+7 (499) 550-80-03
4people@grfc.ru
    • Главная Аналитика и законодательство Международные акты и акты иностранных государств в области персональных данных Акты иностранных государств Грузия
    16 декабря 2022

    Грузия

     

        ЗАКОНОДАТЕЛЬСТВО ГРУЗИИ В СФЕРЕ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

     

    Система законодательства 

    В 2005 году Грузия ратифицировала Конвенцию о защите физических лиц в отношении автоматизированной обработки персональных данных и взяла на себя обязательство по формированию соответствующих правовых основ защиты персональных данных. В 2011 году принят закон, который устанавливает свод правил и основных принципов защиты данных.

    Законодательство Грузии в области персональных данных включает:

    • закон Грузии «О защите персональных данных» от 28.12.2011;
    • закон Грузии «О службе государственных инспекторов» от 21.07.2018;
    • постановление Правительства Грузии «Об утверждении Положения о деятельности инспектора по защите персональных данных и правил осуществления им полномочий» от 19.07.2013;
    • приказ Инспектора по защите персональных данных «Об утверждении списка стран, имеющих соответствующие гарантии» от 16.09.2014;
    • приказ Инспектора по защите персональных данных «Об утверждении Регламента Службы» от 04.03.2016;
    • приказ руководителя Службы защиты персональных данных «Передача персональных данных другим государствам и международным организациям.
    • приказ «Об утверждении порядка выдачи разрешения» от 02.03.2022 № 2 (далее – Приказ № 2).

    Сфера действия 

    Закон  Грузии «О защите персональных данных» (далее – Закон) регулирует обработку персональных данных на территории Грузии, осуществляемую с помощью автоматических, полуавтоматических и неавтоматических средств.

    Закон применяется:

    • к государственным органам, физическим и юридическим лицам, которые используют технические средства для обработки данных;
    • к обработчикам данных (физическим и юридическим лицам),
    • к субъектам данных (физическим лицам);
    • к дипломатическим представительствам и консульским учреждениям Грузии за рубежом.

    Закон не распространяется на обработку данных:

    • физическими лицами в личных целях, не связанных с предпринимательской или профессиональной деятельностью;
    • во время судебного разбирательства (если это может повлиять на процесс до принятия окончательного решения суда);
    • для обработки данных в целях государственной безопасности;
    • средствами массовой информации для информирования общественности, а также на обработку информации в области искусства и литературы, за исключением требований, предусмотренных в статье 17 Закона.

    Основные понятия

    Персональные данные

    Любая информация, связанная с идентифицируемым или идентифицированным физическим лицом (по идентификационному номеру или характерным физическим, физиологическим, психологическим, экономическим, культурным либо социальным признакам).

    Чувствительные данные

    Данные, связанные с этнической или расовой принадлежностью человека, его политическими, религиозными, философскими взглядами, членством в профессиональных организациях, состоянием здоровья, сексуальной жизнью, криминальным прошлым, административным задержанием, ограничением свободы, а также биометрическими и генетическими данными, позволяющими идентифицировать физическое лицо по вышеуказанным признакам.

    Трансграничная передача персональных данных

    Передача персональных данных за пределы Грузии допустима без отдельного разрешения государственного Инспектора по защите персональных данных Грузии (далее – Инспектор), если:

    • в стране существует правовая основа для обработки данных и соблюдаются надлежащие стандарты безопасности данных;
    • обработка данных предусмотрена международным соглашением между Грузией и данной страной.

    Если ни одно из вышеуказанных условий не применяется, то между передающим лицом и получателем должно быть официальное письменное соглашение, в соответствии с которым получатель должен взять на себя обязательство обеспечить надлежащие гарантии защиты данных, которое утверждается Инспектором.

    Биометрические данные

    Это данные о состоянии здоровья, в том числе любые физические, психические или поведенческие характеристики, которые уникальны и постоянны для каждого физического лица и которые могут быть использованы для идентификации этого лица (отпечатки пальцев, отпечатки ног, радужная оболочка глаза, изображение сетчатки, черты лица).

    Генетические данные

    Это уникальные и постоянные данные субъекта данных, относящиеся к генетическому наследованию и/или коду ДНК.

    Обработка биометрических данных публичным учреждением допускается только для защиты гражданина и его собственности, а также во избежание разглашения секретной информации. Обработка биометрических данных может осуществляться для целей выдачи документа, удостоверяющего личность, или идентификации лиц, пересекающих государственную границу.

    Перед тем как использовать биометрические данные, обработчик должен проинформировать субъекта данных и Инспектора о целях обработки данных и мерах безопасности, принимаемых для защиты данных.

    Обработка данных несовершеннолетних

    В Законе не содержится норм, которые регламентируют вопросы обработки данных несовершеннолетних, а также требований к форме и порядку получения их согласия на обработку персональных данных.

    Вместе с тем из опубликованных ежегодных отчетов Инспектора по обобщению данных о состоянии защиты персональных данных (далее – Ежегодный отчет) следует, что информация, касающаяся несовершеннолетних, заслуживает особой защиты.

    Школы, которые хранят большие объемы персональной информации об учениках, несут особую ответственность в связи с тем, что незаконная обработка или  разглашение данных могут необратимо повлиять на жизнь несовершеннолетних, ограничить их право на неприкосновенность частной жизни и право на свободное развитие личности. Проверяет учебные заведения Инспекционная служба Грузии.

    Исходя из сложившейся практики, Инспектор при обработке персональных данных несовершеннолетних рекомендует:

    • учитывать наилучшие интересы несовершеннолетнего и его/ее мнение в соответствии с возрастом и зрелостью;
    • регулярно обеспечивать повышение осведомленности сотрудников о защите данных;
    • надлежащим образом контролировать операции по обработке данных и адекватно реагировать на выявленные нарушения.

    Оператор и обработчик

    В Законе понятия сформулированы следующим образом:

    лицо, обрабатывающее данные – это публичное учреждение, физические или юридические лица, определяющие индивидуально или вместе с другими лицами цели и средства обработки персональных данных, непосредственно или при помощи уполномоченного лица осуществляющие обработку данных;

    уполномоченное лицо – любые физические или юридические лица, обрабатывающие данные для лица, обрабатывающего данные, или от его имени;

    получатель данных − частное или публичное учреждение, физическое лицо или юридическое лицо, сотрудник частного или публичного сектора, которому были переданы данные, помимо Службы защиты персональных данных.

    Обязанности оператора

    Если данные собираются непосредственно от субъекта данных, оператор или обработчик данных обязаны:

    • предоставить свои идентификационные данные и адреса;
    • сообщить о целях обработки;
    • проинформировать, является ли предоставление данных обязательным или добровольным, в случае обязательности – разъяснить правовые последствия отказа в их представлении;
    • проинформировать субъекта о праве получать информацию о том, как обрабатываются его персональные данные, требовать исправления нарушений, обновления, дополнения, блокирования, удаления и уничтожения данных.

    Обработчик данных может обрабатывать данные на основании правового акта или письменного договора, заключенного с оператором (если нет риска ненадлежащей обработки). При этом обработка должна производится в объеме, определенном указанным договором или соответствующим нормативным актом. Любая дальнейшая обработка данных для любых других целей недопустима. Передавать право на обработку данных любому другому лицу без согласия контроллера не допускается.

    Оператор данных должен быть уверен, что обработчик применяет соответствующие организационные и технические меры для защиты данных, также он обязан контролировать обработку, а в случае возникновения спора – передать все имеющиеся данные оператору данных по запросу.

    Кроме того, оператор также обязан принимать соответствующие организационные и технические меры для обеспечения защиты данных от случайного или незаконного уничтожения, изменения, раскрытия, сбора или любой другой формы незаконного использования, а также от случайной или незаконной потери. Принимаемые меры должны быть адекватны рискам, связанным с обработкой данных.

    При раскрытии данных оператор данных и обработчик данных обязаны обеспечить регистрацию данных, эта информация должна храниться вместе с данными о субъекте данных в течение всего срока хранения.

    Права субъекта данных

    • право на получение информации.

    По запросу оператор данных должен предоставить субъекту данных следующую информацию:

    • какие персональные данные были обработаны;
    • цель обработки данных;
    • правовые основания для обработки данных;
    • способы сбора данных;
    • кому были раскрыты персональные данные;
    • основания и цель раскрытия;
    • право на исправление;
    • право на удаление;
    • право на возражение (по запросу субъекта данных оператор должен удалить или уничтожить персональные данные, если они являются неполными, неточными, устаревшими или собраны в нарушение Закона);
    • отзыв согласия (субъект может отозвать согласие на обработку данных и потребовать прекращения их обработки или удаления в любое время и без объяснения причин (это право не распространяется на данные, обрабатываемые с согласия и связанные с выполнением денежных обязательств);
    • право на обжалование (в случае нарушения прав субъект имеет право обратиться в порядке, установленном Законом, к Инспектору или в суд).

    Согласие на обработку персональных данных

    Согласие является одним из правовых оснований для обработки персональных данных.

    Без согласия данные могут обрабатываться, если:

    • обработка необходима для защиты жизненно важных интересов лица;
    • обработка необходима для защиты материалов, представляющих общественный интерес;
    • обработка необходима для защиты законных интересов оператора данных или третьей стороны, за исключением случаев, когда такие интересы перекрываются интересами защиты прав и свобод субъекта данных;
    • персональные данные находятся в открытом доступе или были предоставлены субъектом данных.

    Данные, добытые из публично доступных источников, могут использоваться в том числе для целей прямого маркетинга. Независимо от целей сбора данных для прямого маркетинга могут обрабатываться: имя (имена), адрес, номер телефона, адрес электронной почты, номер факса.

    Субъект данных вправе в любое время требовать от лица, обрабатывающего его данные, прекращения их использования для целей прямого маркетинга. Указанное требование должно быть исполнено не позднее 10 рабочих дней после его получения.

    Также персональные данные могут быть обработаны, если это необходимо для рассмотрения заявки субъекта данных или для предоставления ему услуги. Верховный суд Грузии в 2021 году при рассмотрении дела № BS_962 (K-19) установил, что при некоторых обстоятельствах согласие на обработку персональных данных подразумевается исходя из действий субъекта. Например, при выполнении государственным органом своих юридических обязанностей. В частности, суд решил, что физическое лицо, направив заявление в медицинское учреждение Грузии о проверке качества медицинского обслуживания, оказанного ему во время пребывания в тюрьме, выразило согласие на обработку его данных.

    Отраслевое регулирование

    Банковско-кредитная сфера

    Согласно Закону, финансовые личные данные обрабатываются кредитными учреждениями только в том случае, если они напрямую связаны с заемщиком.

    Медицина

    Согласно Закону, информация о здоровье человека является особой категорией данных, которые содержат конфиденциальные сведения о частной жизни, психологическом и физическом здоровье человека.

    Трудовые правоотношения

    Вопрос осуществления сотрудниками трудовых обязанностей при организованном работодателем видеонаблюдении регламентирован в Законе.

    В частности, установка таких систем на рабочем месте допускается только в исключительных случаях, если это необходимо для защиты безопасности и собственности лиц, охраны секретной информации и достижение указанных целей другими средствами не представляется возможным.

    Использование системы возможно только в случае, если все лица, занятые в организации, в письменной форме проинформированы об осуществлении видеонаблюдения и своих правах.

    Видеонаблюдение не допускается в помещениях для смены одежды и местах для гигиенических нужд.

    Инспектор предписывает работодателю при обработке данных работников:

    • при наличии законной заинтересованности в наблюдении за поведением работника учитывать и соблюдать неприкосновенность частной жизни и заранее уведомлять его о форме и объеме наблюдения;
    • ограничить доступ любых заинтересованных сторон к информации о служебной деятельности сотрудников, в том числе об их продвижении по службе и неправомерных действиях, без специального требования.

    Локализация

    В Законе не имеется требований к локализации данных на территории Грузии.

    Особенности регулирования

    Действующее законодательство регулирует вопросы осуществления видеонаблюдения в общественных местах, в частности на улице и в транспорте.

    Видеонаблюдение на улице (в парках, скверах, на игровых площадках, остановках общественного транспорта и в других местах массового скопления людей) и в общественном транспорте допускается лишь в целях превенции преступлений, защиты безопасности и собственности лиц, охраны общественного порядка и защиты несовершеннолетних от вредного влияния.

    В случае установки системы видеонаблюдения публичные и частные учреждения обязаны размещать в доступном для обозрения месте соответствующий предупредительный знак. В таком случае субъект данных считается информированным по поводу обработки данных о нем. Система видеонаблюдения и видеоматериалы должны охраняться от противоправного посягательства и использования.

    Урегулирование споров. Ответственность за нарушения, штрафы

    Нарушение Закона может повлечь административную, уголовную и гражданскую ответственность. Так, административная ответственность предусмотрена за следующие нарушения:

    При выявлении правонарушения Инспектор правомочен требовать:

    • исправления нарушения и связанных с обработкой данных недостатков в форме и сроки, указанные им;
    • временного или окончательного прекращения обработки данных;
    • прекращения обработки данных, их блокирования, удаления, уничтожения или обезличивания, если сочтет, что данные обрабатываются противозаконно;
    • прекращения передачи данных другим государствам и международным организациям, если их передача осуществляется с нарушением требований, установленных настоящим Законом.

    Надзорный орган

    Контроль за законностью обработки персональных данных в Грузии осуществляется Службой  государственных инспекторов.

    По Закону Инспектор выполняет следующие функции:

    • проверяет законность действий по обработке данных;
    • проводит проверки деятельности по обработке данных в государственных и частных организациях;
    • проводит консультации по вопросам защиты данных;
    • рассматривает заявки от субъектов данных;
    • ведет реестр каталогов систем регистрации.

    Основными принципами работы Службы являются: законность, независимость, политический нейтралитет, объективность, беспристрастность и профессионализм.

    Обзор отражает авторский взгляд ведущего специалиста-аналитика Болдыревой А.П.
    на зако    нодательство Грузии.

     

    Центр использует файлы cookies с целью управления веб-сайтом и совершенствования своей работы по оказанию правовой помощи гражданам. Вы можете разрешить использование всех файлов cookies или только некоторых из них.