პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს ახალი კანონი ახლებურად აწესრიგებს პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებულ საკითხებს და კერძო და საჯარო დაწესებულებებისთვის განსაზღვრავს ახალ ვალდებულებებს, რითაც ქართული კანონმდებლობა მეტად დაუახლოვდა ევროპულ რეგულაციებს. განსაკუთრებული ყურადღების ქვეშ მოექცა პერსონალურ მონაცემთა დაცვის ოფიცრის ინსტიტუტის შემოღება.
მიუხედავად იმისა, რომ ახალი კანონი 2024 წლის 1 მარტიდან ამოქმედდა, პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებით განსაზღვრული მუხლები ძალაში 2024 წლის 1 ივნისიდან შევა. შესაბამისად, კომპანიებს[1] აღნიშნული თარიღისთვის უნდა ჰქონდეთ განსაზღვრული, ევალებათ თუ არა მათ ოფიცრის დანიშვნა, ხოლო ამ პროცესში უნდა გაითვალისწინონ რიგი სამართლებრივი პრობლემები. მათ შორის, განსაკუთრებით მნიშვნელოვანია, შესაძლო ინტერესთა კონფლიქტის არსებობის საკითხი.
პერსონალურ მონაცემთა დაცვის ოფიცერი, მისი ფუნქცია-მოვალეობები და საკვალიფიკაციო მოთხოვნები
საქართველოს კანონში პერსონალურ მონაცემთა დაცვის ოფიცრის (შემდგომში მოხსენიებული როგორც „ოფიცერი“) დეფინიცია პირდაპირ დაკავშირებულია კანონით გაწერილ ფუნქცია-მოვალეობებთან, რომელთა ანალიზის საფუძველზე შესაძლოა ითქვას, რომ პერსონალურ მონაცემთა დაცვის ოფიცერი წარმოადგენს იმ უნივერსალურ, დამოუკიდებელ და მიუკერძოებელ პირს ორგანიზაციაში, რომელიც უზრუნველყოფს პერსონალურ მონაცემთა დაცვასთან დაკავშირებული პროცესების კანონთან შესაბამისობას, რეკომენდაციების გაცემისა და სხვა ფუნქციების შესრულების გზით.
ნიშანდობლივია, რომ კანონით არ არის დადგენილი ოფიცრისათვის სავალდებულო საკვალიფიკაციო მოთხოვნები, თუმცა აღნიშნულია, რომ ოფიცერს უნდა ჰქონდეს სათანადო ცოდნა მონაცემთა დაცვის სფეროში, შესაბამისად, კონკრეტულმა კომპანიამ თავად უნდა განსაზღვროს და დაასაბუთოს, თუ რას მიიჩნევს სათანადო ცოდნად და როგორ აფასებს მას.
ოფიცრის ფუნქციები, ერთი მხრივ, მოიცავს კომპანიის მიერ საქართველოს კანონმდებლობისა და შიდაორგანიზაციული დოკუმენტების შესრულების მონიტორინგს, ასევე მონაცემთა დაცვასთან დაკავშირებულ საკითხებზე, მათ შორის, მარეგულირებელი სამართლებრივი ნორმების მიღების ან შეცვლის შესახებ, კანონით განსაზღვრული პირების ინფორმირებას, მათთვის კონსულტაციისა და მეთოდური დახმარების გაწევას. ოფიცერი კომპანიაში უზრუნველყოფს მონაცემთა დამუშავებასთან დაკავშირებით განცხადებებისა და საჩივრების ანალიზსა და შესაბამისი რეკომენდაციების გაცემას.[2]
მეორე მხრივ, ოფიცერი აქტიურად ჩართულია პერსონალურ მონაცემთა დაცვის სამსახურთან ურთიერთობაში, ახორციელებს სამსახურის მიერ მოთხოვნილი ინფორმაციისა და დოკუმენტების წარდგენას და მისი დავალებებისა და რეკომენდაციების შესრულების კოორდინაციასა და მონიტორინგს.[3]
პერსონალურ მონაცემთა დაცვის ოფიცრის ფუნქციები ამომწურავად არ არის მოცემული კანონში და აღნიშნულია, რომ მას მონაცემთა დამუშავების სტანდარტების ამაღლების მიზნით სხვა ფუნქციების შესრულებაც შეუძლია.
პერსონალურ მონაცემთა დაცვის ოფიცერი წარმოადგენს საკონტაქტო პირს როგორც მონაცემთა სუბიექტებისთვის, ასევე საზედამხედველო ორგანოსა და ორგანიზაციის შიგნით არსებული პირებისთვის. ოფიცრის ხელმისაწვდომობის უზრუნველსაყოფად, მისი საკონტაქტო ინფორმაცია ხელმისაწვდომი უნდა იყოს კანონის მოთხოვნების შესაბამისად – კერძოდ, აუცილებელია, რომ ოფიცრის დანიშვნიდან ან განსაზღვრიდან, აგრეთვე მისი შეცვლიდან 10 სამუშაო დღის ვადაში მისი ვინაობა და საკონტაქტო ინფორმაცია მიეწოდოს პერსონალურ მონაცემთა დაცვის სამსახურს, რომელიც შემდეგ აქვეყნებს ამ ინფორმაციას სამსახურის ვებგვერდზე. კომპანია ასევე ვალდებულია, პერსონალურ მონაცემთა დაცვის ოფიცრის ვინაობა და საკონტაქტო ინფორმაცია პროაქტიულად გამოაქვეყნოს საკუთარი ვებგვერდზე, თუ იგი აქვს, ან გამოაქვეყნოს სხვა ხელმისაწვდომი საშუალებით.
ოფიცრის დამოუკიდებლობა და მიუკერძოებლობა
პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონში აღნიშნულია, რომ ოფიცერი კონკრეტული ვითარების გათვალისწინებით ანგარიშვალდებულია მაქსიმალურად მაღალი დონის მმართველობის სტრუქტურის წინაშე, რაც ოფიცრისთვის დამოუკიდებლობის მინიჭებას უზრუნველყოფს.[4] პირდაპირი ანგარიშგება, ერთი მხრივ, უზრუნველყოფს, რომ უმაღლესი მენეჯმენტისთვის (მაგ. დირექტორთა საბჭო) ცნობილი იყოს ოფიცრის რჩევები და რეკომენდაციები, მეორე მხრივ კი – უშუალოდ ოფიცრის მოვალეობის შესრულებას, რომ რჩევა მისცეს იმ პირ(ებ)ს, რომლებიც იღებენ გადაწყვეტილებებს პერსონალური მონაცემების დამუშავების შესახებ.[5] ორგანიზაციებმა თავიანთი სტრუქტურიდან გამომდინარე ყოველ კონკრეტულ შემთხვევაში უნდა შეაფასონ, რომელი სტრუქტურული დანაყოფი და/ან კონკრეტული პოზიცია (მაგ. აღმასრულებელი დირექტორი, დირექტორთა საბჭო და სხვა.) წარმოადგენს უმაღლეს მენეჯმენტს.
ოფიცრისთვის მასზე დაკისრებული მოვალეობების შესრულება პირდაპირ კავშირშია მისი დამოუკიდებლობის ხარისხზე, განსაკუთრებით მნიშვნელოვანია, რომ ოფიცრის მიერ მიღებული გადაწყვეტილებები და რეკომენდაციები იყოს სრულად დამოუკიდებელი და მიუკერძოებელი.
ანგარიშვალდებულების პრინციპის დაცვა განსაკუთრებით მნიშვნელოვანია იმ შემთხვევაში, როდესაც ოფიცერი შიდაორგანიზაციულ დონეზე ინიშნება, რადგანაც ამ შემთხვევაში მიუხედავად იმისა, რომ პირი ოფიცრად დანიშვნამდე შესაძლოა იმყოფებოდეს სუბორდინაციულ ურთიერთობაში კონკრეტული პოზიციიდან გამომდინარე, იგი ოფიცრის მოვალეობების შესრულებისას უნდა იყოს სრულად დამოუკიდებელი.
პერსონალურ მონაცემთა დაცვის ოფიცრის შიდაორგანიზაციულ დონეზე დანიშვნის რისკი
პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონში აღნიშნულია, რომ შესაძლებელია პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა ან განსაზღვრა. აღნიშნული ჩანაწერი მიუთითებს ოფიცრის დანიშვნის შიდაორგანიზაციულ დონეზე ან გარეშე პირის განსაზღვრის შესაძლებლობაზე.[6] ოფიცრის შიდაორგანიზაციულ დონეზე დანიშვნა განსაკუთრებით საყურადღებოა, რადგანაც სწორედ ამ შემთხვევაში ჩნდება ინტერესთა კონფლიქტის არსებობის დიდი ალბათობა.
პერსონალურ მონაცემთა დაცვის ოფიცერს უფლება აქვს, შეასრულოს სხვა ფუნქცია, თუ ეს არ წარმოშობს ინტერესთა კონფლიქტს.[7] იქიდან გამომდინარე, რომ აღნიშნულ საკითხთან დაკავშირებით ჯერჯერობით ქართული პრაქტიკა არ არსებობს, განსაკუთრებით მნიშვნელოვანია ევროპული საზედამხედველო ორგანოების გამოცდილების განხილვა.
საერთაშორისო და ასევე ადგილობრივ რეკომენდაციებში აღნიშნულია, რომ კონფლიქტური პოზიციები მოიცავს ისეთ თანამდებობებს, რომლებიც მონაცემთა დამუშავების მიზნებსა და საშუალებებს განსაზღვრავენ. მსგავსი პოზიციების მაგალითად კი მოჰყავთ ხელმძღვანელი თანამდებობები: აღმასრულებელი დირექტორი, I-დეპარტამენტის ხელმძღვანელი და სხვა.[8] მაგალითად, თუ მონაცემთა დაცვის ოფიცერი (DPO) ასევე დასაქმებულია IT-დეპარტამენტის მენეჯერულ პოზიციაზე, მან შესაძლოა რომელიმე კონკრეტული საკითხის შეფასებისას პრიორიტეტი მიანიჭოს ოპერაციულ ეფექტიანობას და არა მონაცემთა დაცვას, რაც ინტერესთა კონფლიქტს გამოიწვევს. შესაძლებელია აგრეთვე სხვა კონფლიქტური პოზიციების არსებობაც, რომლებიც შესაძლოა არ წარმოადგენდეს ხელმძღვანელ თანამდებობას, თუმცა პირი ახორციელებდეს დამუშავების მიზნებისა და საფუძვლების განსაზღვრას, რაც უკვე პოტენციურ რისკს წარმოშობს.[9]
ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება
ინტერესთა კონფლიქტის არსებობის საკითხთან დაკავშირებით პრეცედენტულია 2023 წლის 9 თებერვლის ევროკავშირის მართლმსაჯულების სასამართლოს (CJEU) წინასწარი გადაწყვეტილება გერმანიის შრომის ფედერალური სასამართლოს მიერ წარდგენილ საკითხებთან დაკავშირებით.
აღნიშნულ საქმეში მონაცემთა დაცვის ოფიცერი (DPO) ამავდროულად წარმოადგენდა კომპანიის სამუშაო საბჭოს თავმჯდომარეს. დამსაქმებელი ამტკიცებდა, რომ ეს ორი პოზიცია შეუთავსებელი იყო ერთმანეთთან და, შესაბამისად, პირის ოფიცრის თანამდებობიდან გაწვევა გამართლებული იყო ინტერესთა კონფლიქტის არსებობის მიზეზით.
ევროკავშირის მართლმსაჯულების სასამართლომ საქმეში „შპს იქს-ფაბ დრესდენი ეფსის“ წინააღმდეგ შეაფასა გერმანიის ეროვნული კანონმდებლობით DPO-ს გათავისუფლების შესაბამისობა მონაცემთა დაცვის ზოგად რეგულაციასთან, სადაც აღნიშნულია, რომ DPO-ს შეუძლია შეასრულოს სხვა ამოცანები და მოვალეობები იმ პირობით, რომ ნებისმიერი ასეთი დავალება და მოვალეობა არ გამოიწვევს ინტერესთა კონფლიქტს. [10]
ევროკავშირის მართლმსაჯულების სასამართლომ აღნიშნა, რომ ოფიცრის მიერ ისეთი პოზიციის დაკავება ორგანიზაციაში, რომელიც მას საშუალებას აძლევს განსაზღვროს პერსონალური მონაცემების დამუშავების საშუალებები და მიზნები წარმოშობს ინტერესთა კონფლიქტის არსებობის დიდ ალბათობას. შესაბამისად, თითოეულ შემთხვევაში სპეციფიკური ორგანიზაციული სტრუქტურის გათვალისწინებით ეროვნულმა სასამართლომ ინდივიდუალურად უნდა შეაფასოს ინტერესთა კონფლიქტის არსებობს საკითხი.[11]
ასევე, ნიშანდობლივია, რომ ფინანსურმა ინტერესებმა, ოფიცერსა და ბიზნესის სხვა წევრებს შორის არსებულმა პირადმა ურთიერთობებმა, ასევე ოფიცრის ჩართულობამ ბიზნესის გარეთ შეიძლება წარმოქმნას პოტენციური ინტერესთა კონფლიქტი. ამ რისკის შესამცირებლად ბიზნესს უნდა ჰქონდეს წინასწარი წარმოდგენა პოტენციური ინტერესთა კონფლიქტის წარმომქმნელი გარემოებების შესახებ.
ევროკავშირის საკონსულტაციო ორგანოს რეკომენდაციები
ინტერესთა კონფლიქტის თავიდან აცილების მიზნით მონაცემთა დაცვისა და კონფიდენციალურობის შესახებ ევროკავშირის საკონსულტაციო ორგანომ გამოსცა რიგი რეკომენდაციები და ურჩევს კომპანიებს, განახორციელონ:
- იმ პოზიციების იდენტიფიცირება, რომლებიც შეუთავსებელი იქნება ოფიცრის ფუნქციასთან;
- შიდა წესების შედგენა ინტერესთა კონფლიქტის თავიდან აცილების მიზნით და ინტერესთა კონფლიქტის განმარტების შესახებ ჩანაწერის გაკეთება შიდაორგანიზაციულ დოკუმენტებში;
- ორგანიზაციის მიერ განაცხადების გაკეთება, რომ მათ ოფიცერს არა აქვს ინტერესთა კონფლიქტი;
- წინასახელშეკრულებო ეტაპზე ოფიცრის თანამდებობაზე ვაკანსიის შესახებ ზუსტი და დეტალური განცხადების გაკეთება, რათა საწყის ეტაპზევე თავიდან იქნას აცილებული ინტერესთა კონფლიქტი. [12]
ნიშანდობლივია, რომ საქმეში „შპს იქს-ფაბ დრესდენი ეფსის“ წინააღმდეგ CJEU-მ აღნიშნა, რომ მიუხედავად იმისა, რომ მონაცემთა დაცვის ზოგადი რეგულაციით უზრუნველყოფილია ფიზიკური პირების დაცვის მაღალი ხარისხი იგი არ გამორიცხავს DPO-ს გათავისუფლების შესაძლებლობას თუ იგი აღარ იმყოფება ისეთ მდგომარეობაში, რომ შეასრულოს მასზე დაკისრებული ამოცანები.[13]
ინტერესთა კონფლიქტის გამომწვევი გარემოებები შესაძლოა, განსხვავდებოდეს ყოველ კონკრეტულ შემთხვევაში, თუმცა კომპანიის მიერ შიდაორგანიზაციულ დონეზე კონფლიქტური გარემოებების მაქსიმალური იდენტიფიცირება და შესაბამისი შიდა წესების შემუშავება მნიშვნელოვნად დააზღვევს კომპანიას კონფლიქტის არსებობის რისკისგან.
[1] კონკრეტული სტატიის მიზნებისთვის ტერმინი ‘კომპანია’ გამოყენებულია პასუხისმგებელი პირისა და დამუშავებაზე უფლებამოსილი პირის მნიშვნელობით, თუმცა პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის განმარტებით, აღნიშნული პირი შეიძლება იყოს არა მარტო კომპანია (იურიდიული პირი), არამედ ფიზიკური პირი, ან საჯარო დაწესებულება.
[2] პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონი, მუხლი 33 (1).
[3] პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონი, მუხლი 33 (1), ქვეპუნქტი „დ“.
[4] პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონი, მუხლი 33 (6).
[5] Guidelines on Data Protection Officers (‘DPOs’), ARTICLE 29 DATA PROTECTION WORKING PARTY 13 December 2016.
[6] რეკომენდაციები პერსონალურ მონაცემთა დაცვის ოფიცრის შესახებ, პერსონალურ მონაცემთა დაცვის სამსახური.
[7] პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონი, მუხლი 33, პუნქტი 3.
[8] რეკომენდაციები პერსონალურ მონაცემთა დაცვის ოფიცრის შესახებ, პერსონალურ მონაცემთა დაცვის სამსახური.
[9] Guidelines on Data Protection Officers (‘DPOs’), ARTICLE 29 DATA PROTECTION WORKING PARTY 13 December 2016.
[10] მონაცემთა დაცვის ზოგადი რეგულაცია, მუხლი 38(6).
[11] CJEU – C-453/21 – X-Fab Dresden GmbH & Co. KG.
[12] Guidelines on Data Protection Officers (‘DPOs’), ARTICLE 29 DATA PROTECTION WORKING PARTY 13 December 2016.
[13] CJEU – C-453/21 – X-Fab Dresden GmbH & Co. KG.