წინამდებარე კვლევის მიზანია, წვლილი შეიტანოს ქვეყანაში მიმდინარე პერსონალური მონაცემების დაცვის სისტემის ჩამოყალიბებაში. დღესდღეობით საქართველოში არ არსებობს სრულყოფილი საკანონმდებლო ბაზა პერსონალური მონაცემების დაცვის შესახებ. ევროპის კავშირის სამეზობლო პოლიტიკის სამოქმედო გეგმის თანახმად, საქართველო ვალდებულია, პერსონალური მონაცემების ავტომატური დამუშავებისას მოახდინოს ფიზიკური პირების დაცვის შესახებ კონვენციის იმპლემენტაცია. აუცილებელია სპეციალური კანონის მიღება და სხვადასხვა კანონში ცვლილებების განხორციელება იმისათვის, რომ პერსონალური მონაცემების დამუშავება, გადაცემა, შენახვა და დაცვა მოხდეს საერთაშორისო სტანდარტების შესაბამისად, აგრეთვე, სახელმწიფომ დაიცვას ბალანსი ინფორმაციის თავისუფლებასა და ადამიანის პირადი ცხოვრების უფლებას შორის.

საქართველოს ზოგადი ადმინისტრაციული კოდექსის თანახმად, რომელიც ინფორმაციის თავისუფლების საკითხებთან ერთად, პერსონალური მონაცემებისა და პირადი საიდუმლოების მარეგულირებელ ძირითად ინსტრუმენტს წარმოადგენს, „ყველას აქვს უფლება, გაეცნოს ადმინისტრაციულ ორგანოში არსებულ საჯარო ინფორმაციას, აგრეთვე, მიიღოს ასლები, თუ ისინი არ შეიცავს სახელმწიფო, პროფესიულ, კომერციულ ან პირად საიდუმლოებას“. ამ კანონით, პერსონალური მონაცემი განმარტებულია, როგორც საჯარო ინფორმაცია, რომელიც პირის იდენტიფიკაციის საშუალებას იძლევა. ხოლო პერსონალური მონაცემის პირად საიდუმლოებად მიჩნევის საკითხს, გარდა კანონით გათვალისწინებული შემთხვევებისა, წყვეტს პირი, რომლის შესახებაც არსებობს ეს ინფორმაცია.

რაც შეეხება პერსონალური მონაცემების დამუშავების წესს, ეს საკითხი, სამწუხაროდ, სრულყოფილად არ რეგულირდება. საქართველოს ზოგადი ადმინისტრაციული კოდექსი საჯარო დაწესებულებას ავალდებულებს მხოლოდ ისეთი პერსონალური ინფორმაციის შეგროვებას, დამუშავებას და შენახვას, რომელთა შეგროვების უფლება მას პირდაპირ ან უშუალოდ აქვს კანონით მინიჭებული და რომელიც აუცილებელია ამ საჯარო დაწესებულების მიერ საკუთარ უფლებამოსილებათა განსახორციელებლად. წინააღმდეგ შემთხვევაში, პირის მოთხოვნის ან სასამართლოს გადაწყვეტილების საფუძველზე, საჯარო დაწესებულება ვალდებულია, გაანადგუროს კანონით განსაზღვრული მიზნებით გაუთვალისწინებელი, აგრეთვე, არაზუსტი, არასარწმუნო, არასრული და საქმესთან დაუკავშირებელი მონაცემები ან შეცვალოს ისინი ზუსტი, სარწმუნო, დროული და სრული მონაცემებით.

საჯარო დაწესებულება ვალდებულია, პერსონალური მონაცემების შეგროვებისას მიმართოს პირს, რომელზეც გროვდება ინფორმაცია, აცნობოს ამ მონაცემების დამუშავების მიზანი და სამართლებრივი საფუძვლები; სხვა წყაროდან პერსონალური ინფორმაციის მიღების უფლება საჯარო დაწესებულებას აქვს მხოლოდ იმ შემთხვევაში, თუ ამოიწურა პირველწყაროდან პერსონალური მონაცემების მიღების ყველა სხვა შესაძლებლობა. სხვა წყაროდან პერსონალური მონაცემების მოპოვების შემთხვევაში, საჯარო დაწესებულება ვალდებულია, შესაბამის პირს მიაწოდოს ინფორმაცია ინფორმაციის მომწოდებლის და იმ მესამე პირების შესახებ, რომელთაც შესაძლოა გადაეცეთ ეს მონაცემები.

საქართველოს კანონმდებლობა პერსონალური მონაცემების დაცვასთან, დამუშავებასთან, შენახვასა და გამოყენებასთან დაკავშირებით მხოლოდ ასეთი ზემოთ აღწერილი დეკლარაციული ნორმებისგან შედგება. მიუხედავად იმისა, რომ კანონი არეგულირებს საჯარო დაწესებულების მიერ იმგვარი პერსონალური ინფორმაციის შეგროვების, დამუშავების, შენახვის ან გაცემის საკითხს, რომელიც დაკავშირებულია პირის რელიგიურ, სექსუალურ ან ეთნიკურ კუთვნილებასთან, პოლიტიკურ და მსოფლმხედველობრივ შეხედულებებთან, ასეთი პერსონალური მონაცემების საკითხი მაინც არ არის სრულყოფილად დამუშავებული. არ ხდება სენსიტიური და არასენსიტიური პერსონალური მონაცემების კლასიფიკაცია და მკაცრად არ იკრძალება მისი შეგროვება და გამოყენება.

კანონმდებლობაში არსებული სერიოზული პრობლემები არ უმჯობესდება არც საჯარო დაწესებულებების მიერ და არც სასამართლო პრაქტიკის მეშვეობით, რასაც დასტურებს, მაგალითად, ასეთი ფაქტები: ერთი გადაწყვეტილებით სასამართლომ დაადგინა, რომ საჯარო დაწესებულება ვალდებული იყო, მესამე პირის მოთხოვნის შემთხვევაში, არ გაეცა პერსონალური მონაცემები ინფორმაციის მომთხოვნი პირის მიერ შესაბამისი ნებართვის წარდგენის გარეშე, რადგან ეს მონაცემები პირის იდენტიფიცირების შესაძლებლობას იძლეოდა. მეორე შემთხვევაში კი, სასამართლომ მიიჩნია, რომ, საჯარო დაწესებულება, მესამე პირის მოთხოვნისას, ვალდებული იყო, გაეცა პერსონალური მონაცემი პირის წინასწარი თანხმობის მიღების გარეშე, მისი პერსონალური მონაცემების პირად საიდუმლოებად მიჩნევის შესახებ.

პერსონალური მონაცემებისა და პირადი საიდუმლოების ცალკეული საკითხები ასევე გაბნეულია საქართველოს კანონმდებლობაში (მაგალითად, პაციენტის უფლებების შესახებ კანონი, სისხლის სამართლის კანონმდებლობა), თუმცა, არ არსებობს პერსონალური მონაცემების (ან, საერთოდ, მთლიანი მონაცემთა ბაზის) დაცვის რაიმე სტრუქტურა და, რაც ყველაზე მთავარია, საქართველოს იუსტიციის სამინისტროს კონტროლის ქვეშ მყოფი საჯარო სამართლის იურიდიული პირის, სამოქალაქო რეესტრის სააგენტოს მიერ პერსონალური მონაცემების დაცვასთან, დამუშავებასთან, შენახვასა და გამოყენებასთან დაკავშირებით, არ არსებობს ცალკე სამართლებრივი აქტი.

საქართველოს კანონმდებლობაში პერსონალური მონაცემების დაცვასთან დაკავშირებული პრობლემების საერთაშორისო სტანდარტების მიხედვით გადაჭრის ხელშეწყობის მიზნით, წინამდებარე კვლევაში გაანალიზებულია ინგლისის, საფრანგეთის, გერმანიის, ჰოლანდიის, პოლონეთის, ესტონეთის, ლიტვის, ლატვიისა და უნგრეთის კანონმდებლობა პერსონალური მონაცემების დაცვის შესახებ. აღნიშნული ქვეყნები საინტერესოა იმითაც, რომ მათ კანონმდებლობაში ასახულია ევროპის კავშირის დირექტივები და რეგულაციები პერსონალური მონაცემების დაცვის შესახებ. კვლევაში აქცენტირებულია ისეთი საკითხები, როგორიცაა: პერსონალური მონაცემების სტატუსი და სახეები; პერსონალური მონაცემების დამუშავების წესი; პერსონალურ მონაცემთა დაცვის კონტროლი; პასუხისმგებლობა პერსონალურ მონაცემთა დაცვის წესების დარღვევისთვის და ა.შ.

საქართველოს ახალგაზრდა იურისტთა ასოციაცია იმედს გამოთქვამს, რომ კვლევა ხელს შეუწყობს საქართველოში ამ პრობლემური საკითხის მოგვარებას.

მონაცემთა დაცვის საკანონმდებლო ბაზა

მონაცემთა დაცვის საკანონმდებლო ბაზის შესახებ დებულებები მოცემულია ესტონეთის კონსტიტუციაში (მიღებული 1992 წლის 28 ივნისს), პერსონალურ მონაცემთა დაცვის აქტში (ძალაში შესულია 2003 წლის 1 ოქტომბერს), მონაცემთა ბაზის აქტში (ძალაში შესულია 1997 წლის 19 აპრილს), საჯარო ინფორმაციის აქტში (ძალაში შესულია 2001 წლის 1 იანვარს), საზოგადოების საინფორმაციო მომსახურების აქტში (ძალაში შესულია 2004 წლის 1 მაისს), აგრეთვე, საერთაშორისო ხელშეკრულებებში.

კონსტიტუცია

პერსონალურ მონაცემთა დაცვას ესტონეთის კონსტიტუციის 26-ე მუხლი ეხება, რომლის მიხედვითაც: „ყველას აქვს პერსონალური და ოჯახური ცხოვრების ხელშეუხებლობის უფლება. სახელმწიფო ორგანოები, ადგილობრივი მმართველობის ორგანოები და მათი თანამდებობის პირები არ უნდა ჩაერიონ ნებისმიერი პირის პერსონალურ ან ოჯახურ ცხოვრებაში, გარდა კანონით გათვალისწინებული იმ შემთხვევებისა, როდესაც აუცილებელია ჯანმრთელობის, მორალის, საზოგადოებრივი წესრიგის ან სხვათა უფლებების და თავისუფლებების დაცვა, ან საჭიროა დანაშაულის აღკვეთა ან დამნაშავის დაკავება.“

პერსონალურ მონაცემთა დაცვის აქტი (კანონი) (28/06/1992)

კანონი ძალაში შევიდა 1992 წლის 28 ივნისს. კანონში ბოლო ცვლილებები შევიდა 2002 წელს. იგი შედგება შვიდი თავისგან და 33 მუხლისაგან (2002 წელს შეტანილ ცვლილებამდე იგი შედგებოდა 10 თავისგან).

ამ აქტის მიზანს წარმოადგენს კერძო პირთა ფუნდამენტური უფლებებისა და თავისუფლებების დაცვა პერსონალურ მონაცემებთან დაკავშირებით. პერსონალურ მონაცემთა დაცვის უზრუნველყოფა გამოიხატება იმაში, რომ დამმუშავებელ პირს შეუძლია პერსონალურ მონაცემთა დამუშავება მხოლოდ იმ მიზნებისათვის და იმ პირობებით, რაც მოცემულია პერსონალურ მონაცემთა დაცვის შესახებ კანონში. აგრეთვე, უფროსი დამმუშავებელი პირი და უფლებამოსილი დამმუშავებელი პირი ვალდებულია, გააკეთოს მონაცემთა დაცვის ინსპექციასთან (იგივე - კონტროლის განმახორციელებელი პირი) ე.წ. მგრძნობიარე პერსონალური მონაცემების დამუშავების ფაქტის რეგისტრაცია.

პერსონალური მონაცემების სახეები

კანონი ანაწილებს პერსონალურ მონაცემებს ორ ჯგუფად - მგრძნობიარე მონაცემები (sensitive data) და არამგრძნობიარე მონაცემები. 2002 წლის ცვლილებამდე კანონი ითვალისწინებდა პერსონალურ მონაცემთა სამ კატეგორიას: პერსონალური პერსონალური მონაცემები (personal private data), მგრძნობიარე პერსონალური მონაცემები (sensitive data) და სხვა პერსონალური მონაცემები. ძველი კანონის მიხედვით, პერსონალური პერსონალური მონაცემები წარმოადგენენ მონაცემებს, რომლებიც ამჟღავნებენ ოჯახური ცხოვრების დეტალებს, სოციალური მომსახურების ან სოციალური დახმარების ფაქტებს, ფიზიკური ან ფსიქიკური ჯანმრთელობის მდგომარეობას და მონაცემები, რომლებიც შეგროვდა ტაქსაციის პროცესის შედეგად. ხოლო, მგრძნობიარე მონაცემები წარმოადგენენ ისეთ მონაცემებს, რომლებიც ამჟღავნებენ პირის პოლიტიკურ, რელიგიურ ან ფილოსოფიურ შეხედულებებს (გარდა მონაცემებისა, რომლებიც ეხება პირის კერძო სამართლის იურიდიული პირის წევრობას კანონის შესაბამისად), ეთნიკურ ან რასობრივ წარმომავლობას, ჯანმრთელობის მდგომარეობას და ქმედუუნარობას, გენეტიკურ ინფორმაციას, სქესობრივ ცხოვრებას, პროფესიული კავშირების წევრობას და ინფორმაციას, რომელიც შეკრებილია სისხლის სამართლის პროცესის მსვლელობისას. თუ მოცემული კანონით სხვა რამ არ არის გათვალისწინებული, მგრძნობიარე პერსონალური მონაცემების დამუშავებისათვის საჭიროა შესაბამისი უფლებამოსილი პირის ნებართვა.

კანონის გავრცელების სფერო

კანონის მე-2 მუხლი განსაზღვრავს კანონის მოქმედების სფეროს. კანონი ვრცელდება პერსონალურ მონაცემთა მთლიანად ან ნაწილობრივ ავტომატურ დამუშავებაზე, აგრეთვე, არაავტომატურ დამუშავებაზეც, თუ ეს მონაცემები პერსონალურ მონაცემთა სტრუქტურული ქსელიდან¹ არის ამოღებული ან ასეთ ქსელში შესატანად არის გამიზნული. კანონის მოქმედება არ ვრცელდება კერძო პირის მიერ პერსონალური მოხმარების მიზნით მონაცემთა დამუშავებაზე, აგრეთვე, ისეთ პერსონალურ მონაცემთა დამუშავებაზე, რომელიც შეიცავს სახელმწიფო საიდუმლოებას.

პერსონალურ მონაცემთა სუბიექტი

კანონის მე-3 მუხლის თანახმად, მონაცემთა დაცვის მიზნით, უფროსი და უფლებამოსილი დამმუშავებელი პირები ვალდებულნი არიან, მხოლოდ მოცემული კანონით გათვალისწინებულ შემთხვევებში დაამუშაონ პერსონალური მონაცემები, მიიღონ ამ კანონით გათვალისწინებული ყველა ზომა მონაცემთა დასაცავად და, ამ კანონის თანახმად, მოახდინონ მგრძნობიარე პერსონალური მონაცემების დამუშავების რეგისტრაცია. პერსონალურ მონაცემთა დაცვის უზრუნველსაყოფად მონაცემთა სუბიექტსაც აქვს უფლებები - პერსონალურ მონაცემთა დამუშავებისათვის საჭიროა მონაცემთა სუბიექტის თანხმობა, მონაცემთა სუბიექტი იღებს ინფორმაციას მისი მონაცემების დამუშავების შესახებ, მონაცემთა სუბიექტს აქვს მასთან დაკავშირებული პერსონალური მონაცემების დამუშავების აკრძალვის უფლება.

რა არის პერსონალური მონაცემი?

ესტონეთის კანონმდებლობით დადგენილი პერსონალურ მონაცემთა მნიშვნელობა სრულად შეესაბამება ევროპის კავშირის დირექტივაში მოყვანილ ცნებას და წარმოადგენს ნებისმიერ ინფორმაციას, რომელიც დაკავშირებულია იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან. კანონის მიზნებისათვის პერსონალური მონაცემები დაყოფილია მგრძნობიარე და არამგრძნობიარე პერსონალურ მონაცემებად.² მგრძნობიარე პერსონალურ მონაცემებად ითვლება: მონაცემები, რომლებიც ამჟღავნებენ პირის პოლიტიკურ შეხედულებებს ან რელიგიურ და ფილოსოფიურ რწმენას; მონაცემები, რომლებიც ამჟღავნებენ პირის ეთნიკურ ან რასობრივ კუთვნილებას; სისხლის სამართლის ან სხვა სახის საქმიდან მიღებული ინფორმაცია, რომელიც ავლენს დანაშაულს, ითვლება მგრძნობიარე პერსონალურ მონაცემად, სასამართლო განხილვამდე, ვიდრე სასამართლო არ გამოიტანს განაჩენს, ან თუ ასეთი ინფორმაციის დაცვა აუცილებელია საზოგადოებრივი მორალის ან პირის საოჯახო ან პერსონალური ცხოვრების უფლების დასაცავად, ან თუ მსხვერპლის, უმცირესობათა, მოწმეთა ან მართლმსაჯულების ინტერესები ასე მოითხოვს. მოცემული კანონის თანახმად, მგრძნობიარე პერსონალურ მონაცემთა ეს ჩამონათვალი შეიძლება განვრცობილი იქნეს კორესპონდენციის სფეროს მარეგულირებელი კანონმდებლობით. აღსანიშნავია ასევე, რომ შეგროვებული სტატისტიკური მონაცემები არ ითვლება პერსონალურ მონაცემებად იმ შემთხვევაში, თუ მათი მეშვეობით ვერ მოხდება პირის იდენტიფიკაცია.

რა არის პერსონალური მონაცემების დამუშავება?

კანონის მე-5 მუხლი ადგენს, თუ რა წარმოადგენს პერსონალურ მონაცემთა დამუშავებას. ეს არის პერსონალურ მონაცემთა შეგროვება, ჩაწერა, დალაგება, შენახვა, შეცვლა, განხილვა,³ აღდგენა, გამოყენება, გამხელა, გაერთიანება, დახურვა, წაშლა ან განადგურება.

პერსონალური მონაცემების დამუშავების სუბიექტები

კანონის მე-6 მუხლი განსაზღვრავს უფროსი დამმუშავებელი პირის და უფლებამოსილი დამმუშავებელი პირის არსს.⁴ უფროსი დამმუშავებელი პირი არის იურიდიული ან კერძო პირი, ან სახელმწიფო ან ადგილობრივი მმართველობის ორგანო, რომლის მიერაც ან რომლის ბრძანებითაც ხდება პერსონალური მონაცემების დამუშავება ამ კანონის თანახმად და რომელსაც აქვს უფლებამოსილება, დაადგინოს: პერსონალურ მონაცემთა დამუშავების მიზნები; დასამუშავებელ პერსონალურ მონაცემთა კატეგორიები; პერსონალურ მონაცემთა დამუშავების პროცედურა; მესამე პირთათვის პერსონალურ მონაცემთა გამხელაზე უფლების გაცემა. ხოლო უფლებამოსილი დამმუშავებელი პირი არის იურიდიული ან კერძო პირი, ან სახელმწიფო ან ადგილობრივი მმართველობის ორგანო, რომელიც ამუშავებს პერსონალურ მონაცემებს უფროსი დამმუშავებელი პირის ბრძანების საფუძველზე.

მე-7 მუხლი განსაზღვრავს მესამე პირებს. მესამე პირი არის დამმუშავებელი იურიდიული ან ფიზიკური პირი, ან სახელმწიფო ან ადგილობრივი მმართველობის ორგანო, რომელიც არ არის: უფლებამოსილი დამმუშავებელი პირი; ის პირი, რომლის პერსონალური მონაცემების დამუშავებაც ხდება; პირი, რომელიც თანაშემწეობას უწევს უფლებამოსილ დამმუშავებელ პირს ან თავად ახორციელებს მონაცემთა დამუშავებას.

ნებართვა პერსონალური მონაცემების დამუშავების შესახებ

კანონი არეგულირებს პერსონალურ მონაცემთა დამუშავებაზე ნებართვის გაცემის საკითხებს და მასში მოცემულია სხვადასხვა შემთხვევა, თუ რომელ პერსონალურ მონაცემთა დამუშავებისათვის არის საჭირო ნებართვის გაცემა და რომლისთვის - არა. ამას გარდა, არსებობს დებულებები პერსონალურ მონაცემთა დამუშავების შესახებ მონაცემთა სუბიექტის შეტყობინების თაობაზე.

ა) არამგრძნობიარე პერსონალური მონაცემები

არამგრძნობიარე პერსონალური მონაცემების დამუშავებისათვის მონაცემთა სუბიექტის თანხმობა არ არის საჭირო, თუ დამუშავების მიზანს წარმოადგენს: მონაცემთა სუბიექტთან დადებული ხელშეკრულების შესრულება; პირის სიცოცხლის, ჯანმრთელობის ან თავისუფლების დაცვა; კანონით ან საერთაშორისო ხელშეკრულებებით გათვალისწინებული ვალდებულებების შესრულება; საზოგადოებრივი ინტერესებისათვის უფროს დამმუშავებელ პირზე ან მესამე პირზე - რომელსაც გაუმხილეს პერსონალური მონაცემები - დაკისრებული მოვალეობების შესრულება; ზოგადი ინტერესების, უფროსი დამმუშავებელი პირის კანონიერი ინტერესების ან მესამე პირის - რომლისთვისაც მოხდა მონაცემთა გამხელა - ინტერესების განხილვა, ვიდრე პირის (მონაცემთა სუბიექტი) ინტერესები უფრო მნიშვნელოვანი არ არის. ზემოხსენებული მიზნების შესასრულებლად (მუხლი 8(1)) მონაცემთა გამხელა პირის თანხმობის გარეშე დაშვებულია მხოლოდ იმ შემთხვევაში, თუ დამუშავება მოიცავს მესამე პირის ჩართვას და გააჩნია კონკრეტული მიზნები - წინააღმდეგ შემთხვევაში, მონაცემთა გამხელისათვის საჭიროა პირის თანხმობა. ზოგადად კი, პერსონალურ მონაცემთა დამუშავებისათვის პირის თანხმობა საკმარისია, თუ ასეთი დამუშავება არ არღვევს კანონის მოთხოვნებს.

მგრძნობიარე პერსონალური მონაცემები

მე-9 მუხლი არეგულირებს მგრძნობიარე პერსონალურ მონაცემთა დამუშავებისათვის ნებართვის გაცემის წესს. ისეთი მგრძნობიარე მონაცემების დამუშავება, რომელიც შეიცავს ინფორმაციას ესტონეთის მოქალაქის ან ესტონეთის ტერიტორიაზე კანონიერად მცხოვრები პირის პოლიტიკურ შეხედულებებს, რელიგიურ და ფილოსოფიურ რწმენას, საჭიროებს პირის თანხმობას. პერსონალურ მონაცემთა დამუშავება, რომელიც ავლენს პირის ეთნიკურ ან რასობრივ წარმომავლობას, ჯანმრთელობის მდგომარეობას, გენურ ინფორმაციას ან სქესობრივ ცხოვრებას, არ საჭიროებს პირის თანხმობას, თუ დამუშავების მიზანია: კანონით გათვალისწინებული მოვალეობების შესრულება; პირის სიცოცხლის, ჯანმრთელობის ან თავისუფლების დაცვა; საზოგადოებრივი ინტერესებისათვის უფროს დამმუშავებელ პირზე ან მესამე პირზე - რომელსაც გაუმხილეს პერსონალური მონაცემები - დაკისრებული მოვალეობების შესრულება. სხვა შემთხვევებში, მგრძნობიარე პერსონალური მონაცემების დამუშავებისათვის საჭიროა პირის თანხმობა, თუ დამუშავება არ ეწინააღმდეგება კანონს. კანონის მე-8(5) მუხლის თანახმად, კორესპონდენციის სფეროს მარეგულირებელი კანონმდებლობით შესაძლებელია სხვა მოთხოვნების დაწესება მგრძნობიარე პერსონალური მონაცემების დამუშავებაზე უფლების გაცემისათვის. პერსონალური მონაცემების გამოქვეყნება უნდა მოხდეს ამ კანონის და საჯარო ინფორმაციის შესახებ კანონის მოთხოვნათა დაცვით, თუ კანონით უფრო კონკრეტული მოთხოვნები არ არის გათვალისწინებული.

თანხმობა პერსონალური მონაცემების გაცემაზე

რაც შეეხება პირის თანხმობას, ეს არის მის მიერ ნების მკაფიოდ გამოხატვა მონაცემთა დამუშავებისათვის მას შემდეგ, რაც მოხდება მისი ინფორმირება პერსონალურ მონაცემთა დამუშავების მიზნებისა და სამართლებრივი საფუძვლების, მონაცემთა კატეგორიების და წყაროების შესახებ; მესამე პირებისა და იმ პირთა კატეგორიების შესახებ, ვისთვისაც მონაცემთა გაცემა დასაშვებია; ასევე, ცნობილი გახდება მონაცემთა ის ჩამონათვალი, რომელიც გათვალისწინებულია საჯარო გამოყენებისათვის; უფროსი დამმუშავებელი პირის ან მისი წარმომადგენლის სახელი და მისამართი. თანხმობა ვარგისია მხოლოდ კონკრეტული მიზნისათვის, უნდა იყოს უფასო და შესაძლებელი მისი უკან გამოთხოვნა. თანხმობის უკან გამოთხოვნას არ აქვს უკუქცევითი ძალა⁵.

პერსონალური მონაცემების დამუშავების წესები

კანონი არეგულირებს პერსონალურ მონაცემთა დამუშავებისათვის შესასრულებელ სავალდებულო მოქმედებებს და მონაცემთა უსაფრთხოების უზრუნველსაყოფად მისაღებ ზომებს.

კანონის მე-11 მუხლის მიხედვით, უფროსმა და უფლებამოსილმა დამმუშავებელმა პირებმა მხოლოდ ამ კანონში მოცემული მიზნებისათვის და მის მოთხოვნათა დაცვით უნდა მოახდინონ პერსონალურ მონაცემთა დამუშავება. ასევე, მათ უნდა უზრუნველყონ შემდეგი: დასამუშავებელ მონაცემთა კატეგორია უნდა შეეფერებოდეს მისი დამუშავების მიზნებს; პერსონალური მონაცემები, რომლებიც არ არის ან აღარ არის საჭირო რაიმე მიზნისათვის, უნდა წაიშალოს ან დაიხუროს; მონაცემები უნდა იყოს ზუსტი და თუ რაიმე მიზნისთვის არის გათვალისწინებული, უნდა იქნეს შენახული გარკვეული ვადით; არაზუსტი ან არასრული პერსონალური მონაცემები უნდა დაიხუროს და მიღებულ იქნეს ზომები მათ შესავსებად და შესასწორებლად; არაზუსტი პერსონალური მონაცემები უნდა იქნეს შენახული და მითითებული უნდა იყოს მათი მოქმედების პერიოდი ზუსტ პერსონალურ მონაცემებთან ერთად;⁶ პერსონალური მონაცემები, რომელთა სიზუსტის საკითხის განხილვა მიმდინარეობს, უნდა იქნეს დახურული, ვიდრე ისინი არ გადამოწმდება ან არ მოხდება ზუსტი მონაცემების მიღება.

მე-12 მუხლი ეხება პერსონალური მონაცემების დაცვისათვის მისაღებ ორგანიზაციულ და ტექნიკურ ზომებს. დამმუშავებელმა პირებმა უნდა მიიღონ ზომები: პერსონალური მონაცემებით შემთხვევითი ან გამიზნული მანიპულირების⁷ წინააღმდეგ; შემთხვევითი დაკარგვის ან გამიზნული განადგურების წინააღმდეგ; არაუფლებამოსილი დამუშავების წინააღმდეგ. პერსონალურ მონაცემთა ავტომატური დამუშავების დროს დამმუშავებელი, პირები ვალდებულნი არიან: არ დაუშვან არაუფლებამოსილი პირები პერსონალური მონაცემების დამუშავებისათვის განკუთვნილ ინვენტართან (დაშვების კონტროლი⁸); არ დაუშვან მონაცემთა მატარებლების არაკანონიერი წაშლა, შეცვლა, ოპირება ან წაკითხვა (მონაცემთა მატარებლების კონტროლი⁹); არ დაუშვან პერსონალურ მონაცემთა არაკანონიერი ჩაწერა, წაშლა ან შეცვლა (ჩაწერის კონტროლი¹⁰) და უზრუნველყონ, რომ მონაცემთა შეცვლის შემთხვევაში, შეცვლის ვადა და შემცვლელი პირის ვინაობის დადგენა შესაძლებელი იყოს; არ დაუშვან მონაცემთა გადაცემისათვის მონაცემთა დამუშავების სისტემის არაუფლებამოსილი გამოყენება (მონაცემთა გადაცემის კონტროლი¹¹); უზრუნველყოს, რომ მონაცემთა დამუშავების სისტემის ყველა მომხმარებელს ჰქონდეს ნებართვა მხოლოდ ისეთი მონაცემების მიღებაზე, რაც განკუთვნილია მისთვის (დაშვების კონტროლი¹²); შეაგროვოს ინფორმაცია მონაცემთა გაცემის შესახებ, რომელშიც შევა ცნობები, თუ ვის, როდის, ვის მიერ და რომელი პერსონალური მონაცემების გაცემა მოხდა (გაცემის კონტროლი¹³); უზრუნველყონ, რომ შესაძლებელი გახდეს, თუ ვინ, როდის და რომელი პერსონალური მონაცემების შეყვანა მოახდინა მონაცემთა დამუშავების სისტემაში (შეყვანის კონტროლი¹⁴); უზრუნველყოს მონაცემთა გადაცემისას ან ტრანსპორტირებისას, რომ არ მოხდეს მონაცემთა არაკანონიერი წაკითხვა, კოპირება,წაშლა ან შეცვლა (ტრანსპორტირების კონტროლი¹⁵); მოახდინოს საწარმოთა, დაწესებულებათა და სახელმწიფო სააგენტოთა მუშაობის ორგანიზება ისეთი გზით, რომ შესრულებულ იქნეს პერსონალურ მონაცემთა დაცვის ყველა მოთხოვნა (ორგანიზაციული კონტროლი). უფროსი და უფლებამოსილი დამმუშავებელი პირები მოვალენი არიან, გააცნონ მონაცემთა დამუშავებაში ჩართულ პირებს შესაბამისი კანონმდებლობა, ხოლო მონაცემთა ავტომატური დამუშავების შემთხვევაში, მათ შეუძლიათ, შესაბამის პირთათვის მოაწყონ ტრენინგები.

უფროსი და უფლებამოსილი დამმუშავებელი პირი

მე-15 მუხლი გარკვეულ მოთხოვნებს უყენებს დამმუშავებელ პირებს - უფროსი და უფლებამოსილი დამმუშავებელი პირები და მათდამი დაქვემდებარებული პირები, რომლებიც ახორციელებენ მონაცემთა დამუშავებას, მოქმედებენ მხოლოდ მოცემულ კანონში გათვალისწინებული მიზნებით. ისეთი ინფორმაციის კონფიდენციალურობა, რომელიც არ არის გათვალისწინებული საჯაროობისათვის, ან შეიცავს ბიზნესის საიდუმლოებებს, დამმუშავებელი პირების მიერ უნდა იქნეს უზრუნველყოფილი მას შემდეგაც, რაც მათი უფლებამოსილება შეწყდება.

მე-16 მუხლის მიხედვით, უფროსი დამმუშავებელი პირები მონაცემთა დამუშავებისას ვალდებულნი არიან, მოამზადონ და შეინახონ შემდეგი დოკუმენტაცია: პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებული ძირითადი ინფორმაცია;¹⁶ ავტომატური დამუშავებისას გამოყენებული ინვენტარის და საშუალებების სია; მიღებული ტექნიკური და ორგანიზაციული ზომები პერსონალურ მონაცემთა დასაცავად. კანონის მე-16(3) მუხლში მოცემულია მონაცემთა დამუშავებასთან დაკავშირებული ძირითადი ინფორმაცია, ეს არის: უფროსი და უფლებამოსილი დამმუშავებელი პირების სახელები, ადგილმდებარეობა ან მისამართი; მონაცემთა დამუშავების მიზნები და საკანონმდებლო საფუძვლები; პერსონალურ მონაცემთა კატეგორიები; იმ პირთა კატეგორიები, ვისი მონაცემებიც მუშავდება; პერსონალურ მონაცემთა წყაროები; მესამე პირები და იმ პირთა კატეგორიები, რომელთათვისაც პერსონალურ მონაცემთა გამხელა არის დაშვებული; ზოგადი გამოყენებისათვის გათვალისწინებული პერსონალური მონაცემების სია და ა.შ.

მგრძნობიარე პერსონალური მონაცემების დამუშავების სპეციფიკა

კანონის მეოთხე თავში დაწვრილებით არის მგრძნობიარე პერსონალურ მონაცემთა დამუშავების რეგისტრაციის წესი. იგი მოიცავს კანონის მე-17-20 მუხლებს. მგრძნობიარე პერსონალური მონაცემების დამუშავების რეგისტრაცია სავალდებულოა, მას ახორციელებს უფროსი დამმუშავებელი პირი მონაცემთა დაცვის ინსპექციასთან. აგრეთვე, ხდება დამმუშავებელ პირთა რეესტრის შედგენაც, რომელიც ინახება მონაცემთა დაცვის ინსპექციასთან.

მე-17 მუხლი ადგენს რეგისტრაციის აუცილებლობას. უფროსი დამმუშავებელი პირი მოვალეა, მოახდინოს მგრძნობიარე პერსონალური მონაცემების დამუშავებისნ რეგისტრაცია მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელ ორგანოსთან.

მე-18 მუხლი აწესებს მგრძნობიარე პერსონალურ მონაცემთა დამუშავების რეგისტრაციის განაცხადის შეტანის წესს. აპლიკაციის შეტანა უნდა მოხდეს, სულ ცოტა, ერთი თვით ადრე მგრძნობიარე პერსონალურ მონაცემთა დამუშავების დაწყებამდე. ამ დროს უფროსი დამმუშავებელი პირი აწარმოებს დოკუმენტაციას, რომელიც განხილულია ზემოთ - კანონის მე-16 მუხლში.

მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანო მას შემდეგ, რაც მოხდება მგრძნობიარე პერსონალურ მონაცემთა დამუშავების რეგისტრაციისათვის განაცხადის წარდგენა, თხუთმეტი სამუშაო დღის განმავლობაში იღებს გადაწყვეტილებას რეგისტრაციის შესახებ და ამცნობს უფროს დამმუშავებელ პირს ან მის წარმომადგენელს. ზედამხედველობის განმახორციელებელი ორგანო რეგისტრაციაზე უარს ამბობს, თუ: მგრძნობიარე პერსონალურ მონაცემთა დამუშავება ეწინააღმდეგება წინამდებარე კანონს ან სხვა კანონს; მონაცემთა დაცვისათვის მიღებული ტექნიკური და ორგანიზაციული ზომები არ აკმაყოფილებენ კანონის მე-12 მუხლში ჩამოთვლილ მოთხოვნებს; რეგისტრაციის განაცხადი და მასთან დაკავშირებული დოკუმენტები არ შეიცავს რეგისტრაციისათვის აუცილებელ ინფორმაციას (მუხლი 19).

პერსონალური მონაცემების სუბიექტის უფლებები

მეხუთე თავი ეხება პირთა (მონაცემთა სუბიექტების) უფლებებს. იგი მოიცავს კანონის 21-26-ე მუხლებს. 21-ე მუხლი განსაზღვრავს პირის უფლებას, მიიღოს ინფორმაცია, ვიდრე მისი პერსონალური მონაცემების შეგროვება დაიწყება. თუ პირის თანხმობა არის აუცილებელი, უფროსი დამმუშავებელი პირი ან მისი წარმომადგენელი ატყობინებს მონაცემთა სუბიექტს მონაცემთა დამუშავების შესახებ ამ კანონის მე-10 მუხლის თანახმად (მე-10 მუხლი განსაზღვრავს პირის თანხმობას).

თუ პირი მოითხოვს, უფროსი დამმუშავებელი პირი მიაწვდის მას შემდეგ ინფორმაციას: მასთან დაკავშირებულ პერსონალურ მონაცემთა არსებობის ან არარსებობის ფაქტს; პერსონალურ მონაცემთა დამუშავების მიზნებს და საკანონმდებლო საფუძვლებს; პერსონალურ მონაცემთა კატეგორიებს და წყაროებს; მესამე პირების სიას ან იმ კატეგორიას, ვისზედაც პერსონალურ მონაცემთა გაცემა დაშვებულია; უფროსი დამმუშავებელი პირის ან მისი წარმომადგენლის სახელს და მისამართს. პირს წელიწადში ერთხელ შეუძლია, ყოველგვარი გადასახადის გარეშე მოითხოვოს უფროსი დამმუშავებელი პირისგან ასეთი ინფორმაცია, თუ ინფორმაციის მოთხოვნა მოხდება წელიწადში ერთზე მეტჯერ, პირი იხდის შესაბამის გადასახადს. უფროსი დამმუშავებელი პირი, მოთხოვნის მიღებიდან თხუთმეტი სამუშაო დღის განმავლობაში, მიაწვდის მონაცემთა სუბიექტს შესაბამის ინფორმაციას ან დასაბუთებულ უარს ინფორმაციის მიწოდებაზე, 25-ე მუხლის თანახმად (მუხლი 22).

23-ე მუხლის მიხედვით, პირს აქვს უფლება, მოსთხოვოს უფროს დამმუშავებელ პირს არასწორ პერსონალურ მონაცემთა შესწორება, ან მოსთხოვოს დახურვა ან წაშლა, თუ მონაცემთა დამუშავება ეწინააღმდეგება ამ აქტს ან სხვა კანონს. 24-ე მუხლის მიხედვით, პირს აქვს უფლება, მოითხოვოს პერსონალურ მონაცემთა გამხელის აკრძალვა, თუ ასეთი აკრძალვა არ ეწინააღმდეგება ამ კანონს ან სხვა კანონს.

25-ე მუხლი განიხილავს პირისათვის პერსონალურ მონაცემებთან დაკავშირებით ინფორმაციის მიღებაზე უარის თქმის შემთხვევებს. პირს უფროსი დამმუშავებელი პირი უცხადებს დასაბუთებულ უარს სხვა პირთა უფლებათა და თავისუფლებათა დასაცავად, ბავშვის წარმოშობასთან დაკავშირებული ინფორმაციის კონფიდენციალურობის დასაცავად, დანაშაულის თავიდან აცილების ან დამნაშავის მიმალვის თავიდან აცილების მიზნით, სისხლის სამართლის საქმეზე ჭეშმარიტების დადგენის მიზნით.

26-ე მუხლი მონაცემთა სუბიექტს აძლევს უფლებას, მიმართოს მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელ ორგანოს ან სასამართლოს მისი უფლებების სავარაუდო დარღვევის და თავისუფლებათა შეზღუდვის შემთხვევაში.

პერსონალური მონაცემების დამუშავების სახელმწიფო კონტროლი

კანონის მეექვსე თავი ეხება ზედამხედველობის პროცედურებს (მუხლები 27-32). მონაცემთა დაცვაზე ზედამხედველობას ახორციელებს მონაცემთა დაცვის ინსპექცია¹⁷ (მუხლი 27). 28-ე მუხლი განსაზღვრავს მონაცემთა დაცვის ინსპექციის თავმჯდომარისათვის საჭირო მოთხოვნებს. პირს უნდა ჰქონდეს უმაღლესი იურიდიული განათლება, არ უნდა ეკავოს სხვა ანაზღაურებადი პოზიცია. მონაცემთა დაცვის ინსპექციის თავმჯდომარე არის დამოუკიდებელი თავის საქმიანობაში და ემორჩილება მხოლოდ კანონმდებლობას.

მონაცემთა დაცვის ინსპექციის თანამშრომლები მოვალენი არიან, არ გაამჟღავნონ ბიზნესის საიდუმლოებები და პერსონალური მონაცემები, რომლებიც მათთვის ცნობილი გახდა მათ მიერ სამსახურებრივი მოვალეობის შესრულების განმავლობაში, მათ მიერ სახელმწიფო სამსახურის დატოვების შემდეგაც (მუხლი 29).

30-ე მუხლი აყალიბებს მონაცემთა დაცვის ინსპექციის უფლებამოსილებას. ეს არის: პერსონალურ მონაცემთა დაცვისათვის ამ კანონით და სხვა კანონმდებლობით განსაზღვრული მოთხოვნების შესრულებაზე ზედამხედველობა; კანონის მიხედვით, მგრძნობიარე პერსონალურ მონაცემთა დამუშავების რეგისტრაციის განხორციელება; მოითხოვოს შესაბამისი დოკუმენტები და სხვა აუცილებელი ინფორმაცია პირებისაგან; გასცეს ინსტრუქციები 31-ე მუხლის მიხედვით; უზრუნველყოს პირები ინფორმაციით და ჩაატაროს ტრენინგები პერსონალურ მონაცემთა დამუშავებასა და დაცვასთან დაკავშირებით. მონაცემთა დაცვის ინსპექციის კომპეტენტურ თანამშრომლებს აქვთ დამმუშავებელ პირთა და მათი ოფისების შემოწმების შეუზღუდავი უფლება. უფროსი და უფლებამოსილი დამმუშავებელი პირები მოვალენი არიან, ხელი შეუწყონ მონაცემთა დაცვის ინსპექციას მისი საქმიანობის განხორციელებაში და უზრუნველყონ იგი შესაბამისი დოკუმენტებით.

პერსონალური მონაცემების დამუშავების წესების დარღვევა და პასუხისმგებლობა

მონაცემთა დაცვის ინსპექციის წარმომადგენელს უფლება აქვს, უფროს და უფლებამოსილ დამმუშავებელ პირებს მიაწოდოს შემდეგი სახის ინსტრუქციები: შეწყვეტილ იქნეს პერსონალურ მონაცემთა დამუშავებისათვის აუცილებელი მოთხოვნების დარღვევა გარკვეული ვადისათვის; მიღებულ იქნეს დამატებითი ორგანიზაციული და ტექნიკური ზომები პერსონალურ მონაცემთა დაცვის მიზნით; მოხდეს მგრძნობიარე პერსონალურ მონაცემთა დამუშავების რეგისტრაცია განსაზღვრული ვადისათვის. ზემოხსენებული ინსტრუქციების მიმართ დაუმორჩილებლობის შემთხვევაში, მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანო უფლებამოსილია, დააწესოს ჯარიმის გადახდა კანონმდებლობით დადგენილი წესით. ამ შემთხვევაში, ჯარიმის უმაღლესი ოდენობა არ უნდა აღემატებოდეს 10 000 კრონას (მუხლი 31).

კანონის მეშვიდე თავი, რომელიც შეიცავს მხოლოდ 33-ე მუხლს (34-ე მუხლი ამოღებულია), ეხება კანონის მოთხოვნათა დარღვევის შემთხვევაში პასუხისმგებლობის საკითხს. აღსანიშნავია, რომ ამ მუხლში მოცემული სანქციები შემოიფარგლება მხოლოდ ფულადი ჯარიმებით. 33-ე მუხლი ადგენს ჯარიმას 300 კრონას ოდენობით, თუ მოხდება მგრძნობიარე პერსონალური მონაცემების დამუშავების მოთხოვნათა დარღვევა ფიზიკური პირის მიერ, ხოლო თუ იგივე ქმედება განახორციელა იურიდიულმა პირმა - ჯარიმის ოდენობა არის 50 000 კრონა. ამ მუხლში მოცემული გადაცდომის შემთხვევაში, გამოიყენება სისხლის სამართლის კოდექსის ზოგადი ნაწილი და ადმინისტრაციულ გადაცდომათა საქმეების წარმოების პროცესის კოდექსი¹⁸ (მუხლი 33(3)).

33(4)-ე მუხლის მიხედვით, მონაცემთა დაცვის ინსპექცია არის არასასამართლო ორგანო, რომელიც ახორციელებს სამართალწარმოებას ამ მუხლში მოცემული გადაცდომის შემთხვევაში.¹⁹

კანონმდებლობა ინფორმაციის თავისუფლების შესახებ (საჯარო ინფორმაციის აქტი)

ესტონეთში არსებობს საჯარო ინფორმაციის აქტი, რომლის მიზანია საჯარო გამოყენებისათვის არსებული ინფორმაციის საზოგადოებისა და ყველა პირისათვის ხელმისაწვდომობის უზრუნველყოფა და საჯარო მოვალეობების შესრულებაზე საზოგადოებრივი მონიტორინგის განხორციელება. კანონი საჯარო ინფორმაციის შესახებ იძლევა ყოველი მოქალაქის მიერ ინფორმაციის მიღების კონსტიტუციური უფლების გარანტიას; არეგულირებს, თუ რა ადმინისტრაციულ აპარატში არსებული ინფორმაცია (აგრეთვე, ინფორმაცია ამ აპარატის მუშაობის შესახებ) უნდა იყოს განკუთვნილი საზოგადოებისათვის; აწესებს, რომ ყოველი საჯარო ინფორმაცია ხელმისაწვდომი უნდა იყოს ინტერნეტის მეშვეობითაც.

ეს კანონი აწესებს საჯარო ინფორმაციის ხელმისაწვდომობისათვის საჭირო პირობებს და ინფორმაციის გაცემაზე უარის თქმის საფუძვლებს, შეზღუდული საჯარო ინფორმაციის გაცემის წესებს. კანონის მოქმედება არ ვრცელდება სახელმწიფო საიდუმლოებებზე, აგრეთვე, არქივებზე (რაც არქივების შესახებ კანონით რეგულირდება) (მუხლი 2). საჯარო ინფორმაციას წარმოადგენს ნებისმიერი ინფორმაცია, რომელიც შექმნილია საჯარო მოვალეობათა შესრულებისას ნებისმიერი გზით ნებისმიერი პირის მიერ კანონის მიხედვით, ხოლო მისი ხელმისაწვდომობის შეზღუდვა დასაშვებია კანონის მიხედვით.

კანონი განსაკუთრებულ პროცედურებს აწესებს პერსონალური მონაცემების შემცველი ინფორმაციის გაცემისათვის. პერსონალურ მონაცემთა დაცვასთან დაკავშირებით, საინტერესოა კანონის მე-3 თავში (ინფორმაციის გამოთხოვნის საფუძველზე ინფორმაციის მიღების უფლების მოპოვება) მოცემული მე-14(2) მუხლი (ინფორმაციის გამოთხოვნისათვის საჭირო მოთხოვნები). თუ პირი გამოითხოვს მასთან ან მესამე პირთან დაკავშირებულ პერსონალურ პერსონალურ20 ან მგრძნობიარე პერსონალურ მონაცემებს, ინფორმაციის მფლობელი ვალდებულია, მოახდინოს განმცხადებლის იდენტიფიკაცია. ინფორმაციის მფლობელმა შესაძლოა განმცხადებლისგან მოითხოვოს წერილობითი მოთხოვნა. განმცხადებელი აგრეთვე ვალდებულია, მიუთითოს, თუ რა მიზნისათვის სჭირდება მას ეს ინფორმაცია.

კანონის მე-5 თავში შემოღებულია ე.წ. „შეზღუდული ინფორმაციის“ ცნება. კანონის 39-ე მუხლი განსაზღვრავს პერსონალურ მონაცემთა შემცველი ინფორმაციის გაცემაზე ნებართვის გაცემის წესს. პირი, რომელიც ფლობს პერსონალურ მონაცემთა შემცველ ინფორმაციას, ამ ინფორმაციის გაცემისათვის უნდა იხელმძღვანელოს პერსონალურ მონაცემთა დაცვის შესახებ კანონის მიხედვით. საინტერესოა მე-40(3) მუხლი, რომლის მიხედვითაც, მგრძნობიარე პერსონალური მონაც ემების შემცველი ინფორმაციის გაცემაზე შეზღუდვა მოქმედებს დოკუმენტების მიღებიდან 75 წლის განმავლობაში ან პირის გარდაცვალებიდან 30 წლის განმავლობაში, ან თუ პირის გარდაცვალების თარიღის დადგენა შეუძლებელია - მისი დაბადების თარიღიდან 110 წლის განმავლობაში.

კანონმდებლობა მონაცემთა ბაზების შესახებ

მონაცემთა ბაზების (რეესტრების) შესახებ კანონი აწესრიგებს სახელმწიფოთა და ადგილობრივი მმართველობის ორგანოების მიერ რეესტრების წარმოების წესს და შეიცვს წესებს პერსონალურ მონაცემთა შეგროვებისა და დამუშავების შესახებ. კანონის დებულებებში ხშირად არის მოცემული მითითებები პერსონალურ მონაცემთა დაცვის აქტზე. მონაცემთა ბაზების ფუნქციონირების პროცესში პერსონალურ მონაცემთა დაცვა და მათ დაცვაზე ზედამხედველობა ხორციელდება პერსონალურ მონაცემთა დაცვის შესახებ კანონმდებლობის მიხედვით. აგრეთვე, პერსონალურ მონაცემთა დაცვაზე ზედამხედველობას ახორციელებს პერსონალურ მონაცემთა დაცვის აქტის მიხედვით შექმნილი ორგანო, რომელსაც წარმოადგენს მონაცემთა დაცვის ინსპექცია. კანონის მე-3(4) მუხლის მიხედვით, მონაცემთა ბაზებში მონაცემთა შეგროვების დროს მონაცემთა ბაზების მფლობელებმა უნდა დაიცვან პერსონალურ მონაცემთა შესახებ კანონის მოთხოვნები, ხოლო, კანონით დადგენილ შემთხვევებში, უნდა აიღონ ნებართვა მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანოების (მონაცემთა დაცვის ინსპექცია) მიერ. კანონის მე-13(2) მუხლის მიხედვით, ისეთი მონაცემთა ბაზის გაფართოების ან გაერთიანებისათვის, რომელიც შეიცავს მგრძნობიარე პერსონალურ მონაცემებს, საჭიროა მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანოს თანხმობა. კანონის მე-17(1) მუხლის თანახმად, მონაცემთა ბაზის წარმოების პროცესზე ზედამხედველობას ასრულებს მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანო პერსონალურ მონაცემთა დაცვის შესახებ კანონის, ამ კანონის და სხვა ნორმატიული აქტების საფუძველზე. კანონის 21¹(4)-ე მუხლის მიხედვით, პერსონალური მონაცემების გაცნობაზე უფლების გაცემა უნდა მოხდეს პერსონალურ მონაცემთა დაცვის შესახებ კანონის და საჯარო ინფორმაციის აქტის მოთხოვნათა დაცვით. 23(1)-ე მუხლის თანახმად, სახელმწიფო ან ადგილობრივი ორგანოების მონაცემთა ბაზების გაფართოება ან გაერთიანება შესაძლებელია მხოლოდ კანონით გათვალისწინებულ შემთხვევებში და მხოლოდ მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანოს თანხმობით ისეთ შემთხვევებში, თუ ეს საჭიროა მოცემული ორგანოს უკეთ ფუნქციონირებისათვის და ასეთი გაფართოება ან გაერთიანება არ ეწინააღმდეგება პერსონალურ მონაცემთა დაცვის შესახებ კანონის მოთხოვნებს.

კანონის მე-40 მუხლის თანახმად, მონაცემთა ბაზის სახელმწიფო სააგენტოების დაარსებისას, დამფუძნებელმა პირმა უნდა შეადგინოს ისეთ მონაცემთა სია, რომლებიც საჯარო მოხმარებისთვის არ არის განკუთვნილი სახელმწიფო საიდუმლოებების და პერსონალურ მონაცემთა დაცვის შესახებ კანონების თანახმად. იგივე მოთხოვნაა ადგილობრივ ორგანოთა მონაცემთა ბაზების დაარსების დროსაც 47-ე მუხლის მიხედვით. კანონის 49-ე მუხლი მიუთითებს, რომ მონაცემთა ბაზებში დაცვაზე ზედამხედველობა ხორციელდება პერსონალურ მონაცემთა დაცვის შესახებ კანონის თანახმად დაარსებული ზედამხედველობის განმახორციელებელი ორგანოს მიერ, ანუ მონაცემთა დაცვის ინსპექციის მიერ. პერსონალურ მონაცემთა დაცვის აქტის მიხედვით, მონაცემთა დაცვის ინსპექცია, თავისი ფუნქციების განხორციელების მიზნით, აღჭურვილია გარკვეული უფლებებით, მონაცემთა ბაზების შესახებ კანონის 50-ე მუხლი კი, ზედამხედველობის განმახორციელებელ ორგანოს (მონაცემთა დაცვის ინსპექცია), სახელმწიფო ან ადგილობრივი თვითმმართველობის ორგანოების მიერ მონაცემთა ბაზებში ზედამხედველობის განხორციელებისას, ანიჭებს დამატებით უფლებებს.

_________________________

1. Structured set of personal data.

2. sensitive or non-sensitive personal data.

3. consultation.

4. Chief processor and authorised processor.

5.Withdrawal of consent has no retroactive effect.

6. inaccurate data are stored with a notation concerning their period of use together with accurate data.

7. accidental or intentional tampering.

8. access control.

9. data carrier use control.

10. recording control.

11.data communication control.

12. access control.

13. disclosure control.

14. input control.

15 transport control.

16. the main information concerning processing of personal data.

17. Data Protection Inspectorate.

18. Code of Misdemeanour Procedure.

19. The Data Protection Inspectorate is the extra-judicial body which conducts proceedings in matters of misdemeanours provided for in this section.

20. ეს კანონი მიღებულია 2001 წელს, ვიდრე პერსონალურ მონაცემთა კანონში 2002 წელს შეიტანდნენ ცვლილებას, რომლის თანახმადაც, პერსონალური პერსონალური მონაცემების კატეგორია აღარ არსებობს.

მონაცემთა დაცვის საკანონმდებლო საფუძვლები ლატვიაში

პერსონალურ მონაცემთა დაცვის საკანონმდებლო საფუძვლები მოცემულია ლატვიის კონსტიტუციაში (მიღებულია 1992 წლის 14 თებერვალს). დამოუკიდებლობის მოპოვების შემდეგ აღდგა ძველი კონსტიტუცია. როგორც დამატებითი კანონი, მიღებულ იქნა “ადამიანის და მოქალაქის უფლებებისა და თავისუფლებების შესახებ კონსტიტუციური კანონი” (1991 წლის 10 დეკემბერი). ის აყალიბებს ადამიანის ძირითად უფლებებს და თავისუფლებებს და განასხვავებს მოქალაქეებს და არამოქალაქეებს. ეს ასპექტი ყველაზე მეტად იქნა გაკრიტიკებული. კონსტიტუციური კანონი გაუქმებულ იქნა კონსტიტუციაში შესული დამატებით 1998 წლის 23 ოქტომბერს. დღევანდელი კონსტიტუცია სრულად მოიცავს ინდივიდის უფლებებს და თავისუფლებებს, მათ შორის, ინდივიდთა პერსონალური ცხოვრების დაცვის შესახებ დებულებას:

ყველას აქვს თავისი პერსონალური ცხოვრების, საცხოვრებლის და კორესპონდენციის ხელშეუხებლობის უფლება (მუხლი 96).

უფრო დეტალური დებულებები მოცემულია პერსონალურ მონაცემთა დაცვის შესახებ კანონში, რომელიც ძალაში შევიდა 2001 წლის 1 იანვარს, როდესაც დაარსდა პერსონალურ მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელი ორგანო - მონაცემთა სახელმწიფო ინსპექცია.

ტერმინთა განმარტება

ლატვიის პერსონალურ მონაცემთა დაცვის შესახებ კანონის ტერმინთა განმარტებანი შეესაბამება ევროგაერთიანების მიერ მიღებული დირექტივის სტანდარტებს. პირველი მუხლის მიხედვით:

მონაცემთა სუბიექტი - კერძო პირი, რომელიც პირდაპირ ან არაპირდაპირ შეიძლება იქნეს იდენტიფიცირებული;

მონაცემთა სუბიექტის თანხმობა - მონაცემთა სუბიექტის მიერ სურვილის თავისუფლად და უშეცდომოდ გამოხატვა თავისი პერსონალური მონაცემების დამუშავებაზე იმ ინფორმაციის მიხედვით, რომელიც მას მიაწოდა კონტროლის განმახორციელებელმა პირმა;

პერსონალური მონაცემები - ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად კერძო პირს;

პერსონალურ მონაცემთა დამუშავება - ნებისმიერი მოქმედება პერსონალურ მონაცემებთან მიმართებით, მათ შორის, შეგროვება, რეგისტრაცია, ჩაწერა, შენახვა, გარდაქმნა, გამოყენება, გადაცემა, გამხელა, გავრცელება, ბლოკირება ან წაშლა; პერსონალურ მონაცემთა დამუშავების სისტემა¹ - პერსონალურ მონაცემთა სტრუქტურული ერთობლიობა, რომელიც ხელმისაწვდომია გარკვეული წესების დაცვით;

პერსონალურ მონაცემთა ოპერატორი² (იგივეა, რაც დამმუშავებელი პირი) - პირი, რომელიც ახორციელებს პერსონალურ მონაცემთა დამუშავებას კონტროლის განმახორციელებელი პირის დავალებით და რომელსაც უფლებამოსილებას ანიჭებს კონტროლის განმახორციელებელი პირი;

პერსონალურ მონაცემთა მიმღები - კერძო ან იურიდიული პირი, რომელსაც გაუმხილეს პერსონალური მონაცემები;

მგრძნობიარე პერსონალური მონაცემები³ - მონაცემები, რომლიდანაც მჟღავნდება პირის რასობრივი, ეთნიკური კუთვნილება, რელიგიური, ფილოსოფიური ან პოლიტიკური შეხედულებები, ან პირის პროფკავშირში წევრობის ფაქტი, მისი ჯანმრთელობის მდგომარეობა და სქესობრივი ცხოვრების დეტალები;

კონტროლის განმახორციელებელი პირი⁴ - კერძო ან იურიდიული პირი, რომელიც განსაზღვრავს პერსონალურ მონაცემთა დამუშავების მიზნებს და საშუალებებს;

მესამე პირი - ნებისმიერი კერძო ან იურიდიული პირი მონაცემთა სუბიექტის გარდა, კონტროლის განმახორციელებელი პირი, პერსონალურ მონაცემთა ოპერატორი ან პირები, რომლებსაც უფლებამოსილება მიენიჭათ კონტროლის განმახორციელებელი პირის ან ოპერატორის მიერ.

კანონის მოქმედების სფერო

კანონი ვრცელდება ნებისმიერი სახის პერსონალური მონაცემის დამუშავების დროს ყველა იურიდიულ და ფიზიკურ პირზე, თუ: ა) კონტროლის განმახორციელებელი პირი რეგისტრირებულია ლატვიის რესპუბლიკაში; ბ) მონაცემთა დამუშავება მიმდინარეობს ლატვიის ფარგლებს გარეთ, იმ ტერიტორიებზე, რომლებიც ეკუთვნის ლატვიას საერთაშორისო ხელშეკრულებებიდან გამომდინარე; გ) პერსონალურ მონაცემთა დამუშავებისათვის საჭირო ინვენტარი არის ლატვიის ტერიტორიაზე. კანონის მოქმედება არ ვრცელდება კერძო პირთა მიერ დაარსებულ საინფორმაციო სისტემებზე, სადაც მიმდინარეობს პერსონალურ მონაცემთა დამუშავება პერსონალური ან საოჯახო მიზნებისათვის და სადაც არ ხდება პერსონალურ მონაცემთა გამჟღავნება სხვა პირთათვის.

რაც შეეხება სახელმწიფო საიდუმლოებებს, ამ კანონის მოქმედება ვრცელდება მათ დამუშავებაზეც იმ გამონაკლისთა გარდა, რაც მოცემულია სახელმწიფო საიდუმლოებების შესახებ კანონში. ამ შემთხვევაში, კანონი სახელმწიფო საიდუმლოებების შესახებ მოქმედებს, როგორც სპეციალური კანონი.

კანონი საერთოდ არ ვრცელდება პერსონალურ მონაცემთა დამუშავებაზე ჟურნალისტური, მხატვრული და ლიტერატურული მიზნებით.

პერსონალურ მონაცემთა დამუშავების ზოგად პრინციპები

ყოველ პირს აქვს უფლება, დაიცვას თავისი პერსონალური მონაცემები (მუხლი 6). პერსონალურ მონაცემთა დამუშავება შესაძლებელია, თუ კანონით არ არის აკრძალული, შემდეგ შემთხვევებში: ა) მონაცემთა სუბიექტს აქვს თანხმობა; ბ) პერსონალურ მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის სახელშეკრულებო ვალდებულებიდან გამომდინარე; გ) მონაცემთა დამუშავება აუცილებელია კონტროლის განმახორციელებელი პირის მიერ ამ კანონით დაკისრებულ მოვალეობათა შესასრულებლად; დ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის უმნიშვნელოვანეს ინტერესთა დასაცავად, მათ შორის, სიცოცხლის და ჯანმრთელობის; ე) მონაცემთა დამუშავება აუცილებელია საჯარო ინტერესებიდან გამომდინარე; ვ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის ფუნდამენტური უფლებებისა და თავისუფლებების დასაცავად და კონტროლის განმახორცილებელი პირისა და მესამე პირების - რომელთაც გადაეცათ მონაცემები - კანონიერი ინტერესების დასაცავად (მუხლი 7).

მონაცემთა შეგროვების დაწყებამდე კონტროლის განმახორციელებელი პირი მონაცემთა სუბიექტს ატყობინებს შემდეგ ინფორმაციას: ა)კონტროლის განმახორციელებელი პირის და დამმუშავებელი პირის სახელწოდებას ან სახელს და მისამართს; მონაცემთა დამუშავების მიზანს და საკანონმდებლო საფუძვლებს. ხოლო მონაცემთა სუბიექტის მოთხოვნის საფუძველზე, კონტროლის განმახორციელებელი პირი მონაცემთა სუბიექტს ატყობინებს მონაცემთა სავარაუდო მიმღებთა ვინაობას, მონაცემთა სუბიექტის უფლებას, მიიღოს ნებართვა საკუთარი პერსონალური მონაცემების გაცნობასა და მათში ცვლილებების შეტანასთან დაკავშირებით (მუხლი 8).

როდესაც პერსონალურ მონაცემთა შეგროვება ხდება არა მონაცემთა სუბიექტის მხრიდან, კონტროლის განმახორციელებელი პირი მონაცემთა სუბიექტს, შეგროვების ან მესამე პირთათვის პირველად გადაცემის წინ, ატყობინებს კონტროლის განმახორციელებელი პირის და დამმუშავებლის სახელწოდებას ან ვინაობას და მისამართს, მონაცემთა დამუშავების მიზნებს. მონაცემთა სუბიექტის მოთხოვნით, კონტროლის განმახორციელებელი პირი მოვალეა, აგრეთვე, მიაწოდოს მას ინფორმაცია მონაცემთა სავარაუდო მიმღებების ვინაობის შესახებ, ასევე, მონაცემთა სუბიექტის უფლებების თაობაზე - გაეცნოს და შეიტანოს ცვლილებები საკუთარ პერსონალურ მონაცემებში.

მონაცემთა სუბიექტის ინტერესების დაცვის მიზნით, კონტროლის განმახორციელებელი პირი უზრუნველყოფს შემდეგს: ა) პერსონალურ მონაცემთა დამუშავება ხდება კანონიერად და სამართლიანად; ბ) მონაცემთა დამუშავება ხდება მხოლოდ განსაზღვრული მიზნისათვის და ამ მიზნის შესაბამისი მოცულობით; გ) მონაცემები შენახულია იმგვარად, რომ მონაცემთა სუბიექტის იდენტიფიცირება შესაძლებელია მხოლოდ იმ დროის განმავლობაში, რაც ესაჭიროება მათ მიზნობრივ დამუშავებას; დ) მონაცემები უნდა იყოს ზუსტი და შეცდომის ან არასრულობის შემთხვევაში უნდა მოხდეს მათი შესწორება, განახლება ან წაშლა. პერსონალურ მონაცემთა დამუშავება შესაძლებელია არა იმ მიზნებით, რა მიზნებითაც მათი შეგროვება მოხდება, თუ ეს არ არღვევს მონაცემთა სუბიექტის უფლებებს და ემსახურება სტატისტიკურ ან სამეცნიერო მიზნებს (მუხლი 10).

რაც შეეხება მგრძნობიარე პერსონალურ მონაცემთა დაცვას, მე-11 მუხლის მიხედვით, მათი დამუშავება დასაშვებია შემდეგ შემთხვევებში: ა) მონაცემთა სუბიექტს აქვს წერილობითი თანხმობა; პერსონალურ მონაცემთა დამუშავება თანხმობის გარეშე რეგულირდება შრომით ურთიერთობათა მარეგულირებელი კანონმდებლობით და ამ მონაცემთა უსაფრთხოება დაცულია კანონის მიხედვით; გ) მონაცემთა დამუშავება აუცილებელია მონაცემთა სუბიექტის სიცოცხლის და ჯანმრთელობის დასაცავად და მონაცემთა სუბიექტს არ შეუძლია წერილობითი თანხმობის მიცემა ჯანმრთელობის მდგომარეობის გამო; დ) მონაცემთა დამუშავება მიმდინარეობს საზოგადოებრივ ორგანიზაციათა კანონიერი და არაკომერციული მიზნების მისაღწევად. ეს მონაცემები უკავშირდება ამ ორგანიზაციასთან დაკავშირებულ წევრებს და მათი გადაცემა არ ხდება მესამე პირებზე; ე) პერსონალურ მონაცემთა დამუშავება აუცილებელია სამედიცინო მიზნებისათვის და დაცულია შესაბამისი უსაფრთხოება; ვ) დამუშავება ეხება ფიზიკურ და იურიდიულ პირთა კანონიერი ინტერესების დაცვას.

კანონით გათვალისწინებულ შემთხვევებში კონტროლის განმახორციელებელი პირი ვალდებულია, შესაბამის საჯარო მოხელეებს და ადგილობრივი თვითმმართველობის ორგანოების წარმომადგენლებს გადასცეს პერსონალური მონაცემები მხოლოდ იმ შემთხვევაში, თუ ამ თანამდებობის პირთა ვინაობა იდენტიფიცირებულია წინასწარ.

დამუშავების დროს პერსონალური საიდენტიფიკაციო ნომრის გამოყენება შეიძლება მას შემდეგ, რაც: ა) მონაცემთა სუბიექტის თანხმობა მიღებულია; ბ) პერსონალური საიდენტიფიკაციო ნომრის დამუშავება საჭიროა პერსონალურ მონაცემთა დასამუშავებლად; გ) კოდის დამუშავება საჭიროა მონაცემთა სუბიექტის შემდგომი ანონიმურობისათვის; დ) მონაცემთა სახელმწიფო ინსპექციის წერილობითი ნებართვა პერსონალური ნომრის დამუშავებისათვის მიღებულია (მუხლი 131).

კონტროლის განმახორციელებელი პირი დამმუშავებელ პირს, სპეციალური ხელშეკრულების საფუძველზე, აძლევს უფლებამოსილებას პერსონალურ მონაცემთა დამუშავებისათვის. დამმუშავებელი მონაცემებს ამუშავებს მხოლოდ იმ მოცულობით და იმ მიზნებით, რაც ხელშეკრულებაში არის გათვალისწინებული. მონაცემთა დამუშავების დაწყებამდე დამმუშავებელი პირი იღებს ყველა ზომას, რომელიც მას კანონით აქვს განსაზღვრული (მუხლი 14).

მონაცემთა სუბიექტის უფლებები

მონაცემთა სუბიექტს უფლება აქვს, მოითხოვოს მასზე არსებული მონაცემების გაცნობა, ვიდრე ასეთ მონაცემთა გაცემა დაუშვებელია სისხლის სამართლის კანონმდებლობის მიხედვით ან ეროვნული უსაფრთხოების და თავდაცვის მიზნებიდან გამომდინარე. მონაცემთა სუბიექტს აქვს უფლება, მიიღოს ინფორმაცია კონტროლის განმახორციელებელი პირის მიერ იმ იურიდიულ ან ფიზიკურ პირთა შესახებ, ვისთვისაც ცნობილი გახდა პერსონალური მონაცემები. ასეთი ინფორმაცია არ უნდა შეიცავდეს ისეთ ფაქტებს, რისი გამხელაც კანონით აკრძალულია.

მონაცემთა სუბიექტს ასევე აქვს უფლება, მოითხოვოს შემდეგი ინფორმაცია: ა) კონტროლის განმახორციელებელი პირის სახელი ან დასახელება და მისამართი; ბ) პერსონალურ მონაცემთა დამუშავების მიზანი, მოცულობა და დამუშავების მეთოდი; გ) მონაცემებში ცვლილებების შეტანის ბოლო ვადა; დ) მონაცემთა წყარო, თუ კანონით აკრძალული არ არის ასეთი ინფორმაციის გაცემა; ე) ინფორმაცია ავტომატური დამუშავების სისტემაში არსებული დამუშავების მეთოდის შესახებ.

მონაცემთა სუბიექტი, მოთხოვნიდან ხუთი თვის განმავლობაში, უფასოდ მიიღებს ამ ინფორმაციას (მუხლი 15). ეს წესი არ ვრცელდება დამუშავებული მონაცემების სამეცნიერო ან სტატისტიკური მიზნებისათვის გამოყენების დროს (მუხლი 17).

მონაცემთა სუბიექტს აქვს უფლება, გაასაჩივროს კონტროლის განმახორციელებელი პირის უარი

მონაცემთა სუბიექტს აქვს უფლება, მოითხოვოს პერსონალურ მონაცემთა შესწორება, განახლება, დამატება ან წაშლა, თუ მონაცემები მოძველებულია, მცდარია, არასრულია ან აღარ არსებობს მათი შემდგომი შეგროვების მიზნები (მუხლი 16). ეს წესი არ ვრცელდება დამუშავებული მონაცემების სამეცნიერო ან სტატისტიკური მიზნებისათვის გამოყენების დროს (მუხლი 17).

მონაცემთა სუბიექტს უფლება აქვს, გააპროტესტოს პერსონალურ მონაცემთა დამუშავება, თუ ეს ხდება კომერციული მიზნებით (მუხლი 19).

პერსონალურ მონაცემთა დამუშავების სისტემის რეგისტრაცია და დაცვა

ყველა სახელმწიფო დაწესებულებამ, ფიზიკურმა და იურიდიულმა პირმა, რომელიც აპირებს პერსონალურ მონაცემთა დამუშავებას და აყალიბებს მონაცემთა დამუშავების სისტემას, უნდა მოახდინოს ამ სისტემის რეგისტრაცია ამ კანონის მოთხოვნათა დაცვით, თუ კანონით სხვა რამ არ არის გათვალისწინებული. ამისათვის საჭიროა შესაბამისი განაცხადის წარდგენა მონაცემთა სახელმწიფო ინსპექციაში. 21-ე მუხლის მიხედვით, განცხადება უნდა შეიცავდეს დაწესებულებისა და დამმუშავებელი პირის სახელწოდებას (სახელი/გვარი),მონაცემთა დამუშავების სისტემის სამართლებრივ საფუძვლებს, სისტემაში შესატან პერსონალურ მონაცემთა სახეებს და ა.შ.

საინტერესოა მონაცემთა სახელმწიფო ინსპექციის სამართლებრივი სტატუსი, რომელიც ჩამოყალიბებულია კანონის მეოთხე თავში. კანონის მიხედვით, პერსონალურ მონაცემთა დამუშავებაზე, მის სამართლიანობასა და კანონიერებაზე ზედამხედველობის განხორციელება ევალება მონაცემთა სახელმწიფო ინსპექციას (მუხლი 29). მონაცემთა სახელმწიფო ინსპექციის მუშაობაზე კი ზედამხედველობას ახორციელებს იუსტიციის სამინისტრო.

ინსპექციას ხელმძღვანელობს დირექტორი, რომელსაც თანამდებობაზე ნიშნავს და ათავისუფლებს მინისტრთა კაბინეტი იუსტიციის მინისტრის წარდგინებით.

მონაცემთა სახელმწიფო ინსპექცია მუშაობს კაბინეტის მიერ დამტკიცებული წესდების საფუძველზე. ინსპექცია კაბინეტში წარადგენს წლიურ ანგარიშს შესრულებული სამუშაოს შესახებ. პერსონალურ მონაცემთა დაცვაზე ზედამხედველობის ასეთი სამართლებრივი სისტემა კრიტიკას იმსახურებს ევროპის კომისიის სამართლებრივი ექსპერტების მხრიდან. დღის წესრიგში დგას კანონპროექტები, რომლებიც უფრო მეტ დამოუკიდებლობას მისცემს მონაცემთა სახელმწიფო ინსპექციას.

კანონის 29(3)-ე მუხლის მიხედვით, ინსპექციას აკისრია შემდეგი მოვალეობანი:

ა) უზრუნველყოს პერსონალურ მონაცემთა დამუშავების შესაბამისობა ამ კანონთან; ბ) მიიღოს გადაწყვეტილებები და განიხილოს საჩივრები პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებით; გ) შეიმუშაოს და განახორციელოს ღონისძიებანი პერსონალურ მონაცემთა დაცვის ეფექტურობის ასამაღლებლად; დ) მოახდინოს პერსონალურ მონაცემთა დამუშავების სისტემის რეგისტრაცია; ე) სახელმწიფო არქივის დირექტორის ოფისთან ერთად მიიღოს გადაწყვეტილებები პერსონალურ მონაცემთა არქივში გადაგზავნასთან დაკავშირებით.

პერსონალურ მონაცემთა დაცვის მიზნით, ინსპექცია აღჭურვილია გარკვეული უფლებებით: ა) იურიდიული და ფიზიკური პირებისაგან უსასყიდლოდ მიიღოს ინფორმაცია, რაც აუცილებელია ინსპექციის ფუნქციების შესასრულებლად; ბ) მოახდინოს პერსონალურ მონაცემთა სისტემის შემოწმება მის რეგისტრაციამდე; გ) მოითხოვოს არასწორ მონაცემთა ბლოკირება და არაკანონიერად მოპოვებულ მონაცემთა წაშლა ან მოითხოვოს დამუშავების აკრძალვა დროებით ან მუდმივად; ე) წარადგინოს საქმე სასამართლოში ამ კანონის მოთხოვნათა დარღვევის შედეგად (მუხლი 29(4)).

ინსპექციის დირექტორს და მის მიერ დანიშნულ ინსპექტორებს თავიანთი საიდენტიფიკაციო საბუთის წარდგენის შემდეგ აქვთ უფლება: ა) თავისუფლად შევიდნენ ნებისმიერ არასაცხოვრებელ ადგილას, სადაც პერსონალურ მონაცემთა დამუშავების სისტემა მდებარეობს და კონტროლის განმახორციელებელი პირის თანდასწრებით მოითხოვონ მონაცემთა დამუშავების კანონიერების შემოწმება; ბ) მოითხოვონ ნებისმიერი წერილობითი ან ზეპირი ახსნა-განმარტება პერსონალურ მონაცემთა დამუშავებაში ჩართულ პირთაგან; გ) მოითხოვონ მონაცემთა დამუშავების სისტემასთან დაკავშირებული დოკუმენტების და სხვა ინფორმაციის წარდგენა; დ) მოითხოვონ პერსონალურ მონაცემთა დამუშავების სისტემის, მისი ბისმიერი დანადგარის ან ინფორმაციის მატარებლის შემოწმება და დანიშნონ ექსპერტიზა გამოძიებასთან დაკავშირებული შეკითხვების გამოსაკვლევად; ე) თავისი უფლებამოსილების განხორციელების უზრუნველსაყოფად გამოიყენონ სამართალდამცავი ორგანოების დახმარება; ვ) აუცილებლობის შემთხვევაში, მოამზადონ და წარადგინონ მასალები სასამართლოში დამნაშავეთა პასუხისგებაში მიცემის მიზნით. მონაცემთა სახელმწიფო ინსპექციის წარმომადგენლები ვალდებულნი არიან, საიდუმლოდ შეინახონ მათთვის სამსახურებრივი მოვალეობის შესრულების დროს მიღებული ინფორმაცია, გარდა საჯაროობისთვის განკუთვნილი ინფორმაციისა, საიდუმლოდ შენახვის მოვალეობა ძალაშია მათ მიერ სამსახურებრივი პოზიციის დატოვების შემდეგაც.

კანონის 31-ე მუხლის მიხედვით, მონაცემთა სახელმწიფო ინსპექციის მიერ მიღებული გადაწყვეტილებები შეიძლება გასაჩივრდეს სასამართლოში. ხოლო პირს, რომელსაც ზიანი მიადგა ამ კანონის მოთხოვნათა დარღვევის შედეგად, უფლება აქვს, მოითხოვოს შესაბამისი კომპენსაცია.

__________________________

1. personal data processing system.

2. operator of personal data.

3. sensitive personal data.

4. system controller

მონაცემთა დაცვის საკანონმდებლო საფუძვლები

საკანონმდებლო საფუძვლები პერსონალურ მონაცემთა დაცვასთან დაკავშირებით მოცემულია როგორც ლიტვის რესპუბლიკის კონსტიტუციასა (მიღებულია 1992 წლის 25 ოქტომბერს) და კანონში პერსონალურ მონაცემთა დაცვის შესახებ (მიღებულია 1996 წლის 11 ივნისს, ბოლო ვერსია მიღებულია 2003 წლის 21 იანვარს, ძალაში შევიდა 2003 წლის 1 ივლისს), ასევე, საერთაშორისო ხელშეკრულებებში. პერსონალურ მონაცემთა დაცვას ეხება ლიტვის კონსტიტუციის 22-ე მუხლი:

ინდივიდის პირადი ცხოვრება არის ხელშეუხებელი.

პერსონალური კორესპონდენცია, სატელეფონო საუბრები, სატელეგრაფო გზავნილები და სხვა კომუნიკაციის საშუალებები არის ხელშეუხებელი.

ინფორმაცია, რომელიც ეხება ინდივიდის პირად ცხოვრებას, შეიძლება შეგროვებულ იქნეს მხოლოდ კომპეტენტური სასამართლოს შესაბამისი ბრძანებით და კანონის დაცვით.

კანონი და სასამართლო იცავს ინდივიდებს თვითნებური ან არაკანონიერი ჩარევისაგან მათ პირად და ოჯახურ ცხოვრებაში და იცავს მათ ღირსებას და პატივს ხელყოფისაგან.

კანონი პერსონალურ მონაცემთა სამართლებრივი დაცვის შესახებ¹

კანონი პერსონალურ მონაცემთა სამართლებრივი დაცვის შესახებ შეიცავს დეტალურ დებულებებს, რომლებიც უზრუნველყოფენ პერსონალურ მონაცემთა დაცვას. კანონი თავდაპირველად მიღებულ იქნა 1996 წელს, ხოლო მისი ბოლო ვერსია მიღებულ იქნა 2003 წელს, რომელიც ძალაში შევიდა 2003 წლის 1 ივლისს. კანონი შედგება რვა თავის და 34 მუხლისაგან. მას აქვს კიდევ დამატება, რომელშიც მოცემულია პრეამბულა და სამი მუხლი გარდამავალ დებულებებთან დაკავშირებით. რაც შეეხება პრეამბულას - მასში ნათქვამია, რომ კანონი შესაბამისობაშია ევროგაერთიანების 1995 წლის 24 ოქტომბრის დირექტივასთან - 95/46/EC. ამ მხრივ, აღსანიშნავია კანონის მუხლი 1(7), რომლის მიხედვითაც, ლიტვის რესპუბლიკაში პერსონალურ მონაცემთა სამართლებრივი დაცვა მიახლოებული უნდა იყოს ზემოხსენებული დირექტივის მოთხოვნებთან.

კანონის გამოყენების სფერო

კანონი აწესრიგებს პერსონალურ მონაცემთა ავტომატური და არაავტომატური დამუშავების დროს წარმოქმნილ ურთიერთობებს, როდესაც:

ა) პერსონალურ მონაცემთა დამუშავება ხდება ლიტვის ტერიტორიაზე დაფუძნებულ და მომუშავე კონტროლის განმახორციელებელი პირის საქმიანობის შედეგად;

ბ) კონტროლის განმახორციელებელი პირი არ არის დაფუძნებული ლიტვის ტერიტორიაზე, მაგრამ მისთვის ლიტვის კანონმდებლობას აქვს სავალდებულო ძალა საერთაშორისო საჯარო სამართლის პრინციპებიდან გამომდინარე;

გ) პერსონალურ მონაცემთა დამუშავება ხდება ევროპული გაერთიანების არაწევრ ქვეყანაში, რომელიც მონაცემთა დასამუშავებლად იყენებს ლიტვაში არსებულ საშუალებებს, გარდა იმ შემთხვევისა, როდესაც ხდება მხოლოდ მონაცემთა ტრანზიტი ლიტვის ტერიტორიაზე. ამ კანონის მოქმედება არ ვრცელდება კერძო პირებზე, რომლებიც ამუშავებენ პერსონალურ მონაცემებს საკუთარ საქმიანობასთან დაკავშირებით და ეს არ წარმოადგენს ბიზნესს და სამსახურებრივ საქმიანობას. როდესაც პერსონალურ მონაცემთა დამუშავება ხდება ეროვნული უსაფრთხოების ან თავდაცვის ინტერესებიდან გამომდინარე, ამ კანონის მოქმედება ვრცელდება, ვიდრე სხვა კანონით სხვა რამ არ იქნება გათვალისწინებული.

ტერმინთა განმარტება

პერსონალური მონაცემები - წარმოადგენს ნებისმიერ ინფორმაციას, რომელიც დაკავშირებულია იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირთან - „მონაცემთა სუბიექტთან”, რომლის იდენტიფიცირებაც შესაძლებელია პირდაპირ ან არაპირდაპირ, განსაკუთრებით, საიდენტიფიკაციო ნომრის გამოყენებით, ერთი ან რამდენიმე ფაქტორით, რომელიც გამოხატავს მის ფიზიკურ, ფიზიოლოგიურ, გონებრივ, ეკონომიკურ, კულტურულ ან სოციალურ იდენტურობას. „პერსონალური მონაცემების” დეფინიცია თითქმის იდენტურად იმეორებს დირექტივაში მოცემულ დეფინიციას.

მონაცემთა მიმღები² - ფიზიკური ან იურიდიული პირი, რომელსაც გაუმხილეს პერსონალური მონაცემები. ამ კანონის მიხედვით შექმნილი საზედამხედველო ორგანოები და ჟურნალისტური ეთიკის ინსპექცია არ ითვლებიან მონაცემთა მიმღებად, როცა ისინი იღებენ პერსონალურ მონაცემებს თავიანთი უფლებამოსილების განხორციელების მიზნით.

მონაცემთა გამხელა³ - პერსონალურ მონაცემთა გამხელა გადაცემით ან მისი საჯაროდ გამოქვეყნების გზით, გარდა მასმედიის საშუალებებით მონაცემთა გამოქვეყნებისა.

მონაცემთა დამუშავება - ნებისმიერი მოქმედება, რომელიც უკავშირდება პერსონალურ მონაცემთა დამუშავებას, როგორიცაა: ჩაწერა, შეგროვება, შენახვა, ორგანიზაცია, შესწორება, შეცვლა, გამხელა, ხელმისაწვდომადნ გადაქცევა, აღდგენა, გავრცელება ან ნებისმიერი სხვა ოპერაცია ან ოპერაციათა ერთობლიობა.

მონაცემთა დამუშავება ავტომატური საშუალებებით - არის მოქმედება პერსონალურ მონაცემთა დამუშავების მიზნით, სრულად ან ნაწილობრივ ავტომატურად.

მონაცემთა დამმუშავებელი (დამმუშავებელი პირი) - იურიდიული ან ფიზიკური პირი, რომელიც არ წარმოადგენს კონტროლის განმახორციელებელი პირის თანამშრომელს და აწარმოებს მონაცემთა დამუშავებას კონტროლის განმახორციელებელი პირის თანხმობით.

კონტროლის განმახორციელებელი პირი⁴ - არის პირი, რომელიც მარტო ან სხვასთან ერთად ადგენს პერსონალურ მონაცემთა დამუშავების მიზნებს და საშუალებებს. როცა პერსონალურ მონაცემთა დამუშავების მიზნები დგინდება კანონით ან სხვა საკანონმდებლო აქტით, კონტროლის განმახორციელებელი პირი ან მისი დანიშვნის წესი დგინდება იგივე აქტით.

წინასწარი შემოწმება⁵ - ამ კანონში მოყვანილ შემთხვევებში, მონაცემთა დამუშავების დაწყებამდე იმ პროცედურათა შემოწმება, რითაც ხდება მონაცემთა დამუშავება.

განსაკუთრებული პერსონალური მონაცემები⁶ - მონაცემები, რომლებიც უკავშირდება ფიზიკური პირის რასობრივ ან ეთნიკურ წარმომავლობას, პოლიტიკურ შეხედულებებს, რელიგიას, ფილოსოფიურ და სხვა შეხედულებებს, პროფესიული გაერთიანებების წევრობას, პირის ჯანმრთელობის მდგომარეობას, სქესობრივ ცხოვრებას და პირის ნასამართლობას.

მონაცემთა ფაილური სისტემა⁷ - მონაცემთა მატარებელი, სადაც მოცემულია გარკვეული კრიტერიუმების მიხედვით სისტემიზირებული მონაცემები, მათი ადვილად პოვნის მიზნით.

თანხმობა (მონაცემთა სუბიექტის თანხმობა)⁸ - მონაცემთა სუბიექტის მიერ ძალდატანების გარეშე მიცემული ნებისმიერი თანხმობა მონაცემთა დამუშავებაზე, მისთვის ცნობილი მიზნებისათვის. განსაკუთრებულ პერსონალურ მონაცემთა დამუშავებისათვის თანხმობა უნდა იყოს მიცემული მკაფიოდ - წერილობითი ან რაიმე ეკვივალენტური ფორმით, რომელიც უეჭველად და ორაზროვნების გარეშე ამტკიცებს მონაცემთა სუბიექტის სურვილს.

პირდაპირი მარკეტინგი⁹ - საქმიანობა, რომლის შედეგადაც, ხდება ინდივიდთათვის საქონლის ან მომსახურების შეთავაზება, სატელეფონო ან ნებისმიერი სხვა პირდაპირი საშუალება, რომლის მეშვეობითაც ხდება ინდივიდთა შეხედულების გამოკვლევა შეთავაზებულ საქონელთან ან მომსახურებასთან დაკავშირებით.

მესამე პირი - ფიზიკური ან იურიდიული პირი, გარდა მონაცემთა სუბიექტის, კონტროლის განმახორციელებელი პირის, დამმუშავებელი პირის ან პირისა, რომელსაც დავალებული აქვს მონაცემთა დამუშავება კონტროლის განმახორციელებელი პირის ან დამმუშავებელი პირის მიერ.

შიდა ადმინისტრირება¹⁰ - მოქმედება, რომლის შედეგადაც ხდება დამმუშავებელი პირის დამოუკიდებელი ფუნქციონირების უზრუნველყოფა (სტრუქტურის შექმნა, პერსონალის მართვა, არსებული მატერიალური და ფინანსური რესურსების გამოყენება და მართვა, საოფისე საქმიანობა).

საჯარო მონაცემთა ფაილი¹¹ - სახელმწიფო რეესტრი ან მონაცემთა სხვა მატარებელი, რომლის მეშვეობითაც, კანონის ან სხვა აქტის თანახმად, ხდება საზოგადოების უზრუნველყოფა ინფორმაციით.

პერსონალურ მონაცემთა დამუშავება

კანონის მე-3 მუხლში მოცემულია მონაცემთა დამუშავების ზოგადი პრინციპები. კანონი, ისევე როგორც დირექტივა, ადგენს პერსონალური მონაცემების დამუშავების მართლზომიერების ზოგად წესებს: პერსონალური მონაცემების დამუშავების ხარისხს, მონაცემების დამუშავების დასაშვებობის პრინციპებს (ლეგიტიმურობის კრიტერიუმებს), დამუშავების განსაკუთრებულ კატეგორიებს, მონაცემების სუბიექტისათვის ინფორმაციის მიწოდების მოვალეობას, მონაცემების სუბიექტის მიერ ინფორმაციის მიღების უფლებას, შეზღუდვებს და გამონაკლისებს ამ წესებიდან, მონაცემების სუბიექტის უფლებას, უარი განაცხადოს მასთან დაკავშირებული პერსონალური მონაცემების დამუშავებაზე და სხვა პრინციპებს, რომლებიც ქვემოთ დეტალურად არის განხილული. მე-3 მუხლის მიხედვით, პერსონალურ მონაცემებს წაეყენება შემდეგი მოთხოვნები:

ა) მათი შეგროვება უნდა მოხდეს კონკრეტული და კანონიერი მიზნებით, ამ მიზნების დადგენა უნდა მოხდეს მათ მოპოვებამდე და მათი შემდგომი დამუშავებაც უნდაემსახურებოდეს ამ მიზნებს;

ბ) პერსონალურ მონაცემთა დამუშავება უნდა მოხდეს აკურატულად,სამართლიანად და კანონიერად;

გ) პერსონალური მონაცემები უნდა იყოს ზუსტი, არაზუსტი ან არასრული. პერსონალური მონაცემები უნდა იქნეს შესწორებული, შევსებული, განადგურებული ან მათი შემდგომი გამოყენება უნდა იქნეს შეწყვეტილი;

დ) პერსონალური მონაცემები უნდა იყოს ადეკვატურად იდენტური და უნდა გააჩნდეს მხოლოდ ის მოცულობა, რაც აუცილებელია მათი მოპოვებისა და შემდგომი დამუშავებისათვის.

ე) ისინი იმგვარად უნდა იქნეს შენახული, რომ ინდივიდის იდენტიფიცირება შესაძლებელი იქნეს მხოლოდ იმ ვადამდე, რაც აუცილებელია მათი დამუშავებისათვის, რისთვისაც მოხდა მათი მოპოვება. პერსონალურ მონაცემთა დამუშავება სამეცნიერო-კვლევითი, სტატისტიკური ან ისტორიული მიზნებისათვის შესაძლებელია მხოლოდ კანონით გათვალისწინებულ შემთხვევებში. დამმუშავებელი პირი მოვალეა, დაიცვას მონაცემთა დამუშავების ზოგადი პრინციპები.

პერსონალური მონაცემები არ უნდა იქნეს შენახული იმაზე მეტი ვადით, ვიდრე საჭიროა მათი დამუშავებისათვის, ხოლო როდესაც დამუშავების მიზნით ათი შენახვა საჭიროებას აღარ წარმოადგენს, უნდა განადგურდეს, გარდა იმ შემთხვევებისა, როდესაც მონაცემები უნდა გადაეცეს ეროვნულ არქივს შესანახად კანონით გათვალისწინებულ შემთხვევებში (მუხლი 4).

მონაცემთა დამუშავება შესაძლებელია მხოლოდ შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტის თანხმობით;
ბ) სრულდება იმ კონტრაქტის პირობები, რომლის მხარეც არის მონაცემთა სუბიექტი;
გ) კონტროლის განმახორციელებელი პირის კანონიერ მოვალეობას წარმოადგენს მონაცემთა დამუშავება;
დ) დამუშავება აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესებიდან გამომდინარე;
ე) დამუშავება აუცილებელია სახელმწიფო და ადგილობრივი ორგანოების ან მესამე პირების - რომელთაც გადაეცათ მონაცემები - მიერ თავიანთი მოვალეობების განსახორციელებლად;
ვ) დამუშავება აუცილებელია კონტროლის განმახორციელებელი პირის ან მესამე პირის, რომელსაც გადაეცა მონაცემები, კანონიერი ინტერესებიდან გამომდინარე, თუ მონაცემთა სუბიექტის ინტერესები არ აღემატება მათ კანონიერ ინტერესს (მუხლი 5(1)).

განსაკუთრებული კატეგორიის პერსონალური მონაცემების დამუშავების წესი

განსაკუთრებული კატეგორიის პერსონალური მონაცემების დამუშავება დასაშვებია მხოლოდ ზოგიერთ შემთხვევაში:

ა) არსებობს მონაცემთა სუბიექტის თანხმობა;
ბ) ასეთი დამუშავება აუცილებელია კონტროლის განმახორციელებელ პირზე დაკისრებული მოვალეობების შესასრულებლად შრომისსამართლებრივ ურთიერთობებში;
გ) დამუშავება აუცილებელია მონაცემთა სუბიექტის ან ნებისმიერი სხვა პირის სასიცოცხლო ინტერესების დასაცავად, როდესაც მონაცემთა სუბიექტს არ შეუძლია თანხმობის მიცემა ფიზიკური შეუძლებლობის ან არაქმედუნარიანობის გამო;
დ) თუ პერსონალურ მონაცემთა დამუშავებას თავისი კომპეტენციის ფარგლებში ახორციელებს ფონდი, ასოციაცია ან სხვა არასამეწარმეო დაწესებულება, პოლიტიკური ფილოსოფიური და რელიგიური მიზნებით ან პროფკავშირებთან დაკავშირებული მიზნებისათვის, იმ შემთხვევაში, თუ პერსონალური მონაცემები დაკავშირებულია მხოლოდ ამ ორგანიზაციებთან ან იმ პირებთან, რომლებიც მუდმივად იღებენ მონაწილეობას ამ ორგანიზაციის საქმიანობაში.

ეს პერსონალური მონაცემები არ შეიძლება გადაეცეს მესამე პირს მონაცემთა

სუბიექტის თანხმობის გარეშე;

ე) მონაცემთა სუბიექტმა თავად გამოაქვეყნა პერსონალური მონაცემები;
ვ) კანონით გათვალისწინებულ შემთხვევებში, დამუშავება აუცილებელია დანაშაულის აღსაკვეთად ან გამოძიებისათვის;
ზ) მონაცემები აუცილებელია სასამართლოში საქმის განხილვასთან დაკავშირებით (მუხლი 5(4)).

რაც შეეხება მონაცემებს პირის ჯანმრთელობის შესახებ (ჯანმრთელობის მდგომარეობა, დიაგნოზი, პროგნოზები, მკურნალობის დანიშნულება და ა.შ.), ისინი, ასევე, შეიძლება იქნეს დამუშავებული კომპეტენტური სამედიცინო მუშაკის მიერ. პირის ჯანმრთელობის მდგომარეობა წარმოადგენს სამსახურებრივ საიდუმლოებას ლიტვის რესპუბლიკის სამოქალაქო კოდექსით, კანონებით, რომლებიც არეგულირებენ პაციენტთა უფლებებსა და ჯანდაცვასთან დაკავშირებულ ურთიერთობებს და, აგრეთვე, სხვა კანონებით. პერსონალურ მონაცემთა დამუშავება სამედიცინო კვლევის მიზნით, რეგულირდება ამ კანონით და სხვა კანონებით (მუხლი 10).

პირის ნასამართლობასთან, დანაშაულებრივ საქმიანობასთან ან მისი დანაშაულებრივი მოქმედების აღკვეთასთან დაკავშირებულ პერსონალურ მონაცემთა დამუშავებას ახორციელებს მხოლოდ სახელმწიფო ორგანო. სხვა ფიზიკურ და იურიდიულ პირებს ასეთი პერსონალური მონაცემების დამუშავება შეუძლიათ მხოლოდ კანონით გათვალისწინებულ შემთხვევებში, თუ, შესაბამისად, ხდება ზომების მიღება მონაცემთა სუბიექტის უფლებათა დაცვის მიზნით. პირის ნასამართლობის შესახებ დეტალური მონაცემების დამუშავება ხორციელდება სახელმწიფო რეესტრების შესახებ კანონში მოცემულ დებულებათა დაცვით (მუხლი 5(4)).

პერსონალური მონაცემების გაცემა

კანონი ითვალისწინებს პერსონალურ მონაცემთა გაცემის ფორმებსაც: არაერთჯერადი გაცემის შემთხვევაში მიმღებსა და კონტროლის განმახორციელებელ პირს შორის ხდება შესაბამისი ხელშეკრულების დადება, ხოლო, ერთჯერადი გაცემის შემთხვევაში, საკმარისია მიმღების შუამდგომლობა. ხელშეკრულებაში უნდა იყოს მითითებული პერსონალურ მონაცემთა გამოყენების მიზანი, პირობები და გამოყენების პროცედურები. შუამდგომლობა კი უნდა შეიცავდეს პერსონალურ მონაცემთა გამოყენების მიზნებს (მუხლი 6).

პერსონალური საიდენტიფიკაციო ნომერი

კანონით განსაზღვრულია პერსონალური საიდენტიფიკაციო ნომრის¹² გამოყენების წესებიც. კანონი განმარტავს, თუ რა არის პერსონალური საიდენტიფიკაციო ნომერი: ეს არის პირთან დაკავშირებული ციფრთა უნიკალური თანმიმდევრობა, რომელიც დადგენილია მოსახლეობის რეესტრის შესახებ კანონმდებლობის თანახმად. პირადი კოდის გამოყენება პერსონალურ მონაცემთა დამუშავების დროს შესაძლებელია მხოლოდ პირის თანხმობით ან შემდეგ შემთხვევებში:

ა) თუ ეს დასაშვებია ამ კანონით ან სხვა კანონით გათვალისწინებულ შემთხვევებში;
ბ) სამეცნიერო ან სტატისტიკური კვლევების დროს;
გ) თუ მათი გამოყენება ხდება სახელმწიფო რეესტრებში კანონით დადგენილ შემთხვევებში (მუხლი 7).

მონაცემთა სუბიექტის თანხმობა მონაცემთა გაცემისათვის არ არის საჭირო, თუ მონაცემთა გაცემა ხდება იმ პირთა შორის თავიანთი ფუნქციების განხორციელების დროს, რომლებიც ასრულებენ სოციალურ დაზღვევასა ან სხვა სოციალურ მომსახურებასთან დაკავშირებულ საქმიანობას (მუხლი 9).

პერსონალური მონაცემების დამუშავება სამეცნიერო და სტატისტიკური მიზნით

სამეცნიერო კვლევითი მიზნებიდან გამომდინარე, პერსონალურ მონაცემთა დამუშავება შესაძლებელია მონაცემთა სუბიექტის თანხმობის გარეშე, თუ წინასწარ მოხდება მონაცემთა დაცვის სახელმწიფო ინსპექციის ინფორმირება, ეს უკანასკნელი ვალდებულია, განახორციელოს წინასწარი შემოწმება. ასეთი მონაცემები უნდა შეიცვალოს ისეთი გზით, რომ შეუძლებელი გახდეს სუბიექტის იდენტიფიცირება. ამ მიზნით შეგროვებული მონაცემები არ შეიძლება გამოყენებულ იქნეს სხვა მიზნებისთვის. ისეთ შემთხვევაში, როდესაც კვლევას ეს არ ესაჭიროება, კონტროლის განმახორციელებელმა პირმა მიმღებს უნდა მიაწოდოს ისეთი მონაცემები, რომლიდანაც პირის იდენტიფიცირება შეუძლებელია. კვლევის შედეგები პერსონალურ მონაცემებთან ერთად შეიძლება გამოქვეყნდეს მხოლოდ მონაცემთა სუბიექტის თანხმობის შემთხვევაში (მუხლი 12).

კანონში გათვალისწინებულია დებულება სტატისტიკური მიზნებით პერსონალურ მონაცემთა გამოყენების შესახებ, რაც წარმოადგენს სტატისტიკურ კვლევას და კვლევის შედეგების გამოქვეყნებას და შენახვას. პერსონალური მონაცემები, შეგროვებული არასტატისტიკური მიზნებით, შეიძლება გამოყენებული იქნეს ოფიციალური სტატისტიკური ინფორმაციის მოსამზადებლად კანონით გათვალისწინებულ შემთხვევებში. სტატისტიკური მიზნებით მიღებული მონაცემების არასტატისტიკური მიზნით გამოყენება დასაშვებია სტატისტიკის შესახებ კანონით გათვალისწინებულ შემთხვევებში და წესით. სხვადასხვა სტატისტიკური მიზნით შეგროვებული პერსონალური მონაცემების გაერთიანება ან შედარება შეიძლება, თუ უზრუნველყოფილია მათი დაცულობა არასტატისტიკური მიზნებით გამოყენებისაგან. განსაკუთრებული პერსონალური მონაცემების შეგროვება შესაძლებელია, თუ პირის პირდაპირ ან არაპირდაპირ იდენტიფიცირება შეუძლებელია მათი გამოყენებით, გამონაკლისი დასაშვებია მხოლოდ კანონით გათვალისწინებულ შემთხვევებში (მუხლი 13).

პირდაპირი მარკეტინგის მიზნებისათვის პერსონალური მონაცემების გამოყენება დასაშვებია, თუ შეგროვების დროს მოხდება მისი შენახვის ვადის განსაზღვრა და თუ მონაცემთა სუბიექტი მისცემს თანხმობას (მუხლი 14).

ტელეკომუნიკაციის სფეროში პერსონალურ მონაცემთა გამოყენება ხდება ამ კანონის და ტელეკომუნიკაციის შესახებ კანონის მოთხოვნათა დაცვით (მუხლი 15).

პერსონალურ მონაცემთა დამუშავების და გამხელის წესი პირის გადახდისუნარიანობის დადგენის და მისი ვალის მართვის მიზნით

კანონი დეტალურად ითვალისწინებს პერსონალურ მონაცემთა დამუშავების და გამხელის წესს პირის გადახდისუნარიანობის დადგენის და მისი ვალის მართვის¹³ მიზნით. ამ მიზნით კონტროლის განმახორციელებელ პირს არა აქვს განსაკუთრებული პერსონალური მონაცემების დამუშავების უფლება (მუხლი 16 (4)).

კონტროლის განმახორციელებელი პირი უფლებამოსილია, გადასცეს მესამე პირებს - რომელთაც აქვთ კანონიერი ინტერესი - იმ პირთა პერსონალური მონაცემები და პირადი კოდი, რომლებმაც დროულად და ჯეროვნად არ შეასრულეს თავიანთი ფინანსური ან/და ქონებრივი მოვალეობანი ამ პირების (მევალეების) მიმართ, გადახდისუნარიანობის და ვალის მართვის მიზნით, ამ კანონის და სხვა კანონების მოთხოვნათა დაცვით (მუხლი 16 (1)). კონტროლის განმახორციელებელ პირს უფლება აქვს, გადასცეს პერსონალური მონაცემები იმ კონტროლის განმახორციელებელ პირებს, რომლებიც აწარმოებენ მოვალეთა გაერთიანებული ფაილების დამუშავებას. კონტროლის განმახორციელებელ პირს აქვს უფლება, გაუმხილოს კანონიერი ინტერესის მქონე მესამე პირს ასეთი გაერთიანებული მატარებლები მათ მიერ მევალეთა გადახდისუნარიანობის შემოწმების და ვალის მართვის მიზნით. ამისათვის კონტროლის განმახორციელებელმა პირმა უნდა გააფრთხილოს მონაცემთა დაცვის სახელმწიფო ინსპექცია, რომელიც ატარებს წინასწარ შემოწმებას (მუხლი 16(2)).

კონტროლის განმახორციელებელი პირი პერსონალური მონაცემების მესამე პირებისათვის გადაცემამდე მონაცემთა სუბიექტს წერილობით ატყობინებს შეუსრულებელი მოვალეობის შესახებ და მხოლოდ ამ დღიდან 18 კალენდარული დღის განმავლობაში არის იგი უფლებამოსილი, გადასცეს მონაცემები კანონიერი ინტერესის მქონე მესამე პირს იმ შემთხვევაში, თუ ვალი დაუფარავი დარჩა ან/და გადახდის ვადა არ იქნა გადაწეული, ან, თუ მონაცემთა სუბიექტი სადავოდ არ ხდის ვალის არსებობას (მუხლი 16 (3)).

კანონში გათვალისწინებულია ბანკების და სხვა საფინანსო-საკრედიტო დაწესებულებების ინტერესებიც პირის გადახდისუნარიანობის შეფასებასა და ვალის მართვასთან დაკავშირებით. ასეთ დაწესებულებებს შეუძლიათ მიაწოდონ ერთმანეთს მონაცემები (სახელი, გვარი, პერსონალური ნომერი, კრედიტის სახე, თანხის ოდენობა, კრედიტის დაბრუნების ბოლო ვადა) პირის გადახდისუნარიანობის შეფასების მიზნით. ზემოხსენებულ დაწესებულებებს ასეთი უფლება გააჩნიათ მხოლოდ იმ შემთხვევაში, თუ მონაცემთა სუბიექტი მათ მიმართავს ვალის აღების (მათ შორის, ლიზინგის) მიზნით და მისცემს თავის წერილობით თანხმობას შესაბამის მონაცემთა გაცვლის შესახებ. ასეთი მონაცემები არ შეიძლება გაერთიანებულ იქნეს სხვა მონაცემებთან და ისინი უნდა განადგურდნენ მიღებიდან 2 დღის შემდეგ (მუხლი 16 (8)).

მონაცემთა სუბიექტის უფლებები

მონაცემთა სუბიექტს აქვს შემდეგი უფლებები:

1. იყოს ინფორმირებული თავისი პერსონალური მონაცემების დამუშავების შესახებ. ამ შემთხვევაში, კონტროლის განმახორცილებელი პირი აძლევს ინფორმაციას მონაცემთა სუბიექტს: ა) მის და მისი წარმომადგენლის (ასეთის არსებობის შემთხვევაში) შესახებ (ადგილსამყოფელი, საფოსტო რეკვიზიტები და ა.შ.); ბ) მონაცემთა დამუშავების მიზნების შესახებ; გ) სხვა დამატებით ინფორმაციას, რაც აუცილებელია იმისათვის, რათა არ მოხდეს კანონის მოთხოვნათა და მონაცემთა სუბიექტის უფლებათა დარღვევა (მუხლი 18(1)). მონაცემთა დაცვის სახელმწიფო ინსპექციაში საკუთარი პირადობის დამადასტურებელი დოკუმენტის წარდგენის შემდეგ მონაცემთა სუბიექტს უფლება აქვს, მოითხოვოს დარეგისტრირებული კონტროლის განმახორციელებელი პირების ხელთ არსებული პერსონალური მონაცემები და მათი დამუშავების შესახებ ინფორმაცია. ამისათვის პირი იხდის საფასურს, რომელიც არ უნდა აღემატებოდეს თვითღირებულებას (მუხლი 23);

2. გაეცნოს თავის პერსონალურ მონაცემებს და მათი დამუშავების მეთოდს. ამ შემთხვევაში მონაცემთა სუბიექტი დამმუშავებელ ან კონტროლის განმახორციელებელ პირთან წარადგენს პირადობის დამადასტურებელ დოკუმენტს, რის შემდეგაც აქვს უფლება, გაეცნოს, თუ რომელი წყაროებიდან და რომელი პერსონალური მონაცემები არის შეგროვებული, რა მიზნებით ხორციელდება მათი დამუშავება და იმ პირთა სია, ვისაც ისინი გადაეცემა. ასეთი მოთხოვნის წარდგენიდან 30 დღის განმავლობაში უნდა მიეწოდოს პირს შესაბამისი წერილობითი ინფორმაცია. ინფორმაცია უსასყიდლოდ მიეწოდება პირველ მოთხოვნაზე ან ბოლო მოთხოვნიდან ერთწლიანი ვადის გასვლის შემდეგ. გადასახადი ინფორმაციისათვის არ უნდა აღემატებოდეს ამ ინფორმაციის თვითღირებულებას (მუხლი 19);

3. მოითხოვოს შესწორება ან განადგურება საკუთარი პერსონალური მონაცემების ან მათი დამუშავების შეწყვეტა (გარდა შენახვისა), თუ დამუშავება ხდება ამ ან სხვა კანონის მოთხოვნათა დარღვევით. ამ შემთხვევაში, მას შემდეგ, რაც მონაცემთა სუბიექტი აღმოაჩენს არასწორ მონაცემებს ან მათი დამუშავებისას სამართალდარღვევას, მოითხოვს კონტროლის განმახორციელებელი პირის მიერ ამ დარღვევის დაუყოვნებლივ აღმოფხვრას. კონტროლის განმახორცილებელი პირი დაუყოვნებლივ აცნობებს მონაცემთა სუბიექტს შუამდგომლობის შედეგად გატარებული ზომების შესახებ (მუხლი 20);

4. არ გასცეს თანხმობა საკუთარი პერსონალური მონაცემების დამუშავებაზე.

ამ წესებიდან გადახვევა დასაშვებია, თუ პერსონალურ მონაცეთა დამუშავება ემსახურება ეროვნულ უსაფრთხოებას ან თავდაცვის ინტერესებს, საჯარო წესრიგს, დანაშაულის აღკვეთას ან გამოძიებას სისხლის სამართლის საქმეზე, ქვეყნის უმნიშვნელოვანეს ფინანსურ და ეკონომიკურ ინტერესებს, პროფესიული ეთიკის დარღვევის პრევენციას ან ასეთი ფაქტის გამოძიებას, მონაცემთა სუბიექტის ან სხვა პირების უფლებათა დაცვას (მუხლი 17(2)).

კონტროლის განმახორციელებელი პირი მონაცემთა სუბიექტის შუამდგომლობაზე უარის თქმის შემთხვევაში, მოვალეა, მოტივირებულად დაასაბუთოს უარის თქმის მიზეზი და შუამდგომლობიდან 30 დღის განმავლობაში მიაწოდოს მონაცემთა სუბიექტს იგივე ფორმით, რა ფორმითაც მიღებულ იქნა შუამდგომლობა (ზეპირი/წერილობითი) (მუხლი 17(3)). შუამდგომლობიდან 30 დღიანი ვადის გასვლის შემდეგ მონაცემთა სუბიექტს კიდევ 3 თვის განმავლობაში აქვს უფლება, გაასაჩივროს კონტროლის განმახორციელებელი პირის მოქმედება (უმოქმედობა) მონაცემთა დაცვის სახელმწიფო ინსპექციაში. მონაცემთა დაცვის სახელმწიფო ინსპექციის მოქმედების გასაჩივრება დასაშვებია სასამართლოში კანონით გათვალისწინებულ შემთხვევებში (მუხლი 17(4)).

მონაცემთა უსაფრთხოება

დამმუშავებელი და კონტროლის განმახორციელებელი პირები ვალდებულები არიან, მიიღონ ყველა ტექნიკური და ორგანიზაციული ზომა პერსონალურ მონაცემთა უსაფრთხოებისათვის, რომ არ მოხდეს მათი არაკანონიერი განადგურება, გაცემა და სხვა არაკანონიერი დამუშავება. ეს ზომები, პერსონალური მონაცემების და მათი დამუშავების ხასიათიდან გამომდინარე, უნდა იყოს ადეკვატური. ამ ზომების შესახებ ინფორმაცია წერილობითი ფორმით უნდა იყოს თანდართული თავად ამ მონაცემებზე კონტროლის განმახორციელებელი პირის მიერ დადგენილი წესით (მუხლი 24(1)).

კონტროლის განმახორციელებელი პირი, დამმუშავებელი, მათი პერსონალი და წარმომადგენლები ვალდებულნი არიან, საიდუმლოდ შეინახონ ისეთი პერსონალური მონაცემები, რომლებიც არ არის განკუთვნილი საჯაროობისათვის. საიდუმლოს შენახვის მოვალეობა ვრცელდება ამ პირთა მიერ სამსახურებრივი პოზიციის დატოვების შემდეგაც (მუხლი 24(5)).

კონტროლის განმახორციელებელ პირთა რეგისტრაცია

პერსონალურ მონაცემთა დაცვის უზრუნველყოფის მიზნით, კანონი ითვალისწინებს კონტროლის განმახორციელებელ პირთა რეგისტრაციის წესს. კონტროლის განმახორციელებელი პირები გადიან რეგისტრაციას კონტროლის განმახორციელებელ პირთა სახელმწიფო რეესტრში, რომლის ადმინისტრირებასაც ახორციელებს მონაცემთა დაცვის სახელმწიფო ინსპექცია (მუხლი 27).

როდესაც პერსონალურ მონაცემთა დამუშავება ხდება ავტომატურად, კონტროლის განმახორციელებელი პირი ან მისი წარმომადგენელი ამის შესახებ ატყობინებს მონაცემთა დაცვის სახელმწიფო ინსპექციას გარდა იმ შემთხვევებისა, როდესაც მონაცემთა დამუშავება ხდება:

ა) შიდა ადმინისტრირების მიზნებისათვის;

ბ) დამუშავებას აწარმოებს რომელიმე ფონდი, ასოციაცია ან არასამეწარმეო დაწესებულება პოლიტიკური, ფილოსოფიური ან პროფკავშირული მიზნებისათვის მხოლოდ იმ შემთხვევაში, თუ პერსონალური მონაცემები, რომელთა დამუშავებაც იმდინარეობს, უკავშირდება ამ ორგანიზაციის რომელიმე წევრს ან ისეთ პირს, რომელსაც მუდმივი კავშირი აქვს ორგანიზაციასთან ამ უკანასკნელის მიზნებიდან გამომდინარე;

გ) მონაცემთა გამოყენება ხდება საზოგადოების ინფორმირების მიზნით - ჟურნალისტური, სამხატვრო, ლიტერატურული და სხვა საშუალებებით;

დ) მონაცემთა დამუშავება ხდება ჯანდაცვის მიზნებიდან გამომდინარე;

ე) მონაცემთა დამუშავება ხდება სახელმწიფო და სამსახურებრივი საიდუმლოების შესახებ კანონმდებლობის მიხედვით (მუხლი 25).

მონაცემთა დაცვის სახელმწიფო ინსპექცია აწარმოებს წინასწარ შემოწმებას შემდეგ შემთხვევებში:

ა) თუ ხდება განსაკუთრებულ პერსონალურ მონაცემთა დამუშავება;

ბ) თუ კონტროლის განმახორციელებელი პირი აპირებს საჯარო მონაცემთა ფაილის დამუშავებას და კანონით არ არის დადგენილი მონაცემთა გადაცემის წესი;

გ) როდესაც სახელმწიფო რეგისტრების ან სახელმწიფო ან ადგილობრივ ორგანოთა საინფორმაციო სისტემების მმართველი ნიშნავს დამმუშავებელ პირს პერსონალურ მონაცემთა დამუშავებისათვის;

დ) როდესაც პერსონალურ მონაცემთა დამუშავება ხდება სტატისტიკური ან სამეცნიერო მიზნებით იმ შემთხვევებში, როცა საჭიროა მონაცემთა სუბიექტის თანხმობა;

ე) როდესაც ხდება მონაცემთა გამხელა მესამე პირებისათვის, რომლებითაც აქვთ კანონიერი ინტერესი, შეამოწმონ პირის გადახდისუნარიანობის ხარისხი (მუხლი 17(1)).

ამ მოქმედებებთან დაკავშირებით, დიდი მნიშვნელობა ენიჭება ვადების საკითხს - კანონის მე-17(2) მუხლის მიხედვით, კონტროლის განმახორციელებელი პირი, ზემოხსენებულ მოქმედებათა დაწყებამდე არაუგვიანეს ორი თვისა, დადგენილი წესით ატყობინებს მონაცემთა დაცვის სახელმწიფო ინსპექციას, რომელიც მოთხოვნის მიღებიდან ორი თვის განმავლობაში ახორციელებს წინასწარ შემოწმებას და კონტროლის განმახორციელებელ პირს აძლევს დადებით ან უარყოფით პასუხს. თუ ინსპექცია ორთვიან ვადაში ვერ ჩაეტევა, მიიჩნევა, რომ თანხმობა მონაცემთა დამუშავებაზე მიღებულია. მონაცემთა დაცვის სახელმწიფო ინსპექციის მოქმედების გასაჩივრება შეიძლება კანონით დადგენილი წესით.

პერსონალურ მონაცემთა გადაცემაუცხო ქვეყანაში მყოფ მიმღებთათვის

პერსონალურ მონაცემთა გადაცემა უცხო ქვეყანაში მყოფ მიმღებზე ხდება მას შემდეგ, რაც მონაცემთა დაცვის სახელმწიფო ინსპექცია გასცემს შესაბამის ნებართვას (მუხლი 28(1)). ინსპექციის თანხმობის გარეშე მონაცემთა გადაცემა შეიძლება შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტმა თავად მისცა შესაბამისი თანხმობა;
ბ) მონაცემთა გადაცემა აუცილებელია კონტროლის განმახორციელებელ პირსა და მესამე პირს შორის დადებული ხელშეკრულების მიხედვით, მონაცემთა სუბიექტის თანხმობით;
გ) მონაცემთა გადაცემა აუცილებელია საზოგადოების უმნიშვნელოვანესი ნტერესებიდან გამომდინარე, ან აუცილებელია სასამართლოში საქმის განხილვის მიზნით;
დ) მონაცემთა გადაცემა აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესებიდან გამომდინარე;
ე) აუცილებელია დანაშაულებრივი მოქმედების ან სისხლის სამართლის საქმეზე გამოძიების წარმოების მიზნით;
ვ) მონაცემების გადაცემა ხდება მონაცემთა საჯარო მატარებლებიდან კანონით ნ სხვა სამართლებრივი აქტის მიხედვით (მუხლი 28(4)).

სახელმწიფო ინსპექცია მონაცემთა გადაცემაზე თანხმობას გასცემს იმ ემთხვევაში, თუ შესაბამის ქვეყანაში პერსონალურ მონაცემთა დაცვა უზრუნველყოფილია სათანადო დონეზე. ინსპექცია ითვალისწინებს ყველა ფაქტორს დაცვის დონის შესაფასებლად. თუ უცხო ქვეყანაში მონაცემთა დაცვის შესაბამისი დონე არ არსებობს, გადაცემაზე თანხმობის გაცემა ინსპექციას შეუძლია, თუ კონტროლის განმახორციელებელი პირი მიიღებს ყველა ზომას მონაცემთა სუბიექტის პირადი ცხოვრების დასაცავად. დაცვის ასეთი ზომები მოხსენებულ უნდა იქნეს პერსონალურ მონაცემთა უცხო სახელმწიფოსათვის გადაცემის შესახებ ხელშეკრულებაში.

ზედამხედველობაპერსონალურიმონაცემებისშესახებკანონისმოთხოვნათაშესრულებაზე

კანონის 29-ე მუხლი პერსონალურ მონაცემთა შესახებ კანონის მოთხოვნათა დაცვაზე აწესებს ზედამხედველობის ინსტიტუტს მონაცემთა დაცვის სახელმწიფო ინსპექციის სახით. ინსპექცია არის სახელმწიფო ორგანო, რომელიც ფინანსდება ბიუჯეტიდან. იგი პასუხს აგებს მთავრობის წინაშე. დებულებას ინსპექციის შესახებ ამტკიცებს მთავრობა. ისეთ პერსონალურ მონაცემთა დამუშავება, რომლის მიზანიცაა საზოგადოების ინფორმირება ან მხატვრულ-ლიტერატურული გამოხატვა, კონტროლირდება ჟურნალისტური ეთიკის ინსპექტორის მიერ.

მონაცემთა დაცვის სახელმწიფო ინსპექცია უნდა ხელმძღვანელობდეს ლიტვის რესპუბლიკის კონსტიტუციით, კანონებით, ლიტვის რესპუბლიკის მიერ დადებული საერთაშორისო ხელშეკრულებებით, ამ კანონით და სხვა საკანონმდებლო აქტებით.

კანონის 30-ე მუხლი აწესებს ინსპექციის მუშაობის პრინციპებს, ესენია: კანონიერების, მიუკერძოებლობის, საჯაროობის და პროფესიონალიზმის პრინციპები. ამ კანონით მასზე დაკისრებული მოვალეობების შესრულებისას ინსპექცია უნდა იყოს დამოუკიდებელი; მისი უფლებების შეზღუდვა დასაშვებია მხოლოდ კანონით.

სახელმწიფო და მუნიციპალურ დაწესებულებებსა და სააგენტოებს, სეიმის წევრებს და სხვა საჯარო წარმომადგენლებს, პოლიტიკურ და საჯარო ორგანიზაციებს, სხვა იურიდიულ და ფიზიკურ პირებს არ აქვთ უფლება, განახორციელონ ფიზიკური, პოლიტიკური, ეკონომიკური ან სოციალური ზეწოლა მონაცემთა დაცვის ახელმწიფო ინსპექციის თანამშრომლებზე ან ჩაერიონ მათ საქმიანობაში რაიმე სხვა გზით. ინსპექციის საქმიანობაში არაკანონიერი ჩარევა ისჯება კანონით.

ლიტვის მთავრობის რეზოლუციით №1156 მიღებული დებულებით, მონაცემთა დაცვის სახელმწიფო ინსპექციის შესახებ და მისი დამატებით (2005 წლის 24 იანვარი), ინსპექციას მიენიჭა უფლებამოსილება, ზედამხედველობა განახორციელოს პერსონალურ მონაცემთა სამართლებრივი კანონის მოთხოვნათა (გარდა მე-8 მუხლისა, რომელიც ეხება საზოგადოების ინფორმაციით უზრუნველყოფის და, ასევე, ლიტერატურული და მხატვრული გამოხატვის მიზნით მონაცემთა დამუშავების საკითხს) შესრულებაზე.

2004 წლის 8 მარტს ლიტვის პარლამენტმა მოახდინა ევროპის კავშირის ხელშეკრულების რატიფიცირება, რომელიც ეხება საბაჟო მიზნებით საინფორმაციო ტექნოლოგიების გამოყენებას. 2004 წლის 15 ივლისს მთავრობამ მონაცემთა დაცვის სახელმწიფო ინსპექციას მიანიჭა უფლებამოსილება, დამოუკიდებლად განახორციელოს ზედამხედველობა საბაჟოების საინფორმაციო სისტემაში შესული პერსონალური მონაცემების დაცვაზე.

2003 წლის 20 მაისს, მთავრობის რეზოლუციით, ინსპექციას მიენიჭა შენგენის ეროვნულ საინფორმაციო სისტემაში პერსონალურ მონაცემთა დამუშავების დროს კანონის მოთხოვნათა დაცვაზე ზედამხედველობის უფლებამოსილება. ეს აქტი ძალაში შევა მას შემდეგ, რაც ლიტვა გახდება შენგენის ხელშეკრულების მონაწილე.

ინსპექციის შესახებ დებულების მე-6 მუხლის თანახმად, ინსპექციის პრინციპულ მიზნებს წარმოადგენს: მონაცემთა დაცვის უზრუნველყოფა, პერსონალურ მონაცემთა დამუშავების დროს კონტროლის განმახორციელებელ პირთა საქმიანობაზე ზედამხედველობა, დამუშავების მართლზომიერებაზე კონტროლის განხორციელება, მონაცემთა დამუშავების დროს დარღვევების არდაშვება და მონაცემთა სუბიექტების უფლებების დაცვა. ინსპექციამ უნდა მიიღოს ზომები, რათა პერსონალურ მონაცემთა დამუშავება იყოს შესაბამისობაში ევროგაერთიანების სტანდარტებთან.

დებულების მე-12 მუხლის მიხედვით, ინსპექციას ხელმძღვანელობს დირექტორი, რომლის დანიშვნა და თანამდებობიდან გათავისუფლება ხდება ლიტვის რესპუბლიკის საჯარო სამსახურის შესახებ კანონის მოთხოვნათა დაცვით.

მონაცემთა დაცვის ინსპექციის კომპეტენცია

კანონის 31-ე მუხლი განსაზღვრავს ინსპექციის კომპეტენციას, რაც წარმოადგენს შემდეგს:

ა) კონტროლის განმახორციელებელ პირთა რეესტრის ადმინისტრირება, მისი საჯაროობის უზრუნველყოფა და რეგისტრირებულ კონტროლის განმახორციელებელ პირთა მიერ პერსონალურ მონაცემთა დამუშავების კანონიერებაზე ზედამხედველობის განხორციელება;
ბ) ამ კანონით გათვალისწინებულ შემთხვევებში, კერძო მოთხოვნების და საჩივრების განხილვა საჯარო მმართველობის შესახებ კანონით¹⁴ დადგენილი პროცედურის მიხედვით;
გ) პერსონალურ მონაცემთა დამუშავების მართლზომიერების შემოწმება და მათი დამუშავების დროს არსებულ დარღვევებთან დაკავშირებით გადაწყვეტილებების მიღება;
დ) კონტროლის განმახორციელებელ პირებს მისცეს უცხო ქვეყანაში არსებულ მიმღებთათვის მონაცემთა გადაცემის უფლება;
ე) ჩამოაყალიბოს და გამოაქვეყნოს წლიური მოხსენება მისი საქმიანობის შესახებ;
ვ) ითანამშრომლოს კონტროლის განმახორციელებელ პირებთან და შეიმშაოს რეკომენდაციები მონაცემთა დაცვის გაუმჯობესების მიზნით და გახადოს ისინი საჯაროდ ხელმისაწვდომი ინტერნეტის მეშვეობით;
ზ) კანონით დადგენილი წესით, დახმარება გაუწიოს უცხო ქვეყანაში მყოფ მონაცემთა სუბიექტებს;
თ) კანონით დადგენილი წესით, უზრუნველყოს სხვა ქვეყნები ინფორმაციით ლიტვის რესპუბლიკის კანონმდებლობის შესახებ პერსონალურ მონაცემთა დაცვის სფეროში და გაუზიაროს გამოცდილება;
ი) განახორციელოს წინასწარი შემოწმება ამ კანონით დადგენილ შემთხვევებში და მიაწოდოს თავისი გადაწყვეტილება კონტროლის განმახორციელებელ პირებს კონკრეტულ მონაცემთა დამუშავების საკითხთან დაკავშირებით;
კ) პერსონალურ მონაცემთა ავტომატური დამუშავების დროს დაიცვას ფიზიკურ პირთა უფლებების შესახებ კონვენციის დებულებები;
ლ) მისცეს რეკომენდაცია სეიმს, მთავრობას, სახელმწიფო და მუნიციპალურ დაწესებულებებს, როცა ისინი ახორციელებენ მონაცემთა დაცვის სახელმწიფო ინსპექციის საქმიანობასთან დაკავშირებული კანონების ან სხვა სამართლებრივი აქტების პროექტების შემუშავებას, მიღებას, მათში ცვლილებების შეტანას ან გაუქმებას;
მ) შეაფასოს კონტროლის განმახორციელებელ პირთა მიერ პერსონალურ მონაცემთა დამუშავების წესები;
ნ) შეასრულოს ამ კანონით დაკისრებული სხვა ფუნქციები.

მონაცემთა დაცვის ინსპექციის უფლებამოსილება

კანონის 32-ე მუხლი თავისი მოვალეობების შესრულებისას, მონაცემთა დაცვის სახელმწიფო ინსპექციას ანიჭებს შემდეგ უფლებამოსილებას:

ა) სახელმწიფო და მუნიციპალური დაწესებულებებისაგან და სააგენტოებისაგან, სხვა იურიდიული და ფიზიკური პირებისაგან უსასყიდლოდ მიიღოს ყველა საჭირო ინფორმაცია, დოკუმენტების ასლები და თარგმანები, მონაცემთა ასლები და მიუწვდებოდეს ხელი ყველა მონაცემსა და დოკუმენტზე, რაც აუცილებელია ინსპექციის მიერ თავისი ფუნქციების ეფექტური განხორციელებისათვის;
ბ) წინასწარი წერილობითი გაფრთხილების შემდეგ მოახდინოს პირის უძრავი ქონების ან იმ ტერიტორიის დათვალიერება, სადაც მდებარეობს დოკუმენტები და ინვენტარი პერსონალურ მონაცემთა დამუშავებასთან დაკავშირებით. იურიდიული პირის შენობაში შესვლა შესაძლებელია მხოლოდ ამ დაწესებულების სამუშაო საათების განმავლობაში. კერძო პირის საცხოვრებელ ადგილას შესვლა დასაშვებია მხოლოდ შესაბამისი სასამართლოს გადაწყვეტილების წარდგენის შემდგომ;
გ) მიიღოს მონაწილეობა სეიმის სესიებში, შეხვედრებზე სამთავრობო და სხვა სახელმწიფო ინსტიტუტებში, სადაც პერსონალურ მონაცემთა დამუშავების საკითხის განხილვა მიმდინარეობს;
დ) მოიხმოს ექსპერტები და კონსულტანტები, შექმნას მუშა ჯგუფები მონაცემთა დამუშავების და მათი დაცვის შემოწმების მიზნით, ასევე, მონაცემთა დაცვასთან დაკავშირებით, სამართლებრივი დოკუმენტების პროექტირების და ინსპექციის მუშაობასთან დაკავშირებული გადაწყვეტილებების მიღების მიზნით;
ე) მისცეს რეკომენდაციები და ინსტრუქციები კონტროლის განმახორციელებელ პირებს მონაცემთა დამუშავებასა და მათ დაცვასთან დაკავშირებით;
ვ) ადმინისტრაციულ სამართალდარღვევათა კოდექსით დადგენილი პროცედურის მიხედვით, შეადგინოს ოქმი სამართალდარღვევის შესახებ;
ზ) აწარმოოს ინფორმაციის გაცვლა უცხო ქვეყნების პერსონალურ მონაცემთა დაცვაზე ზედამხედველობის განმახორციელებელ ორგანოებთან იმ მოცულობით, რაც საჭიროა მათი მოვალეობების შესრულების მიზნით;
თ) მიიღოს მონაწილეობა სასამართლოს მიერ საქმის განხილვაში პერსონალურ მონაცემთა დაცვასთან დაკავშირებით საერთაშორისო და ეროვნული კანონმდებლობის დებულებათა დარღვევის ფაქტებზე;
ი) შეასრულოს კანონით და სხვა სამართლებრივი აქტებით დაკისრებული ფუნქციები.

ინსპექციის უფლებამოსილება მოიცავს სრულ საჯარო და კერძო სექტორს, მას არ აქვს უფლებამოსილება ისეთი მონაცემების დამუშავების დროს, რომლის მიზანიცაა საზოგადოების ინფორმაციით უზრუნველყოფა და მხატვრული და ლიტერატურული გამოხატვა (იხ. მუხლი 8). ასევე, ინსპექციას არა აქვს უფლება, განახორციელოს ზედამხედველობა სასამართლოებში პერსონალურ მონაცემთა დამუშავებაზე.

პასუხისმგებლობა პერსონალური მონაცემების შესახებ კანონმდებლობის დარღვევისთვის

კანონის ბოლო, მე-8 თავი ეხება პასუხისმგებლობის საკითხს. 33-ე მუხლის მიხედვით, კონტროლის განმახორციელებელ პირთა, დამმუშავებელთა და სხვა პირთა მიერ ამ კანონის მოთხოვნების დარღვევის შემთხვევაში, ლიტვის რესპუბლიკის კანონმდებლობით, დგება მათი პასუხისმგებლობის საკითხი.

პირს, რომელსაც მიადგა ზიანი კონტროლის განმახორციელებლის, დამმუშავებლის ან სხვა პირის მიერ ამ კანონის საწინააღმდეგო მოქმედებების ან უმოქმედობის შედეგად, უფლება აქვს, მოითხოვოს ქონებრივი და არაქონებრივი ზიანის ანაზღაურება. ზიანის ოდენობა განისაზღვრება სასამართლოს მიერ (მუხლი 34).

________________________

1. Law on Legal Protection of Personal Data.

2. Data recipient.

3. Disclosure of data.

4. Data controller.

5. Prior checking.

6. Special categories of data.?

7. Filing system.

8. Consent.

9. Direct marketing.

10. Internal administration.

11. Public data file.

12. Pe rsonal Ide ntificati on Number.

13. Manegement of debt.

14. Law on Public Administration.?

პერსონალურ მონაცემთა დაცვის საკანონმდებლო ბაზა პოლონეთში

კანონმდებლობა პერსონალურ მონაცემთა დაცვის შესახებ პოლონეთში ძალაშია 1998 წლის 30 აპრილიდან. 1997 წლის 29 აგვისტოს პოლონეთმა მიიღო მონაცემთა დაცვის შესახებ, რომელშიც მოგვიანებით შევიდა დამატებები, ხოლო პოლონეთის კონსტიტუციაში უფრო ადრე იყო ჩამოყალიბებული დებულებები მოქალაქეთა პერსონალურ მონაცემთა დაცვის შესახებ. კონსტიტუციის 47-ე და 51-ე მუხლები ყოველ პირს ანიჭებს უფლებას, გაეცნოს ნებისმიერ ადმინისტრაციულ აქტს. ეს მუხლები ჩამოყალიბებულია შემდეგნაირად:

მუხლი 47

„ყველას აქვს უფლება, კანონიერად დაიცვას საკუთარი პერსონალური და ოჯახური ხელშეუხებლობის, ღირსებისა და კარგი რეპუტაციის, პერსონალური ცხოვრების შესახებ გადაწყვეტილების მიღების უფლება.“

მუხლი 51:

„...არვინ შეიძლება იქნეს იძულებული, გაამხილოს ინფორმაცია საკუთარი პიროვნების შესახებ, გარდა კანონიერი საფუძვლისა.

2. სახელმწიფო ორგანოებმა არ უნდა იქონიონ, შეაგროვონ ან გახადონ ელმისაწვდომი ინფორმაცია მოქალაქეების შესახებ, გარდა ისეთი ცნობებისა, რომლებიც აუცილებელია დემოკრატიულ სახელმწიფოში, სადაც არის კანონის უზენაესობა.

3. ყველას აქვს უფლება, ხელი მიუწვდებოდეს ოფიციალურ დოკუმენტებსა და მონაცემთა კრებულზე, რომელიც ეხება მას. ამ უფლების შეზღუდვა დასაშვებია მხოლოდ კანონით.

4. ყველას აქვს უფლება, მოითხოვოს ისეთი ინფორმაციის შესწორება ან წაშლა, რომელიც არის არასწორი ან არასრული, აგრეთვე, ინფორმაციისა, რომელიც მოპოვებულია არაკანონიერი გზით.

5. ინფორმაციის შეგროვებასა და მის ხელმისაწვდომობასთან დაკავშირებული პრინციპები და პროცედურები უნდა იყოს განსაზღვრული კანონით.” კონსტიტუცია ამბობს, რომ ყოველ პირს აქვს უფლება, მოითხოვოს როგორც არასწორი ინფორმაციის შესწორება, ასევე მათი წარმოშობის წყარო და სრული შემცველობა. აგრეთვე, მონაცემთა სუბიექტის ანონიმურობა დაცული უნდა იყოს.

თავად პერსონალურ მონაცემთა კანონი შეიცავს ზუსტ და ამომწურავ დებულებებს ამ საკითხთან დაკავშირებით. 2005 წლის 12 ივლისს პოლონეთმა მოახდინა ევროპის საბჭოს ეგიდით მიღებულ პერსონალურ მონაცემთა ავტომატური დამუშავების დროს ინდივიდთა დაცვის კონვენციის დამატებითი ოქმის რატიფიცირება. თავად კონვენცია მიღებულა 1981 წლის 28 იანვარს სტრასბურგში და წარმოადგენს პირველ სავალდებულო ძალის მქონე საერთაშორისო აქტს, რომელიც იცავს ინდივიდს პერსონალურ მონაცემთა შეგროვების, დამუშავების ან სხვა სახელმწიფოსათვის გადაცემის დროს უფლების ბოროტად გამოყენებისაგან (საქართველო არის ამ კონვენციის მონაწილე - ხელი მოაწერა 2001 წლის 21 ნოემბერს, რატიფიცირება მოახდინა 2005 წლის 24 დეკემბერს, ძალაში შევიდა 2006 წლის პირველ მარტს). ხოლო დამატებითი ოქმი ეხება პერსონალურ მონაცემთა დაცვაზე წევრი სახელმწიფოების მიერ ზედამხედველი სახელმწიფო ორგანოების შექმნას და მონაცემთა ტრანსსასაზღვრო გადაცემას.

პერსონალურ მონაცემთა დაცვის გენერალური
ინსპექტორის სამართლებრივი სტატუსი

პერსონალურ მონაცემთა დაცვაზე ზედამხედველობის უფლებამოსილება პოლონეთში აკისრია პერსონალურ მონაცემთა დაცვის გენერალურ ინსპექტორს. ამ თანამდებობაზე პირს ნიშნავს სეჟმი (სეიმის ქვედა პალატა), სენატის (სეიმის ზედა პალატა) თანხმობით, 4 წლის ვადით. იგივე პირი შეიძლება დაინიშნოს კიდევ ორი ვადით. ვიდრე შეუდგება თავისი უფლებამოსილების განხორციელებას, ინსპექტორი დებს ფიცს სეჟმის წინაშე.

გენერალური ინსპექტორის უფლებამოსილებას და კომპეტენციას განსაზღვრავს პერსონალურ მონაცემთა დაცვის შესახებ კანონის მე-2 თავი. გენერალურ ინსპექტორს კანონით აქვს გარანტირებული დამოუკიდებლობა, როგორც არაპოლიტიკურ თანამდებობის პირს (მას არ შეუძლია იყოს პოლიტიკური პარტიის წევრი ან სავაჭრო გაერთიანების წევრი). მისი თანამდებობიდან გადაყენება დაუშვებელია. აგრეთვე, იგი არ უნდა იყოს დაკავებული არავითარი სხვა საქმიანობით, გარდა უმაღლეს სასწავლებელში პროფესორად მუშაობისა. ასევე, გენერალურ ინსპექტორს აქვს ფორმალური იმუნიტეტი.

გენერალური ინსპექტორის უფლებამოსილებანი

გენერალური ინსპექტორი, თავისი საქმიანობის განხორციელების მიზნით, აღჭურვილია უფლებამოსილებით. მას აქვს უფლება: ზედამხედველობა გაუწიოს მონაცემთა დამუშავების პროცესის შესაბამისობას პერსონალურ მონაცემთა დაცვის შესახებ კანონთან, განიხილოს საჩივრები და მიიღოს ადმინისტრაციული ზომები, იქონიოს მონაცემთა ფაილური სისტემის რეესტრი, წარადგინოს საკუთარი მოსაზრება პერსონალურ მონაცემთა შესახებ კანონპროექტებთან დაკავშირებით, წამოიწყოს ღონისძიებები პერსონალურ მონაცემთა დაცვის გასაუმჯობესებლად, მიიღოს მონაწილეობა საერთაშორისო ორგანიზაციათა და დაწესებულებათა საქმიანობაში პერსონალურ მონაცემთა დაცვასთან დაკავშირებით. გარკვეული უფლებამოსილებით არიან აღჭურვილნი, აგრეთვე, გენერალური ინსპექტორის ოფისის თანამშრომლები.

აღსანიშნავია, რომ გარდა ამ კანონისა, ზემოხსენებული პროცედურები რეგულირდება ადმინისტრაციული საპროცესო კოდექსის მიხედვით.

პოლონეთის მონაცემთა დაცვის შესახებ პერსონალურ მონაცემთა დაცვასთან დაკავშირებით, საკანონმდებლო დებულებები პოლონეთის კანონმდებლობაში წარმოადგინა 1997 წლის 29 აგვისტოს კანონმა პერსონალურ მონაცემთა დაცვის შესახებ. კანონი უმეტესწილად ეხმაურება ევროპის პარლამენტისა და ევროპის კავშირის დირექტივაში (95/46/EC მოცემულ წესებს და შესაბამისობაშია ევროპული ქვეყნების ზოგად პოლიტიკურ მიმართულებასთან.

კანონის მოქმედების სფერო

კანონით განსაზღვრულია, რომ ყველას აქვს უფლება, დაცული ჰქონდეს საკუთარი პერსონალური მონაცემები და მოცემულია პერსონალური მონაცემების დამუშავების ზოგადი მიზნები. პერსონალურ მონაცემთა დამუშავება უნდა შეესაბამებოდეს ამ კანონის მოთხოვნებს. მეორე მუხლი განსაზღვრავს კანონის მიზნებს და მოქმედების სფეროს. კანონი ადგენს პერსონალურ მონაცემთა დამუშავების პრინციპებს და კერძო პირთა უფლებებს, რომელთა პერსონალური მონაცემებიც მუშავდება ან შესაძლოა დამუშავდეს, როგორც მონაცემთა ფაილური სისტემის ნაწილი. კანონი გამოიყენება პერსონალურ მონაცემთა დამუშავებისას წიგნებში, ფაილებში, სიებში, კატალოგებში, კომპიუტერულ სისტემებსა და სხვა რეესტრებში. კანონი ვრცელდება სახელმწიფო ორგანოების, ადგილობრივი თვითმმართველობის და მუნიციპალური ორგანოების მოქმედებებზე, ასევე, არასაჯარო ორგანოებზე, რომლებიც ასრულებენ საჯარო ფუნქციებს და კერძო ან იურიდიულ პირებსა და ორგანიზაციულ წარმონაქმნებზე (რომლებიც არ არიან იურიდიული პირები), რომელთა საქმიანობის ნაწილსაც წარმოადგენს პერსონალურ მონაცემთა დამუშავება. მე-3(ა) მუხლის თანახმად, კანონის მოქმედება არ ვრცელდება კერძო პირებზე, რომლებიც ამუშავებენ პერსონალურ მონაცემებს პირადი ან საოჯახო მიზნებისათვის. გარდა მე-14-19 და 36(1) მუხლებისა, კანონის მოქმედება არ ვრცელდება ჟურნალისტურ და მხატვრულ საქმიანობაზე, ვიდრე გამოხატვის თავისუფლება და ინფორმაციის გავრცელება არ არღვევს მონაცემთა სუბიექტის უფლებებს. საინტერესოა კანონის მე-5 მუხლი - იმ შემთხვევაში, თუ არსებობს რაიმე სხვა კანონი, რომელიც უფრო ეფექტურად იცავს პერსონალურ მონაცემებს, მოქმედებს ეს უკანასკნელი. მე-6 მუხლი განსაზღვრავს პერსონალურ მონაცემთა შინაარსს - პერსონალურ მონაცემად ითვლება ნებისმიერი ინფორმაცია, რომელიც უკავშირდება იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირს.

ინფორმაციის ნაწილი, რომელზე დაყრდნობითაც პირის იდენტიფიცირება შესაძლებელია მხოლოდ განუსაზღვრელად დიდი დროის, სახსრების და ადამიანური რესურსების დახარჯვით, არ ითვლება მაიდენტიფიცირებელ ინფორმაციად. აღსანიშნავია, რომ კანონში გამოყენებული ტერმინთა განმარტება სრულიად შეესაბამება დირექტივის განმარტებებს.

პერსონალური მონაცემების დაცვის პრინციპები

კანონის მე-3 თავი ეხება პერსონალურ მონაცემთა დაცვის პრინციპებს (მუხლები 23-31). იგი შეესაბამება დირექტივის მოთხოვნებს. 23-ე მუხლის მიხედვით, პერსონალურ მონაცემთა დამუშავება შესაძლებელია მხოლოდ შემდეგ შემთხვევებში:

ა) მონაცემთა სუბიექტს მიცემული აქვს თანხმობა, თუ მონაცემთა დამუშავება არ წარმოადგენს წაშლას;
ბ) დამუშავება აუცილებელია კანონიერი უფლებებისა და მოვალეობების განსახორციელებლად;
გ) დამუშავება აუცილებელია ისეთი ხელშეკრულების პირობის შესასრულებლად, რომელშიც მონაცემთა სუბიექტი წარმოადგენს მხარეს, ან საჭიროა ზომების მიღება მონაცემთა სუბიექტის მოთხოვნით ხელშეკრულების დადებამდე;
დ) დამუშავება საჭიროა სამართლებრივი ამოცანების შესასრულებლად და ემსახურება საზოგადოებრივ ინტერესებს;
ე) დამუშავება საჭიროა კონტროლის განმახორციელებელი პირის ან მონაცემთა მიმღების კანონიერი ინტერესების უზრუნველსაყოფად, თუ დამუშავება არ არღვევს მონაცემთა სუბიექტის უფლებებს და თავისუფლებებს.

როდესაც მონაცემთა მოპოვება და შეგროვება ხდება მონაცემთა სუბიექტიდან, კონტროლის განმახორციელებელი პირი ვალდებულია, მიაწოდოს მონაცემთა სუბიექტს გარკვეული სახის ინფორმაცია (მუხლი 24) (დამმუშავებელი პირის ვინაობა, დამუშავების მიზანი, მონაცემთა სუბიექტის უფლება - მიუწვდებოდეს ხელი საკუთარ პირად მონაცემებზე და შეეძლოს მათი შესწორების მოთხოვნა, აქვს თუ არა დასმულ შეკითხვებზე პასუხის გაცემას სავალდებულო თუ სარეკომენდაციო ხასიათი). აღნიშნული წესიდან დასაშვებია გამონაკლისიც, თუ ასეთი გათვალისწინებულია კანონით. როდესაც მონაცემები მიღებული არ არის მონაცემთა სუბიექტის მხრიდან, კონტროლის განმახორციელებელი პირი მოვალეა, მიაწოდოს მონაცემთა სუბიექტს გარკვეული სახის ინფორმაცია, მათ შორის ინფორმაცია იმ წყაროს შესახებაც, საიდანაც მოხდა მონაცემთა მოპოვება (მუხლი 25).

მონაცემთა უსაფრთხოება

კონტროლის განმახორციელებელი პირი ვალდებულია, იზრუნოს მონაცემთა უსაფრთხოებაზე, კერძოდ, იგი ვალდებულია, შეამოწმოს:

ა) მონაცემთა დამუშავების კანონიერება;
ბ) არის თუ არა მონაცემები შეგროვებული კანონიერი და კონკრეტული მიზნებისათვის და რომ მათი გამოყენება არ მოხდება სხვა მიზნებისათვის;
გ) მონაცემები არის თუ არა რელევანტური და ადეკვატური იმ მიზნებისა, რომელთა მისაღწევადაც მოხდა მათი დამუშავება. სხვა მიზნებით მონაცემთა დამუშავება შესაძლებელია, თუ ეს მიზნები არის სამეცნიერო, საგანმანათლებლო, სტატისტიკური ხასიათის და არ არღვევს მონაცემთა სუბიექტის უფლებებს.

განსაკუთრებული პერსონალური მონაცემების დამუშავება

განსაკუთრებული პერსონალური მონაცემების დამუშავება იკრძალება, გარდა ზოგიერთი გამონაკლისი შემთხვევებისა. ეს შემთხვევებია, როდესაც:

ა) მონაცემთა სუბიექტს მიცემული აქვს წერილობითი თანხმობა;
ბ) სხვა კანონით არის გათვალისწინებული თანხმობის გარეშე ასეთ მონაცემთა დამუშავება და უზრუნველყოფილია ადეკვატური უსაფრთხოება;
გ) დამუშავება აუცილებელია, რათა დაცულ იქნეს მონაცემთა სუბიექტის სასიცოცხლო ინტერესები;
დ) დამუშავება აუცილებელია, რათა მათზე დაკისრებული ფუნქციები შეასრულონ ეკლესიებმა, რელიგიურმა გაერთიანებებმა, ფონდებმა, კავშირებმა და სხვა არასამეწარმეო ორგანიზაციებმა ან პოლიტიკური, სამეცნიერო, რელიგიური, ფილოსოფიური ან სავაჭრო მიზნების მქონე დაწესებულებებმა იმ შემთხვევაში, თუ დამუშავება ეხება იმ ორგანიზაციათა და დაწესებულებათა წევრებს, რომელთა საქმიანობაც უშუალოდ უკავშირდება ამ ორგანიზაციას ან დაწესებულებას და დამუშავებისას მიღებულია შესაბამისი უსაფრთხოების ზომები;
ე) მონაცემთა დამუშავება აუცილებელია სამართლებრივი მოთხოვნის უზრუნველსაყოფად;
ვ) დამუშავება აუცილებელია, რათა კონტროლის განმახორციელებელმა პირმა შეასრულოს თავისი ფუნქციები თანამშრომელთა სამუშაოზე მიღებისას და დამუშავების ხასიათი განსაზღვრულია კანონით;
ზ) დამუშავება აუცილებელია პრევენციული სამედიცინო მიზნებისა ან მკურნალობისათვის, როდესაც დამუშავება ხორციელდება მკურნალობაში ჩართული შესაბამისი უფლებამოსილი პირის მიერ;
თ) დამუშავება ეხება იმ პერსონალურ მონაცემებს, რომელიც ხელმისაწვდომი გახდა ფართო აუდიტორიისათვის თავად მონაცემთა სუბიექტის მიერ;
ი) დამუშავება აუცილებელია სამეცნიერო კვლევის წარმოებისათვის, მათ შორის, ხარისხის ან უნივერსიტეტის დამთავრების მიზნით დასაწერი ნაშრომისათვის.

ნებისმიერ შემთხვევაში, კვლევის შედეგები არ გამოქვეყნდება ისეთი გზით, რაც შესაძლებელს გახდის მონაცემთა სუბიექტის იდენტიფიცირებას. მონაცემთ დამუშავება ხორციელდება მხარის მიერ სასამართლო გადაწყვეტილების ან ადმინისტრაციული გადაწყვეტილების შედეგად წარმოშობილ უფლებათა და მოვალეობათა განხორციელების მიზნით.

მონაცემთა სუბიექტის უფლებამოსილებანი

მუხლის პირველი პუნქტის თანახმად, მონაცემთა სუბიექტს აქვს უფლება, აკონტროლოს საკუთარი პერსონალური მონაცემების დამუშავების პროცესი, შემდგომ დაზუსტებული არის ეს უფლება კონკრეტული ჩამონათვალით. კერძოდ, მონაცემთა სუბიექტს უფლება აქვს: 1) მიიღოს ამომწურავი ინფორმაცია ასეთი მონაცემების არსებობის შესახებ და დაადგინოს კონტროლის განმახორციელებელი პირის ვინაობა; 2) მიიღოს ინფორმაცია მონაცემთა დამუშავების მეთოდის, მიზნებისა და ფარგლების შესახებ; 3) მიიღოს ინფორმაცია, თუ როდიდან მიმდინარეობს მისი მონაცემების დამუშავება; 4) მიიღოს ინფორმაცია მონაცემთა წყაროს შესახებ, თუ კონტროლის განმახორციელებელი პირი ვალდებული არ არის, არ გაამხილოს წყარო კომერციული, სახელმწიფო ან პროფესიული საიდუმლოე ის გამო; 5) მიიღოს ინფორმაცია მონაცემთა გაცემის მეთოდის შესახებ და, კერძოდ, თუ ვინ არის მიმღები, ან რა კატეგორიის მიმღებთა ჯგუფს გადაეცა მონაცემები; 6) მოითხოვოს მონაცემთა შესწორება, განახლება და ა.შ.

მონაცემთა სუბიექტის მოთხოვნის შემდეგ კონტროლის განმახორციელებელი პირი 30 დღის განმავლობაში ვალდებულია, შეატყობინოს მონაცემთა სუბიექტს მისი უფლებების შესახებ და მიაწოდოს მას მუხლებში 32(1)(1)-32(1)(5) მოცემული ინფორმაცია და, კერძოდ, უნდა შეატყობინოს შემდეგი საკითხების შესახებ:

1) ფაილში არსებული პერსონალური მონაცემების კატეგორია; 2) მონაცემთა შეგროვების საშუალებები; 3) შეგროვების მიზნები და ფარგლები; 4) მიმღები პირები და მონაცემებზე მათი ხელმისაწვდომობის ფარგლები. მონაცემთა სუბიექტის მოთხოვნით, ეს ინფორმაცია უნდა მიეწოდოს წერილობითი ფორმით.

პერსონალურ მონაცემთა დაცვა

კონტროლის განმახორციელებელმა პირმა უნდა გაატაროს ყველა ადეკვატური ტექნიკური და ორგანიზაციული ზომა, რაც არის შესაბამისი პერსონალური მონაცემების დაცვისათვის, მან უნდა შეინახოს მონაცემთა დამუშავების და ზემოხსენებულ ზომათა გატარების დროს შექმნილი დოკუმენტაცია, უნდა დანიშნოს ინფორმაციის უსაფრთხოების ადმინისტრატორი, რომელიც ზედამხედველობას გაუწევს ზემოხსენებულ წესთა დაცვას, ვიდრე კონტროლის განმახორციელებელი პირი არ გააკეთებს ამას თავად. პერსონალური მონაცემების დამუშავება უნდა განახორციელონ ექსკლუზიურად იმ პირებმა, რომელთაც კონტროლის განმახორციელებელმა პირმა მიანიჭა ასეთი უფლებამოსილება (მუხლი 37). კონტროლის განმახორციელებელმა პირმა აუცილებლად უნდა აუწიოს ზედამხედველობა შემდეგ საკითხებს: რომელი მონაცემები, როდის და ვის მიერ იქნა შეყვანილი ფაილურ სისტემაში და ვის გადაეცა იგი (მუხლი 38). კონტროლის განმახორციელებელმა პირმა უნდა აწარმოოს მონაცემთა დამუშავებაზე უფლებამოსილ პირთა რეესტრი, სადაც აღნიშნული იქნება უფლებამოსილი პირის სრული სახელი, პირად მონაცემთა ხელმისაწვდომობაზე გაცემული უფლებამოსილების გაცემის და ამოწურვის ვადები და მისი ფარგლები. დამუშავებაზე უფლებამოსილმა პირებმა უნდა დაიცვან როგორც მონაცემთა, ასევე, მათი დაცვის მიზნით გატარებული ზომების კონფიდენციალურობა (მუხლი 39).

პერსონალური მონაცემების ფაილური სისტემა

კონტროლის განმახორციელებელმა პირმა უნდა აცნობოს გენერალურ ინსპექტორს მონაცემთა ფაილური სისტემის რეგისტრაციის საჭიროების შესახებ¹ (მუხლი 40) და მანვე უნდა უზრუნველყოს მონაცემთა ფაილური სისტემის ღია ეროვნული რეესტრის წარმოება. რეესტრის შემოწმება ხელმისაწვდომია ნებისმიერი პირისათვის. კანონის 43-ე მუხლში მოცემულია ისეთ მონაცემთა ფაილური სისტემები, რომელთა რეგისტრაციაც არ უნდა აწარმოოს კონტროლის განმახორციელებელმა პირმა (სახელმწიფო საიდუმლოება, სისხლის სამართალწარმოების დროს შეგროვილი ცნობები, გენერალური ინსპექტორის მიერ შეგროვილი ფინანსური ინფორმაცია და ა.შ.). გენერალური ინსპექტორი მონაცემთა ფაილური სისტემის რეგისტრაციაზე უარს ამბობს, თუ: 41(1)-ე მუხლში მოცემული პირობები არ არის დაცული; არღვევს პერსონალურ მონაცემთა დამუშავების პრინციპებს (მუხლები 23-30); კომპიუტერული სისტემა და მოწყობილობები, რომლებიც გათვალისწინებულია მონაცემთა ფაილური სისტემი რეგისტრაციისათვის, არ აკმაყოფილებს კანონით გათვალისწინებულ ტექნიკურ და ორგანიზაციულ მოთხოვნებს.

პერსონალურ მონაცემთა გადაცემა მესამე სახელმწიფოსთვის

მესამე სახელმწიფოს გადაეცემა პერსონალური მონაცემები მხოლოდ იმ შემთხვევაში, თუ იგი უზრუნველყოფს მონაცემთა დაცვის, სულ ცოტა, იმავე ხარისხს, რაც კანონით გათვალისწინებულია პოლონეთის რესპუბლიკაში. ეს წესი არ მოქმედებს, თუ მონაცემთა გადაცემა გათვალისწინებულია კანონით ან საერთაშორისო ხელშეკრულებით. ამ შემთხვევაში, გენერალურმა ინსპექტორმა თავად უნდა უზრუნველყოს მონაცემთა ადეკვატური დაცვა. აგრეთვე, არ მოქმედებს ზემოხსენებული წესი, როცა, კონტროლის განმახორციელებელ პირს აქვს უფლება, მიაწოდოს პერსონალური მონაცემები მესამე სახელმწიფოს, თუ: მონაცემთა სუბიექტს მიცემული აქვს წერილობითი ნებართვა; გადაცემა აუცილებელია მონაცემთა სუბიექტსა და კონტროლის განმახორციელებელ პირს შორის დადებული შეთანხმების უზრუნველსაყოფად, ან თუ გამომდინარეობს მონაცემთა სუბიექტის მოთხოვნიდან; გადაცემა აუცილებელია კონტროლის განმახორციელებელ პირსა და სხვა სუბიექტს შორის მონაცემთა სუბიექტის ინტერესებიდან გამომდინარე დადებული შეთანხმების უზრუნველსაყოფად; გადაცემა აუცილებელია საზოგადოებრივი ინტერესებიდან გამომდინარე ან კანონიერ მოთხოვნათა დადგენის მიზნით; გადაცემა აუცილებელია მონაცემთა სუბიექტის სასიცოცხლო ინტერესების დასაცავად; გადაცემა ეხება საზოგადოებისათვის ხელმისაწვდომ მონაცემებს.

პასუხისმგებლობა პერსონალური მონაცემების
დამუშავების წესის დარღვევისათვის

კანონი ადგენს პერსონალური მონაცემების დამუშავების დროს კანონის მოთხოვნათა დარღვევისათვის გათვალისწინებულ სანქციებს (მუხლები 49 54). აქ საინტერესოა ის გარემოება, რომ, სხვა სახის სანქციების გარდა, კანონის მერვე თავი ითვალისწინებს, ასევე, თავისუფლების აღკვეთას სამ წლამდე ვადით. კანონის 49(1)-ე მუხლი მკაფიოდ ადგენს, რომ პირს, რ მელიც დაამუშავებს პერსონალურ მონაცემებს მონაცემთა ფაილურ სისტემაში, როცა ასეთი დამუშავება აკრძალულია ან მას არ აქვს ამის უფლებამოსილება, დაეკისრება ჯარიმა, თავისუფლების ნაწილობრივ შეზღუდვა ან თავისუფლების აღკვეთა ორ წლამდე ვადით. ხოლო, თუ ზემოხსენებული დანაშაული ეხება განსაკუთრებულ პერსონალურ მონაცემებს (რასობრივ, რელიგიურ, ეთნიკურ კუთვნილებასთან ან პოლიტიკურ შეხედულებასთან დაკავშირებული და ა.შ. პერსონალური მონაცემები), პირს დაეკისრება ჯარიმა, თავისუფლების ნაწილობრივ შეზღუდვა ან თავისუფლების აღკვეთა სამ წლამდე ვადით (მუხლი 49(2)). პირი, რომელიც წარმოადგენს მონაცემთა ფაილურ სისტემაში კონტროლის განმახორციელებელ პირს და შეინახავს სისტემაში ისეთ მონაცემებს, რომლისთვისაც ეს სისტემა არ არის გათვალისწინებული, დაეკისრება ჯარიმა, თავისუფლების ნაწილობრივ შეზღუდვა ან თავისუფლების აღკვეთა ერთ წლამდე ვადით (მუხლი 50). კონტროლის განმახორციელებელი პირი ან პირი, რომელიც ვალდებულია, დაიცვას პერსონალური მონაცემები, გაამხელს მათ ან გადასცემს ამისათვის არაუფლებამოსილ პირს, დაეკისრება ჯარიმა, თავისუფლების შეზღუდვა ან თავისუფლების აღკვეთა ორ წლამდე ვადით. ასეთი დანაშაულის გაუფრთხილებლობით ჩადენის შემთხვევაში, პირს დაეკისრება ჯარიმა, თავისუფლების შეზღუდვა ან თავისუფლების აღკვეთა ერთ წლამდე ვადით (მუხლი 51). თუ პირი, რომელიც წარმოადგენს მონაცემთა ფაილური სისტემის კონტროლის განმახორციელებელ პირს, მნიშვნელობა არ აქვს, განზრახ თუ გაუფრთხილებლობით, დაარღვევს მონაცემთა დაცვის ვალდებულებას უფლებამოსილების გარეშე გაცემით, დაზიანებით ან განადგურებით, დაეკისრება ჯარიმა, თავისუფლების შეზღუდვა ან თავისუფლების აღკვეთა ერთ წლამდე ვადით (მუხლი 52). პირს, რომელიც, მიუხედავად მასზე დაკისრებული ვალდებულებისა, არ განახორციელებს მონაცემთა ფაილური სისტემის რეგისტრაციას, დაეკისრება ჯარიმა, თავისუფლების შეზღუდვა ან თავისუფლების აღკვეთა ერთ წლამდე ვადით (მუხლი 53). კონტროლის განმახორციელებელ პირს, რომელიც არ შეატყობინებს მონაცემთა სუბიექტს მის უფლებებს, ან არ მიაწვდის მას ისეთ ინფორმაციას, რომელიც სასარგებლო იქნებოდა მონაცემთა სუბიექტისათვის ამ კანონის გამოყენებით, დაეკისრება ჯარიმა, თავისუფლების ნაწილობრივ შეზღუდვა ან თავისუფლების აღკვეთა ერთ წლამდე ვადით (მუხლი 54).

პერსონალურ მონაცემთა დაცვის შესახებ არსებული დებულებები პოლონეთის კანონმდებლობიდან

პერსონალურ მონაცემთა დაცვა წარმოადგენს არა მარტო პოლონეთის 1997 წლის 29 აგვისტოს პერსონალურ მონაცემთა დაცვის შესახებ კანონის ინტერესს. დებულებები პერსონალურ მონაცემთა დაცვის შესახებ პოლონეთის კანონმდებლობის სხვადასხვა დარგში გვხვდება. ამ საკანონმდებლო აქტებში განსაზღვრულია პირად მონაცემთა დაცვის უნიფიცირებული პროცედურა, სხვადასხვა დებულებებში ხშირად გვხვდება მითითებითი დისპოზიციები პერსონალურ მონაცემთა დაცვის შესახებ 1997 წლის 29 აგვისტოს კანონზე, რაც აუცილებელიც არის კანონმდებლობის ერთიანი სისტემის არსებობისათვის პერსონალურ მონაცემთა დაცვასთან დაკავშირებით. ქვემოთ მოყვანილ აბზაცებში პოლონეთის კანონმდებლობის სხვადასხვა სფეროდან პერსონალურ მონაცემთა დაცვასთან დაკავშირებით არსებული დებულებების კონკრეტული მაგალითებია მოცემული.

პერსონალურ მონაცემთა დაცვასთან დაკავშირებით საინტერესოა პოლონეთის 2005 წლის 27 ივლისის უმაღლესი განათლების შესახებ კანონი. ამ კანონის 49(7)-ე მუხლის მიხედვით - სახელმწიფო აკრედიტაციის კომიტეტმა თავისი უფლებამოსილების განხორციელების პროცესში შეიძლება დაამუშაოს აკადემიური პერსონალის და სტუდენტების პერსონალური მონაცემები მხოლოდ იმ მიზნით, რა მიზნითაც ეს აუცილებელია ამ უფლებამოსილების განხორციელებისათვის. იგივე კანონის 88(4)-ე მუხლის მიხედვით - ბიბლიოთეკის ფუნქციონირების მიზნით, უმაღლესი სწავლების დაწესებულებებმა შესაძლოა დაამუშაონ გარკვეული ტიპის პერსონალური მონაცემები, რაც აღნიშნული უნდა იყოს მათ წესდებებში.

ამ მხრივ, საინტერესოა პოლონეთის 2003 წლის 13 ივლისის კანონი პოლონეთის რესპუბლიკის ტერიტორიაზე ჯაშუშთათვის თავშესაფრის მიცემის შესახებ. კანონის 23(7)-ე მუხლის მიხედვით, ინფორმაცია და პერსონალური მონაცემები, მიღებული ჯაშუშისგან ან იმ ხელისუფლებისაგან, რომელიც აწარმოებს ლტოლვილის სტატუსის გაცემას ან ჩამორთმევას, შეიძლება გამოყენებულ იქნეს მხოლოდ ჟენევის 1949 წლის 12 აგვისტოს მე-4 კონვენციის 35-ე მუხლში მოცემული მიზნებისათვის (ე მუხლი აწესრიგებს დაცვის ქვეშ მყოფ პირთა გამგზავრების საკითხებს). ამ კანონის მე-8 მუხლში კი კონკრეტულად არის ჩამოთვლილი ის პერსონალური მონაცემები, რომელთა დამუშავებაც არის დაშვებული ამ კანონში მოცემული პროცედურების წარმოების მიზნით. ანალოგიურ მოთხოვნას ითვალისწინებს პოლონეთის 2003 წლის 13 ივლისის ჯაშუშების შესახებ კანონის მე-12 მუხლიც. ამ კანონის 131(3)-ე მუხლის მიხედვით - ჯაშუშს აქვს უფლება, მოითხოვოს მისი პერსონალური მონაცემების შესწორება რეესტრში, თუ აღმოჩნდება, რომ პერსონალური მონაცემები შეცდომით არის შეტანილი, ასევე, შეუძლია, მოითხოვოს მათი ამოშლა რეესტრიდან, თუ მათი შეტანა იყო შეცდომის შედეგი. საინტერესოა ამავე კანონის 152(5)-ე მუხლიც, რომლის მიხედვითაც - დამმუშავებელი პირი, რომელიც ამუშავებს პერსონალურ მონაცემებს შიდა საინფორმაციო სისტემებისათვის, თავისუფლდება პერსონალურ მონაცემთა დაცვის შესახებ კანონის 25-ე მუხლის მოთხოვნებისაგან (25-ე მუხლის ძალით, თუ მონაცემები მიღებული არ არის მონაცემთა სუბიექტისგან, დამმუშავებელი პირი ვალდებულია, მიაწოდოს გარკვეული ინფორმაცია მონაცემთა სუბიექტს). 152(6)-ე მუხლის მიხედვით კი - პერსონალურ მონაცემთა დამუშავებაზე ზედამხედველობას ახორციელებს პერსონალურ მონაცემთა დაცვის უმაღლესი ინსპექტორი.

პერსონალურ მონაცემთა დაცვასთან დაკავშირებით, საინტერესოა, ასევე, პოლონეთის სისხლის სამართლის საპროცესო კოდექსი. კოდექსის 184-ე მუხლი აწესრიგებს მოწმის ან მისი ნათესავის ჯანმრთელობის, სიცოცხლის და საკუთრების დაცვის მიზნით პერსონალურ მონაცემთა გასაიდუმლოების პროცედურას. ხოლო, ასეთი მოწმის დაკითხვის წესს განსაზღვრავს იუსტიციის მინისტრი ბრძანებით.

პოლონეთის 1998 წლის 13 ოქტომბრის სოციალური სადაზღვევო სისტემის შესახებ კანონის 34-ე მუხლის თანახმად - დაზღვეული პირის ანგარიშზე არსებული ინფორმაცია დაცული უნდა იყოს პერსონალურ მონაცემთა დაცვის შესახებ კანონმდებლობით. კანონის 50(3)-ე მუხლის მიხედვით - ნებისმიერი პერსონალური მონაცემის შემცველი ინფორმაციის დამუშავება ან გადაცემა ხდება პერსონალურ მონაცემთა დაცვის შესახებ კანონმდებლობის მოთხოვნათა დაცვით.

პოლონეთის 1986 წლის 26 იანვრის პრესის შესახებ კანონის მე13(2)-ე მუხლის მიხედვით - პირის, რომლის მიმართაც მიმდინარეობს სისხლის სამართალწარმოება, აგრეთვე, მოწმის და დაზარალებულის პერსონალური მონაცემების გამოქვეყნება პრესით დაუშვებელია შესაბამისი პირის თანხმობის გარეშე. მე-3 პუნქტის მიხედვით კი - იმ პირის პერსონალური მონაცემების გამოქვეყნებაზე ნებართვის გაცემა, რომლის მიმართაც მიმდინარეობს სისხლის სამართალწარმოება, შეუძლია შესაბამის სასამართლოს ან პროკურორს.

პერსონალურ მონაცემთა დაცვის შესახებ პოლონეთის კანონმდებლობა არ ამოიწურება მხოლოდ პერსონალურ მონაცემთა დაცვის შესახებ კანონით. პერსონალურ მონაცემთა დაცვის შესახებ საკანონმდებლო დებულებები გვხვდება პოლონეთის კანონმდებლობის სხვადასხვა დარგებში, იქნება ეს - კონსტიტუციური, ადმინისტრაციული, სამოქალაქო, სისხლის სამართლის, მედიისა და კომუნიკაციის თუ შრომის კანონმდებლობა.

__________________________

1. The controller shal be obliged to notify a data filing system to registration by the Inspector General.

საფრანგეთში პერსონალურ მონაცემთა დამუშავება დარეგულირებულია 1978 წლის აქტით მონაცემთა დამუშავების, მონაცემთა ფაილებისა და ინდივიდთა თავისუფლებების შესახებ (Act of Januar 1978 on Data Proessing Data Files and Iindividual Liberties). აღნიშნული აქტი ეხება როგორც ავტომატურ, ისე არაავტომატურ დამუშავებას ისეთი პერსონალური მონაცემებისა, რომლებიც მოთავსებულია ან შესაძლებელია მოთავსდეს პერსონალური ინფორმაციის ფაილურ სისტემაში. აქტის თანახმად, პერსონალურ მონაცემს წარმოადგენს ნებისმიერი ინფორმაცია ფიზიკურ პირზე, რომელიც იდენტიფიცირებულია ან შესაძლებელია იდენტიფიცირებულ იქნეს. მონაცემთა დამუშავების მიზნებისა და საშუალებების განმსაზღვრელი შესაძლებელია იყოს პირი, დეპარტამენტი ან ნებისმიერი ორგანიზაცია, რომელსაც ეწოდება მონაცემთა მაკონტროლებელი (data controller). ასევე უნდა აღნიშნოს, რომ აქტი ეხება პერსონალური მონაცემების დამუშავებას მხოლოდ იმ შემთხვევებში, როცა: 1. მონაცემთა მაკონტროლებელი დაფუძნებულია საფრანგეთის ტერიტორიაზე; 2. თუ არ არის დაფუძნებული არც საფრანგეთის და არც ევროკავშირის წევრი სხვა სახელმწიფოს ტერიტორიაზე, მაგრამ იყენებს დამუშავების საშუალებებს, რომლებიც ლოკალიზებულია საფრანგეთის ტერიტორიაზე.

პერსონალური მონაცემების დამუშავების პირობები

საფრანგეთში მკაცრადაა განსაზღვრული იმ პირობების დეტალური ჩამონათვალი, რომელიც აუცილებელია იმისათვის, რომ შესაძლებელი იყოს პერსონალური მონაცემების დამუშავება. კერძოდ, 1. მონაცემი მოპოვებული და დამუშავებულ უნდა იქნეს კეთილსინდისიერად და კანონიერად; 2. მონაცემი მოპოვებულ უნდა იქნეს განსაზღვრული, ექსპლიციტური და ლეგიტიმური მიზნისათვის; 3. ისინი უნდა იყოს ადეკვატური, რელევანტური და არა გადაჭარბებული იმ მიზანთან მიმართებით, რომლისთვისაც ხდება მათი დამუშავება; 4. ისინი უნდა იყოს ზუსტი (ნამდვილი), სრული და, როცა საჭიროა, განახლებული (kept up-to-date). შესაბამისი ნაბიჯები უნდა გადაიდგას, რათა წაიშალოს ან შესწორდეს არაზუსტი და არასრული მონაცემი; 5. მონაცემები შენახული უნდა იქნეს იმ სახით, რომ მონაცემის სუბიექტის იდენტიფიცირების საშუალება შესაძლებელი იყოს იმ დროის განმავლობაში, რომელიც არ აღემატება პერიოდს, რომელიც საჭიროა იმ მიზნისათვის, რისთვისაც ხდება ამ მონაცემის დამუშავება.¹

მონაცემების სუბიექტის თანხმობა

პერსონალური მონაცემის დამუშავებისათვის აუცილებელია არსებობდეს მონაცემის სუბიექტის თანხმობა. თუმცა, აქტით ასევე დადგენილია ის გარემოებები, როდესაც მონაცემთა დამუშავება შესაძლებელია სუბიექტის თანხმობის გარეშეც. კერძოდ, 1. სამართლებრივი ვალდებულების შესრულება, რომლის მხარესაც წარმოადგენს მონაცემის სუბიექტი; 2. მონაცემის სუბიექტის სიცოცხლის დაცვა; 3. საჯარო მომსახურების დავალების შესრულება, რომელიც დავალებული ჰქონდა მონაცემის მაკონტროლებელს ან მონაცემის მიმღებს; 4. კონტრაქტის შესრულება, რომლის მხარეცაა მონაცემის სუბიექტი; 5. მონაცემის მაკონტროლებლის ან მონაცემის მიმღების სამართლებრივი ინტერესი, თუ ეს არ იქნება შეუთავსებელი მონაცემის სუბიექტის ინტერესებთან ან ფუნდამენტურ უფლებებთან და თავისუფლებებთან.²

მგრძნობიარე (განსაკუთრებული) პერსონალური მონაცემები

საფრანგეთში განსხვავებული რეჟიმი მოქმედებს ისეთ პერსონალურ მონაცემებთან დაკავშირებით, რომელიც ააშკარავებს პირდაპირ ან არაპირდაპირ პიროვნების რასობრივ ან ეთნიკურ საწყისებს, პოლიტიკურ, რელიგიურ, ფილოსოფიურ თუ სავაჭრო კავშირისადმი კუთვნილებას ან რომლებიც ეხება პირის ჯანმრთელობის მდგომარეობას ან სქესობრივ ცხოვრებას. ზოგადად, ასეთი სახის მონაცემთა შეგროვება და დამუშავება აკრძალულია.³

თუმცა, ამ საერთო წესიდან არსებობს გამონაკლისი, კერძოდ, აკრძალვა არ მოქმედებს იმ შემთხვევაში, როდესაც:

1. არსებობს სუბიექტის თანხმობა. ზოგიერთი კანონით განსაზღვრულ შემთხვევაში, სუბიექტის თანხმობამაც კი, შეიძლება ვერ მოხსნას აკრძალვა;

2. ეხება ადამიანის სიცოცხლის დაცვას და სუბიექტს არ შეუძლია თანხმობის მიცემა ქმედუუნარობის ან ფიზიკური შეუძლებლობის გამო;

3. მონაცემის მოპოვება ხდება ასოციაციის ან სხვა არა მოგებაზე ორიენტირებული რელიგიური, ფილოსოფიური, პოლიტიკური ან სავაჭრო კავშირის მიერ. აღნიშნული მონაცემი უნდა ეხებოდეს ასეთი ორგანიზაციის წევრს და არ უნდა ხდებოდეს მისი მესამე პირისათვის გადაცემა, გარდა იმ შემთხვევებისა, როდესაც სუბიექტი აცხადებს თანხმობას;

4. ეხება ისეთ პერსონალურ მონაცემს, რომელიც სუბიექტმა საჯარო გახადა;

5. ეხება ისეთ მონაცემს, რომელიც საჭიროა სამართლებრივი სარჩელის დასაფუძნებლად, განსახორციელებლად ან დასაცავად;

6. ეხება ისეთ პერსონალურ მონაცემს, რომელიც საჭიროა სამედიცინოპრევენციული, სამედიცინო დიაგნოზის ან ჯანდაცვის მომსახურების ორგანიზებისათვის და რომლის დამუშავებაც ხორციელდება ისეთი პირის მიერ, რომელიც შებოჭილია კონფიდენციალურობის ვალდებულებით;

7. მონაცემის დამუშავებახდება სტატისტიკური მონაცემების ინსტიტუტის მიერ;

8. პერსონალური მონაცემი გახდება ანონიმური.

სხვა სახის პერსონალური მონაცემების დამუშავება

საფრანგეთის აქტი ასევე მოიცავს დებულებას პერსონალურ მონაცემთა დამუშავებაზე - ელექტრონული წესით. აღნიშნული დებულების თანახმად, როდესაც პერსონალურ მონაცემთა მოპოვება ხდება ელექტრონული სერტიფიცირების მომსახურების პროვაიდერის მიერ სერტიფიკატების გადაცემის და შენახვის მიზნით, რაც დაკავშირებულია ელექტრონულ ხელმოწერასთან, პერსონალური მონაცემის შეგროვება უნდა მოხდეს პირდაპირ მონაცემის სუბიექტისაგან და მათი დამუშავება შესაძლებელია მხოლოდ და მხოლოდ იმ მიზნებისათვის, რისთვისაც ისინი მოიპოვეს (ეს წესი არ მოქმედებს, როდესაც არსებობს მონაცემის სუბიექტის თანხმობა).

ასევე უნდა აღინიშნოს, რომ საფრანგეთში განსხვავებული რეჟიმი მოქმედებს იმ მონაცემებთან მიმართებით, რომლებიც მუშავდება სამედიცინო კვლევის მიზნით, ასევე, სამედიცინო მონაცემებთან დაკავშირებით, რომლებიც მუშავდება შეფასების, ანალიზის ან პრევენციის მიზნით, ასევე იმ პერსონალურ მონაცემებთან დაკავშირებით, რომლებიც მუშავდება ჟურნალისტური, ლიტერატურული და სამხატვრო გამოხატვის მიზნით. მაგალითად, როდესაც მონაცემთა დამუშავება ხდება სამედიცინო კვლევის მიზნებისათვის, იგი წარმოადგენს გამონაკლისს შეტყობინების ვალდებულებისაგან და ასევე მონაცემთა მაკონტროლებლის ვალდებულებისაგან უზრუნველყოს მონაცემთა სუბიექტი გარკვეული ინფორმაციით. ასევე უნდა აღინიშნოს, რომ ინდივიდები რომლისგანაც მოპოვებულ იქნა მონაცემები ან რომელთა მონაცემებიც იქნა გადაცემული, უნდა იყვნენ ინფორმირებულნი ინდივიდუალურად გადასაცემი ინფორმაციის ბუნების შესახებ, მონაცემთა დამუშავების მიზნების შესახებ, იმ ინდივიდების ან ორგანიზაციების შესახებ, ვისთვისაც პერსონალური მონაცემი გახდება ცნობილი და ა.შ. ⁴

ასევე უნდა აღინიშნოს, რომ პერსონალური მონაცემის შენახვის ვადაზე ლიმიტი, აკრძალვა ისეთი მონაცემების დამუშავებისა, რომელიც ააშკარავებს პირდაპირ ან არაპირდაპირ პირის რელიგიურ, ფილოსოფიურ შეხედულებებს, მის რასობრივ და ეთნიკურ წარმომავლობას, ან ეხება მის სქესობრივ ცხოვრებას, აკრძალვა იმ პერსონალურ მონაცემებთან დაკავშირებით, რომელიც ეხება დანაშაულის ჩადენას, ვალდებულება მონაცემის დამუშავების წინ შეტყობინების გაგზავნისა, არ მოქმედებს იმ შემთხვევაში, როდესაც პერსონალური მონაცემების დამუშავება ხდება ლიტერატურისა და არტისტული გამოხატვის და, ასევე, პროფესიული ჟურნალისტიკის მიზნებისათვის.⁵

კომისია - (THE COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS).

საფრანგეთში პერსონალურ მონაცემთა დამუშავებას ზედამხედველობს კომისია (THE COMMISSION NATIONALE DE L'INFORMAQUE ET DES LIBERTÉS).

კომისიის ძირითად დანიშნულებას წარმოადგენს, შეატყობინოს მონაცემთა სუბიექტებს და მონაცემთა მაკონტროლებლებს მათი უფლებების შესახებ და, ასევე, უზრუნველყოს, რომ პერსონალურ მონაცემთა დამუშავება მიმდინარეობდეს აღნიშნული აქტის დებულებების გათვალისწინებით. შესაბამისად, კომისიას გააჩნია ერთგვარი ზედამხედველობის ფუნქცია.

აღნიშნული კომისია შედგება 17 წევრისაგან: 2 ნაციონალური ასამბლეის წევრი და 2 - სენატის, დანიშნული ასამბლეისა და სენატის მიერ; 2 ეკონომიკური და სოციალური საბჭოს წევრი, არჩეული ამ ორგანოს მიერ; 2 წევრი საფრანგეთის უმაღლესი ადმინისტრაციული სასამართლოს ყოფილი წევრებიდან, არჩეული მისი ასამბლეის მიერ; 2 წევრი უმაღლესი სასამართლოს ყოფილი წევრებიდან.

როდესაც ხდება პერსონალურ მონაცემთა ავტომატური დამუშავება, ამის შესახებ უნდა ეცნობოს კომისიას, გარდა იმ შემთხვევებისა, როდესაც პერსონალური მონაცემი ეხება პოლიტიკურ, სამედიცინო, სქესობრივი ცხოვრების მონაცემს და სხვ. აქტი ასევე მიუთითებს იმ შემთხვევებზე, როდესაც არ არის საჭირო წინასწარი შეტყობინება, მაგალითად, როდესაც დამუშავების ერთადერთი მიზანია კანონის და წესების შესაბამისად რეგისტრის შენახვა ექსკლუზიურად საჯარო ინფორმაციისათვის და რომელიც ღიაა ყველასათვის და სხვა.

კომისიისათვის გაგზავნილი შეტყობინება უნდა მოიცავდეს ვალდებულებას, რომ მონაცემთა დამუშავება მიმდინარეობდეს კანონის მოთხოვნათა შესაბამისად. შეტყობინება შესაძლებელია გაეგზავნოს კომისიას ელექტრონულად. შეტყობინება უნდა მოიცავდეს: 1. მონაცემთა მაკონტროლებლის მისამართსა და იდენტურობას; 2. დამუშავების მიზანს ან მიზნებს; 3. მონაცემის სუბიექტთა კატეგორიებს, რომელსაც უკავშირდება დამუშავება; 4. დამუშავებული ინფორმაციის შენახვის პერიოდს; 5. დეპარტამენტს ან დეპარტამენტებს, რომლებიც პასუხისმგებელნი არიან დამუშავებაზე; 6. უფლებამოსილ მიმღებ ან მიმღებთა კატეგორიას, რომელთათვისაც პერსონალური მონაცემები შეიძლება გახდეს აშკარა; 7. მიღებულ ზომებს, რათა უზრუნველყოფილ იქნეს პერსონალური მონაცემების და დამუშავების უსაფრთხოება.

შეტყობინების მიღების შემდეგ კომისიამ უნდა გაგზავნოს დასტური დაგვიანების გარეშე და აპლიკანტს შეუძლია, დაიწყოს მონაცემთა დამუშავება, როდესაც მიიღებს დასტურს.

ასევე, უნდა აღინიშნოს, რომ შეტყობინების ვალდებულების შემსუბუქების მიზნით, პერსონალურ მონაცემთა დამუშავების ყველაზე საერთო კატეგორიებთან დაკავშირებით, რომლებიც, სავარაუდოდ, არ წარმოადგენენ თავისუფლებათა და პერსონალური ცხოვრების დარღვევას, კომისია ადგენს და აქვეყნებს სტანდარტებს. აღნიშნული სტანდარტები განსაზღვრავენ გამარტივებული შეტყობინებით მოცულ დამუშავების მიზნებს, პერსონალურ მონაცემებს ან პერსონალური მონაცემების კატეგორიებს, პერსონალური მონაცემების სუბიექტს ან პერსონალური მონაცემების სუბიექტის კატეგორიებს, მიმღებს ან მიმღებთა კატეგორიებს, რომელთათვისაც პერსონალური მონაცემები შესაძლებელია გახდეს აშკარა, პერიოდს, რომლის განმავლობაშიც პერსონალური მონაცემები იქნება შენახული.

კომისიას შეუძლია, გამოიყენოს გარკვეული სახის სანქციები თავისი ფუნქციების შესასრულებლად. კერძოდ, მას შეუძლია, გააფრთხილოს მონაცემის მაკონტროლებელი, შეასრულოს ვალდებულებები, ასევე, შეუძლია, უბრძანოს მას, შეწყვიტოს დარღვევა დროის იმ ლიმიტში, რასაც განსაზღვრავს. იმ შემთხვევაში, თუ მონაცემთა მაკონტროლებელი არ დაემორჩილება მას, კომისიას უფლება აქვს, სამართლიანი პროცედურის შესაბამისად, დააწესოს: 1. ფინანსური სასჯელი; 2. აკრძალვა (ან injunction) - შეწყვიტოს დამუშავება. კომისიას ასევე შეუძლია, გადაუდებელ შემთხვევებში, როდესაც პერსონალურ მონაცემთა დამუშავებამ და დამუშავებულის გამოყენებამ შესაძლებელია გამოიწვიოს უფლებათა და თავისუფლებათა დარღვევა, გამოიტანოს გადაწყვეტილება დამუშავების მაქსიმუმ 3 თვით შეწყვეტის შესახებ ან გარკვეული დამუშავებული მონაცემების არაუმეტეს 2 თვით დაბლოკვის შესახებ.

მონაცემთა მაკონტროლებელი და პერსონალური
მონაცემის სუბიექტი

საფრანგეთის აქტით განსაზღვრულია მონაცემთა მაკონტროლებლის ვალდებულებები. მონაცემთა მაკონტროლებელი ვალდებულია, მიაწოდოს მონაცემთა სუბიექტს, რომლისგანაც მიიღება პერსონალური მონაცემი. ეს ინფორმაცია მოიცავს: 1. მონაცემის მაკონტროლებლისა და მისი წარმომადგენლის იდენტურობას; 2. დამუშავების მიზნებს; 3. მონაცემის მიმღებს; 4. პერსონალური მონაცემების მიზანმიმართულ გადაცემას ევროკავშირის არაწევრი სახელმწიფოებისთვის და სხვ.⁶

ასევე, უნდა აღინიშნოს, რომ, როდესაც პერსონალურ მონაცემთა მოპოვება ხდება არა მონაცემის სუბიექტისაგან, მონაცემთა მაკონტროლებელი ვალდებულია, შეატყობინოს ზემოაღნიშნული ინფორმაცია მონაცემის სუბიექტს მონაცემთა ჩაწერის დროს ან, თუ გათვალისწინებულია მონაცემთა მესამე მხარისათვის გამჟღავნება, არაუგვიანეს მონაცემთა გამჟღავნებამდე.

მონაცემთა მაკონტროლებელმა უნდა უზრუნველყოს მონაცემთა უსაფრთხოება და არ დაუშვას მათი შეცვლა და დაზიანება, ასევე, არაავტორიზირებული მესამე მხარის მიერ ხელმისაწვდომობა.

ასევე უნდა აღინიშნოს, რომ როდესაც მონაცემთა დამუშავებას აწარმოებს დამმუშავებელი, მას უფლება აქვს, დაამუშაოს მონაცემები მხოლოდ და მხოლოდ მონაცემთა მაკონტროლებლის ინსტრუქციების შესაბამისად. დამმუშავებლის ვალდებულებები მონაცემთა უსაფრთხოების დაცვასა და კონფიდენციალურობასთან დაკავშირებით განისაზღვრება კონტრაქტით დამმუშავებელსა და მონაცემთა მაკონტროლებელს შორის.

ყველა ფიზიკურ პირს აქვს უფლება, ლეგიტიმურ საფუძველზე დაყრდნობით, უარი განაცხადოს მასზე მონაცემის დამუშავებაზე ანდა მონაცემის გამოყენებაზე.

ფიზიკურ პირს უფლება აქვს, შეიტყოს ინფორმაცია მონაცემთა მაკონტროლებლისაგან, მუშავდება თუ არა მასზე მონაცემები, ინფორმაცია, რომელიც უკავშირდება დამუშავების მიზნებს, დასამუშავებელი პერსონალური მონაცემების კატეგორიებს, მიმღებს და მიმღებთა კატეგორიებს, რომელთათვისაც მონაცემები შესაძლებელია ცნობილი გახდეს, ინფორმაცია პერსონალური მონაცემის არა ევროკავშირის წევრი-სახელმწიფოსათვის გადაცემის შესახებ, ინფორმაცია მონაცემის წარმომავლობაზე.⁷

ნებისმიერ ინდივიდს აქვს უფლება, სთხოვოს მონაცემთა მაკონტროლებელს, შეასწოროს, წაშალოს, განაახლოს ან დაბლოკოს მასთან დაკავშირებული პერსონალური მონაცემი, რომელიც არის არასრული, ორაზროვანი, ანდა რომელთა შეგროვება, გამოყენება და გამჟღავნება აკრძალულია. ასევე, უნდა აღინიშნოს, რომ დავის არსებობის შემთხვევაში, მტკიცების ტვირთი აკისრია მაკონტროლებელს, გარდა იმ შემთხვევებისა, როდესაც დადგენილია, რომ მონაცემი, რომელსაც ეხება დავა, გამჟღავნებული იყო თავად სუბიექტის მიერ ან მისი თანხმობით.

პერსონალურ მონაცემთა გადაცემა მესამე, არაევროკავშირის წევრი-სახელმწიფოსათვის

მონაცემთა მაკონტროლებელს უფლება არ აქვს, გადასცეს პერსონალური მონაცემები სახელმწიფოს, რომელიც არ არის ევროგაერთიანების წევრი, თუ ამ სახელმწიფოს არ გააჩნია შესაბამისი საკანონმდებლო ბაზა ინდივიდთა პერსონალური ცხოვრების, თავისუფლებებისა და ფუნდამენტური უფლებების დაცვის შესახებ პერსონალურ მონაცემთა დამუშავებასთან მიმართებით. დაცვის შესაბამისი დონე განისაზღვრება სახელმწიფოში მოქმედი კანონმდებლობით.

ასევე უნდა აღინიშნოს, რომ მონაცემთა მაკონტროლებელს შეუძლია, გადასცეს სახელმწიფოს, რომელიც არ აკმაყოფილებს ზემოაღნიშნულ კრიტერიუმს, პერსონალური მონაცემი იმ შემთხვევაში, თუ არსებობს მონაცემის სუბიექტის თანხმობა ან თუ გადაცემა აუცილებელია: 1. მონაცემის სუბიექტის სიცოცხლის დასაცავად; 2. საჯარო ინტერესის დასაცავად; 3. ვალდებულების შესაბამისად, რომელიც უზრუნველყოფს სამართლებრივი საჩივრის განხორციელებას, დაფუძნებას ან დაცვას; 4. მონაცემის მაკონტროლებელსა და მონაცემის სუბიექტს შორის არსებული კონტრაქტის შესასრულებლად; 5. კონტრაქტის დასადებად ან შესასრულებლად, რომელიც შედის მონაცემის სუბიექტის ინტერესებში მონაცემის მაკონტროლებელს და მესამე მხარეს შორის.

______________________

1. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 6

2. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 7

3. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 8

4. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 57.

5. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 67.

6. dawvrilebiT ixileT Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 32.

7. Act n°78-17 of 6 January 1978 on Data Processing, Data Files and Individual Liberties; article 39.

ჰოლანდიაში პერსონალური მონაცემების დაცვის სფერო რეგულირდება შემდეგი სამართლებრივი ბაზით: Databased act(19), 2000 წლის კანონით „პერსონალური მონაცემების დაცვის შესახებ“, რომელიც ძალაში შევიდა 2001 წელს. ჩვენი იტერესის საგანს წარმოადგენს ეს უკანასკნელი, როგორც მონაცემების სუბიექტის უფლებების დაცვის ძლიერი მექანიზმი მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესში.

აღნიშნული აქტის მიხედვით:

პერსონალური მონაცემები ეწოდება: ნებისმიერი ტიპის ინფორმაციას იდენტიფიცირებულ ან იდენტიფიცირებად ფიზიკურ პირზე;

პერსონალური მონაცემების მოპოვების (Procesing) პროცესში იგულისხმება: მონაცემების მოპოვება, ჩაწერა, გადაკეთება, შეცვლა, შესწორება, შენახვა, გამოყენება, ბლოკირება, წაშლა, განადგურება, გავრცელება ან სხვაგვარად ხელმისაწვდომობა.

პასუხისმგებელი მხარე ეწოდება: ფიზიკურ პირს ან ორგანოს, რომელიც დამოუკიდებლად ან სხვასთან კავშირში განსაზღვრავს პერსონალური მონაცემების მოპოვების კანონიერ მიზნებს და მისი მოპოვების კანონიერ საშუალებებს.

მონაცემების სუბიექტი ეწოდება: ფიზიკურ პირს, რომელზეც ხდება მონაცემების

მოპოვება.

დამმუშავებელი ეწოდება (processor) ფიზიკურ პირს ან ორგანოს, რომელიც ახორციელებს პერსონალური მონაცემების მოპოვებას, დამუშავებას და გამოყენებას მონაცემების მაკონტროლებლის სახელით.

მესამე მხარე ეწოდება: ნებისმიერ პირს ან მხარეს (გარდა პერსონალური მონაცემების სუბიექტისა, პასუხისმგებელი მხარისა და მონაცემების დამმუშავებლისა (processor), რომელიც დაკავშირებულია მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესთან.

მიმღები ეწოდება: ნებისმიერ პირს ან ორგანოს, რომელსაც შეიძლება გაეგზავნოს მოპოვებული პერსონალური მონაცემები

მონაცემების სუბიექტის თანხმობაში იგულისხმება: პერსონალური მონაცემების სუბიექტის თავისუფალ ნებაზე დაყრდნობით გამოხატული თანხმობა, ძალდატანების გარეშე.

მონაცემთა დაცვის კომისია (data protection commission) არის ორგანო, რომელიც ახორციელებს კონტროლს პერსონალური მონაცემების მოპოვებისა და დაცვის მთლიან პროცესზე.

მონაცემთა დაცვის ოფიცერი ეწოდება ფიზიკურ პირს, რომელიც ასევე ახორციელებს კონტროლს პერსონალური მონაცემების მოპოვებისა და დაცვის პროცესზე.

პერსონალური მონაცემების დამუშავება

კანონი, ძალიან მკაცრად განსაზღვრავს იმ შემთხვევებს, როცა შესაძლებელია ამ კანონზე დაყრდნობით პერსონალური მონაცემების მოპოვების პროცესის დაწყება. აქვე ცალსახად აღნიშნავს, რომ პერსონალური მონაცემების მოპოვების დაწყების აუცილებელ წინაპირობას წარმოადგენს მონაცემების სუბიექტის უდავო თანხმობა, ხოლო, იმ შემთხვევაში, როცა მონაცემების სუბიექტს ჯერ არ მიუღწევია 16 წლის ასაკისათვის, იმყოფება კანონიერ პატიმრობაში ან მზრუნველობის ქვეშ, აღნიშნული პროცესის დასაწყებად აუცილებელია მისი კანონიერი წარმომადგენლის თანხმობა. მონაცემების სუბიექტს ან მის კანონიერ წარმომადგენელს ნებისმიერ დროს შეუძლიათ, უარი განაცხადონ უკვე გაცემულ თანხმობაზე პერსონალური მონაცემების შეგროვებასთან დაკავშირებით, თუ მათ ამისთვის გააჩნიათ საფუძვლიანი მიზეზი.

კანონი ცალ-ცალკე არეგულირებს ძირითადი (general) და განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვების კანონიერ მიზნებსა და საშუალებებს. თუმცა, ორივე შემთხვევაში, მონაცემების მოპოვების მიზანი უნდა იყოს სპეციფიკური, ზუსტად განმარტებული და კანონიერი ისევე, როგორც მისი მოპოვების მეთოდები: ზომიერი, ფრთხილი და კანონის შესაბამისი.

ძირითადი კატეგორიის (general) პერსონალური მონაცემები შეიძლება მოპოვებულ იქნეს შემდეგ შემთხვევებში:

1. პერსონალური მონაცემების სუბიექტის უდავო თანხმობისას;

2. ხელშეკრულებით ან კონტრაქტით აღებული ვალდებულების

განსახორციელებლად, რომლის ერთ-ერთ მხარეს წარმოადგენს პერსონალური მონაცემების სუბიექტი, ან ისეთ შემთხვევაში, როცა პერსონალური მონაცემების მოპოვება აუცილებელია კონტრაქტის ან ხელშეკრულების დასადებად;

3. მონაცემების მოპოვება აუცილებელია პერსონალური მონაცემების სუბიექტის სასიცოცხლო ინტერესების დასაცავად;

4. მონაცემების შეგროვება აუცილებელია პასუხისმგებელი მხარის, ადმინისტრაციული ორგანოს ან მესამე მხარის კანონით დაკისრებული ვალდებულებების განსახორციელებლად, თუ ამით არ ირღვევა ადამიანის ძირითადი უფლებები და თავისუფლებები.

განსაკუთრებული პერსონალური მონაცემების დამუშავება

განსაკუთრებული კატეგორიის პერსონალურ მონაცემებს მიეკუთვნება მონაცემები, რომლებიც დაკავშირებულია: ფიზიკური პირის რასობრივ და ეთნიკურ წარმომავლობასთან, მის რელიგიურ და ფილოსოფიურ მრწამსთან, პოლიტიკურ შეხედულებებთან, ჯანმრთელობასთან, სქესობრივ ცხოვრებასთან, სავაჭრო კავშირისადმი კუთვნილებასთან. გარდა ამისა, განსაკუთრებული კატეგორიის პერსონალურ მონაცემებს მიეკუთვნება სისხლისსამართლებრივ დანაშაულში ან უკანონო ქმედებაში ბრალდებული პირის შესახებ პერსონალური მონაცემების შეგროვება.

როგორც კანონიდან ჩანს, პერსონალური მონაცემების დაყოფა ძირითად (general) და განსაკუთრებულ კატეგორიებად განაპირობა იმან, რომ ამ კანონით (გარდა გამონაკლისი შემთხვევებისა) აკრძალულია პირზე განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვება.

ისეთი განსაკუთრებული სახის პერსონალური მონაცემების შეგროვება, რომელიც ეხება პირის რელიგიურ და ფილოსოფიურ შეხედულებებს, შესაძლებელია მაშინ, როცა:

1. ამას მოითხოვს ეკლესიური გაერთიანებები (church associations) ან რელიგიურ პრინციპებზე დაფუძნებული კავშირები, რომლებიც ამტკიცებენ, რომ პერსონალური მონაცემების სუბიექტი, რომელზეც ხდება ზემოთ აღნიშნული მონაცემების მოპოვება, მათი კავშირის ან ასოციაციის წევრია.

2. აღნიშნული მონაცემების მოპოვებას გადამწყვეტი მნიშვნელობა აქვს რელიგიური ან ფილოსოფიური ინსტიტუტების განვითარებისათვის და მათი მიზნებისა და ამოცანების განხორციელებისათვის.

3. მონაცემების მოპოვება აუცილებელია, როცა რომელიმე რელიგიური ინსტიტუტი ამტკიცებს, რომ მონაცემების მოპოვებას გადამწყვეტი მნიშვნელობა აქვს მონაცემების სუბიექტის სულიერი კეთილდღეობისთვის.

აქვე უნდა აღინიშნოს, რომ გამონაკლისს შემთხვევებში მოპოვებული განსაკუთრებული კატეგორიის პერსონალური მონაცემების გადაცემა დაუშვებელია უშუალოდ მონაცემების სუბიექტის აშკარად გამოხატული თანხმობის გარეშე.

ისეთი განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვება, რომელიც დაკავშირებულია ინდივიდის ეთნიკურ წარმომავლობასთან, აკრძალვის მიუხედავად, შესაძლებელია მაშინ, როცა: ამ კატეგორიის მონაცემების მოპოვება წარმოადგენს მონაცემების სუბიექტის იდენტიფიკაციის ერთადერთ საშუალებას ან აუცილებელია ისეთი პირის იდენტიფიკაციისათვის, რომელიც მიეკუთვნება იშვიათი კატეგორიის ეთნიკურ ან კულტურულ უმცირესობას.

პირის პოლიტიკურ შეხედულებებთან დაკავშირებით, პერსონალური მონაცემების შეგროვება, როგორც გამონაკლისი, შესაძლებელია, თუ ამას ითხოვენ პოლიტიკურ პრინციპებზე დაფუძნებული პოლიტიკური ინსტიტუტები ან გაერთიანებები მათი კავშირის წევრებთან მიმართებით და ასაბუთებენ, რომ აღნიშნული ინფორმაციის მოპოვება აუცილებელია მათი ინსტიტუტებისა და გაერთიანებების მიზნებისა და ამოცანების განსახორციელებლად.

პირზე ისეთი კატეგორიის პერსონალური მონაცემების მოპოვება, რომელიც დაკავშირებულია მის სავაჭრო კავშირისადმი კუთვნილებასთან, შესაძლებელია, როცა ამას ითხოვს სავაჭრო კავშირი ან სავაჭრო კავშირის ფედერაცია მათი წევრების შესახებ და ასაბუთებენ, რომ აღნიშნული ინფორმაციის მოპოვება აუცილებელია მათი ფუნქციებისა და ამოცანების განხორციელებისა და განვითარებისათვის.

პირის ჯანმრთელობის მდგომარეობის შესახებ ინფორმაციის მოპოვება შესაძლებელია, როცა ამას მოითხოვენ სამედიცინო დაწესებულებები და სადაზღვევო კომპანიები, მონაცემების სუბიექტის ჯანმრთელობის მდგომარეობის გაუმჯობესების, მათი სასიცოცხლო ამოცანებისა და ფუნქციების განხორციელების, პროფესიული და პრაქტიკული განვითარების მიზნით.

პერსონალური მონაცემების მოპოვება პირზე, რომელიც ბრალდებულია სისხლისსამართლებრივ დანაშაულში (გამონაკლისის სახით) შესაძლებელია: როცა ამას ახორციელებს კანონით უფლებამოსილი ორგანო ან პასუხისმგებელი მხარე პოლიციის რეგისტრის აქტსა (police registers act)და სასამართლო დოკუმენტაციაზე დაყრდნობით. პასუხისმგებელი მხარე უფლებამოსილია, მოიპოვოს აღნიშნული კატეგორიის მონაცემები მაშინ, როცა მონაცემების მოპოვება პირდაპირ კავშირშია მისი ამ აქტით მინიჭებული ვალდებულების ეფექტურად განხორციელებასთან.

აქვე უნდა აღინიშნოს, რომ, განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვების შემთხვევაში, მისი გადაცემა მესამე პირისა ან დაინტერესებული ორგანიზაციისათვის შესაძლებელია მხოლოდ და მხოლოდ აღნიშნული კატეგორიის მონაცემების სუბიექტის აშკარად გამოხატული თანხმობის შემთხვევაში.

უნდა აღინიშნოს აგრეთვე, რომ ზოგადი აკრძალვა განსაკუთრებული კატეგორიის მონაცემების დამუშავებასთან დაკავშირებით ასევე არ მოქმედებს, თუ: 1. სუბიექტმა განაცხადა თანხმობა; 2. სუბიექტმა მონაცემი აშკარად გახადა საჯარო; 3. აუცილებელია სამართლის უფლების დაფუძნების, განხორციელების ან დაცვისათვის; 4. აუცილებელია საერთაშორისო საჯარო სამართლის ვალდებულების შესასრულებლად; 5. აუცილებელია საჯარო ინტერესის გადმოსახედიდან, როდესაც, შესაბამისად, უზრუნველყოფილია ინდივიდუალური პერსონალური ცხოვრების დაცვის გარანტია კანონით ან მონაცემთა დაცვის კომისია უზრუნველყოფს მას გამონაკლისის სახით.

პერსონალური მონაცემების მოპოვება, აქტში მოცემული სპეციფიკური მიზნების (ისტორიული, სამეცნიერო და სტატისტიკური) მისაღწევად, შესაძლებელია: როცა სამეცნიერო კვლევა ემსახურება საზოგადოების საჯარო ინტერესებს, როცა არსებობს საკმარისი გარანტია იმისა, რომ ისტორიული, სამეცნიერო და სტატისტიკური მიზნებისათვის პერსონალური მონაცემების მოპოვების პროცესი წარიმართება პერსონალური მონაცემების სუბიექტის ძირითადი უფლებებისა და მათ შორის საკუთრების უფლების გათვალისწინებით და დაცვით.

პერსონალური მონაცემების დამუშავების წესი

პერსონალური მონაცემების მოპოვება დაუშვებელია იმ შემთხვევაში, როცა არსებობს ეჭვი იმისა, რომ მონაცემების მოპოვების რეალური მიზეზი აშკარად შეუსაბამოა კანონით გათვალისწინებულ მიზნებთან. აღნიშნული ეჭვის შემთხვევაში, პასუხისმგებელი მხარე ვალდებულია, გააკეთოს ანგარიში (account), სადაც ნათლად უნდა იქნეს განმარტებული: ურთიერთდამოკიდებულება მონაცემების მოპოვების რეალურ მიზანსა და კანონით გათვალისწინებულ მიზანს შორის (თუ იგი ბუნდოვანია), მოსაპოვებელი მონაცემების კატეგორია, მონაცემების მოპოვების ხერხები და საშუალებები და მონაცემების მოპოვების წყარო.

პერსონალურ მონაცემთა დამუშავება დაუშვებელია, როდესაც დამუშავება ეწინააღმდეგება კონფიდენციალურობის ვალდებულებას თანამდებობრივი მდგომარეობიდან, პროფესიიდან ან კანონის დებულებიდან გამომდინარე.

დაუშვებელია მოპოვებული მონაცემების იმაზე მეტხანს შენახვა, რაც აუცილებელია კონკრეტული მიზნის მისაღწევად, თუმცა, კანონში არაფერია ნათქვამი დროის არც მინიმალურ და არც მაქსიმალურ ხანგრძლივობაზე. კანონი აქვე იძლევა გამონაკლის შემთხვევას, როცა მონაცემები შეიძლება შენახულ იქნეს იმაზე დიდხანს, ვიდრე კანონით არის დადგენილი, როცა მისი შენახვა აუცილებელია ისტორიული, სტატისტიკური და სამეცნიერო კვლევისთვის. ეს ის შემთხვევაა, როცა პასუხისმგებელი პირი ვალდებულია, მისცეს გარანტია პერსონალური მონაცემების სუბიექტს, რომ შენახული მონაცემები გამოყენებული იქნება მხოლოდ სპეციალური მიზნის მისაღწევად (ისტორიული, სტატისტიკური და სამეცნიერო).

პასუხისმგებელი მხარე ვალდებულია, უზრუნველყოს მოპოვებული მონაცემების საიმედოდ შენახვა, გაატაროს ყველა საჭირო ღონისძიება, რათა თავიდან აიცილოს მონაცემების დაკარგვა, განადგურება ან ნებისმიერი უკანონო ქმედება, რამაც შეიძლება ზიანი მიაყენოს პერსონალურ მონაცემებს ან მონაცემების სუბიექტს (დაწვრილებით იხილეთ მე-4 თავი).

მონაცემთა დაცვის კომისიის შეტყობინება

პერსონალური მონაცემების მოპოვების პროცესის დასაწყებად ერთ-ერთ აუცილებელ წინაპირობას წარმოადგენს ზედამხედველი კომისიის (data protection commission) მიერ მონაცემთა დაცვის ოფიცრისათვის შეტყობინების ვალდებულება პროცესის დაწყებამდე - მონაცემთა მოპოვების პროცესის დაწყებასთან დაკავშირებით. შეტყობინების ვალდებულება ეკისრება პასუხისმგებელ მხარეს ან მის წარმომადგენელს და იგი ისევე აუცილებელია, როგორც მონაცემების სუბიექტის თანხმობა პროცესის დასაწყებად.

შეტყობინება უნდა შეიცავდეს:

1. პასუხისმგებელი მხარის სახელსა და მისამართს, რომლის შეცვლის შემთხვევაში, ცვლილების შესახებ შეტყობინება უნდა გაიგზავნოს არაუგვიანეს ერთი კვირისა;

2. მონაცემების მოპოვების მიზანს ან მიზნებს;

3. პერსონალური მონაცემების სუბიექტის ვინაობას;

4. მოსაპოვებელი მონაცემების კატეგორიას;

5. მიმღებთა კატეგორიას ან კატეგორიებს, ვისთვისაც მონაცემები შესაძლოა გახდეს ცნობილი (ხელმისაწვდომი);

6. მონაცემების მოპოვების გეგმას, მისი მოპოვების ხერხებს და საშუალებებს. შეტყობინება აუცილებლად საჭიროებს რეგისტრაციას, რომლის ვალდებულება ეკისრება შეტყობინების მიმღებ მხარეს. შეტყობინების ვალდებულება არ ეკისრება პასუხისმგებელ მხარეს მაშინ, როცა საქმე ეხება:

1. სახელმწიფო უშიშროებას;

2. სისხლისსამართლებრივი დანაშაულის პრევენციას (თავიდან აცილებას);

3. სახელმწიფო ორგანოების ან სხვა საჯარო დაწესებულებების მნიშვნელოვანი ეკონომიკური და ფინანსური ინტერესების განხორციელებას;

4. პერსონალური მონაცემების სუბიექტის ან სხვა ნებისმიერი პირის უფლებებისა და თავისუფლებების დაცვას.

პასუხისმგებელი მხარე ვალდებულია, ასევე მოახდინოს მონაცემების სუბიექტის შეტყობინება, მასზე მონაცემების მოპოვების პროცესის დაწყებასთან დაკავშირებით, მიუხედავად იმისა, რომ მონაცემების მოპოვების პირველწყაროს უშუალოდ მონაცემების სუბიექტი წარმოადგენს.

შეტყობინება უნდა შეიცავდეს:

ა) ინფორმაციას მოსაპოვებელი მონაცემების კატეგორიასთან დაკავშირებით.
ბ) მონაცემების მოპოვების კანონიერ მიზანს ან მიზნებს.
გ) მონაცემების მოპოვების ხერხებს და საშუალებებს.
დ) მონაცემების მოპოვების წყაროს.
ე) მიმღებთა კატეგორიებს, ვისთვისაც მონაცემები შეიძლება გახდეს ცნობილი.

შეტყობინების ვალდებულება არ ეკისრება მონაცემების მაკონტროლებელს მაშინ, როცა:

1. მონაცემების სუბიექტი უკვე ინფორმირებულია მასზე მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესის და მიზნების შესახებ.

2. შეტყობინება საფრთხეს შეუქმნის პასუხისმგებელი მხარის საქმიანობას მონაცემების მოპოვების პროცესში.

3. შეტყობინების შედეგად, შესაძლოა ზიანი მიადგეს საზოგადოების საჯარო ინტერესებს ან სახელმწიფო უშიშროებას.

მონაცემთა სუბიექტის უფლებები

გარდა ამისა, პასუხისმგებელი მხარე არ არის ვალდებული, მოახდინოს პერსონალური მონაცემების სუბიექტის ინფორმირება მონაცემების შეგროვების პროცესთან დაკავშირებით, თუ მონაცემების შეგროვება აუცილებელია სამეცნიერო კვლევის ან სტატისტიკური მიზნებისათვის.

მონაცემების სუბიექტის ერთ-ერთ მნიშვნელოვან უფლებას წარმოადგენს, იყოს ინფორმირებული (information provided) ყველა იმ ქმედების შესახებ, რომელიც დაკავშირებულია მასზე მონაცემების მოპოვების პროცესთან, რასაც, თავის მხრივ, შეესაბამება, პასუხისმგებელი მხარის ვალდებულება, 4 კვირის განმავლობაში წერილობითი ფორმით აცნობოს მას ნებისმიერი წვრილმანი, რომელიც დაკავშირებულია აღნიშნულ საკითხთან.

მონაცემების სუბიექტის ინფორმირება უნდა მოხდეს სუბიექტის მიერ წერილობითი თხოვნის საფუძველზე (წერილობითი თხოვნის უფლება მას აქვს გონივრული დროის ინტერვალებით), მაგრამ მაშინ, როცა, მონაცემების სუბიექტის ინფორმირება საფრთხეს უქმნის: ა) მონაცემების მოპოვების მიზანს ან ბ) მოპოვებული ინფორმაციის უსაფრთხოებას, პასუხისმგებელი მხარე არ არის ვალდებული, მიაწოდოს ინფორმაცია სუბიექტს, მაგრამ ვალდებულია, აცნობოს მას ამ გამონაკლისის შესახებ და მიუთითოს კანონის იმ ნორმაზე, რომელიც არ იძლევა მისთვის ინფორმაციის მიწოდების შესაძლებლობას.

პერსონალური მონაცემების სუბიექტს შეუძლია, მოსთხოვოს პასუხისმგებელ მხარეს: შეასწოროს, შეავსოს, წაშალოს ან დაბლოკოს ყველა ის ინფორმაცია, რომელიც არის მცდარი, არასრული და არარელევანტური იმ მიზნის მისაღწევად, რისთვისაც აღნიშნული ინფორმაცია იქნა მოპოვებული.

პასუხისმგებელი მხარე, იმ შემთხვევაში, თუ მოთხოვნა კანონიერია, ვალდებულია, რაც შეიძლება სწრაფად განახორციელოს სუბიექტის სურვილი, ხოლო მისი მოთხოვნის განხორციელების შემთხვევაში, აცნობოს ამის შესახებ როგორც სუბიექტს, ისე მესამე მხარეს, რომელიც უშუალოდ არის დაკავშირებული მონაცემების მოპოვების პროცესთან. პერსონალური მონაცემების სუბიექტი სარგებლობს კომპენსაციის უფლებით იმ შემთხვევაში, თუ მასზე მონაცემების მოპოვების, დამუშავების ან გამოყენების პროცესში პასუხისმგებელი მხარის ქმედების შედეგად სერიოზული ზიანი მიადგება მის კანონიერ ინტერესებს, რომელიც გათვალისწინებული და დაცულია ამ აქტით. თავის მხრივ, კომპენსაციის გადახდის ვალდებულება ეკისრება პასუხისმგებელ მხარეს, გარდა იმ გამონაკლისი შემთხვევისა, როცა იგი დაასაბუთებს, რომ დამდგარი შედეგი არ არის გამოწვეული მისი ქმედებით.

გასაჩივრება

აღნიშნული კანონი უზრუნველყოფს პერსონალური მონაცემების სუბიექტის შესაძლებლობას, გასაჩივრების გზით დაიცვას ყველა ის უფლება, რომელსაც დარღვეულად მიიჩნევს. სუბიექტს დარღვეული უფლების დაცვა შეუძლია როგორც ძირითად ადმინისტრაციულ ორგანოში, ისე საოლქო სასამართლოში.

საჩივრის ფორმა აუცილებლად უნდა იყოს წერილობითი ფორმის, რომელიც სასამართლომ ან ადმინისტრაციულმა ორგანომ უნდა განიხილოს გასაჩივრებიდან არა უგვიანეს 6 კვირის განმავლობაში. სასამართლო ვალდებულია, პროცესის დაწყებამდე მოუწოდოს მხარეებს მორიგებისკენ. გარდა ამისა, ზედამხედველი კომისია უფლებამოსილია, ითამაშოს მედიატორის როლი დავის მშვიდობიანად მოგვარების თვალსაზრისით, თუ მას ამასთან დაკავშირებით თხოვნით მიმართავს დავის რომელიმე მხარე. სასამართლო უფლებამოსილია, ფიზიკური პირის პეტიციის საფუძველზე, ამ კანონის მნიშვნელოვანი დებულების დარღვევისათვის, პასუხისმგებელ მხარეს დააკისროს ვალდებულება, რაც შეიძლება სწრაფად მიიღოს საჭირო ზომები მიყენებული ზიანის გამოსასწორებლად. სასამართლო, ისე, როგორც ძირითადი ადმინისტრაციული ორგანო, ვალდებულია, საქმის კურსში ჩააყენოს საზედამხედველო კომისია და ყოველ კონკრეტულ შემთხვევაში გაუგზავნონ მას მიღებული გადაწყვეტილების ასლი.

მონაცემთა დაცვის კომისია

კონტროლს პერსონალური მონაცემების მოპოვების პროცესზე ახორციელებს მონაცემთა დაცვის კომისია, ანუ იგივე „საზედამხედველო კომისია“ (data protection commission) და მონაცემთა დაცვის ოფიცერი (data protection officer). საზედამხედველო კომისია შედგება: თავმჯდომარის, 2 ძირითადი წევრისა და 2 სპეციალური წევრისაგან. კომისიის თავმჯდომარეს წარადგენს იუსტიციის მინისტრი, ხოლო ინიშნება სამეფო ბრძანების საფუძველზე 6 წლის ვადით. დანარჩენი წევრებიც ინიშნებიან იუსტიციის მინისტრის წარდგინებით და სამეფო ბრძანებით 4 წლის ვადით. მათი თანამდებობიდან გათავისუფლება ხდება იუსტიციის მინისტრის მიერ.

კომისიას მონაცემების მოპოვების პროცესზე კონტროლის განხორციელება შეუძლია არა მარტო გერმანიის, არამედ ჰოლანდიის ტერიტორიაზეც. კომისია მისთვის დაკისრებული ფუნქციების განხორციელებაში აბსოლუტურად დამოუკიდებელია. ხოლო აღნიშნული ფუნქციები მინიჭებული აქვს როგორც ამ კანონით, ისე სხვადასხვა ხელშეკრულებით. აქვეა მოცემული სათათბირო ორგანო (advisory board), რომელსაც წარადგენს საზედამხედველო კომისია და ინიშნება იუსტიციის მინისტრის ბრძანების საფუძველზე.

მდივანი წარმოადგენს საზედამხედველო კომისიის ერთ-ერთ თანამდებობას, რომელიც ინიშნება და თავისუფლდება იუსტიციის მინისტრის მიერ კომისიის თავმჯდომარის წარდგინებით. კომისიის თავმჯდომარე განსაზღვრავს კომისიის საქმიანობის ძირითად მიმართულებებს, ადგენს პროცედურულ ნორმებს, რომლითაც განისაზღვრება კომისიის ფინანსური მენეჯმენტი, სათათბირო და საზედამხედველო საქმიანობა.

საზედამხედველო კომისია ვალდებულია, გააკეთოს ყოველწლიური ანგარიში პერსონალური მონაცემების მოპოვების პროცესებთან დაკავშირებით და გაუგზავნოს იუსტიციის მინისტრსა და მონაცემთა დაცვის ოფიცერს. კომისია უფლებამოსილია, როგორც თავისი კომპეტენციის ფარგლებში, ისე დაინტერესებული პირის თხოვნით, ჩაატაროს გამოძიება პერსონალური მონაცემების მოპოვებასთან დაკავშირებით. კომისია ვალდებულია: გამოძიების შედეგად მოპოვებული ინფორმაცია წარუდგინოს დაინტერესებულ მხარეს ან დაინტერესებულ მხარეთა ჯგუფს, მოისმინოს და გაითვალისწინოს მათი შეფასებები, წარუდგინოს გამოძიების შედეგები იუსტიციის მინისტრს.

იმ შემთხვევაში, როცა კომისია გამოძიებას აწარმოებს დაინტერესებული პირის თხოვნის საფუძველზე, იგი ვალდებულია, უზრუნველყოს დაინტერესებული პირის ინფორმირება გამოძიების შედეგად მოპოვებული ინფორმაციის თაობაზე, გარდა იმ გამონაკლისისა, როცა დაინტერესებული პირის ინფორმირება საფრთხეს უქმნის მონაცემების მოპოვების მიზნის მიღწევას, ან კიდევ, დაინტერესებული პირის ინფორმირება შესაძლოა არ მოხდეს მიმდინარე პროცესის დეტალებთან დაკავშირებით, თუ ამით ზიანი ადგება ნებისმიერ სხვა ფიზიკური პირის ინტერესებს პასუხისმგებელი მხარის ჩათვლით.

ზემოთ აღნიშნულ გარემოებათა არსებობის დროს, როცა კომისიას არა აქვს უფლება, საქმის კურსში ჩააყენოს დაინტერესებული პირი, იგი ვალდებულია, გაუგზავნოს მას ახსნა-განმარტება აღნიშნულის შესახებ.

კომისიისა და მისი წევრების პირდაპირ მოვალეობას წარმოადგენს ზედამხედველობის განხორციელება პერსონალური მონაცემების სუბიექტის საჩივრის უზრუნველყოფაზე. კომისია ვალდებულია, გაუწიოს დახმარება ევროკავშირის ნებისმიერი წევრი-სახელმწიფოს მაკონტროლებელ ორგანოს ან მის წარმომადგენელს თავისი ფუნქციების ეფექტურად განხორციელებაში.

რაც შეეხება მონაცემთა დაცვის ოფიცერს, ეს არის პერსონალური მონაცემების მოპოვების პროცესში პასუხისმგებელი მხარის ან ორგანიზაციის (ორგანიზაცია, რომელთანაც უშუალოდ არის დაკავშირებული პასუხისმგებელი მხარე) მიერ დანიშნული ფიზიკური პირი, რომელსაც გააჩნია შესაბამისი განათლება და გამოცდილება დაკისრებული მოვალეობების განსახორციელებლად. პასუხისმგებელი მხარე და ორგანიზაცია ვალდებულია, დაასაბუთოს, რომ მათ მიერ დანიშნული ოფიცერი ნამდვილად იმსახურებს ნდობას დაკისრებული მოვალეობების განსახორციელებლად. პასუხისმგებელი მხარე უფლებამოსილია, გააცნოს მონაცემთა დაცვის ოფიცერს საქმის ვითარება მონაცემების მოპოვების პროცესის სწორად წარმართვის მიზნით.

ოფიცერი ვალდებულია, პერსონალური მონაცემების სუბიექტის თხოვნის შესაბამისად, კონფიდენციალურად (საიდუმლოდ) მოახდინოს მასზე მოპოვებული მონაცემის შენახვა. ოფიცერი უფლებამოსილია, მისცეს რეკომენდაცია პასუხისმგებელ მხარეს პერსონალური მონაცემების პროცესის გაუმჯობესების და უკეთ წარმართვის მიზნით, გარდა ამისა, უფლებამოსილია, გაუწიოს კონტროლი პერსონალური მონაცემების მოპოვების პროცესს თავისი კომპეტენციის ფარგლებში, რომელიც მინიჭებული აქვს ამ აქტით. ოფიცერი ვალდებულია, გააკეთოს ყოველწლიური მოხსენება თავისი საქმიანობის შესახებ.

პასუხისმგებლობა პერსონალური მონაცემების შესახებ კანონმდებლობის დარღვევისთვის

აღნიშნული კანონი ითვალისწინებს პასუხისმგებლობის 3 სახეს:

1. ადმინისტრაციული ჯარიმა;

2. ადმინისტრაციული პატიმრობა;

3. სისხლისსამართლებრივი პასუხისმგებლობა;

ზედამხედველი კომისია უფლებამოსილია, აქტით გათვალისწინებული და დაკისრებული ვალდებულებების უკეთ განხორციელების მიზნით, გამოიყენოს პასუხისმგებლობის ისეთი სახეები, როგორიცაა: ადმინისტრაციული ჯარიმა და ადმინისტრაციული პატიმრობა, რომლის დაკისრება ხდება უშუალოდ კომისიის გადაწყვეტილების საფუძველზე, თუ პასუხისმგებელი მხარე დაარღვევს აღნიშნული აქტის შედარებით მსუბუქი ხასიათის ნორმებს, მაგალითად, როგორიცაა შეტყობინების გაგზავნის გარეშე მონაცემების მოპოვების პროცესის დაწყება როგორც ავტომატური, ისე არაავტომატური დამუშავებისას. კომისია ვალდებულია, შეისწავლოს ყოველი კონკრეტული დარღვევა და ფულადი ჯარიმის დანიშვნის დროს გაითვალისწინოს დარღვევის ხარისხი და ხანგრძლივობა. ჯარიმა გადახდილ უნდა იქნეს არაუგვიანეს 6 კვირისა, ხოლო იმ შემთხვევაში, თუ პასუხისმგებელი მხარე არ გადაიხდის მას მითითებულ ვადაში, მას კიდევ ერთხელ ეგზავნება შეტყობინება ჯარიმის გადახდის შესახებ, რომელსაც ემატება მეორედ გაგზავნილი შეტყობინების საფასური და რომელიც უნდა გადაიხადოს შეტყობინების გაგზავნიდან არაუგვიანეს 2 კვირის განმავლობაში. თუ არც 2 ვირის განმავლობაში არ მოხდა ჯარიმის გადახდა, აღნიშნული პირი მიეცემა სამოქალაქო პასუხისმგებლობაში გერმანიის სამოქალაქო კოდექსის მეორე წიგნის შესაბამისად. ხოლო, იმ შემთხვევაში, თუ პასუხისმგებელი მხარე წინასწარი განზრახვის საფუძველზე დაარღვევს აქტის მნიშვნელოვან დებულებებს, მას შეეფარდება სისხლისსამართლებრივი პასუხისმგებლობა არაუმეტეს 6 თვისა.

რაც შეეხება პერსონალური მონაცემების გადაცემის საკითხს, იგი ნებადართულია როგორც ევროკავშირის წევრი, ისე არაწევრი სახელმწიფოებისთვის, რისთვისაც ძალიან მკაცრად დადგენილი პროცედურებია განსახორციელებელი.

პერსონალური მონაცემების სხვა სახელმწიფოსთვის გადაცემა

ამ აქტის მიხედვით, პერსონალური მონაცემების გადაცემა ერთი სახელმწიფოს მიერ მეორესთვის შესაძლებელია იმ შემთხვევაში, თუ გადაცემა არ ეწინააღმდეგება კანონის რომელიმე ძირითად დებულებას, მონაცემების სუბიექტის ნებას და, ამასთან, სახელმწიფოს, რომელსაც გადაეცემა მონაცემები, გააჩნია მონაცემების სუბიექტის და გადაცემული მონაცემების დაცვის შესაბამისი მექანიზმები თავის შიდა კანონმდებლობაში. წინააღმდეგ შემთხვევაში, მოპოვებული პერსონალური მონაცემების თავისუფალი ბრუნვა სახელმწიფოთა შორის დაუშვებელია.

აკრძალვის მიუხედავად, კანონი ითვალისწინებს გამონაკლის შემთხვევას, როცა ევროკავშირის არაწევრ სახელმწიფოს შეიძლება გადაეცეს პერსონალური მონაცემები მაშინაც, როცა მონაცემების მიმღებ სახელმწიფოს არ გააჩნია დაცვის შესაბამისი დონის კანონმდებლობა. ეს შემთხვევებია:

1. როცა მონაცემების სუბიექტი იძლევა აშკარა თანხმობას, რომ მოხდეს მასზე მოპოვებული ინფორმაციის გადაცემა;

2. მონაცემების გადაცემა აღნიშნული სახელმწიფოსთვის აუცილებელია იმ კონტრაქტის პირობების შესასრულებლად,რომლის მხარეს წარმოადგენს მონაცემების მაკონტროლებელი ან მონაცემების სუბიექტი.

3. აუცილებელია მონაცემების მაკონტროლებელსა და მესამე მხარეს შორის კონტრაქტის დასადებად ან კონტრაქტის პირობების განსახორციელებლად (სადაც მესამე მხარე გამოხატავს პერსონალური მონაცემების სუბიექტის ინტერესებს).

4. როცა გადაცემა აუცილებელია საჯარო ინტერესების ან რომელიმე კანონიერი უფლების დასანერგად, განსახორციელებლად ან დასაცავად.

5. როცა გადაცემა აუცილებელია პერსონალური მონაცემების სუბიექტის სასიცოცხლო ინტერესების დასაცავად.

ევროკავშირის იმ არაწევრი სახელმწიფოსთვის მონაცემების გადაცემის საკითხს, რომელსაც არ გააჩნია მონაცემების დაცვის საკანონმდებლო ბაზა, წყვეტს იუსტიციის მინისტრი მონაცემების მაკონტროლებელ კომისიასთან შეთანხმებით (იუსტიციის მინისტრი ვალდებულია, ამის შესახებ აცნობოს ევროკავშირის კომისიას და საბჭოს და გაუგზავნოს შესაბამისი შეტყობინება მისი გადაწყვეტილების თაობაზე.

გერმანია მიეკუთვნება იმ სახელმწიფოთა რიცხვს, რომლებმაც უკვე მოახდინეს ევროპარლამენტისა და ევროსაბჭოს 1995 წლის დირექტივის იმპლემენტაცია თავის შიდა კანონმდებლობაში „პერსონალური მონაცემების დამუშავებისას ფიზიკურ პირთა დაცვისა და პერსონალური მონაცემების თავისუფალი ბრუნვის შესახებ“.

გერმანიაში მონაცემთა დაცვის სფერო რეგულირდება შემდეგი საკანონმდებლო ბაზით: გერმანიის 1949 წლის კონსტიტუციის მე-10 მუხლი, რომლითაც უზრუნველყოფილია პირადი მიმოწერის, ფოსტისა და ტელეკომუნიკაციების უფლების დაცვა, როგორც გერმანიის მოქალაქეთა ხელშეუვალი უფლება; 2004 წლის „კანონი ტელეკომუნიკაციების შესახებ“ და 2001 წლის ფედერალური კანონი „პერსონალური მონაცემების დაცვის შესახებ. ჩვენი ინტერესის საგანს, ამ კონკრეტულ შემთხვევაში, წარმოადგენს 2001 წლის ფედერალური აქტი „პერსონალური მონაცემების დაცვის შესახებ“.

აღნიშნული აქტი ეხება ინდივიდის პირადი ცხოვრების უფლების დაცვას მასზე პერსონალური მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესში. ამ აქტის საფუძველზე, პერსონალური მონაცემების მოპოვება, დამუშავება და გამოყენება შეუძლიათ:

1. გერმანიის ფედერაციის საჯარო ორგანოებს;

2. ფედერაციის ადმინისტრაციულ-ტერიტორიული ერთეულების (Länder) საჯარო ორგანოებს, რომლებიც მონაცემების მოპოვებას ახორციელებენ არა თავის მიწის კანონმდებლობაზე დაყრდნობით (Land legislation), არამედ ფედერაციის კანონმდებლობის და ამ აქტის შესაბამისად, საჯარო ან სასამართლო ორგანოს ფუნქციების განსახორციელებლად, რომელიც არ მოიცავს ადმინისტრაციულ საკითხებს.

3. გერმანიის ფედერაციის კერძო ორგანოებს.

4. მონაცემების მოპოვება ამ აქტზე დაყრდნობით შეუძლებელია, თუ მონაცემების მაკონტროლებელი დაფუძნებულია არა გერმანიაში, არამედ ევროკავშირის რომელიმე წევრ-სახელმწიფოში ან ევროპული ეკონომიკური სივრცის სხვა ხელშემკვრელ სახელმწიფოში, გარდა იმ შემთხვევისა, როცა მოპოვება და დამუშავება ხორციელდება გერმანიის ტერიტორიაზე.

ტერმინთა განმარტება

აღნიშნული აქტის მიხედვით, პერსონალური მონაცემები ეწოდება ნებისმიერი ტიპის ინფორმაციას, როგორც პირად ისე მატერიალურ საკითხებთან დაკავშირებულს, რომელზე დაყრდნობით შესაძლებელია მონაცემების სუბიექტის იდენტიფიკაცია.

ავტომატური დამუშავება გულისხმობს მონაცემების მოპოვებას, დამუშავებას და გამოყენებას მონაცემების დასამუშავებელი სპეციალური მოწყობილობის გამოყენებით.

მონაცემების მოპოვებაში (colection) იგულისხმება: პერსონალური მონაცემების მოპოვება უშუალოდ მონაცემების სუბიექტისგან.

მონაცემების დამუშავებაში (procesing) იგულისხმება: მონაცემების მოპოვება, ჩაწერა, გადაკეთება, შეცვლა, შესწორება, შენახვა, გამოყენება, ბლოკირება, წაშლა, განადგურება, გავრცელება ან სხვაგვარად ხელმისაწვდომობა.

შენახვაში იგულისხმება: მონაცემებისჩაწერა და ისე შენახვა, რომ შესაძლებელი იყოს მომავალში მისი დამუშავება და გამოყენება.

შეცვლაში (შესწორებაში) იგულისხმება: უკვე მოპოვებული, არსებული მონაცემების შეცვლა ან შესწორება ახალი ინფორმაციით.

გავრცელება ნიშნავს ინფორმაციის გამხელას ან მიწოდებას მესამე პირისა ან მესამე მხარისთვის.

ბლოკირებაში იგულისხმება პერსონალური მონაცემების მარკირება (ლაბელინგ) ისე, რომ შესაძლებელი იყოს მომავალში მისი ხელახლა დამუშავება ან გამოყენება.

წაშლა გულისხმობს: არსებული პერსონალური მონაცემების შენახვის აკრძალვას და განადგურებას.

მონაცემების გამოყენებაში (use) იგულისხმება მონაცემების ნებისმიერი ხერხით და სახით გამოყენება, გარდა ხელახლა დამუშავებისა (Processing).

დეპერსონალიზაცია (Depersonalization) ნიშნავს არსებული მონაცემების ისე შეცვლას, რომ ინფორმაცია, რომელიც დაკავშირებულია მის პირად თუ მატერიალურ ცხოვრებასთან (ან საკითხებთან) აღარ იძლევა მონაცემების სუბიექტის იდენტიფიკაციის საშუალებას.

პერსონალური მონაცემების მაკონტროლებელი ეწოდება ფიზიკურ პირს ან ორგანოს, რომელიც მოიპოვებს, ამუშავებს და იყენებს მონაცემებს როგორც თავისი, ისე იმ პირების მიზნების და ვალდებულებების განსახორციელებლად, რომლებიც მათი სახელით მოიპოვებენ და ამუშავებენ პერსონალურ მონაცემებს.

მიმღები ეწოდება: ნებისმიერ პირს ან ორგანოს, რომელსაც შეიძლება გაეგზავნოს მოპოვებული პერსონალური მონაცემები.

მესამე პირი შეიძლება იყოს ნებისმიერი პირი, გარდა მონაცემების მაკონტროლებელი პირისა და ორგანოსი.

განსაკუთრებული კატეგორიის პერსონალურ მონაცემებს მიეკუთვნება მონაცემები, რომლებიც დაკავშირებულია პირის რასობრივ და ეთნიკურ წარმომავლობასთან, რელიგიურ და ფილოსოფიურ, ასევე, პოლიტიკურ შეხედულებებთან, პროფესიული კავშირებისადმი კუთვნილებასთან, ჯანმრთელობის მდგომარეობასა და სქესობრივ ცხოვრებასთან.

პერსონალური მონაცემების სუბიექტის თანხმობა ერთ-ერთ აუცილებელ ელემენტს წარმოადგენს მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესში. ამ კანონის მიხედვით, ინდივიდის თანხმობა აუცილებლად უნდა ეფუძნებოდეს მის თავისუფალ ნებას და, რაც მთავარია, უნდა მოხდეს მისი სურვილის წერილობითი ფორმით დადასტურება, მითუმეტეს მაშინ, როცა საქმე ეხება განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვებას.

პერსონალური მონაცემების დამუშავება

პერსონალური მონაცემების მოპოვება, დამუშავება და გამოყენება კანონიერია მაშინ, როცა აღნიშნული პროცესი მიმდინარეობს:

1. ამ აქტის საფუძველზე.

2. პერსონალური მონაცემების სუბიექტის თანხმობის შესაბამისად.

3. სუბიექტის თანხმობის მიუხედავად, როცა მისი მოპოვება აუცილებელია, საჯარო ვალდებულებების განსახორციელებლად.

4. მონაცემების მოპოვება შესაძლებელია მაშინაც კი, როცა მონაცემების მოპოვება შეუძლებელია უშუალოდ მონაცემების სუბიექტისგან.

5. მონაცემების მოპოვება შესაძლებელია მაშინ, როცა აღნიშნული პროცესის მსვლელობისას გამორიცხულია, ზიანი მიადგეს სუბიექტის უფლებებს. პერსონალური მონაცემების მოპოვება, დამუშავება და გამოყენება გერმანიის ფედერაციის საჯარო ორგანოების მიერ შესაძლებელია, თუ იგი აუცილებელია მონაცემთა მაკონტროლებლის მიერ თავისი საქმიანობის და ამ აქტით გათვალისწინებული ვალდებულებების შესასრულებლად.

განსაკუთრებული კატეგორიის მონაცემების მოპოვება, დამუშავება და გამოყენება კანონიერია, როცა, ამ პროცესის განხორციელება აუცილებელია:

1. საჯარო ინტერესის დასაცავად;

2. მონაცემის სუბიექტმა განაცხადა თანხმობა;

3. აუცილებელია მონაცემის სუბიექტის სასიცოცხლო ინტერესების დასაცავად ან მესამე მხარის კანონიერი ინტერესების დასაცავად, როდესაც მონაცემის სუბიექტს ფიზიკურად ან სამართლებრივად არ შეუძლია თანხმობის გამოხატვა.

4. მონაცემი აშკარად იყო განთავსებული სუბიექტის მიერ საჯარო სექტორში.

5. აუცილებელია სახელმწიფო უშიშროებისათვის მოსალოდნელი საფრთხის თავიდან ასაცილებლად.

6 აუცილებელია სახელმწიფო უშიშროების დასაცავად ან შესაძლო საფრთხის ასაცილებლად, რომელიც შეიძლება მიადგეს სახელმწიფოს უშიშროებას.

7. აუცილებელია პრევენციული მედიცინის, სამედიცინო დიაგნოზის, სამედიცინო დაწესებულებების მომსახურებისათვის, როდესაც მონაცემის დამუშავება ხდება ჯანდაცვის სფეროში მოღვაწე პროფესიონალების ან სხვა პირის მიერ, რომლებიც აღჭურვილნი არიან კონფიდენციალურობის მოვალეობით.

8. აუცილებელია სამეცნიერო ან სამედიცინო კვლევის განსახორციელებლად, როდესაც კვლევის პროექტის განხორციელებას ან კვლევის მიზნების მიღწევის ერთადერთ საშუალებას აღნიშნული მონაცემების მოპოვება განაპირობებს.

9. აუცილებელია ორმხრივი ან მრავალმხრივი ხელშეკრულებებით აღებული ვალდებულებების შესასრულებლად, რომელიც ეხება: ფედერალური მთავრობის მენეჯმენტის კრიზისს, კონფლიქტის თავიდან აცილებას ან არსებული კონფლიქტის მოგვარებას, ანდა ჰუმანიტარული ღონისძიებების განხორციელებას.

პერსონალურ მონაცემთა შენახვა, მოდიფიკაცია და გამოყენება დასაშვებია, როდესაც ეს აუცილებელია:

ა) მონაცემთა მაკონტროლებლის ვალდებულების შესასრულებლად; ან
ბ) იმ მიზნისმისაღწევად, რისთვისაც მოხდა მონაცემთა შეგროვება.

მოპოვებული მონაცემების შენახვა, მოდიფიკაცია და გამოყენება არა იმ მიზნისთვის, რომლისთვისაც დამუშავდა, არამედ სხვა მიზნისთვის, დასაშვებია მხოლოდ იმ შემთხვევაში, როდესაც:

1. სამართლებრივი აქტებით დაშვებულია;

2. არსებობს სუბიექტის თანხმობა;

3. აშკარაა, რომ ეს მონაცემი სუბიექტის ინტერესების სფეროშია და არ არსებობს მიზეზი, რომლის გამოც შეიძლება ვივარაუდოთ, რომ მან შეიძლება თანხმობაზე უარი განაცხადოს;

4. მონაცემის სუბიექტის მიერ მოწოდებული ინფორმაციის შემოწმება აუცილებელია, რადგანაც არსებობს ეჭვი იმის თაობაზე, რომ ინფორმაცია არასწორია;

5. აუცილებელია საზოგადოებრივი უსაფრთხოებისათვის ან მნიშვნელოვანი საჯარო ინტერესის დასაცავად;

6. აუცილებელია სამართლებრივი დევნის განსახორციელებლად, სისხლისსამართლებრივი ან დმინისტრაციული სამართალდარღვევის შემთხვევაში, ასევე, სასჯელის აღსასრულებლად;

7. აუცილებელია, რათა თავიდან იქნეს აცილებული სხვა პირის უფლების უხეში დარღვევა;

8. აუცილებელია სამეცნიერო კვლევის, სამეცნიერო ინტერესის განსახორციელებლად, განსაკუთრებით მაშინ, როცა აღნიშნული მიზნის მიღწევის სხვა გზა არ არსებობს.

პერსონალურ მონაცემთა გამხელა (გადაცემა) საჯარო ორგანოებისათვის დასაშვებია:

1. გადამცემი ორგანოს (communicating body) ან მესამე მხარის მიერ აღებული ვალდებულებების განსახორციელებლად.

2. მოპოვებული ინფორმაციის მესამე მხარისათვის გადაცემის ვალდებულების უზრუნველსაყოფად გადამცემი ორგანოს მიერ, მხარის თხოვნის საფუძველზე, რომელიც დაინტერესებულია მონაცემების მოპოვებით და დაასაბუთებს, რომ მას გააჩნია მონაცემების ცოდნის და გადაცემის კანონიერი ინტერესი.

3. მესამე მხარისათვის გადაცემული მონაცემების ხელახლა დამუშავების და გამოყენების უზრუნველსაყოფად. იმ მიზნის ან მიზნების მისაღწევად, რომლისთვისაც მას გადაეცა აღნიშნული მონაცემები.

4. მესამე მხარის მიერ გადაცემული მონაცემების ხელახლა დამუშავებისა და გამოყენების უზრუნველსაყოფად, არა იმ მიზნისთვის, რომლისთვისაც გადაეცა, არამედ სხვა მიზნების განსახორციელებლად, მონაცემების სუბიექტის თანხმობის შემთხვევაში ან მონაცემების სუბიექტის აშკარად სავარაუდო თანხმობის შემთხვევაში, რომ სცოდნოდა მონაცემების ხელახლა დამუშავების და გამოყენების რეალური მიზეზი.

5. მონაცემების მოპოვება ხორციელდება გერმანიის ფედერაციის რელიგიური კავშირებისათვის ან რელიგიური გაერთიანებებისათვის, მონაცემების გადაცემის მიზნით, რომლებიც მიეკუთვნება გერმანიის ფედერაციის საჯარო ორგანოებს.

ხოლო რაც შეეხება არასაჯარო (კერძო) ორგანოებისათვის მონაცემთა გადაცემას, დასაშვებია:

1. თუ იგი აუცილებელია მონაცემების გადამცემი ორგანოს (communicating body) ვალდებულებების განსახორციელებლად, რომელიც დაკავშირებულია პერსონალური მონაცემების დამუშავებასთან, გამოყენებასა და გადაცემასთან.

2. მესამე მხარისათვის გადასაცემად, რომელიც დაასაბუთებს, რომ მას გააჩნია მონაცემების გადაცემის და ცოდნის კანონიერი ინტერესი, ხოლო მონაცემების სუბიექტი არ არის ასეთი გადაცემის წინააღმდეგი.

3. სპეციალური კატეგორიის მონაცემების გადაცემა კი შესაძლებელია მაშინ, როცა, საქმე ეხება კანონიერი მოთხოვნის (legal claim) აღძვრას, განხორციელებას და დაცვას.

4. მესამე მხარის მიერ გადაცემული მონაცემების ხელახლა დამუშავება და გამოყენება შესაძლებელია მხოლოდ და მხოლოდ იმ მიზნისთვის, რომლისთვისაც გადაეცა. სხვა მიზნის მისაღწევად გადაცემული მონაცემების დამუშავება ან გამოყენება კერძო ორგანოს შეუძლია გადამცემი ორგანოს ნებართვის შედეგად.

გადამცემი ორგანო ვალდებულია, აცნობოს გადაცემის შესახებ მონაცემების სუბიექტს, გარდა იმ გამონაკლისი შემთხვევებისა, როცა: მონაცემების სუბიექტი უკვე ინფორმირებულია აღნიშნულის შესახებ სხვა წყაროს მიერ, როცა მისი შეტყობინება საფრთხეს უქმნის გერმანიის ფედერაციის სახელმწიფო უშიშროებას.

რაც შეეხება, პერსონალური მონაცემების მოპოვებას, დამუშავებას, შენახვას, მოდიფიკაციას და გადაცემას კერძო ორგანოების მიერ, შესაძლებელია:

1. კონტრაქტით ან კვაზი-კონტრაქტული ურთიერთობებით აღებული ვალდებულებების შესასრულებლად, რომლის ერთ-ერთ მხარეს მონაცემების სუბიექტი წარმოადგენს.

2. მონაცემის მაკონტროლებლის კანონიერი ინტერესის დასაცავად.

3. როდესაც მონაცემი ზოგადად ხელმისაწვდომია ან მონაცემთა მაკონტროლებელს შეუძლია, კანონიერად გამოაქვეყნოს ისინი, გარდა იმ შემთხვევისა, როცა მონაცემების გამოქვეყნება არ ლახავს სუბიექტის ლეგიტიმურ ინტერესებს. მოპოვებული მონაცემები შეიძლება გამოყენებული ან გადაცემული იქნეს არა იმ კონკრეტული მიზნისთვის, რომლისთვისაც დაიწყო აღნიშნული პროცესი, არამედ კიდევ სხვა მიზნების განსახორციელებლად და იგი ჩაითვალოს კანონიერად, თუ:

ა) იგი საჭიროა მონაცემების სუბიექტის ან მესამე მხარის კანონიერი ინტერესების დასაცავად.

ბ) ეროვნული უშიშროების ან საჯარო ინტერესების უზრუნველსაყოფად ან დანაშაულის გამოსაძიებლად.

გ) მარკეტინგის მიზნებისათვის, ბაზრის კვლევისა და ეგზიტპოლებისთვის.

ე) აუცილებელია სამეცნიერო კვლევითი ინსტიტუტების ინტერესებიდან გამომდინარე, როცა სამეცნიერო კვლევის განსახორციელებლად არ არსებობს სხვა გზა, გარდა მონაცემების მოპოვებისა.

დ) მესამე მხარისათვის გადასაცემად, რომელსაც შეუძლია აღნიშნული მონაცემების გამოყენება იმ მიზნით, რომლისთვისაც გადაეცემა.

განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვება დამუშავება და გამოყენება კერძო ორგანოების მიერ კანონიერია, როცა საქმე ეხება მათ ბიზნეს-ინტერესებს, მიუხედავად მონაცემების სუბიექტის თანხმობისა, როცა:

1. მონაცემების მოპოვება აუცილებელია მონაცემების სუბიექტის ან მესამე მხარის სასიცოცხლო ინტერესების დასაცავად, მაგრამ მონაცემების სუბიექტს ფიზიკურად ან სამართლებრივად არ შეუძლია თანხმობის გაცემა.

2. მონაცემები აშკარად საჯარო გახდა მონაცემების სუბიექტის მიერ.

3. აუცილებელია კანონიერი მოთხოვნის დაფუძნების, განხორციელების ან დაცვის მიზნით და არ არსებობს იმის საფუძველი, რომ მონაცემების სუბიექტს აქვს უფრო მნიშვნელოვანი ლეგიტიმური ინტერესი.

4. აუცილებელია სამეცნიერო კვლევის განსახორციელებლად, როცა მონაცემების მოპოვება წარმოადგენს ერთადერთ საშუალებას აღნიშნული კვლევის განსახორციელებლად.

5. პრევენციული მედიცინის, სამედიცინო დიაგნოზის, ჯანდაცვის მიზნებისათვის, როდესაც მონაცემები მუშავდება სპეციალური სამედიცინო პერსონალის ან სხვა უფლებამოსილი პირის მიერ, რომელიც აღჭურვილია შესაბამისი კონფიდენციალურობის ვალდებულებით.

6. მოპოვება ემსახურება საზოგადოების საჯარო და სახელმწიფოს უშიშროების ინტერესებისათვის მოსალოდნელი საფრთხის თავიდან აცილებას.

7. დანაშაულის გამოძიებას.

8. განსაკუთრებული კატეგორიის მონაცემების მოპოვება, დამუშავება და გამოყენება შეუძლიათ არასამეწარმეო, მოგებაზე არაორიენტირებულ, პოლიტიკური, ფილოსოფიური, რელიგიური და სავაჭრო მიზნებისათვის შექმნილ ორგანიზაციებს და კავშირებს, თავიანთი ორგანიზაციის ან კავშირის წევრებსა ან მათთან მუდმივად კავშირში მყოფ პირებზე, რომლებიც დაასაბუთებენ, რომ ამ კატეგორიის მონაცემების მოპოვებას გადამწყვეტი მნიშვნელობა აქვს მათი მიზნების განხორციელებისათვის.

მათ მიერ მოპოვებული მონაცემების გადაცემა მესამე მხარისათვის შესაძლებელია მხოლოდ და მხოლოდ მონაცემების სუბიექტის თანხმობის შემთხვევაში.

მონაცემთა სუბიექტის ინფორმირებისა და შეტყობინების ვალდებულება

პერსონალური მონაცემების სუბიექტისთვის შეტყობინების გაგზავნა ევალება მონაცემების მაკონტროლებელს.შეტყობინების მიზანს წარმოადგენს, საქმის კურსში ჩააყენოს მონაცემების სუბიექტი მასზე მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესის დაწყებასთან დაკავშირებით. შეტყობინების გაგზავნა უნდა მოხდეს აღნიშნული პროცესის დაწყებამდე. მონაცემების მაკონტროლებელს ამ აქტით აქვს დისკრეციული უფლება, თვითონ განსაზღვროს, თუ რა ფორმით მიაწოდოს მონაცემების სუბიექტს შეტყობინება, რომელიც აუცილებლად უნდა შეიცავდეს:

ა) ინფორმაციას მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესის დაწყებასთან დაკავშირებით.
ბ) მონაცემების მაკონტროლებლის ვინაობას, სახელს და მისამართს.
გ) მონაცემების მოპოვების, დამუშავების და გამოყენების კანონიერ მიზანს ან მიზნებს.
ე) მიმღებისან მიმღებთა კატეგორიებს, რომელთათვისაც მონაცემები შესაძლოა გახდეს ხელმისაწვდომი.

შეტყობინება შეიძლება არ გაეგზავნოს მონაცემების სუბიექტს, როცა:

1. იგი უკვე ინფორმირებულია სხვა წყაროს მიერ მასზე მონაცემების მოპოვების პროცესის დაწყებასთან დაკავშირებით.

2. შეტყობინებამ შესაძლოა გამოიწვიოს ზედმეტი ხარჯი.

3. შეტყობინება აკრძალულია კანონიერად, მონაცემების მოპოვების და გამოყენების ეფექტურად განსახორციელებლად.

ასეთ შემთხვევაში, მონაცემების მაკონტროლებელი ვალდებულია, გაუგზავნოს

სუბიექტს წერილობითი ახსნა-განმარტება და აცნობოს ის მიზეზი, რომლის გამოც არ მოხდა მისი წინასწარ ინფორმირება.

გარდა შეტყობინებისა, მონაცემების სუბიექტი უფლებამოსილია, იყოს ინფორმირებული მონაცემების მაკონტროლებლის მიერ ყველა იმ ქმედების შესახებ, რომელიც დაკავშირებულია მასზე მონაცემების მოპოვების, დამუშავების და გამოყენების უკვე მიმდინარე პროცესთან. მონაცემების მაკონტროლებელი ვალდებულია, მოახდინოს სუბიექტის ინფორმირება მხოლოდ და მხოლოდ მისი წერილობითი თხოვნის საფუძველზე და არა - თავისი ინიციატივით. მონაცემების მაკონტროლებელს ამ აქტით მინიჭებული აქვს დისკრეციული უფლება, თვითონ განსაზღვროს, თუ რა ფორმით მიაწოდოს მონაცემების სუბიექტს აღნიშნული ინფორმაცია, რომელიც აუცილებლად უნდა შეიცავდეს:

1. ცნობებს მონაცემების მოპოვების კანონიერი მიზნის ან მიზნების შესახებ.

2. მოსაპოვებელი მონაცემების კატეგორიას (მიეკუთვნება თუ არა იგი განსაკუთრებული კატეგორიის მონაცემებს).

3. მონაცემების მოპოვების წყაროს.

4. მიმღების ან მიმღებთა კატეგორიებს, ვისთვისაც მონაცემები შეიძლება გახდეს ხელმისაწვდომი.

აქტი იძლევა გამონაკლის შემთხვევებს, როცა მონაცემების მაკონტროლებელი არ არის ვალდებული, მოახდინოს მონაცემების სუბიექტის ინფორმაციით უზრუნველყოფა მაშინ, როცა, სუბიექტის ინფორმირების შედეგად შესაძლოა ზიანი მიადგეს:

1. ონაცემების მაკონტროლებლის საქმიანობას სუბიექტზე მონაცემების მოპოვების, დამუშავების ან გამოყენების პროცესში.

2. ინფორმირების შედეგად შესაძლოა ზიანი მიადგეს საზოგადოებრივ უსაფრთხოებას, საჯარო ინტერესებს, გერმანიის ფედერაციის სახელმწიფო უშიშროებას.

3. ინფორმირება აკრძალულია მაშინ, როცა მოპოვებული ან მოსაპოვებელი მონაცემები, კანონის შესაბამისად, კონფიდენციალურია და მისი გადაცემის შედეგად შესაძლოა ზიანი მიადგეს როგორც მონაცემების სუბიექტის, ისე მესამე მხარის კანონიერ ინტერესებს.

ამ გამონაკლისი შემთხვევების გარდა, როცა სხვა მიზეზით არ ხდება მონაცემების სუბიექტის ინფორმირება, სუბიექტი უფლებამოსილია, დახმარებისათვის მიმართოს მონაცემების დაცვის ფედერალურ კომისარს (federal commissioner for data protection).

პერსონალური მონაცემების სუბიექტის უფლებები

აქტი ითვალისწინებს მონაცემების სუბიექტის კომპენსაციით უზრუნველყოფას, რომლის ვალდებულება ეკისრება მონაცემების მაკონტროლებელს იმ შემთხვევაში, თუ მისი მიზეზით ზიანი მიადგება მონაცემების სუბიექტის რომელიმე კანონიერ ინტერესს მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესში.

პერსონალური მონაცემების სუბიექტი უფლებამოსილია, მოითხოვოს ნებისმიერი მონაცემის წაშლა, შესწორება ან დაბლოკვა, თუ მას ამისთვის გააჩნია საფუძვლიანი მიზეზი. მონაცემის წაშლა და განადგურება უნდა მოხდეს მაშინ, როცა მოპოვებული მონაცემების გამოყენება უკვე მოხდა იმ მიზნის მისაღწევად, რისთვისაც ის იქნა მოპოვებული ან კანონი კრძალავს მის შენახვას. წაშლის ნაცვლად, მონაცემი შეიძლება დაიბლოკოს, როცა მისი წაშლის შედეგად შეიძლება ზიანი მიადგეს მონაცემების სუბიექტის კანონიერ ინტერესებს. მონაცემი შეიძლება დაიბლოკოს, როცა მონაცემების სუბიექტი დავობს, რომ მონაცემი სწორია, მაგრამ რეალურად შეუძლებელია არსებული მონაცემის სისწორის დადგენა. დაბლოკილი მონაცემები შეიძლება ხელახლა დამუშავებული, გამოყენებული ან გადაცემული იქნეს მონაცემების სუბიექტის თანხმობის გარეშე და ჩაითვალოს კანონიერად, როცა:

1. მისი გამოყენება აუცილებელია მონაცემების სუბიექტის და მესამე მხარის კანონიერი ინტერესების დასაცავად.

2. აღნიშნული მონაცემების გამოყენება ხდება მტკიცებულების სახით.

3. მისი გამოყენება აუცილებელია სამეცნიერო კვლევის მიზნებისათვის.

მონაცემების შესწორების, დაბლოკვის და წაშლის შესახებ უნდა ეცნობოს მონაცემების სუბიექტს და მესამე მხარეს, ვისთვისაც მონაცემები შესაძლოა გახდეს ხელმისაწვდომი.

მონაცემების სუბიექტის უფლება - იყოს ინფორმირებული მონაცემების მაკონტროლებლის მიერ მასზე მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესის მსვლელობასთან დაკავშირებით (გარდა ამ აქტით გათვალისწინებული გამონაკლისი შემთხვევებისა) და მოითხოვოს არასწორი ან არასრული მონაცემების წაშლა, განადგურება ან დაბლოკვა - მიეკუთვნება მის ხელშეუვალ უფლებას, რომლის უკანონოდ ხელყოფის შემთხვევაში, შეუძლია დახმარებისათვის მიმართოს მონაცემების დაცვის ფედერალურ კომისარს.

პერსონალური მონაცემების დაცვის ფედერალური კომისარი

პერსონალური მონაცემების მოპოვების, დამუშავების და გამოყენების მთლიან პროცესზე მეთვალყურეობა ევალება პერსონალური მონაცემების დაცვის ფედერალურ კომისარს. ფედერალური კომისარი უნდა იყოს არანაკლებ 35 წლისა. აღნიშნული თანამდებობა არჩევითია. იგი აირჩევა 5 წლის ვადით. საბოლოოდ, ფედერალურ კომისარს აღნიშნულ თანამდებობაზე ამტკიცებს ფედერაციის პრეზიდენტი. იგი შეიძლება ამ თანამდებობაზე არჩეულ იქნეს მეორე ვადით.

ფედერალური კომისარი აბსოლუტურად დამოუკიდებელია თავისი ფუნქციების განხორციელებისას. იგი უფლებამოსილია, მონიტორინგი გაუწიოს ფედერაციის საჯარო ორგანოების საქმიანობას მათ მიერ მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესში.

კომისარი ვალდებულია, აცნობოს მონიტორინგის შედეგები საჯარო ორგანოებს. გარდა ამისა, იგი უფლებამოსილია მისცეს მითითებები, კონსულტაციები და წარუდგინოს მოქმედების გეგმა საჯარო ორგანოებს, მონაცემების მოპოვების, დამუშავების და გამოყენების პროცესის ეფექტურად წარმართვისა და გაუმჯობესების მიზნით. ფედერალურ კომისარს აქვს უფლება, მომართოს სასამართლოს საჩივრით, თუ აღმოაჩენს, რომ ირღვევა ამ აქტის რომელიმე მნიშვნელოვანი დებულება. იგი ვალდებულია, გააკეთოს მოხსენება როგორც თავისი საქმიანობის, ისე მიმდინარე პროცესების შესახებ. იგი ანგარიშვალდებულია, ყოველ 2 წელიწადში ერთხელ წარდგეს პარლამენტის წინაშე აღნიშნული მოხსენებით.

პერსონალური მონაცემების გადაცემა სხვა სახელმწიფოებისთვის

რაც შეეხება პერსონალური მონაცემების გადაცემის საკითხს, იგი ნებადართულია ევროკავშირის როგორც წევრი, ისე არაწევრი სახელმწიფოსთვის. პერსონალური მონაცემების სუბიექტის თანხმობა საჭიროა არა მარტო მონაცემების მოპოვების პროცესის დასაწყებად, არამედ მოპოვებული მონაცემების სხვა სახელმწიფოსათვის გადასაცემად. მონაცემების გადაცემა დაუშვებელია:

1. მონაცემების სუბიექტის თანხმობის გარეშე;

2. თუ გადაცემის შედეგად გარდაუვალია მონაცემების სუბიექტის კანონიერი უფლებების და კანონიერი ინტერესებისათვის ზიანის მიყენება;

3. მონაცემების მიმღებ სახელმწიფოს არ გააჩნია მონაცემების და მონაცემთა სუბიექტის დაცვის შესაბამისი დონის კანონმდებლობა.

თუმცა, აქტი იქვე იძლევა გამონაკლისს, როცა, აკრძალვის მიუხედავად, შესაძლებელია მონაცემების გადაცემა ევროკავშირის იმ არაწევრი სახელმწიფოსთვის, რომელიც ვერ აკმაყოფილებს გადაცემის კანონით დადგენილ კრიტერიუმებს:

1. როცა სუბიექტი იძლევა თანხმობას.

2. როცა გადაცემა აუცილებელია ფედერაციის საჯარო ორგანოების მიერ ხელშეკრულებით აღებული ვალდებულებების შესასრულებლად.

3. ორმხრივი ან მრავალმხრივი ხელშეკრულებით გათვალისწინებული ვალდებულებების განსახორციელებლად, რომელიც დაკავშირებულია: ა) მენეჯმენტის კრიზისის დაძლევასთან; ბ) კონფლიქტების თავიდან აცილებასა ან მოგვარებასთან; და გ) ჰუმანიტარული საქმიანობის განხორციელებასთან.

4. გადაცემა აუცილებელია ხელშეკრულებით აღებული ვალდებულებების განსახორციელებლად მონაცემის სუბიექტსა და მონაცემის მაკონტროლებელს შორის.

5. გადაცემა აუცილებელია მონაცემების მაკონტროლებელსა და მესამე პირს შორის ხელშეკრულების დასადებად ან დადებული ხელშეკრულების პირობების განსახორციელებლად, სადაც მესამე პირი გამოდის მონაცემების სუბიექტის ინტერესების გასატარებლად.

6. გადაცემა აუცილებელია საზოგადოების საჯარო ინტერესების და კანონით გათვალისწინებული ვალდებულებების განსახორციელებლად.

7. გადაცემა აუცილებელია მონაცემების სუბიექტის კანონიერი ინტერესების დასაცავად.

ორგანო, რომელიც გადასცემს მონაცემებს, ვალდებულია, განუმარტოს მონაცემების მიმღებ ორგანოს, რომ მონაცემების დამუშავება და გამოყენება უნდა მოხდეს მხოლოდ და მხოლოდ იმ მიზნების შესაბამისად, რომლის განსახორციელებლადაც მოხდა მისი გადაცემა.

მონაცემების სუბიექტის შეტყობინების ვალდებულება, მასზე არსებული მონაცემების სხვა სახელმწიფოსთვის გადაცემასთან დაკავშირებით, ეკისრება მონაცემების გადამცემ ორგანოს. შეტყობინება შეიძლება არ გაიგზავნოს იმ შემთხვევაში, როცა: ა) მონაცემების სუბიექტი სხვა წყაროს მიერ უკვე ინფორმირებულია აღნიშნულის შესახებ ბ) როცა შეტყობინება საფრთხეს უქმნის საზოგადოების საჯარო ინტერესებს, გერმანიის ფედერაციის სახელმწიფო ნტერესებს. მონაცემების გადაცემის კანონიერებაზე პასუხისმგებელია მონაცემების გადამცემი ორგანო.

ინგლისში პერსონალური მონაცემების დამუშავება რეგულირდება 1998 წლის მონაცემთა დაცვის აქტით (data cprotection act). გარდა ამ აქტისა, ინგლიში, მონაცემების რეგულირება ხდება შემდეგი სამართლებრივი აქტებით: Freedom of Information Act (2006); Fublic Records Act(1958); და Identity Cards Act(2006); ჩვენი ინტერესის საგანს, ამ კონკრეტულ შემთხვევაში, წარმოადგენს 1998 წლის აქტი პერსონალური მონაცემების დაცვის შესახებ, რომლის თანახმად: პერსონალური მონაცემი ეწოდება, ყველა ტიპის ინფორმაციას, რომელზე დაყრდნობით შესაძლებელია ინდივიდის იდენტიფიკაცია. გარდა ამისა, პერსონალურ მონაცემად შესაძლოა ჩაითვალოს ნებისმიერი დახასიათება ან აზრი, რომელიც იძლევა მონაცემების სუბიექტის იდენტიფიკაციის საშუალებას.

მონაცემების მაკონტროლებელი ეწოდება პირს, რომელიც დამოუკიდებლად ან სხვა პირთან კავშირში განსაზღვრავს: პერსონალური მონაცემების მოპოვების მიზანს ან მიზნებს და ადგენს მონაცემების მოპოვების ხერხებს და საშუალებებს. მონაცემების სუბიექტი არის პირი, რომელზეც ხდება პერსონალური მონაცემების დამუშავება. მონაცემების მომპოვებელი არის პირი, რომელიც მონაცემების მოპოვებას ახორციელებს მონაცემების მაკონტროლებლის სახელით. მონაცემების მოპოვების პროცესში იგულისხმება ნებისმიერი ტიპის ოპერაცია, რომელიც დაკავშირებულია მონაცემების მოპოვებასთან, ჩაწერასა და შენახვასთან, ნებისმიერი ქმედება, რომელიც უკავშირდება:

1. ინფორმაციის ან მონაცემის ორგანიზებას, ადაპტირებას და შეცვლას;

2. ინფორმაციის ან მონაცემების აღდგენას;

3. ინფორმაციის ან მონაცემის გააშკარავებას, გავრცელებას ან სხვა საშუალებებს, რომლის მეშვეობითაც მონაცემები გახდება ხელმისაწვდომი;

4. მონაცემის ან ინფორმაციის რეგულირებას, კომბინაციას, დაბლოკვას, წაშლას ან განადგურებას.

პერსონალური მონაცემების დამუშავების 8 ძირითადი პრინციპი

პერსონალური მონაცემების მოპოვების პროცესის ეფექტურად განხორციელების და ამ პროცესში, პერსონალური მონაცემების სუბიექტის უფლებების უკეთ დაცვის მიზნით, აქტი იძლევა რვა ძირითად პრინციპს.

პირველი პრინციპის თანახმად: პერსონალური მონაცემები უნდა იქნეს მოპოვებული სამართლიანად, ობიექტურად და კანონიერად და იქვე კრძალავს, მგრძნობიარე კატეგორიის (sensitive personal data) პერსონალური მონაცემების მოპოვებას, გარდა ამ აქტით გათვალისწინებული გამონაკლისი შემთხვევებისა.

მეორე პრინციპის საფუძველზე: პერსონალური მონაცემების მოპოვება შესაძლებელია მაშინ, როცა არსებობს ერთი ან რამდენიმე სპეციალური (სპეციფიედ) და კანონიერი მიზანი ან მიზნები. ხოლო მონაცემების დამუშავება და მოპოვება დაუშვებელია, როცა მონაცემების მოპოვების ხერხები და საშუალებები, ასევე, მისი მოპოვების რეალური მიზანი შეუსაბამოა კანონით გათვალისწინებულ მიზანსა ან მიზნებთან.

მესამე პრინციპის საფუძველზე: პერსონალური მონაცემები უნდა იყოს ადეკვატური, რელევანტური და არაგადაჭარბებული (not excxcessive) იმ მიზნისა ან მიზნებისა, რომლის მისაღწევადაც დაიწყო პერსონალური მონაცემების დამუშავება.

მეოთხე პრინციპის მიხედვით: აუცილებელია, მოპოვებული პერსონალური მონაცემები იყოს ზუსტი (accurate) და, თუ საჭიროა, უნდა მოხდეს მისი უკანასკნელი მონაცემებით შევსება (kept up to date).

მეხუთე პრინციპი კრძალავს მოპოვებული მონაცემების იმაზე დიდხანს (ხანგრძლივად) შენახვას, ვიდრე იგი საჭიროა ამა თუ იმ კონკრეტული მიზნის მისაღწევად.

მეექვსე პრინციპის მიხედვით, მონაცემების მოპოვება და დამუშავება უნდა მოხდეს პერსონალური მონაცემების სუბიექტის უფლებების გათვალისწინებით, რომელიც მას ამ აქტით აქვს მინიჭებული.

მეშვიდე პრინციპი ემსახურება აუცილებელი ზომების გატარებას მონაცემების დამუშავების პროცესის შეჩერების მიზნით, როცა მონაცემების მოპოვება ხორციელდება არაუფლებამოსილი პირის მიერ (unauthorized person) ან უკანონოდ (unlawful).გარდა ამისა, ამ პრინციპის საფუძველზე, თავიდან უნდა იქნეს აცილებული მოპოვებული პერსონალური მონაცემების შემთხვევით დაკარგვა, განადგურება ან დაზიანება.

და ბოლოს, მერვე პრინციპი ეხება მოპოვებული მონაცემების გადაცემას ევროკავშირის არაწევრი ქვეყნისთვის ან ტერიტორიისთვის (territory).ამ პრინციპის საფუძველზე, გადაცემა დაუშვებელია, თუ მონაცემების მიმღებ ქვეყანას ან ტერიტორიას არ გააჩნია პერსონალური მონაცემების და მონაცემების სუბიექტის დაცვის შესაბამისი დონის მექანიზმი კანონმდებლობაში.

პერსონალური მონაცემების მაკონტროლებელი და პერსონალურ მონაცემთა დაცვის კომისარი

პერსონალური მონაცემების მოპოვების პროცესს ამ აქტის საფუძველზე ახორციელებს პერსონალური მონაცემების მაკონტროლებელი (data controller) ან მისი წარმომადგენელი მონაცემების მაკონტროლებლის სახელით. მონაცემების მაკონტროლებელი ვალდებულია, გაუგზავნოს შეტყობინება მონაცემების სუბიექტს და მონაცემების დაცვის კომისარს (personal data protection commissioner) პერსონალური მონაცემების დამუშავების პროცესის დაწყებასთან დაკავშირებით. შეტყობინების გაგზავნა აუცილებელია მონაცემების დამუშავების პროცესის დაწყებამდე.

მაკონტროლებელი ასევე ვალდებულია, მოახდინოს შეტყობინების რეგისტრაცია, რომელიც აუცილებელია იმდენად, რამდენადაც, რეგისტრაციის არარსებობის შემთხვევაში, ადვილი შესაძლებელია პერსონალური მონაცემების დამუშავების პროცესის შეფერხება ან საერთოდ შეჩერება.

შეტყობინება უნდა შეიცავდეს:

1. მონაცემების მაკონტროლებლის სახელს და მისამართს; ხოლო, იმ შემთხვევაში, თუ მონაცემების მაკონტროლებელს ჰყავს თავისი წარმომადგენელი, აღნიშნული წარმომადგენლის სახელს და მისამართს;

2. მონაცემების მოპოვების კანონიერ მიზანს ან მიზნებს, მონაცემების მოპოვების ხერხებს და საშუალებებს.

3. დასამუშავებელი პერსონალური მონაცემების კატეგორიას;

4. პერსონალური მონაცემების სუბიექტის ან სუბიექტების კატეგორიების დასახელებას, რომლებზეც ხდება მონაცემების დამუშავება;

5. მიმღების ან მიმღებთა კატეგორიების დასახელებას, რომელთათვისაც მოპოვებული პერსონალური მონაცემები შეიძლება გახდეს ცნობილი;

6. იმ სახელმწიფოს ან ტერიტორიის დასახელებას, რომელიც არ არის ევროკავშირის წევრი, მაგრამ მონაცემების მაკონტროლებელს განზრახული აქვს მონაცემების გადაცემა.

პერსონალური მონაცემების სუბიექტის თანხმობა

პერსონალური მონაცემების სუბიექტის თანხმობა წარმოადგენს აუცილებელ წინაპირობას მონაცემების მოპოვების პროცესის დასაწყებად. მგრძნობიარე პერსონალური მონაცემების დამუშავების შემთხვევაში კი, საჭიროა მონაცემის სუბიექტის აშკარად გამოხატული თანხმობა (explicit consent).

პერსონალურ მონაცემთა დამუშავება

პერსონალური მონაცემის დამუშავება შესაძლებელია:

1. მონაცემების სუბიექტის უდავო თანხმობის შემთხვევაში;

2. პერსონალური მონაცემების დამუშავება აუცილებელია კონტრაქტით აღებული ვალდებულებების შესასრულებლად, რომლის ერთ-ერთ მხარეს უშუალოდ მონაცემების სუბიექტი წარმოადგენს.

3. დამუშავება აუცილებელია მონაცემების სუბიექტის სამართლებრივი ვალდებულებების შესასრულებლად;

4. დამუშავება აუცილებელია მონაცემის სუბიექტის სასიცოცხლო ინტერესების დასაცავად;

5. დამუშავება აუცილებელია მონაცემის მაკონტროლებლის ან მესამე მხარის კანონიერი ინტერესების დასაცავად, გარდა იმ შემთხვევებისა, როდესაც საფრთხე შესაძლებელია მიადგეს მონაცემის სუბიექტის უფლებებს და კანონიერ ინტერესებს.

მგრძნობიარე პერსონალური მონაცემების დამუშავება

რაც შეეხება მგრძნობიარე კატეგორიის პერსონალურ მონაცემებს, აღნიშნულ კატეგორიას მიეკუთვნება მონაცემები, რომლებიც დაკავშირებულია სუბიექტის რასობრივ და ეთნიკურ წარმომავლობასთან, მის პოლიტიკურ შეხედულებებთან, მის რელიგიურ მრწამსთან, პროფესიული კავშირისადმი კუთვნილებასთან, მისი ფიზიკური ან ფსიქიკური ჯანმრთელობის მდგომარეობასთან, სქესობრივ ცხოვრებასთან და მის მიერ დანაშაულის ჩადენასთან.

მიუხედავად იმისა, რომ აქტი კრძალავს მგრძნობიარე კატეგორიის პერსონალური მონაცემების მოპოვებას, მასში მოცემულია გამონაკლისი შემთხვევები, როცა, აკრძალვის მიუხედავად, შესაძლებელია ამ კატეგორიის მონაცემების დამუშავება. ეს შემთხვევებია, როცა:

1. მონაცემების სუბიექტმა გამოხატა აშკარა თანხმობა;

2. დამუშავება აუცილებელია იმ უფლებებისა და ვალდებულების განსახორციელებლად, რომელიც კანონით მინიჭებული აქვს მონაცემის მაკონტროლებელს;

3. დამუშავება აუცილებელია მონაცემის სუბიექტის ან სხვა პირის სასიცოცხლო ინტერესის დასაცავად, მიუხედავად მონაცემების სუბიექტის თანხმობისა, რომლის მოპოვებაც შეუძლებელია ან მონაცემების მაკონტროლებელი გონივრულად ვარაუდობს, რომ სუბიექტის თანხმობის მოპოვება შეუძლებელია.

4. განსაკუთრებული კატეგორიის პერსონალური მონაცემების მოპოვება შეუძლიათ, არასამეწარმეო, მოგებაზე არაორიენტირებულ, პოლიტიკური, ფილოსოფიური, რელიგიური და სავაჭრო მიზნებისათვის შექმნილ ორგანიზაციებს და კავშირებს თავიანთი კომპეტენციის ფარგლებში. ისინი უფლებამოსილნი არიან, მოიპოვონ მგრძნობიარე კატეგორიის მონაცემები თავიანთი კავშირის ან ორგანიზაციის წევრებზე ან მათთან მუდმივად კავშირში მყოფ პირებზე, როგორც თავიანთი კანონიერი მიზნების მისაღწევად, ისე მათი წევრების კეთილდღეობის უზრუნველსაყოფად.

ასეთი გზით მონაცემების მოპოვება უნდა განხორციელდეს უსაფრთხოების ზომების მკაცრი დაცვით და მონაცემების სუბიექტის უფლებების გათვალისწინებით.

5. დამუშავება შესაძლებელია მაშინ, როცა, ინფორმაცია, რომელსაც შეიცავს პერსონალური მონაცემები, მონაცემების სუბიექტმა თვითონ გახადა საჯარო.

6. დამუშავება აუცილებელია სამართლებრივი პროცედურების მიზნებიდან გამომდინარე; აუცილებელია სამართლებრივი რჩევის მიღების, სამართლებრივი უფლების განხორციელების და დაცვის მიზნით.

7. დამუშავება აუცილებელია სამედიცინო მიზნების განსახორციელებლად, როგორიცაა: სამედიცინო კვლევა, დიაგნოზი, სუბიექტის ჯანმრთელობის მდგომარეობის გაუმჯობესება, პრაქტიკული და პროფესიული განვითარება და ა.შ.

აღნიშნული მონაცემების მოპოვება ხორციელდება სამედიცინო ორგანოს ან სხვა უფლებამოსილი პირის მიერ, რომელიც, გარემოებებიდან გამომდინარე, აღჭურვილია (შებოჭილია) კონფიდენციალურობის ვალდებულებით.

აქვე ხაზგასმით უნდა აღინიშნოს, რომ მოპოვებული მგრძნობიარე პერსონალური მონაცემების გამხელა ან გადაცემა მესამე მხარისათვის აკრძალულია, გარდა იმ გამონაკლისი შემთხვევისა, როცა მონაცემების სუბიექტი იძლევა უდავო (აშკარა) თანხმობას მესამე მხარისათვის მასზე მოპოვებული მონაცემების გადაცემის თაობაზე.

პერსონალური მონაცემების უკანონო მოპოვება

თუ პირი, რომელიც არ არის უფლებამოსილი, მოიპოვოს პერსონალური მონაცემები, წინასწარი განზრახვით ან დაუდევრობით, მონაცემების მაკონტროლებლის ნებართვის გარეშე, მოიპოვებს ან გაამხელს ისეთ ინფორმაციას, რომელიც შეიცავს პერსონალურ მონაცემებს ან მოიპოვებს პერსონალურ მონაცემებს მესამე მხარისათვის გამხელის ან გადაცემის მიზნით, ეს მოქმედება ითვლება უკანონოდ (Unlawful obtaining of personal data). მონაცემების მოპოვება, ხელში ჩაგდება ან გამხელა არ ჩაითვლება უკანონოდ, თუ მონაცემების მომპოვებელი დაადასტურებს, რომ მონაცემების მოპოვება აუცილებელი იყო: ა) დანაშაულის გამოაშკარავების ან თავიდან აცილების მიზნით; ბ) აღნიშნული უფლებამოსილება მინიჭებული ჰქონდა კანონით ან სასამართლოს განკარგულებით; გ) გონივრულად ვარაუდობდა, რომ მონაცემების მოპოვების და გამხელის უფლება მინიჭებული ჰქონდა კანონით ან პერსონალური მონაცემების მაკონტროლებლის მიერ, მონაცემების მოპოვების მიზნის და გარემოებების გათვალისწინებით; დ) ან მონაცემების მოპოვება აუცილებელია საჯარო ინტერესების დასაცავად.

პერსონალური მონაცემების უკანონოდ მოპოვება, ხოლო უკანონოდ მოპოვებული მონაცემების გაყიდვა ან გამხელა ისჯება კანონით.

პერსონალური მონაცემების მოპოვებაზე შეტყობინების ვალდებულებისაგან გამონაკლისი არსებობს მაშინ, როცა საქმე ეხება ეროვნულ უშიშროებას, ჯანმრთელობას ან სოციალურ შრომას, დანაშაულის პრევენციას, გადასახადების გადახდას, მონაცემების სუბიექტის განათლებას, დასაქმებას ან მის საპასუხისმგებლო თანამდებობაზე დანიშვნას. აგრეთვე, როდესაც დამუშავება დაკავშირებულია შეიარაღებული ძალების ბრძოლის ეფექტურობასთან. დამუშავება აუცილებელია იმის დასადგენად, რამდენად შეესაბამება მონაცემების სუბიექტი სასამართლო თანამდებობას (judicialoffice).

პერსონალური მონაცემების სუბიექტის უფლებამოსილებანი

პერსონალური მონაცემების სუბიექტი უფლებამოსილია, იყოს ინფორმირებული მონაცემების მაკონტროლებლის (data controller) ან მისი კანონიერი წარმომადგენლის მიერ სისტემატურად იმ ინფორმაციის შესახებ, რომელზე დაყრდნობითაც ხდება მისი იდენტიფიკაცია. უფლებამოსილია მოითხოვოს, ნათლად, მისთვის გასაგებ ენაზე განუმარტონ პერსონალური მონაცემების მოპოვების კანონიერი მიზანი ან მიზნები, მიაწოდონ ინფორმაცია მოსაპოვებელი პერსონალური მონაცემების კატეგორიის, ასევე, მიმღები ან მიმღებთა კატეგორიის შესახებ, რომელთათვისაც პერსონალური მონაცემი შესაძლებელია გახდეს ცნობილი, პერსონალური მონაცემების მოპოვების წყაროსთან დაკავშირებით.

იმისათვის, რომ დროულად მოხდეს პერსონალური მონაცემების მაკონტროლებლის მიერ მონაცემების სუბიექტის ინფორმირება, საჭიროა: ა) არსებობდეს სუბიექტის წერილობითი თხოვნა ამის შესახებ და ბ) გადახდილი იყოს შესაბამისი საფასური, რომელიც განსაზღვრულია ინფორმაციის მიწოდების უზრუნველსაყოფად. წინააღმდეგ შემთხვევაში, მონაცემების მაკონტროლებელი არ არის ვალდებული, რეგულარულად საქმის კურსში ჩააყენოს სუბიექტი და მიაწოდოს დეტალური ინფორმაცია მონაცემების დამუშავების პროცესთან დაკავშირებით. მონაცემების მაკონტროლებელი არ არის ვალდებული, მიაწოდოს ინფორმაცია მონაცემების სუბიექტს, თუ მის მიერ ინფორმაციის მიწოდება გამოიწვევს სხვა პირზე მონაცემის გამჟღავნებას, გარდა იმ გამონაკლისისა, როდესაც:

1. არსებობს სხვა პირის, ანუ იმ პირის უშუალო ნება/თანხმობა, ვისი მონაცემიც შესაძლოა გამჟღავნდეს, რომ მასთან დაკავშირებული პერსონალური ინფორმაცია გადაეცეს მონაცემების სუბიექტს;

2. ან, გონივრული გარემოებებიდან გამომდინარე, არ არის საჭირო ასეთი თანხმობის მიღება.

პერსონალური მონაცემების სუბიექტი უფლებამოსილია, ნებისმიერ დროს, წერილობითი შეტყობინების საფუძველზე, მოსთხოვოს მონაცემთა მაკონტროლებელს, გონივრულ ვადაში შეწყვიტოს ან არ დაიწყოს მასზე პერსონალური ინფორმაციის დამუშავება და ნებისმიერ დროს უარი განაცხადოს უკვე გაცემულ თანხმობაზე, თუ ამისთვის გააჩნია საფუძვლიანი და კანონიერი მიზეზი.

პერსონალური მონაცემების სუბიექტი, რომელსაც მიადგება ზიანი მონაცემთა მაკონტროლებლის ქმედების შედეგად, უფლებამოსილია, მოითხოვოს მიყენებული ზიანის ანაზღაურება, ხოლო მონაცემთა მაკონტროლებელი ვალდებულია, აანაზღაუროს მის მიერ მიყენებული ზიანი, გარდა იმ გამონაკლისი შემთხვევისა, როცა იგი დაასაბუთებს, რომ დამდგარი შედეგი არ არის გამოწვეული მისი ქმედებით.

იმ შემთხვევაში, როცა პერსონალური მონაცემების სუბიექტი მიიჩნევს, რომ მასზე მოპოვებული მონაცემები არასწორია ან მონაცემები, რომლის მოპოვებაც ხორციელდება, არარელევანტურია მონაცემების მოპოვების რეალური მიზნისა, სუბიექტს შეუძლია, მიმართოს სასამართლოს დარღვეული უფლების აღსადგენად.

სასამართლოს მიერ სუბიექტის საჩივრის დაკმაყოფილების შემთხვევაში, პერსონალური მონაცემების მაკონტროლებელი (ასევე სასამართლოს გადაწყვეტილების საფუძველზე) ვალდებულია, მოახდინოს გასაჩივრებული მონაცემების განადგურება, დაბლოკვა, წაშლა ან შესწორება.

პერსონალური მონაცემების დაცვის კონტროლი

პერსონალური მონაცემების მთლიან პროცესზე კონტროლი ევალება პერსონალური მონაცემების დაცვის კომისარს (personal data protection commissioner),რომელიც ინიშნება 5 წლის ვადით მისი უდიდებულესობის მიერ (Her Majesty by Letters Patent). აქტით გათვალისწინებულმა მონაცემთა დაცვის კომისარმა ჩაანაცვლა 1984 წლის აქტით დაფუძნებული მონაცემთა დაცვის რეგისტრატორის თანამდებობა.

კომისარს ევალება, ზედამხედველობა გაუწიოს მონაცემთა მაკონტროლებლის მიერ აქტით გათვალისწინებული ვალდებულებების შესრულებას. მონაცემთა მაკონტროლებლის მიერ მონაცემების მოპოვების პროცესში ამ აქტით გათვალისწინებული ძირითადი პრინციპების დარღვევის შემთხვევაში, მონაცემების კომისარი უფლებამოსილია, გაუგზავნოს მას შეტყობინება. აღნიშნული შეტყობინებით, კომისარს შეუძლია, დაუსაბუთოს მაკონტროლებელს მისი ქმედების შეუსაბამობა აქტით გათვალისწინებულ ვალდებულებებთან და მოსთხოვოს მას მისი ქმედების აღებულ ვალდებულებებთან შესაბამისობაში მოყვანა. იმ შემთხვევაში, თუ მონაცემთა მაკონტროლებელი არ ეთანხმება კომისრის მითითებებს, შეუძლია, აღნიშნული შეტყობინება გაასაჩივროს ტრიბუნალში. მაგრამ, თუ მონაცემების მაკონტროლებელი არც ასაჩივრებს და არც ასრულებს შეტყობინებას, მაშინ იგი დამნაშავეა და უნდა აგოს პასუხი აქტით გათვალისწინებული ძირითადი პრინციპების დარღვევისათვის.

კომისარი ასევე უფლებამოსილია, გაატაროს ღონისძიებები ინფორმაციის გავრცელების მიზნით. კომისარი ვალდებულია, წარადგინოს ყოველწლიური ანგარიში პარლამენტის წინაშე თავის საქმიანობასთან დაკავშირებით.

ასევე, არსებობს მონაცემთა დაცვის ტრიბუნალი, რომლის თავმჯდომარე და მოადგილეები ინიშნებიან ლორდ-კანცლერის მიერ. ხოლო ტრიბუნალის სხვა წევრები ინიშნებიან Secratry of Sate-ს მიერ. ეს წევრები არიან პირები, რომლებიც გამოხატავენ პერსონალური მონაცემების სუბიექტის და მონაცემთა მაკონტროლებლის ინტერესებს.

პერსონალური მონაცემების გადაცემა

რაც შეეხება პერსონალური მონაცემების გადაცემას, იგი ნებადართულია როგორც ევროკავშირის წევრ, ისე არაწევრ სახელმწიფოთათვის, მაგრამ ამისათვის საჭიროა, მონაცემების მიმღებ სახელმწიფოს გააჩნდეს სათანადო კანონმდებლობა, რომლითაც უზრუნველყოფილი იქნება როგორც გადაცემული მონაცემების უსაფრთხოდ შენახვა და დაცვა, ისე გათვალისწინებული იქნება პერსონალური მონაცემის სუბიექტის უფლებები.

პერსონალური მონაცემის სუბიექტის თანხმობა აუცილებელია არა მარტო მასზე მონაცემების მოპოვების პროცესის დასაწყებად, არამედ მოპოვებული მონაცემების სხვა სახელმწიფოსათვის გადასაცემად.

თუმცა, აქტი აქვე იძლევა გამონაკლის შემთხვევებს, როცა მონაცემების თავისუფალი ბრუნვა სახელმწიფოთა შორის შესაძლებელია სუბიექტის თანხმობის გარეშეც, მაშინ, როცა გადაცემა აუცილებელია:

1. იმ კონტრაქტით აღებული ვალდებულებების შესასრულებლად, რომელიც დადებულია მონაცემის სუბიექტსა და მონაცემის მაკონტროლებელს შორის;

2. აუცილებელია კონტრაქტის დასადებად მონაცემის მაკონტროლებელსა და სხვა პირს შორის (მაგრამ არა მონაცემის სუბიექტთან), რომელიც მონაცემის სუბიექტის ინტერესის საგანს წარმოადგენს ან მონაცემის სუბიექტის თხოვნით ხდება; აგრეთვე, ასეთი კონტრაქტის შესასრულებლად;

4. აუცილებელია საჯარო ინტერესებიდან გამომდინარე;

5. სამართლებრივი პროცედურის ინტერესიდან გამომდინარე, სამართლებრივი რჩევის მოპოვების, სამართლებრივი უფლების განხორციელების ან დაცვის მიზნით.

6. მონაცემების სუბიექტის სასიცოცხლო ინტერესების დასაცავად.

კანონმდებლობა პერსონალური მონაცემების შესახებ

უნგრეთის რესპუბლიკის 1989 წელს მიღებული კონსტიტუციის 59-ე მუხლი წარმოადგენს პერსონალურ მონაცემთა დაცვის კონსტიტუციურ საფუძველს. უნგრეთი არის პირველი ქვეყანა ცენტრალურ და აღმოსავლეთ ევროპაში, რომელმაც პირველმა მოახდინა პერსონალურ მონაცემთა დაცვის უფლების საკონსტიტუციო დონეზე დაცვა. კონსტიტუციის 59-ე მუხლი შემდეგნაირად არის ჩამოყალიბებული:

(1) უნგრეთის რესპუბლიკაში ყველას აქვს კარგი რეპუტაციის, მისი საცხოვრებლის ხელშეუხებლობის და პირადი საქმეების და პერსონალური მონაცემების საიდუმლოების უფლება.

(2) პარლამენტის დამსწრე წევრთა ხმების სამი მეორედის რაოდენობაა საჭირო პერსონალურ მონაცემთა შესახებ კანონის მისაღებად.

1991 წლის 13 აპრილს უნგრეთის საკონსტიტუციო სასამართლომ რეზოლუციით Nო. 15/1991 (IV. 13.) არაკონსტიტუციურად გამოაცხადა პერსონალური საიდენტიფიკაციო ნომრების შეუზღუდავი გამოყენება და გააუქმა მთელი კანონმდებლობა მოსახლეობის რეგისტრაციასთან დაკავშირებით. ხანგრძლივი დებატების შემდეგ 1992 წელს მიღებულ იქნა კანონი No.LXIII პერსონალურ მონაცემთა დაცვისა და საზოგადოებრივი ინტერესებიდან გამომდინარე მონაცემთა გამჟღავნების შესახებ,¹ რაც წარმოადგენს ჩვენი განხილვის საგანს.

აღსანიშნავია, რომ კანონი აწესებს პერსონალური კომისრის პოსტს და აძლევს მას შესაბამის კომპეტენციას: კანონის მოთხოვნათა დაცვაზე ზედამხედველობის განხორციელება პერსონალურ მონაცემთა დამუშავების დროს, საჩივართა განხილვა, მონაცემთა დაცვის რეესტრის წარმოება, მონაცემთა დაცვის მიზნით, შესაბამის კანონპროექტებთან დაკავშირებით რეკომენდაციების მიცემა და ა.შ.

კანონი პერსონალურ მონაცემთა დაცვისა და საზოგადოებრივი ინტერესებიდან გამომდინარე მონაცემთა გამჟღავნების შესახებ

კანონი ითვალისწინებს ტერმინთა შემდეგ განმარტებას:

1. პერსონალურ მონაცემებს - წარმოადგენს ისეთი მონაცემები, რომელიც შეიძლება ასოცირებულ იქნეს კონკრეტულ კერძო პირთან და რომლიდან გამომდინარეც შესაძლებელია რაიმე დასკვნის გამოტანა ამ პირთან დაკავშირებით. მონაცემები ინარჩუნებენ ზემოხსენებულ თვისებას მათი დამუშავებისას მანამ, სანამ მათი კავშირი კონკრეტულ პირთან შეიძლება იქნეს აღდგენილი. კანონი პასუხობს ევროგაერთიანების მიერ 1995 წლის 24 ოქტომბერს მიღებული დირექტივის მოთხოვნებს და ითვალისწინებს სპეციალური მონაცემების ცნებასაც, მიუხედავად იმისა, რომ თავად კანონი მიღებულია დირექტივის გამოცემამდე სამი წლით ადრე.

2. სპეციალური მონაცემები² - არის პერსონალური მონაცემები, რომლებიც უკავშირდება პირის რასობრივ წარმომავლობას, ეროვნებას და ეთნიკურ უთვნილებას, პოლიტიკურ შეხედულებებს ან პარტიულ კუთვნილებას, რელიგიურ ან სხვა შეხედულებებს (მუხლი 2(2)(ა)), აგრეთვე, ისეთი მონაცემები, რომლებიც ეხება პირის ჯანმრთელობის მდგომარეობას, არანორმალურ დამოკიდებულებას (ნარკოტიკული ან ალკოჰოლური), სქესობრივ ცხოვრებას ან ნასამართლობას (მუხლი 2(2)(ბ)).

3. საჯარო მონაცემები³ - წარმოადგენს მონაცემებს, რომლებიც არ ჯდება პერსონალურ მონაცემთა ცნებაში და ხელთ აქვთ სახელმწიფო ორგანოებს ან შესაბამის სახელმწიფო მოხელეებს, რომლებიც ახორციელებენ კანონიდან გამომდინარე საჯარო ფუნქციებს.

4. მონაცემთა დამუშავება⁴ - არის მონაცემთა ჩაწერა, შენახვა, დამუშავება, გამოყენება (მათ შორის - გადაცემა და გამოქვეყნება). მონაცემთა შეცვლა და მათი შემდგომში გამოყენების აღკვეთა, ასევე, განიმარტება, როგორც მონაცემთა დამუშავება.

5. მონაცემთა გადაცემა⁵ - წარმოადგენს მონაცემთა გადაცემას კონკრეტულ მესამე პირზე.

6. გამოქვეყნება - როდესაც მონაცემები ხელმისაწვდომი ხდება ყველასათვის.

7. მონაცემთა დამმუშავებელი⁶ - (დირექტივის მიხედვით - დამმუშავებელი პირი) არის პირი ან ორგანო, რომელიც ახორციელებს მონაცემთა დამუშავებას, ამ კანონის მე-2(4) მუხლის მიხედვით.

8. მონაცემთა განადგურება⁷ - მონაცემთა წაშლა ისე, რომ მათი აღდგენა გახდეს შეუძლებელი.

კანონის მე-2 მუხლში, რომელიც ტერმინთა განმარტებას ეხება, არ არის მოცემული ყველა ის ტერმინი, რომელიც დირექტივით არის გათვალისწინებული. ესენია: „პერსონალურ მონაცემთა ფაილური სისტემა“, „კონტროლის განმახორციელებელი პირი“, „მესამე პირი“, „მიმღები“ და „მონაცემთა სუბიექტის თანხმობა“. თუმცა, ეს ცნებები, როგორიცაა „მიმღები“ და „მონაცემთა სუბიექტის თანხმობა“ გვხვდება კანონის ტექსტში.

პერსონალურ მონაცემთა დაცვა

კანონი ეხება ისეთ საკითხებს, როგორიცაა: მონაცემთა დამუშავება, მონაცემთა გადაცემა, მონაცემთა დაცვა, მონაცემთა დამუშავებაში ჩართულ პირთა უფლებამოსილება, დარღვეულ უფლებათა აღდგენა სასამართლოს მეშვეობით და კომპენსაციის საკითხი.

პერსონალური მონაცემების სუბიექტის თანხმობა

პერსონალურ მონაცემთა დამუშავება შესაძლებელია შესაბამისი პირის თანხმობით ან კანონის ან ადგილობრივი ორგანოს ბრძანების საფუძველზე. სპეციალური პერსონალური მონაცემების დამუშავება შესაძლებელია, თუ: შესაბამისი პირი გასცემს წერილობით თანხმობას; დამუშავება გამომდინარეობს საერთაშორისო ხელშეკრულებიდან; დამუშავება აუცილებელია კონსტიტუციაში გათვალისწინებული ფუნდამენტური უფლების დასაცავად; აუცილებელია ეროვნული უსაფრთხოების მიზნებიდან გამომდინარე, დანაშაულის აღკვეთის მიზნით ან სისხლის სამართლის საქმეზე გამოძიების წარმართვისათვის. აგრეთვე, სპეციალურ მონაცემთა დამუშავება შესაძლებელია, თუ ეს კანონით არის გათვალისწინებული. თუ არსებობს ეჭვი პირის თანხმობასთან დაკავშირებით, თანხმობა ჩაითვლება გაუცემლად. პირის ინიციატივით წამოწყებული სამართალწარმოების დროს, სამართალწარმოების მიზნით, ამ პირის პერსონალურ მონაცემთა დამუშავებისათვის თანხმობა ნაგულისხმევია (მუხლი 3).

პერსონალური მონაცემების დამუშავების წესი

კანონის მიხედვით, მონაცემთა დამუშავება უნდა ემსახურებოდეს გარკვეულ მიზანს, რომელიც კანონით არის გათვალისწინებული. მონაცემთა დამუშავების ყოველი ფაზა უნდა იყოს ზემოხსენებული მიზნის ადეკვატური. მხოლოდ ისეთი პერსონალური მონაცემების დამუშავებაა შესაძლებელი, რომლის დამუშავების გარეშეც ზემოხსენებული მიზნის მიღწევა შეუძლებელია (მუხლი 5).

მონაცემთა დამუშავებამდე პირს უნდა ეცნობოს, დამუშავება ნებაყოფლობითია, თუ სავალდებულო. თუ დამუშავება სავალდებულოა, საჭიროა შესაბამის აქტზე მითითებაც. პირს, ასევე, უნდა ეცნობოს მონაცემთა დამუშავების მიზნების შესახებ და წარედგინოს იმ პირთა შესახებ ინფორმაცია, რომელთათვისაც გადაცემული იქნება მონაცემები დასამუშავებლად (მუხლი 6).

პერსონალურ მონაცემთა დამუშავება უნდა აკმაყოფილებდეს შემდეგ მოთხოვნებს: მათი ჩაწერა და დამუშავება უნდა იყოს სამართლიანი და კანონიერი; მონაცემები უნდა იყოს ზუსტი და სრული; მონაცემთა შენახვისათვის შესაბამისი პირის იდენტიფიკაცია უნდა იყოს შესაძლებელი მხოლოდ იმ დროის განმავლობაში, რა დროც არის საჭირო მონაცემთა შესანახად (მუხლი 7).

პერსონალური მონაცემების გადაცემა

პერსონალურ მონაცემთა54 გადაცემა დასაშვებია, თუ შესაბამისი პირი მისცემს თანხმობას, ან თუ ეს გათვალისწინებულია კანონით და აკმაყოფილებს კანონის მოთხოვნებს (მუხლი 8). უნგრეთიდან სხვა ქვეყნისათვის მონაცემთა გადაცემა დასაშვებია შესაბამისი პირის თანხმობით ან კანონით გათვალისწინებულ შემთხვევებში, თუ მონაცემთა დამუშავება სხვა ქვეყნის მიერ აკმაყოფილებს კანონის მოთხოვნებს (მუხლი 9).

პერსონალურ მონაცემთა დაცვა

რაც შეეხება მონაცემთა დაცვას - დამმუშავებელი პირი მოვალეა, უზრუნველყოს მონაცემთა უსაფრთხოება, მიიღოს ტექნიკური და ორგანიზაციული ზომები და დააწესოს პროცედურული წესები, რაც აუცილებელია ამ კანონის ცხოვრებაში გატარების მიზნით. მონაცემები განსაკუთრებულად დაცული უნდა იყოს არაკანონიერი ხელყოფისაგან, შეცვლისაგან, გამოქვეყნებისა ან წაშლისაგან ან/და განადგურებისა ან დაზიანებისაგან (მუხლი 10).

პერსონალურ მონაცემთა სუბიექტის უფლებამოსილებანი

პირს, რომლის პერსონალურ მონაცემთა დამუშავებაც ხორციელდება, შეუძლია მოითხოვოს ინფორმაცია მისი პერსონალური მონაცემების დამუშავების შესახებ. ასევე, პირს შეუძლია მოითხოვოს მონაცემთა კორექტირება ან წაშლა, გარდა იმ შემთხვევისა, როცა მონაცემთა დამუშავება აუცილებელია კანონით. მონაცემთა დაცვის რეესტრი ხელმისაწვდომია ყველასათვის (მუხლი 11).

დამმუშავებელი პირი ვალდებულია, მიაწოდოს ინფორმაცია მონაცემთა სუბიექტის მოთხოვნის საფუძველზე მოთხოვნიდან 30 დღის განმავლობაში მონაცემთა დამუშავების სამართლებრივი საფუძვლის, მიზნისა და დამუშავებისათვის განსაზღვრული პერიოდის შესახებ და თუ ვინ და რა მიზნით მიიღო ან მიიღებს აღნიშნულ პერსონალურ მონაცემებს. ინფორმაციის მიწოდება უფასოა, თუ მონაცემთა სუბიექტი ხელმეორედ არ მოითხოვს ინფორმაციას პირველი მოთხოვნიდან ერთი წლის განმავლობაში (მუხლი 12). მონაცემთა დამმუშავებელი პირი უფლებამოსილია, უარი უთხრას ინფორმაციის მიცემაზე მონაცემთა სუბიექტს, თუ ეს კანონით დაშვებულია (მუხლი 13). პერსონალური მონაცემები უნდა განადგურდეს, თუ მათი დამუშავება არაკანონიერია, თუ თავად მონაცემთა სუბიექტი მოითხოვს ამას და თუ მონაცემთა დამუშავების მიზანი აღარ არსებობს (მუხლი 14). კანონის მე-17 მუხლი ეხება უფლებათა დაცვას სასამართლოს მეშვეობით. მონაცემთა სუბიექტს, თავისი უფლებების დარღვევის შემთხვევაში, შეუძლია წარადგინოს სარჩელი სასამართლოში დამმუშავებელი პირის წინააღმდეგ. დამმუშავებელი პირი მოვალეა, დაამტკიცოს, რომ მონაცემთა დამუშავება შეესაბამება კანონს. სასამართლოს, რომელიც მხარს დაუჭერს სარჩელს, შეუძლია, მოითხოვოს მონაცემთა წაშლა ან შესწორება.

მონაცემთა დაცვის კომისარი

კანონი აყალიბებს მოქალაქეთა უფლებების დაცვის საპარლამენტო კომისრის (შემდგომში კომისარი) პოსტს და განიხილავს მონაცემთა დაცვის რეესტრის საკითხებს.

პარლამენტმა კომისრის თანამდებობაზე უნდა აირჩიოს უნგრეთის მოქალაქე, რომელსაც უნდა ჰქონდეს უნივერსიტეტის დიპლომი და არ ჰქონდეს კრიმინალური წარსული, უნდა გააჩნდეს ბრწყინვალე აკადემიური ცოდნა ან პროფესიული გამოცდილების ათწლიანი სტაჟი მაინც, ასევე, უნდა ჰქონდეს როგორც პრაქტიკული გამოცდილება, ასევე თეორიული ცოდნა მონაცემთა დაცვისათვის საჭირო პროცედურებთან დაკავშირებით და უნდა სარგებლობდეს საზოგადოების მხრიდან ღრმა პატივისცემით (მუხლი 23(1)). კომისარი უფლებამოვალეობების განხორციელების დროს სარგებლობს დამოუკიდებლობით. მას პარლამენტში არჩევის მიზნით რეკომენდაციით წარადგენს პრეზიდენტი და მისი არჩევა ხდება ხმების სამი მეორედის უმრავლესობით. კომისარი არჩეულია ექვსი წლის ვადით. რეგულარული საპარლამენტო არჩევნები უნგრეთში ტარდება ოთხ წელიწადში ერთხელ.

კომისრის უფლებამოსილებაში შედის შემდეგი ფუნქციები:

ნებისმიერ პირს შეუძლია, მიმართოს კომისარს ფლებების დარღვევისას, ანდა მის პერსონალურ მონაცემებსა ან საჯარო მონაცემებზე მისი ხელმისაწვდომობის უფლების ხელყოფასთან დაკავშირებით პირდაპირი საფრთხის არსებობის შემთხვევაში. არავის შეიძლება შეეშალოს ხელი კომისართან საჩივრის წარდგენაში (ასეთი ქმედება წარმოადგენს სისხლის სამართლის დანაშაულს) (მუხლი 27).

თავისი უფლებამოსილების განხორციელებისას კომისარს შეუძლია, მოსთხოვოს დამმუშავებელ პირს ნებისმიერი ინფორმაციის მიწოდება, შეუძლია გამოიკვლიოს ნებისმიერი დოკუმენტი პერსონალურ მონაცემებსა ან საჯარო მონაცემებთან დაკავშირებით, შეუძლია ზემოხსენებული უფლებების გამოყენება ყველგან, სადაც ხდება მონაცემთა დამუშავება (მუხლი 26(1)-26(2)).

სახელმწიფო ან სამსახურებრივი საიდუმლო არ უნდა წარმოადგენდეს კომისრისათვის ხელისშემშლელ ფაქტორს თავისი ფუნქციების განხორციელებაში, მაგრამ საიდუმლოს შენახვის მოვალეობა ხორციელდება მასზეც. სახელმწიფო ან სამსახურებრივი საიდუმლოების შემთხვევაში, კომისარმა თავისი ფუნქციები უნდა განახორციელოს უშუალოდ შეიარაღებულ ძალებში, პოლიციის და სახელმწიფო უსაფრთხოების ორგანოებში (მუხლი 26(3)).

თუ კომისარი დააფიქსირებს მონაცემთა არაკანონიერი დამუშავების ფაქტს, მას შეუძლია, დამმუშავებელი პირი გაათავისუფლოს მოვალეობისგან. აღნიშნული პირი ვალდებულია, დატოვოს სამუშაო ადგილი 30 დღის განმავლობაში და მოახსენოს კომისარს ამის შესახებ (მუხლი 25(2)), წინააღმდეგ შემთხვევაში, კომისარი უფლებამოსილია, გახადოს საჯარო მონაცემთა არაკანონიერი დამუშავების ფაქტი, დამმუშავებელი პირის ვინაობა და შესაბამის მონაცემთა ხასიათი (მუხლი 25 (3)).

კომისარს არ აქვს უფლება, განიხილოს ისეთი საკითხი, რომელიც უკვე სასამართლოს წინაშე არის წარდგენილი განსახილველად. კომისარი არ არის ხელისუფლების წარმომადგენელი ამ სიტყვის პირდაპირი მნიშვნელობით. მას შეუძლია, გამოაქვეყნოს რეკომენდაციები, რომლებიც არ ატარებს შემბოჭველ ხასიათს მონაცემთა დამმუშავებელ პირებზე. მათ მოვალეობაში მხოლოდ შედის 30 დღის განმავლობაში მიღებული ზომების შესახებ კომისრისათვის შეტყობინება.

მონაცემთა დაცვის რეესტრი

მონაცემთა დამუშავების დაწყებამდე დამმუშავებელი პირი მოვალეა, კომისარს, რეგისტრაციის მიზნით, აცნობოს შემდეგი:

ა) მონაცემთა დამუშავების მიზნები;
ბ) მონაცემთა ტიპები და მათი დამუშავების სამართლებრივი საფუძვლები;
გ) მონაცემებში მოხსენებულ პირთა სია;
დ) მონაცემთა წყაროები;
ე) გადაცემულ მონაცემთა ტიპები და ადრესატები, ასევე, გადაცემის საკანონმდებლო საფუძვლები;
ვ) მონაცემთა თითოეული ტიპის წაშლის ბოლო ვადა;⁸
ზ) მონაცემთა დამმუშავებელი პირის სახელწოდება (სახელი) და მისამართი, ასევე, დამუშავების უშუალო ადგილი (მუხლი 28 (1)).

საინტერესოა კანონის 32-ე მუხლი, რომელიც ეხება მონაცემთა კვლევით ინსტიტუტებში დამუშავების საკითხს. პერსონალური მონაცემები, რომელთა ჩაწერა და შენახვა მოხდა სამეცნიერო მიზნებისათვის, შეიძლება დამუშავებულ იქნეს მხოლოდ ამ მიზნებიდან გამომდინარე.

___________________________

1. special data.

2. data of public interest.

3. data handling.

4. forwarding of data.

5. data handler.

6. deletion of data.

7. forwarding.

8. deadline for deleting each type of data.

1. ესტონეთის 1992 წლის 28 ივნისის კონსტიტუცია;
2. ესტონეთის 2003 წლის 1 ოქტომბრის პერსონალურ მონაცემთა დაცვის აქტი;
3. ესტონეთის 1997 წლის 19 აპრილის მონაცემთა ბაზის აქტი;
4. ესტონეთის 2001 წლის 1 იანვრის საჯარო ინფორმაციის აქტი;
5. ესტონეთის 2004 წლის 1 მაისის საზოგადოების საინფორმაციო მომსახურების აქტი;
6. ლატვიის 1992 წლის 14 თებერვლის კონსტიტუცია;
7. ლატვიის 2001 წლის 1 იანვრის ი მონაცემების დაცვის შესახებ;
8. ლიტვის 1992 წლის 25 ოქტომბრის კონსტიტუცია;
9. ლიტვის 1996 წლის 11 ივნისის მონაცემთა დაცვის შესახებ;
10. პოლონეთის კონსტიტუცია;
11. პოლონეთის 1997 წლის 29 აგვისტოს მონაცემთა დაცვის შესახებ;
12. უნგრეთის რესპუბლიკის 1989 წლის კონსტიტუცია;
13. უნგრეთის 1992 წლის მონაცემების დაცვისა და საზოგადოებრივი ინტერესიდან გამომდინარე მონაცემთა გამჟღავნების შესახებ;
14. ინგლისის 1998 წლის მონაცემთა დაცვის აქტი;
15. საფრანგეთის 1978 წლის 6 იანვრის აქტი მონაცემთა დაცვის, მონაცემთა ფაილებისა და ინდივიდუალური თავისუფლებების შესახებ;
16. გერმანიის 1949 წლის კონსტიტუცია;
17. გერმანიის 2001 წლის ფედერალური მონაცემების დაცვის შესახებ;
18. ჰოლანდიის 2000 წლის პერსონალური მონაცემების დაცვის აქტი.

ვებ-გვერდები:

1. www.ceecprivacy.org

2. www.lexadin.nl

3. www.dutchdpa.nl

4. http://www.opsi.gov.uk

5. http://www.datenschutz-berlin.de

6. http://www.cnil.fr