Грузия: изменения в законодательстве о персональных данных

05.03.2024

14 июня 2023 года Парламент Грузии принял Закон «О защите персональных данных» («Закон» или «Новый закон»). Закон вступит в силу 1 марта 2024 года, а отдельные его положения - 1 июня 2024 г. и 1 января 2025 г.

Закон вводит ряд дополнительных обязанностей для лиц, участвующих в обработке персональных данных. Положения нового закона, касающиеся частного сектора экономики, во многом основываются на Общем регламенте ЕС по защите данных (GDPR).

«Персональные данные» — это любая информация, связанная с идентифицированным или идентифицируемым физическим лицом. «Обработка» означает любое действие, выполняемое в отношении данных, включая сбор, извлечение, доступ, хранение и разглашение. В настоящее время большинство организаций в той или иной форме обрабатывает персональные данные – сотрудников или клиентов. Таким образом, обязательства, предусмотренные Новым законом, распространяются на большинство представителей бизнеса в Грузии. Соблюдение Закона требует разработки различных письменных политик и процедур, назначения сотрудника, ответственного за защиту данных, проведения обучения сотрудников, участвующих в обработке данных, подписания соглашений о защите данных с поставщиками услуг, а также совершения других действий.

Ответственность за нарушение установленных Законом положений ужесточается. Размер штрафа варьируется в зависимости от вида нарушения и обычно составляет от 1000 до 6000 лари. Точная сумма штрафа зависит от размера ежегодного дохода лица и наличия отягчающих обстоятельств, таких как неоднократное нарушение, нарушение с целью дискриминации и другие.

Ниже приведены основные вопросы, регулируемые Законом, и основные нововведения, которые налагают дополнительные обязательства на лиц, участвующих в обработке данных, а следовательно, оказывают существенное влияние на бизнес.

Новые обязательства распространяются на:

  • лиц, ответственных за обработку данных,
  • лиц, обрабатывающих данные.

Ответственное лицо определяет цели и средства обработки данных и осуществляет обработку данных непосредственно или через лицо, уполномоченное на обработку данных. Ответственными лицами являются работодатели (в отношении данных о сотрудниках), клиники (в отношении данных о пациентах), отели (в отношении данных о гостях), банки (в отношении данных о клиентах) и другие.

Лицо, обрабатывающее данные, является подрядчиком ответственного лица и действует в интересах ответственного лица или от его имени в соответствии с условиями заключенного договора. Например, если какая-либо компания предоставляет услуги колл-центра поставщику медицинских услуг, такой поставщик является ответственным за обработку данных пациентов, а колл-центр является лицом, обрабатывающим данные.


Сотрудник, ответственный за защиту персональных данных

Новый закон ввел должность сотрудника, ответственного за защиту персональных данных. Права и обязанности такого сотрудника включают информирование и консультирование лица, ответственного за обработку данных, лица, обрабатывающего данные, а также их сотрудников по вопросам обработки данных; рассмотрение и анализ претензий и жалоб, связанных с обработкой данных; представление интересов названных лиц перед Службой защиты персональных данных и другое.

В Законе прямо указаны физические и юридические лица, обязанные назначать таких сотрудников, а именно:

  • страховые компании
  • коммерческие банки
  • медицинские учреждения
  • микрофинансовые организации
  • поставщики услуг электронной связи
  • авиакомпании
  • аэропорты
  • бюро кредитных историй
  • общественные организации
  • лица, обрабатывающие данные большого количества субъектов данных (не менее 3% населения Грузии) или систематически отслеживающие большое количество данных.

Названные выше функции может выполнять сотрудник организации или стороннее лицо на основании договора оказания услуг. Закон также допускает назначение общего ответственного лица для нескольких физических или юридических лиц.


Помимо назначения сотрудника, ответственного за защиту персональных данных, Закон вводит важные положения в следующих областях:

  • Обязательства по записи информации
  • Документ об оценке ущерба для защиты персональных данных
  • Профилирование
  • Отчеты о нарушениях
  • Аудио- и видеонаблюдение
  • Трансграничная передача данных
  • Прочее.


Как мы можем помочь

Специалисты офиса SCHNEIDER GROUP в Тбилиси готовы ответить на Ваши вопросы, касающиеся изменений в законодательстве Грузии о персональных данных, а также предоставить Вам профессиональную поддержку в налоговых, юридических и бухгалтерских вопросах, связанных с развитием Вашего бизнеса на локальном рынке.

Напишите нам

loading captcha...
Идёт отправка...