საიტი მუშაობს ტესტირების რეჟიმში

GDPR მოკლე გზამკვლევი

2018 წლის 25 მაისს პერსონალურ მონაცემთა დაცვის ახალი რეგულაცია შევიდა ძალაში

28 იანვრის ფიქრები

28 იანვარი პერსონალურ მონაცემთა დაცვის საერთაშორისო დღეა

თანხმობა – ყველა შემთხვევაში გამოგვადგება?!

პერსონალურ მონაცემთა დამუშავებისთვის მხოლოდ თანხმობის მოპოვება არ კმარა

თანხმობა არ არის იოლი გზა

პერსონალურ მონაცემთა დაცვა საქართველოსთვის არცთუ ახალი თემაა, თუმცა მაინც ვერ ვიტყვით, რომ ამ საკმაოდ რთული და მნიშვნელოვანი თემის ცოდნა და ცნობადობა სათანადო დონეზეა. ამ ეტაპზე თითქოს მონაცემთა დამმუშავებლებმაც და მონაცემთა სუბიექტებმაც გაითავისეს საკუთარი უფლებები და ვალდებულებები, მაგრამ მაინც შეიმჩნევა ზოგიერთი საკითხის პრიმიტიული გაგება და ზოგადად ზედაპირული მიდგომები. იმ პირობებში, როცა მონაცემთა დაცვის საკითხები არ არის სათანადოდ გააზრებული და გაგებული, საქმეში კი მონაცემთა დაცვის ინსპექტორი ერთვება და მონაცემთა არასათანადო დამუშავებაზე არაერთი კომპანია დააჯარიმა, მონაცემთა ზოგიერთმა დამმუშავებელმა ჯადოსნური გამოსავალი - მონაცემთა სუბიექტის თანხმობა ‘აღმოაჩინა’ და მისი არასწორად გამოყენებით, მონაცემთა სუბიექტისთვის წვრილი შრიფტით დაწერილი თანხმობის ტექსტის შეჩეჩებით ცდილობს ფონს გასვლას.

მონაცემთა სუბიექტის თანხმობა მონაცემების დამუშავებისთვის კანონით გათვალისწინებული ერთ-ერთი საფუძველია. სხვა საფუძვლებით მონაცემთა დამუშავებისას ყველა შემთხვევაში გასათვალისწინებელია ე.წ. ‘აუცილებლობის ტესტი’, რაც მონაცემთა დამუშავების კონტექსტს მკაცრად შემოსაზღვრულ ფარგლებს უწესებს, თუმცა ეს არცერთ შემთხვევაში არ ნიშნავს, რომ მონაცემთა სუბიექტის თანხმობის საფუძველზე მონაცემთა დამუშავება განუსაზღვრელ სამოქმედო არეალს უხსნის მონაცემთა დამმუშავებელს.

„პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი თანხმობას განმარტავს როგორც მონაცემთა სუბიექტის მიერ შესაბამისი ინფორმაციის მიღების შემდეგ მის შესახებ მონაცემთა განსაზღვრული მიზნით დამუშავებაზე ზეპირად, სატელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით გამოხატული ნებაყოფლობითი თანხმობა, რომლითაც შესაძლებელია ნათლად დადგინდეს მონაცემთა სუბიექტის ნება.

განვიხილოთ აღნიშნული განმარტების ელემენტები:

შესაბამისი ინფორმაციის მიღების შემდეგ - ანუ მონაცემთა სუბიექტის მიერ გაცემული თანხმობა უნდა იყოს ინფორმირებული. მონაცემთა დამმუშავებელმა უნდა უზრუნველჰყოს სუბიექტისთვის ამომწურავი ინფორმაციის მიწოდება იმის შესახებ, თუ როგორ, რა მიზნით, რა ვადით მუშავდება სუბიექტის მონაცემები, ვის შეიძლება ჰქონდეს მათზე წვდომა და როგორ შეიძლება გამოყენებული იქნას აღნიშნული მონაცემები. ‘შესაბამისი ინფორმაცია’ შესაძლებელია ორი კრიტერიუმით შევაფასოთ: ინფორმაციის ხარისხი - როგორ, რა ენაზე არის ინფორმაცია მიწოდებული (გასაგები, პირდაპირი, ტექნიკური ან პროფესიული ტერმინებით დაუტვირთავი ტექსტი) და რამდენად გასაგებია ის საშუალო სტატისტიკური მომხმარებლისთვის; და ინფორმაციის ხელმისაწვდომობა და ხილვადობა - საკმარისი არ არის, რომ მონაცემთა დამმუშავებელმა სადღაც გამოაკრას ან დადოს შესაბამისი ინფორმაცია, მისი ვალდებულებაა მონაცემთა დამუშავების შესახებ ინფორმაცია პირდაპირ და ადეკვატური, თვალისათვის ადვილად აღქმადი მოცულობით მიაწოდოს მონაცემთა სუბიექტს.

განსაზღვრული მიზნით დამუშავებაზე - ანუ მონაცემთა სუბიექტის მიერ გაცემული თანხმობა უნდა იყოს სპეციფიკური. კანონთან შესაბამის თანხმობად არ ჩაითვლება ზოგადი ტექსტი და მასზე ხელმოწერა, რომ მაგ. X დამმუშავებელს უფლება აქვს შეაგროვოს გარკვეული მონაცემები. მაგალითად რაიმე მომსახურების გაწევისას თუ ჩვენ ვთანხმდებით ‘ორგანიზაციამ/კომპანიამ შეაგროვოს/შეინახოს/შეამოწმოს პერსონალური მონაცემები’, ასეთი თანხმობა ვერ დააკმაყოფილებს საქართველოს კანონით გათვალისწინებულ სტანდარტებს. მონაცემთა სუბიექტმა უნდა იცოდეს რა მიზნით ხდება მისი მონაცემების დამუშავება და საშუალება ჰქონდეს თითოეულ სპეციფიკურ მიზანთან დაკავშირებით ცალკე გამოხატოს საკუთარი პოზიცია.

ზეპირად, სატელეკომუნიკაციო ან სხვა შესაბამისი საშუალებით გამოხატული - საქართველოს კანონი მონაცემთა დამუშავებაზე თანხმობის მიცემის სხვადასხვა ფორმას იცნობს. მიუხედავად იმისა, რომ თანხმობად ჩაითვლება ონლაინ რეჟიმში შესაბამისი ველის მონიშვნაც და გამოხატული ქმედებაც (მაგ. თავის დაქნევა, დოკუმენტის მიწოდება და ა.შ) და თანხმობის ნამდვილობისთვის მის ‘აღრიცხვადობას/ჩაწერადობას’ მნიშვნელობა არ აქვს, მონაცემთა დამმუშავებელმა შეიძლება არჩევანი მაინც ისეთი მექანიზმის შემუშავებაზე შეაჩეროს, რომელიც თანხმობის არსებობს უტყუარ მტკიცებულებად გამოადგება.

ნებაყოფლობითი - ანუ მონაცემთა სუბიექტს უნდა ჰქონდეს არჩევანი და შეეძლოს მონაცემთა დამუშავებაზე უარის თქმა. სიტუაცია, როდესაც კონკრეტული სერვისის მისაღებად აუცილებელია მონაცემთა დამუშავება და სერვისის მიღების მსურველი პირი ‘თანხმდება’ მისი მონაცემების დამშავებას, ვერ ჩაითვლება კანონის შესაბამისად მიღებულ თანხმობად, რადგანაც მონაცემთა სუბიექტს არ ჰქონდა სხვა არჩევანი, მისი თანხმობა არ არის თავისუფალი ნების გამოვლინება. თუ თანხმობის გაცემის/გაუცემლობის შედეგები ზღუდავს მონაცემთა სუბიექტის არჩევანს, მაშინ მისი ქმედება ვერ და არ განიხილება თანხმობად. ასეთ შემთხვევებში მონაცემთა დამმუშავებელმა ზუსტად უნდა გაიაზროს მონაცემთა დამუშავების მიზნები და იქ სადაც მონაცემთა დამუშავების გარეშე შეუძლებელია მომსახურების გაწევა, სხვა შესაბამისი საფუძველი მონახოს მონაცემთა დამუშავებისთვის ან მოძებნოს გზა იმ მონაცემების გარეშე მომსახურების გაწევისათვის, რომელთა გაცემაზეც მონაცემთა სუბიექტს თანხმობა არ განუცხადებია.

ნათლად დადგინდეს მონაცემთა სუბიექტის ნება - თანხმობის ნამდვილობისთვის მნიშვნელოვანია მონაცემთა სუბიექტის ნება. ნებისმიერი ქმედება, რომელიც პირდაპირ და ზუსტად არ გამოხატავს მონაცემთა სუბიექტის ნებას, ვერ იქნება და არ შეიძლება მივიჩნიოთ თანხმობად. მონაცემთა დამმუშავებელმა რომც გააფრთხილოს მონაცემთა სუბიექტი, რომ, მაგალითად, რაღაც კონკრეტული ფორმით აპირებს მონაცემთა დამუშავებას (მესამე პირისთვის გადაცემას, განსაზღვრულზე მეტი ვადით შენახვას და ა.შ.), განუსაზღვროს მათ ვადა რეაგირებისათვის და მკაფიოდ განუმარტოს, რომ მათი დუმილი მიჩნეული იქნება მონაცემთა დამუშავებაზე გაცემულ თანხმობად, ასეთი ‘თანხმობა’ ვერ დააკმაყოფილებს კანონის მოთხოვნებს და არ იქნება მონაცემთა დამშავების კარგი პრაქტიკის შესაბამისი, რადგანაც უმოქმედობიდან (დუმილი ან პასუხის არარსებობა) შეუძლებელია ‘ნათლად დადგინდეს [..] ნება’.

მაგალითი: წარმოვიდგინოთ სიტუაცია საცურაო აუზზე, როდესაც ტერიტორიაზე შესვლამდე რეგისტრატორი თითოეულ მომხარებელს აფრთხილებს ორი აუზიდან ერთ-ერთის გარშემო დაგეგმილი სარეკლამო გადაღების შესახებ და უხსნის, თუ მომხარებელს არ სურს მოხვდეს სარეკლამო ფოტოებში, მას შეუძლია ისარგებლოს მეორე აუზით. ასეთ შემთხვევაში ‘გასარეკლამებელი აუზით’ სარგებლობის შემთხვევაში სახეზე გვექნება მონაცემთა სუბიექტის თანხმობა, რადგანაც მან იცოდა დაგეგმილი ღონისძიების შესახებ (შესაბამისი ინფორმაციის მიღების შემდეგ), იცოდა ფოტოგადაღების მიზანი (განსაზღვრული მიზანი), ისარგებლა მითითებული აუზით (შესაბამისი საშუალებით გამოხატული), ჰქონდა თავისუფალი არჩევანი ესარგებლა იქვე არსებული მეორე აუზით (ნებაყოფლობითი) და მისი ქმედება და სურვილი არ არის ბუნდოვანი (ნათლად დგინდება მისი ნება).

ამავე სიტუაციაში თანხმობა პრობლემური იქნებოდა თუ მომხმარებლებს არ ეცოდინებოდათ ფოტოგადაღების ან გადაღების მიზნის შესახებ ან ინფორმაცია უბრალოდ გამოკრულია აუზის შესასვლელში განთავსებულ დაფაზე, სხვა შეტყობინებებთან ერთად და არ იპყრობს ყურადღებას. თუ ინფორმაციას მიაწვდიდნენ ფოტოგადაღების შემდეგ, არ ექნებოდათ არჩევანი - აუზით სარგებლობა აუცილებლად გამოიწვევდა ფოტოებში მოხვედრას და ა.შ.

შეჯამების სახით კიდევ ერთხელ შეიძლება ითქვას, რომ მონაცემთა სუბიექტის თანხმობა არის მონაცემთა დამუშავების ერთ-ერთი, მაგრამ არა ყველაზე მარტივი საფუძველი. თანხმობის კანონიერება დამოკიდებულია მისი ყველა კომპონენტის/ელემენტის დაკმაყოფილებაზე, შესაბამისად, კანონიერ/ვალიდურ თანხმობად ვერ ჩაითვლება განუსაზღვრელი ოდენობით, ბუნდოვანი მიზნით, განუსაზღვრელი ვადით მონაცემთა დამშავებაზე გაცემული თანხმობა. მონაცემთა დამმუშავებელმა არ უნდა გამოიყენოს თანხმობის შაბლონული ფორმები და ყოველი კონკრეტული ფაილური სისტემისათვის რელევანტური ფორმა უნდა შეიმუშაოს იმის მიხედვით, თუ რა მიზნით, რა პირობებით და ა.შ. ამუშავებს მონაცემებს.


ტექსტში გამოყენებულია მასალები „თანხმობის განმარტების შესახებ“  „29-ე მუხლის სამუშაო ჯგუფის“ მოსაზრებიდან http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp187_en.pdf