რამდენად არის დაცული პერსონალური მონაცემები საქართველოში?
პერსონალური მონაცემების დაცვის ახალი კანონი და მისი მიღების პერსპექტივები
თანამედროვე სამყაროში, საინფორმაციო ტექნოლოგიების, სოციალური ქსელების და სხვადასხვა ტიპის კიბერსისტემების განვითარების ფონზე, სულ უფრო და უფრო აქტუალური ხდება პერსონალური მონაცემების დაცვის საკითხი. ჩვენი ქვეყნის შემთხვევაში კი ამას ემატება ევროკავშირთან ასოცირების პროცესი, რომლის მიხედვითაც საქართველომ უნდა გააუმჯობესოს პერსონალური მონაცემების დაცვის პრაქტიკა და მოახდინოს კანონმდებლობის მაქსიმალური ჰარმონიზაცია ევროპულთან. სწორედ ამ მნიშვნელოვან საკითხებზე ვესაუბრეთ არასამთავრობო ორგანიზაცია „ინოვაციებისა და რეფორმების ცენტრის“ ხელმძღვანელს გიორგი გაბრიელაშვილს.
– გიორგი, თქვენი ორგანიზაცია უკვე დიდი ხანია მუშაობს პერსონალურ მონაცემთა დაცვის მიმართულებით. ბოლოს 25 მაისს უმასპინძლეთ ონლაინღონისძიებას „GDPR და ქართული კანონმდებლობა“, რომელიც შეეხებოდა „პერსონალურ მონაცემთა დაცვის შესახებ“ კანონის ახალ პროექტს. ხომ ვერ გვეტყვით, რატომ არის ეს პროექტი მნიშვნელოვანი?
– დიდი მადლობა, ამ თემით დაინტერესებისათვის. პერსონალურ მონაცემთა დაცვის საკითხი ძალიან მნიშვნელოვანა, თუმცა, სამწუხაროდ, ჩვენთან ადამიანებს სათანადოდ არ ესმით მონაცემთა დაცვის მნიშვნელობა და მონაცემთა არასწორი დამუშავებით გამოწვეული საფრთხეები და, აქედან გამომდინარე, ორგანიზაციებიც ზედაპირულად ეკიდებიან საკითხს. საქმე ის არის, რომ პერსონალურ მონაცემთა არასწორი დამუშავება და მისი შედეგები ხშირად უჩინარია, სანამ მნიშვნელვანი ზიანი არ მიადგება ადამიანს ან/და მთალიანად საზოგადოებას.
მონაცემთა დაცვის საკითხი, როგორც ცალკე რეგულირების სფერო, ევროპასთან შედარებით დაახლოებით, 40 წლის დაგვიანებით, 2009-2011 წლებში წამოიწია საქართველოში. „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მიღება დიდწილად ევროპასთან ინტეგრაციის პროცესში შესასრულებელი ვალდებულებებით იყო განპირობებული და ეს კანონი მეტ-ნაკლებად შესაბამისობაში იყო ევროპაში მაშინ მოქმედ დირექტივასთან.
ორი წლის წინ კი ევროპაში პერსონალურ მონაცემთა დაცვის თვალსაზრისით არსებული რეალობა არსებითად შეიცვალა. 2018 წლის 25 მაისს ძალაში შევიდა პერსონალურ მონაცემთა დაცვის ზოგადი რეგულაცია – GDPR, რამაც მონაცემთა დაცვის ახალი სტანდარტი დაამკვიდრა. GDPR იმითაც არის მნიშვნელოვანი, რომ მას პირდაპირი მოქმედების ძალა გააჩნია ევროკავშირის მთელ ტერიტორიაზე და, ასევე, ექსტრატერიტორიულობის პრინციპიც, რაც ნიშნავს, რომ რეგულაცია შეიძლება გავრცელდეს იმ ქართულ კომპანიებზეც, რომლებიც ევროპელ კლიენტებს სთავაზობენ მომსახურებას ან ამუშავებენ მათ მონაცემებს.
ახალი რეგულაციის ამოქმედებასთან ერთად სულ უფრო მეტად გახდა თვალშისაცემი „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს არსებული კანონის ხარვეზები. თუ მანამდე შეიძლებოდა გვეთქვა, რომ ქართული კანონი რაღაც მინიმალურ დონეს მაინც აკმაყოფილებლდა, ევროპაში სტანდარტის მაღლა აწევით კიდევ უფრო აშკარა საკანონმდებლო ცვლილებების აუცილებლობა. შარშან სახელმწიფო ინსპექტორის სამსახურმა (ყოფილი პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი) მოამზადა ახალი კანონის პროექტი, რომელიც საქართველოს პარლამენტშია ინიცირებული
– როგორ შეაფასებდით ახალ კანონპროექტს? რა ძირითადი გამოწვევებია დღეს საქართველოში პერსონალურ მონაცემთა დაცვის კუთხით, რასაც ახალმა კანონმა უნდა უპასუხოს?
– წარმოდგენილი პროექტი ნამდვილად პროგრესულია და საერთო ჯამში დადებითად შეიძლება შეფასდეს, მასში ასახულია მონაცემთა დაცვის ახალი ევროპული სამართლებრივი ინსტრუმენტებით გათვალისწინებული ნოვაციები, მონაცემთა დასაცავად მისაღებია აუცილებელი ტექნიკური თუ ორგანიზაციული ზომები, თუმცა პროექტის სიღრმისეული ანალიზი იძლევა კრიტიკული შენიშვნების გამოთქმის საფუძველს კანონპროექტის რამდენიმე მუხლთან მიმართებით და რჩება მთელი რიგი ხარვეზები. კანონთან დაკავშირებით საკუთარი დასაბუთებული შენიშვნები ჩვენმა ორგანიზაციამ („ინოვაციებისა და რეფორმების ცენტრი“) საქართველოს პარლამენტსაც წარუდგინა და გამოაქვეყნა კიდეც.
ამ თემაზე საუბრისას აუცილებლად გასათვალისწინებელია ის რეალობა, რომ საქართველოში არსებული საჯარო თუ კერძო სერვისები, არსებული ბიზნესმოდელები და მონაცემთა ბაზები, როგორც წესი, მონაცემთა დაცვის არსისა და პრინციპების გათვალისწინების გარეშეა შექმნილი. როდესაც აღნიშნული სისტემები იქმნებოდა, „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი საერთოდ არ არსებობდა და სხვადასხვა ისტორიული თუ პოლიტიკური მიზეზის გამო, არც თავად თემა იყო აქტუალური. შესაბამისად, ერთი მხრივ, მონაცემთა დამუშავებისას არ არის მონაცემთა დაცვის მაღალი კულტურა, ხოლო, მეორე მხრივ, არსებული პროცესების შეცვლა დიდ ხარჯთანაა დაკავშირებული. ამიტომ პერსონალურ მონაცემთა დაცვის ახალი სტანდარტების დანერგვის მოტივაცია არც საჯარო და არც კერძო სექტორს დიდად არ აქვს. ამ გარემოს გათვალისწინებით, მნიშვნელოვანია კანონი მაქსიმალურად მოიცავდეს ყველა იმ თემას და ყველა იმ საკითხს, რომელიც განსაკუთრებით სენსიტიურია მონაცემთა დაცვის თვალსაზრისით.
მაგალითად, პროექტით შემთავაზებულია მონაცემთა დასაცავდ მისაღები ისეთ მნიშვნელოვანი ტექნიკური ზომები, როგორიცაა მონაცემთა დაცვის სტანდარტების გათვალისწინება ახალი პროდუქტის ან მომსახურების შექმნის პროცესში („Privacy by Design“) და მონაცემთა დაცვა პირველად პარამეტრად (Privacy by Default), ასევე, მონაცემთა დამუშავების ზეგავლენის შეფასება (DPIA). ჩვენი მოსაზრებით, იმისათვის რომ აღნიშნულმა ტექნიკურმა ზომებმა სათანადოდ იმუშაონ და მიზნის მიღწევის, ანუ მონაცემთა დაცვის რეალურ ინსტრუმენტად იქცნენ, მნიშნველოვანია კონკრეტული ღონისძიებებისა და მოქმედების არეალის (რომელ ორგანიზაციებზე და პროცესებზე ვრცელდება) დეტალური განსაზღვრა და ის, რომ კანონპროექტი მეტად იყოს შესაბამისობაში მონაცემთა დაცვის ევროპულ რეგულაციასთან.
ამავე დროს, აუცილებელია ყურადღება გამახვილდეს ფინანსური სანქციების თემაზე, რომელიც შემოთავაზებულ პროექტში კრიტიკას ვერ უძლებს. სამწუხაროდ, იმ პირობებში რომ ქართულ კომპანიებს და ორგანიზაციებს არ აქვთ მონაცემთა დაცვის მაღალი კულტურა და საზოგადოებაში ამ საკითხის ცნობადობაც არ არის სათანადო, ბიზნესისთვის ერთადერთი – ფინანსური მოტივაციაღა რჩება კანონის შესასრულებლად. დღეს ყველა თანხმდება, რომ არსებული ჯარიმები, რომელიც 100 ლარიდან იწყება და 10000 ლარამდე ადის, საერთოდ არ არის ეფექტიანი და ვერ აღწევს მთავარ მიზანს, პერსონალური მონაცემების დაცვას. ევროპული რეგულაციით (GDPR) დაწესებული ჯარიმის მაქსიმალური ოდენობაა 20 მლნ ევროს ან კომპანიის საერთო წლიური ბრუნვის 4%-ს შეადგენს. ამ ფონზე ჩვენი კანონპროექტით შემოთავაზებულია ჯარიმის მინიმალური ოდენობა – 1000 ლარი და მაქსიმალური ოდენობა – 10 000 ლარი, რომელმაც განმეორების შემთხვევაში მაქსიმუმ შეიძლება 20 000 ლარი შეადგინოს, ჩვენი აზრით, ვერ იქნება კანონის შესრულების ქმედითი მოტივატორი. რა თქმა უნდა, ქართული რეალობიდან გამომდინარე ჯარიმების ოდენობა ვერ იქნება ევროპული რეგულაციის იდენტური და ქართულ კომპანიებს არ უნდა დაეკისროს რამდენიმე მილიონი ლარის გადახდა მონაცემთა დამუშავების წესების დარღვევისათვის, თუმცა მას მინიმუმ ე.წ „მსუსხავი ეფექტი“ მაინც უნდა ჰქონდეს კომპანიებისათვის, წინააღმდეგ შემთხვევაში, ასეთი მიდგომა და ჯარიმების აღნიშნული ოდენობა ეჭვქვეშ აყენებს სანქციების ეფექტიანობასა და პროპორციულობას.
– რა ეტაპზეა ამჯერად კანონპროექტის განხილვისა და მიღების პროცესი?
– პროექტი საქართველოს პარლამენტში ინიცირებულია გასული წლის 22 მაისს, მას შემდეგ გაიმართა პირველი საკომიტეტო მოსმენა და შემდეგ პროცესი გაურკვეველი ვადით შეჩერდა. მიუხედავად მრავალგზის კომუნიკაციისა პარლამენტის ადამიანის უფლებათა დაცვისა და სამოქალაქო ინტეგრაციის კომიტეტთან, კონკრეტული პასუხი, თუ რატომ არის კანონის განხილვა შეჩერებული ან რა ვადაში შეიძლება ველოდოთ პროცესის განახლებას, არ გვაქვს. გასაგებია, ამ ხნის მანძილზე ქვეყანაში სხვადასხვა პროცესები მიდიოდა, საპარლამენტო მუშაობაც არ მიმდინარეობდა ჩვეულ რეჟიმში და ბოლოს COVID 19-ის პანდემიამ საერთოდ გააჩერა კანონის მიღების საკითხი. თუმცა, ამ ფონზე საქართველოს პარლამენტმა მაინც მოახერხა რიგი კანონების განხილვა და მიღება და საკანონმდებლო პროცესი სრულად არ შეჩერებულა, შესაბამისად, „პეროსნალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მიღებაც თავისუფლად შეიძლებოდა მიმდინარე სესიის ფარგლებში. ეს საკითხი ხომ ძალიან მნიშვნელოვანია, რადგანაც კანონის მიღება ხელს შეუწყობს ახალ ევროპულ სტანდარტებთან ქართული კანონმდებლობის სრული შესაბამისობის უზრუნველყოფას და ახლო პერსპექტივაში შესაძლებელ გახდის ევროკავშირის მიერ საქართველოსთან მონაცემთა თავისუფალი მიმოცვლის შესახებ გადაწყვეტილების მიღებას.
იმ საკითხზე, თუ რამდენად არის ჩვენი კერძო და საჯარო სექტორი ახალი კანონპროექტით გათვალისწინებული სტანდარტების დასაკმაყოფილებლად, ჩვენ უკვე კომპანია Privacy Logic Group-ის წარმომადგენელს, ანა კაპანაძეს ვკითხეთ.
– ანა, თქვენი კომპანია სპეციალიზებულია პერსონალურ მონაცემთა დაცვის თემაზე და შეხება გაქვთ სხვადასხვა ორგანზაციასთან თუ კომპანიასთან, რომელსაც კონსულტაციას უწევთ მონაცემთა დაცვის საკითხებზე. რამდენად არის ქართული საჯარო და კერძო სექტორი მონაცემთა დაცვის სფეროში ცვლილებებისთვის?
– საქართველოს არ აქვს პერსონალურ მონაცემთა დაცვის მრავალწლიანი კულტურა და ტრადიცია, რაც მონაცემთა დაცვის თემის მიმართ კომპანიების დამოკიდებულებაშიც ვლინდება. იმისთვის, რომ საჯარო დაწესებულებებმა თუ კერძო კომპანიებმა სერიოზულად შეხედონ პერსონალურ მონაცემთა დაცვის საკითხს და ძირეულად გადააფასონ საკუთარი მიდგომები, შექმნან ახალი ბიზნესპორცესები და შეცვალონ წლების განმავლობაში გავრცელებული მანკიერი პრაქტიკა, აუცილებელია არსებობდეს მკაფიო და მაღალი სტანდარტი და შესაბამისი მოტივაცია, რომელიც შეიძლება გამოიხატოს როგორც ფინანსურ ისე რეპუტაციულ სანქციებში.
ძალიან დიდი მოლოდინია ახალი კანონის მიმართ, ჩვენი ბევრი კლიენტი გამოხატავს დაინტერესებას და შესაბამის ცვლილებებსაც გეგმავს. თუმცა ეს მოლოდინი ძალიან გაგვეწელა და იმედი მაქვს, წლის ბოლომდე მაინც მოხერხდება კანონის საბოლოო რედაქციაზე შეთანხმება და მისი მიღება.