საიტი მუშაობს ტესტირების რეჟიმში

GDPR მოკლე გზამკვლევი

2018 წლის 25 მაისს პერსონალურ მონაცემთა დაცვის ახალი რეგულაცია შევიდა ძალაში

28 იანვრის ფიქრები

28 იანვარი პერსონალურ მონაცემთა დაცვის საერთაშორისო დღეა

თანხმობა – ყველა შემთხვევაში გამოგვადგება?!

პერსონალურ მონაცემთა დამუშავებისთვის მხოლოდ თანხმობის მოპოვება არ კმარა

28 იანვრის ფიქრები

რამდენიმე ხნის წინ ფბ-ზე დისკუსიას გადავაწყდი სამედიცინო სფეროში პერსონალურ მონაცემთა დაცვის შესახებ. საქმე ეხებოდა კომპანიის თანამშრომელთა შეუზღუდავ წვდომას ისეთ ინფორმაციაზე, რომელიც მათ რეალურად არ სჭირდებოდათ საკუთარი ამოცანების შესასრულებლად და იკვეთებოდა კომპანიის მხრიდან შესაძლო ზედაპირული, არაპროფესიონალური დამოკიდებულება საკითხისადმი, რომელსაც მომხმარებლისთვის რეალური ზიანის მოტანა შეუძლია. დანამდვილებით ვერ ვიტყვი თავად პრობლემამ უფრო გამაკვირვა თუ პრობლემისადმი დამოკიდებულებამ. ზოგი წერდა, ძლივს წარმატებული კომპანია ოპერირებს ბაზარზე და რეგულაციებით ნუ ამოვხდით სულსო. სხვები ამბობდნენ, არც არავინ იცავს პერსონალურ მონაცემებს და რაღა ამ კომპანიას გადაეკიდეთო. ზოგი იმასაც კითხულობდა, საერთოდაც რა დაირღვა, თუ კომპანიის ასეულობით თანამშრომელს მონაცემებთან შეუზღუდავი წვდომა აქვს, სხვისთვის ხომ არ გაუმხელიათო. ვკითხულობდი პოტენციური მომხმარებლის მოსაზრებებს და თითქოს ჩემ თვალწინ იძერწებოდა ბიზნესის დამოკიდებულება საკითხისადმი, მისი ქცევა მომხმარებელთა პერსონალურ მონაცემებთან მიმართებით.

პერსონალურ მონაცემთა დაცვის ფილოსოფია ყველაზე მარტივად “მონაცემთა მინიმიზაციის” პრინციპით შეიძლება ავხსნათ - პერსონალურ მონაცემთა დამუშავება ყოველთვის ხელყოფს პირის პირად სივრცეს და უფლებებს, თუმცა ადამიანის სხვადასხვა მოთხოვნილების დასაკმაყოფილებლად და თანამედროვე სამყაროში საარსებოდ ეს ხელყოფა ზოგჯერ აუცილებელი ხდება. მთავარია პერსონალური მონაცემები მხოლოდ იმგვარად და იმ  მოცულობით დამუშავდეს, რომელიც აუცილებელია აღმატებული მიზნის მისაღწევად. მაგალითად, ხსენებულმა სამედიცინო დაწესებულებამ შიდა რეგულაციით მოაწესრიგოს მომხმარებლის შესახებ მინიმალური ინფორმაციის მოგროვების სტანდარტი და ინფორმაციაზეც წვდომა მხოლოდ იმ დოზით და მხოლოდ იმ თანამშრომლებს ჰქონდეთ, რომლებსაც გადაწყვეტილების მისაღებად აუცილებლად ესაჭიროებათ ეს მონაცემები. თუმცა მომხმარებლის დამოკიდებულება და გულგრილობა პირდაპირ აისახება ბიზნესის ქცევაზე - თუ მის კლიენტებს არ აქვთ ასეთი მოთხოვნები, არც ბიზნესი იწუხებს თავს მაღალი სტანდარტების დასანერგად.

ზოგადად პერსონალურ მონაცემთა დაცვის თემისადმი ბიზნესის მგრძნობელობას და დამოკიდებულებას ძირითადად ორი ფაქტორი განაპირობებს - მომხმარებლის მოთხოვნა, ანუ დაკვეთის არსებობა და სამართლებრივი რეგულაციების არსებობა და სახელმწიფოს მხრიდან კონტროლი. როგორც ჩანს, პირველი ფაქტორი ჯერ-ჯერობით სათანადოდ ვერ მუშაობს და მომხმარებლის მხრიდან შექმნილი მოტივაცია საკმარისი არ არის.  რაც შეეხება მეორე ფაქტორს, ანუ სახელმწიფოს მხრიდან ზედამხედველობას, გარე დამკვირვებლის პოზიციიდან შეიძლება ითქვას, რომ 2013 წლიდან, ანუ პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატის შექმნიდან, უკანასკნელ  პერიოდამდე, ინსპექტორს  ზომიერი და ფრთხილი მიდგომა ჰქონდა არჩეული მონაცემთა დამმუშავებელი კომპანიებისადმი და სანქციების გატარების პარალელურად სწავლებასა და ინფორმირებაზე იყო ორიენტირებული. ინსპექტორი საკუთარ მანდატს აქტიურად იყენებდა უსწორობის და დარღვევის აღმოფხვრაში დასახმარებლად, რაც, ცხადია, არ გამორიცხავდა კომპანიების დაჯარიმებას, რისი არაერთი პრეცედენტიც შეიქმნა. ასეთი მიდგომა, მითუმეტეს ქართული ბიზნეს-გარემოს გათვალისწინებით შეიძლება გამართლებულად ჩაითვალოს საწყის ეტაპზე და მან გარკვეული შედეგები უდავოდ მოიტანა. კომპანიების უმრავლესობას უკვე სმენია მაკონტროლებელი ორგანოს არსებობის შესახებ, გავლილი აქვს სხვადასხვა ხარისხის ტრენინგი მონაცემთა დაცვის თემაზე, 2013-2015 წლებში კომპანიების დიდმა ნაწილმა შეავსო ფაილური სისტემების კატალოგები, ზოგიერთმა  დაიწყო ინტენსიური კონსულტაციები ინსპექტორის აპარატთან და შეიქმნა მინიმალური შიდა სტანდარტები, მოიმატა ასევე კომპანიების წინააღმდეგ საჩივრების რაოდენობამაც, თუმცა...

სამწუხაროდ, ქართული ბიზნესის წარმომადგენლების ნაწილი დღესაც, კანონის ამოქმედებიდან მეექვსე წელს პერსონალურ მონაცემთა დაცვის თემას „ახალს“ უწოდებს და ამით ამართლებს ამ საკითხში საკუთარ სისუსტეებს. ზოგიერთი ქართული კომპანიის მიდგომა მონაცემთა დაცვის საკითხისადმი ხშირ შემთხვევაში ზედაპირულია და ფრაგმენტული გააქტიურება მხოლოდ კონკრეტული ვალდებულების შესრულებას უკავშირდება და არა საკითხის სისტემურ გააზრებას. პერსონალურ მონაცემთა დაცვის ფილოსოფიის ერთ-ერთი ძირითადი ქვაკუთხედი, როგორც უკვე ვახსენე, მონაცემთა მინიმიზაციაა, პერსონალურ მონაცემთა მიმართ ქართული კომპანიების ნაწილის მიდგომა კი ჯერაც შეიძლება ასე დახასიათდეს - „იყოს, რა იცი რაში გამოგვადგება“.

ამ ყველაფრის ფონზე რას უნდა ველოდოთ მომავალში? რა დისკუსია შეიძლება გაიმართოს მომხმარებლებს შორის 2018 წლის მიწურულს?

განვლილმა პერიოდმა ცხადჰყო, რომ საკითხი ნელ-ნელა აქტუალური ხდება მომხმარებლისთვის, სახელმწიფოსთვის და, შესაბამისად, ბიზნესისთვისაც. მომხმარებელი უფრო და უფრო აქტიურდება და ბოლო წლებში ინსპექტორის ანგარიშებშიც აღინიშნა აპარატისადმი მიმართვიანობის მატება. მიმართვიანობის მატებასთან ერთად, ვითარდება თავად ინსპექტორის აპარატი და დაგროვილი გამოცდილებისა და ინსტიტუციური განვითარების ფონზე იზრდება მისი აქტიურობა და მაკონტროლებელი ფუნქციის დაფარვის არეალი. ბაზრის გლობალიზაცია და ევროინტეგრაციის გზაზე გადადგმული ნაბიჯები კი ბიზნესისგან ცივილიზებული თამაშის წესების დაცვას ითხოვს.

ამასთან, თუ საკითხს ევროპული გამოცდილების ჭრილში შევხედავთ, სადაც პერსონალურ მონაცემებზე საუბარი და შესაბამისი სასამართლო პრაქტიკა გასული საუკუნის 70-იანი წლებიდან იღებს სათავეს, ქართული 6 წლიანი გამოცდილების შედეგები არც ისე მოკრძალებულად გამოიყურება. აქვე უნდა ითქვას, რომ პერსონალურ მონაცემთა დაცვის თემა, ევროპასთან შედარებით ჩვენთვის სულ ახალი იქნება და ამ მიზეზით თავის მართლება, თუ რატომ არ გვაქვს მათსავით მაღალი სტანდარტი, არ გამოდგება.  რეალურად 6 წელი არც ისე ცოტაა, რომ მეტზე არ ვიზრუნოთ.

ეს ყველაფერი კი, მაძლევს საფუძველს თავს ფრთხილი ოპტიმიზმის უფლება მივცე და ვისურვო, მომავალი წლის 28 იანვარს, პერსონალურ მონაცემთა დაცვის საერთაშორისო დღეს გაუმჯობესებული მდგომარეობით და განვითარების ახალ საფეხურზე შევხვდეთ.