если она:
Отдельно отметим, что законодательство допускает обработку данных, если они признаны общедоступными или субъект сам сделал их таковыми: например, опубликовал фотографию или свою контактную информацию в социальной сети.
- предусмотрена законом (к таким случаям можно отнести обработку данных о входе и выходе из государственных и частных зданий);
- требуется для выполнения обязанностей, возложенных на обработчика данных законом (например, учет и хранение данных в целях налогообложения);
- необходима для защиты жизненно важных интересов человека (если жизни человека угрожает опасность во время чрезвычайной ситуации и необходимо определить местонахождение для его спасения);
- необходима для защиты законных интересов обработчика данных или третьего лица в случаях, когда у владельца персональных данных нет преимущества в защите прав и свобод;
- необходима для защиты общественных интересов — предотвращения преступлений, защиты собственности, несовершеннолетних и ряда других ситуаций;
- необходима для рассмотрения заявления человека и оказания ему услуг.
Отдельно отметим, что законодательство допускает обработку данных, если они признаны общедоступными или субъект сам сделал их таковыми: например, опубликовал фотографию или свою контактную информацию в социальной сети.
Как правильно работать с данными
Срок хранения персональных данных вариативен. Например, данные в целях учета входа и выхода посетителей публичных и частных учреждений должны храниться не более трех лет с даты их регистрации — это указано в законодательстве. Во многих других ситуациях детального определения сроков нет, поэтому обработчик данных или уполномоченное лицо должны сами определить срок, обосновать его и указать цель хранения персональных данных в течение этого периода. По окончании срока (или достижении цели) данные подлежат уничтожению или сохранению в форме, исключающей идентификацию личности.
По запросу владельца данных обработчик обязан исправить, обновить, добавить, заблокировать, удалить или уничтожить эти данные, если они неполные и неточные или их сбор и обработка проходили с нарушениями. Если обработчик не принимает во внимание запрос, субъект данных может обратиться в Службу защиты персональных данных или в суд. Если обработчик — госучреждение, жалобу также можно подать в вышестоящий административный орган.
Обработчик данных должен обеспечивать безопасность персональных данных, принимать организационные и технические меры для этого в соответствии с рисками. При оценке рисков целесообразно учитывать:
По запросу владельца данных обработчик обязан исправить, обновить, добавить, заблокировать, удалить или уничтожить эти данные, если они неполные и неточные или их сбор и обработка проходили с нарушениями. Если обработчик не принимает во внимание запрос, субъект данных может обратиться в Службу защиты персональных данных или в суд. Если обработчик — госучреждение, жалобу также можно подать в вышестоящий административный орган.
Обработчик данных должен обеспечивать безопасность персональных данных, принимать организационные и технические меры для этого в соответствии с рисками. При оценке рисков целесообразно учитывать:
- 1категорию данных и их объем;
- 2число сотрудников организации и степень их доступа к данным;
- 3соблюдение правил безопасности третьими лицами, имеющими доступ к данным.
В целях защиты данных обработчик должен определить лицо или группу лиц, ответственных за безопасность, а также внедрить техническую инфраструктуру и систему безопасности. На случай нарушения правил хранения и учета должен быть механизм быстрого реагирования — чтобы можно было восстановить данные и минимизировать причиненный ущерб.
Полномочия Службы защиты данных
Как мы писали, Служба защиты персональных данных осуществляет контроль за законностью обработки данных на территории Грузии. Она уполномочена входить в любую организацию или учреждение по своей инициативе или на основании заявления заинтересованного лица и знакомиться с любыми документами и сведениями, в том числе составляющими государственную, налоговую, банковскую, коммерческую, профессиональную тайну, относящимися к оперативно-разыскной деятельности и уголовному преследованию, независимо от содержания и форм хранения.
Обработчик данных или уполномоченное лицо обязаны предоставить любой материал, информацию и документ Службе защиты данных по первому требованию в срок не позднее 10 рабочих дней.
В случае выявления нарушения закона или иного нормативного акта в сфере обработки данных Служба вправе применить одну или несколько мер, а именно: вынести предупреждение, назначить административный штраф, дать письменную рекомендацию или совет по устранению нарушений. Если Служба заподозрит в действиях организации или физлица признаки преступления, она обязана сообщить об этом уполномоченному государственному органу в соответствии с законодательством.Исполнение решений Службы защиты персональных данных обязательно и может быть обжаловано только в суде.
Обработчик данных или уполномоченное лицо обязаны предоставить любой материал, информацию и документ Службе защиты данных по первому требованию в срок не позднее 10 рабочих дней.
В случае выявления нарушения закона или иного нормативного акта в сфере обработки данных Служба вправе применить одну или несколько мер, а именно: вынести предупреждение, назначить административный штраф, дать письменную рекомендацию или совет по устранению нарушений. Если Служба заподозрит в действиях организации или физлица признаки преступления, она обязана сообщить об этом уполномоченному государственному органу в соответствии с законодательством.Исполнение решений Службы защиты персональных данных обязательно и может быть обжаловано только в суде.
Ответственность за нарушение норм закона
Сбор, хранение, использование и распространение данных с нарушением правил может стать основанием для привлечения к административной ответственности.
«Закон о защите персональных данных» в Грузии — объемный документ, разобраться в котором быстро может быть затруднительно. Вместе с тем вопросы обработки данных касаются практически любой организации. В новой версии закона ответственность за нарушения станет строже, а проверки — вероятнее. Чтобы минимизировать риски штрафов, советуем обратиться за юридической помощью. Юристы JUST Advisors готовы оказать услуги по аудиту вашей компании в вопросах защиты данных и привести в соответствие с законодательством все внутренние документы.
Было полезно? Поделитесь своим мнением
Читайте также
