New personal data protection law

On June 14, 2023, the Parliament of Georgia adopted the Law of Georgia on Personal Data Protection (hereinafter the "Law") replacing previous Law on Personal Data Protection.

The Law was developed to fulfil the obligations set forth in the EU-Georgia Association Agreement, to harmonize existing legislation with European standards, and to establish best practices in the field of personal data protection.

The purpose of the Law, among others, is to enhance the rights of data subjects and establish robust mechanisms to provide them with maximum protection. The Law explicitly outlines the responsibilities of the data processor, facilitating comprehension and fulfilment of obligations for individuals engaged in data processing activities.

Pursuant to the Law processing data means any activities, including, collecting, video/audio monitoring, organizing, storing, sharing, disclosing and erasing of personal data. Any organization that processes personal data must ensure to fulfil the requirements of the new Law.

Main new requirements of the Law are as follows:

• Appointment and registration of a Special Representative: If the person responsible for data processing/the person authorized to process data is registered outside of Georgia, but the data processing is carried out using technical means available in Georgia, data processor shall appoint and register a Special Representative before processing of the personal data.
• Appointment of the Personal Data Protection Officer: Public institutions, insurance organizations, commercial banks, microfinance organizations, credit bureaus, electronic communication companies, airlines, airports, medical institutions, and the persons responsible for processing or large-scale processing, systematic and large-scale control of data subject's behaviour shall appoint Personal Data Protection Officer.
• Personal data breaches must be reported within 72 hours:  In case incidents occur, organization shall make appropriate records about the incident, results of the incident and measures taken. It shall, within 72 hours, notify the Personal Data Protection Service and the affected data subject.
• Video and audio monitoring: The person which implements video or audio monitoring is obliged to determine in advance in writing the purpose and scope of the monitoring, the duration and conditions of access to the recording, its storage and destruction, as well as the mechanisms for protecting the rights of the data subject.
• Data protection impact assessment: Organization is obliged to conduct a data protection impact assessment in advance if there is a high probability of a threat to fundamental human rights and freedoms during data processing (taking into consideration new technologies, data category, volume, purposes, and means of data processing).

It should be noted that the Law establishes new types of violations, differentiates responsible persons, and increases the amount of fines. In some cases, the fine amount for a natural person has doubled, and for a legal entity with an annual turnover exceeding GEL 500,000, it has quadrupled.

Most of the provisions of the Law will come into force on March 1, 2024. However, appointment of the Personal Data Protection Officer and conducting data protection impact assessment becomes mandatory from June 1, 2024. 

2023 წლის 14 ივნისს, საქართველოს პარლამენტმა მიიღო „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონი („კანონი“), რომელმაც შეცვალა მანამდე მოქმედი კანონის რედაქცია.

კანონის შემუშავების საფუძველს წარმოადგენს საქართველოსა და ევროკავშირს შორის გაფორმებული ასოცირების შეთანხმებით გათვალისწინებული ვალდებულებების შესრულება, არსებული კანონმდებლობის ევროპულ სტანდარტებთან ჰარმონიზაცია და პერსონალურ მონაცემთა დაცვის სფეროში არსებული  საუკეთესო პრაქტიკის დამკვიდრება. 

კანონი, მათ შორის,  მიზნად ისახავს, მონაცემთა სუბიექტის უფლებების გაზრდას და მაქსიმალური დაცვის მექანიზმების შექმნას. კანონი უზრუნველყოფს მონაცემთა დამმუშავებლის ვალდებულებების ჩამოყალიბებას, რაც გაუადვილებს მონაცემთა დამუშავების პროცესში ჩართულ პირებს თავიანთი ვალდებულებების გააზრებასა და შესრულებას.

კანონის თანახმად, მონაცემთა დამუშავება ნიშნავს ნებისმიერ საქმიანობას, მათ შორის, შეგროვებას, ვიდეო/აუდიო მონიტორინგს, ორგანიზებას, შენახვას, გაზიარებას, გამჟღავნებას და პერსონალური მონაცემების წაშლას. ნებისმიერმა ორგანიზაციამ, რომელიც ამუშავებს პერსონალურ მონაცემებს, უნდა უზრუნველყოს ახალი კანონის მოთხოვნების შესრულება.

კანონით განსაზღვრულ ძირითად ახალ  მოთხოვნებს წარმოადგენს:

• სპეციალური წარმომადგენლის დანიშვნა და მისი რეგისტრაცია სავალდებულო ხდება იმ შემთხვევაში, როდესაც მონაცემთა დამუშავებაზე პასუხისმგებელი პირი/დამუშავებაზე უფლებამოსილი პირი საქართველოს ფარგლებს გარეთ არის რეგისტრირებული, თუმცა მის მიერ მონაცემთა დამუშავება ხორციელდება საქართველოში არსებული ტექნიკური საშუალებებით;
• პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა სავალდებულო ხდება იმ შემთხვევებში, როდესაც მუშავდება დიდი რაოდენობით მონაცემი ან ხორციელდება მონაცემთა სუბიექტის ქცევის სისტემური და მასშტაბური კონტროლი; ოფიცრის დანიშვნა სავალდებულო გახდა ასევე  შემდეგი დაწესებულებებისთვის: სადაზღვევო ორგანიზაცია, კომერციული ბანკი, მიკროსაფინანსო ორგანიზაცია, საკრედიტო ბიურო, ელექტრონული კომუნიკაციის კომპანია, ავიაკომპანია, აეროპორტი, სამედიცინო და საჯარო დაწესებულებები;
• პერსონალური მონაცემების დაცვის ვალდებულებების დარღევის ფაქტის შემთხვევაში, ორგანიზაცია ვალდებულია აღრიცხოს ინციდენტი, დამდგარი შედეგი და მიღებული ზომები. ამასთანავე, იგი ვალდებულია აღნიშნულის შესახებ  არაუგვიანეს 72 საათისა აცნობოს პერსონალურ მონაცემთა დაცვის სამსახურს, ასევე მონაცემთა სუბიექტს;
• პირი, რომელიც ახორციელებს ვიდეო ან აუდიო მონიტორინგს, ვალდებულია წინასწარ წერილობით განსაზღვროს მონიტორინგის მიზანი და მოცულობა,  ხანგრძლივობა და დაშვების პირობები, ასევე მისი შენახვის და განადგურების მექანიზმები;
• დამუშავებაზე პასუხისმგებელი პირი ვალდებულია წინასწარ განახორციელოს მონაცემთა დაცვაზე ზეგავლენის შეფასება იმ შემთხვევაში თუ მონაცემთა დამუშავებისას ახალი ტექნოლოგიების, მონაცემთა კატეგორიის, მოცულობის, მონაცემთა დამუშავების მიზნებისა და საშუალებების გათვალისწინებით, მაღალი ალბათობით იქმნება ადამიანის ძირითადი უფლებებისა და თავისუფლებების შელახვის საფრთხე.

აღსანიშნავია, რომ კანონით დადგინდა ახალი სახის სამართალდარღვევები, განხორციელდა პასუხისმგებელ პირთა დიფერენციაცია და გაიზარდა ჯარიმის  ოდენობები. რიგ შემთხვევებში,   ჯარიმის ოდენობა ფიზიკური პირისთვის გაორმაგდა, ხოლო იურიდიული პირის შემთხვევაში, რომელთა წლიური ბრუნვა აღემატება 500 000 ლარს, გაოთხმაგდა.

კანონის დებულებების უმეტესი ნაწილი ძალაში 2024 წლის 1 მარტიდან შევა. თუმცა პერსონალურ მონაცემთა დაცვის ოფიცრის დანიშვნა და მონაცემთა დაცვაზე ზემოქმედების შეფასების ჩატარება სავალდებულო 2024 წლის 1 ივნისიდან გახდება.