პერსონალურ მონაცემთა საერთაშორისო გადაცემის რეგულირება და გამოწვევები

თანამედროვე ტექნოლოგიების განვითარებამ გაამარტივა კომპანიებს შორის თანამშრომლობა და მონაცემთა მიმოცვლის პროცესი. დღეს ტრანსნაციონალურ დონეზე მონაცემთა გადაცემა საკმაოდ თავისუფლად მიმდინარეობს. ტერიტორიული სიშორე დაბრკოლებას აღარ წარმოადგენს მონაცემთა გადაცემისათვის, თუმცა მონაცემთა თავისუფალ მიმოცვლას რეგულირების ჩარჩოებში აქცევს პერსონალურ მონაცემთა დაცვის სამართალი, რომელიც აბალანსებს მონაცემთა საერთაშორისო გადაცემის თავისუფლებასა და ინდივიდების ფუნდამენტურ უფლებებს.

მონაცემთა გადაცემა კორპორაციების ფუნქციონირებისათვის ერთ-ერთი მნიშვნელოვანი მოქმედებაა, ხოლო მონაცემთა საერთაშორისო გადაცემის ერთიანი, უნიფიცირებული რეგულირება, რომელიც საერთო იქნებოდა ყველა ქვეყნისათვის, არ არსებობს. ხშირად,  მონაცემთა გადაცემის პროცესში რამდენიმე ქვეყანა ერთვება, ასეთ შემთხვევაში კი პროცესი კიდევ უფრო რთულდება, რაც რიგ პრობლემებსა და გაუგებრობას წარმოშობს. სწორედ ამ პროცესში მნიშვნელოვანი საკითხი დგება დღის წესრიგში − თუ როგორ უნდა განხორციელდეს სამართლებრივად მონაცემთა საერთაშორისო გადაცემა?

მონაცემთა საერთაშორისო გადაცემის სწორი სამართლებრივი შეფასებისთვის პირველ რიგში აუცილებელია დღეს არსებული ყველაზე მნიშვნელოვანი და გამოყენებადი რეგულირების მიმოხილვა, რომელიც ევროკავშირის მიერ არის დადგენილი.

ევროკავშირის წევრ ქვეყნებს შორის მონაცემთა საერთაშორისო გადაცემა რეგულირდება  მონაცემთა დაცვის ზოგადი რეგულაციის (GDPR) შესაბამისად, რომელიც ძალაში შევიდა 2018 წლის 25 მაისს. აღნიშნული რეგულაცია პასუხობს თანამედროვე გამოწვევებს და მაქსიმალურად ცდილობს, პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების დამკვიდრებას. [1]

ევროკომისიის შესაბამისობის გადაწყვეტილება განსაზღვრავს იმ ქვეყნების ჩამონათვალს, რომლებიც შეფასებულია მონაცემთა დაცვის სფეროში სათანადო გარანტიების მქონე ქვეყნებად, რაც, თავის მხრივ, ასეთ მესამე ქვეყანაში ყოველგვარი დამატებითი  ავტორიზაციის გარეშე მონაცემების გადაცემას გულისხმობს. [2]

შესაბამისობის შეფასებისას, კომისია ითვალისწინებს ისეთ კრიტერიუმებს, როგორიცაა: მესამე ქვეყანასთან ევროკავშირის ფაქტობრივი ან პოტენციური კომერციული ურთიერთობების ფარგლები, მათ შორის, თავისუფალი ვაჭრობის შეთანხმების არსებობა; მესამე ქვეყნის როლი კონფიდენციალურობისა და მონაცემთა დაცვის სფეროში, რომელიც შეიძლება იყოს სახელმძღვანელო მოდელი მისი რეგიონის სხვა ქვეყნებისთვის; პოლიტიკური ურთიერთობა მესამე ქვეყანასთან და პერსონალური მონაცემების, რომლებიც გეოგრაფიულ და/ან კულტურულ კავშირებს ასახავს,  ევროკავშირიდან გადინება.  [3]

სათანადო გარანტიების არარსებობის შემთხვევაში, გამონაკლისის სახით დაიშვება მონაცემთა გადაცემა, მაგალითად, იმ დროს, როდესაც არსებული რისკების მიუხედავად, პირი გამოხატავს თანხმობას მონაცემთა გადაცემაზე ან მონაცემთა გადაცემა პირსა და ორგანიზაციას შორის დადებული ხელშეკრულების შესასრულებლად ან მოსამზადებლად არის აუცილებელი. [4]

უსაფრთხოების სათანადო ზომები გამოიყენება შესაბამისობის გადაწყვეტილების არარსებობისას. მათ გასატარებლად რამდენიმე მექანიზმს სთავაზობს ევროკავშირის კანონმდებლობა და ამავდროულად, უშვებს ინდივიდუალური სახელშეკრულებო პირობების საფუძველზე მონაცემთა საერთაშორისო გადაცემას, თუ ევროკავშირის ტერიტორიიდან მონაცემთა გადაცემა მესამე ქვეყანაში ნებადართული იქნა შესაბამისი საზედამხედველო ორგანოს მიერ. [5]

მონაცემთა საერთაშორისო გადაცემის საკითხთან მიმართებით ნიშანდობლივი გადაწყვეტილება მიიღო ევროკავშირის სასამართლომ,  2020 წელს შრემსის მეორე საქმეზე. აღნიშნულმა გადაწყვეტილებამ ძირეულად შეცვალა ამერიკასა და ევროკავშირის წევრ ქვეყნებს შორის მონაცემთა მიმოცვლის რეგულირება. სასამართლომ განმარტა, რომ მონაცემთა დაცვის ადეკვატური დონე არ გულისხმობს აუცილებლად ევროპულ სტანდარტებთან იდენტურობას, არამედ, ეფექტიანი ზედამხედველობის მექანიზმების არსებობას. გადაწყვეტილებით ევროკავშირი-აშშ კონფიდენციალურობის ფარი, რომელიც უზრუნველყოფდა მათ შორის მონაცემთა მიმოცვლას, გაუქმდა როგორც მონაცემთა გადაცემის სამართლებრივი მექანიზმი. პრობლემის საბოლოოდ გადაჭრამდე, სასამართლომ განმარტა, რომ რეკომენდებულია სტანდარტული სახელშეკრულებო პირობების გამოყენება, რადგანაც  წარმოადგენს ეფექტიან მექანიზმს მონაცემთა ადეკვატური დაცვის უზრუნველსაყოფად. [6]

აღნიშნული გადაწყვეტილება ორგანიზაციებს უბიძგებს, რომ ყურადღება გაამახვილონ არსებულ ურთიერთობებში მონაცემთა ნაკადებისა და პერსონალური მონაცემების გადაცემაში ჩართული მხარეების სრულფასოვან შეფასებაზე,[7] აგრეთვე კომპანიებმა უნდა გაითვალისწინონ რეკომენდაციები, რომელთა დაცვაც მათ ხელს შეუწყობს ადეკვატურობის ხარისხის დაკმაყოფილებაში.

არსებული საერთაშორისო მოთხოვნების შესაბამისად საქართველოში პერსონალურ მონაცემთა დაცვის სფერო ნელ-ნელა იხვეწება. სწორედ ასოცირების შეთანხმების შესაბამისად საქართველომ ეროვნული კანონმდებლობა ჰარმონიზაციაში უნდა მოიყვანოს არსებულ ევროპულ კანონმდებლობასთან.[8] ამ მიზნით შემუშავებულია პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის პროექტი, რომელიც მობილიზებულია იმ ძირეული შეუსაბამობების გამოსწორებაზე, რომლებიც საქართველოს კანონს ევროპის კანონმდებლობისაგან განასხვავებს.

საქართველოს კანონმდებლობაში მონაცემთა საერთაშორისო გადაცემის წესი აღწერილია პერსონალურ მონაცემთა დაცვის შესახებ საქართველოს კანონის მე-6 თავში, რომელიც ეხება მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემას. კანონში აღნიშნულია, რომ მონაცემთა დამუშავების საფუძვლების არსებობის გარდა, ქვეყანაში ან საერთაშორისო ორგანიზაციაში აგრეთვე უზრუნველყოფილი უნდა იყოს მონაცემთა დაცვის სათანადო გარანტიები, ხოლო მონაცემთა დაცვის სათანადო გარანტიების არსებობის შესახებ გადაწყვეტილებას სახელმწიფო ინსპექტორის სამსახური იღებს. აღნიშნული ჩანაწერიდან გამომდინარეობს, რომ თუ ქვეყანა არ შედის სახელმწიფო ინსპექტორის ბრძანებით  დამტკიცებულ  პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხაში, მაშინ მონაცემთა გადაცემისათვის სახელმწიფო ინსპექტორის სპეციალური თანხმობა არის საჭირო.

განსაკუთრებული ყურადღებაა საჭირო, როდესაც მონაცემთა გადაცემა ხორციელდება საქართველოდან, რადგანაც, ერთი მხრივ, საქართველო არ წარმოადგენს ევროკავშირის წევრ ქვეყანას, ხოლო მეორე მხრივ, საქართველოდან მესამე ქვეყანაში მონაცემთა გადაცემას შესაძლოა, სჭირდებოდეს სახელმწიფო ინსპექტორის თანხმობა. თუმცა ეს პროცესი უფრო კომპლექსური ხასიათისაა, რა დროსაც მნიშვნელოვანია გადაცემის პროცესში მონაწილე კომპანიების ადგილმდებარეობისა და ფუნქციების გამიჯვნა.

მონაცემთა გადაცემის ინსტრუმენტის ევროკავშირის რეგულაციებთან შესაბამისობის შესახებ ევროპის მონაცემთა დაცვის საბჭოს რეკომენდაციით შესაძლოა ბევრ პრობლემურ კითხვას გაეცეს პასუხი.

აღნიშნული რეკომენდაცია აღწერს ნაბიჯებს, რომლებიც ბიზნესმა უნდა გადადგას იმის დასადგენად, სჭირდება თუ არა დამატებითი ზომების მიღება პერსონალური მონაცემების ევროპის ეკონომიკური ზონის ფარგლებს გარეთ გადაცემისას. მიუხედავად იმისა, რომ აღნიშნული რეკომენდაციები გაცემულია ევროკავშირის ტერიტორიაზე არსებული ბიზნესებისთვის, რომლებსაც მონაცემთა გადაცემა ევროპის ტერიტორიის გარეთ უწევთ, მასში განმარტებულია საკმაოდ საინტერესო პროცესი, რომელიც უზრუნველყოფს მონაცემთა უსაფრთხო გადაცემას.

რეკომენდაციის მიხედვით ბიზნესმა სასურველია, განახორციელოს მესამე ქვეყნის ადგილობრივი კანონმდებლობის შეფასება, რათა პერსონალურ მონაცემთა ეფექტიანი დაცვის არსებობა დადასტურდეს. აგრეთვე საინტერესოა, რომ მნიშვნელობა ენიჭება მონაცემთა შენახვის ადგილს, კერძოდ, ინახება თუ არა მონაცემები მესამე ქვეყანაში, შესაძლებელია თუ არა დისტანციური წვდომა შენახულ მონაცემებზე ან შესაძლოა თუ არა მონაცემები დაექვემდებაროს შემდგომ გადაცემას მესამე ქვეყნიდან სხვა ქვეყანაში. აღნიშნული ფაქტორების გათვალისწინება განსაკუთრებით მნიშვნელოვანია, რადგან ხშირად მონაცემები ინახება ერთ სახელმწიფოში, ხოლო მათზე წვდომა სხვა სახელმწიფოდან ხორციელდება. მონაცემთა დაცვის სტანდარტის მაქსიმალურად დასაცავად კი აუცილებელია ამ პროცესში მონაწილე ყველა აქტორის როლის შეფასება.[9] აღნიშნული რეკომენდაცია ნათელი მაგალითია იმისა, თუ რაოდენ მაღალი სტანდარტებია დაწესებული ევროპის გარეთ მონაცემთა გადაცემის შემთხვევაში.

მონაცემთა დაცვის მაღალი სტანდარტის არსებობა ფუნდამენტური ღირებულებაა დემოკრატიული სახელმწიფოებისათვის, მონაცემთა მიმოცვლის პარალელურად აუცილებელია, რომ ინდივიდების უფლებები მაქსიმალურად იყოს დაცული. საქართველოს კანონმდებლობის დახვეწა და ევროპულ სტანდარტებთან დაახლოება კი განსაკუთრებით მნიშვნელოვანია მონაცემთა საერთაშორისო გადაცემის უსაფრთხოების დაცვის ხარისხის ასამაღლებლად, რაც მეტად უსაფრთხო გარემოს ქმნის ინდივიდებისა და ბიზნესისათვის.

ავტორის შესახებ

ნინო ყველაიძე – სამართალმცოდნეობის ბაკალავრი (ილიას სახელმწიფო უნივერსიტეტი/პარიზის პოლიტიკური კვლევების ინსტიტუტი), საჯარო სამართლისა და პოლიტიკის მაგისტრანტი (ილიას სახელმწიფო უნივერსიტეტი), „გრანთ თორნთონ საქართველოს“ იურიდიული მრჩეველი.

წყაროები:

[1] პერსონალურ მონაცემთა დაცვის ინსპექტორის აპარატი, რა უნდა ვიცოდეთ ევროკავშირის მონაცემთა დაცვის რეგულაციის შესახებ, 2018;

[2] ევროკავშირის ფუნდამენტურ უფლებათა სააგენტო და ევროპის საბჭო, მონაცემთა დაცვის ევროპული სამართლის სახელმძღვანელო, 2018;

[3] European Commission Communication on Exchanging and Protecting Personal Data in a Globalised World1, 10 January 2017,  https://ec.europa.eu/commission/presscorner/detail/en/MEMO_17_15 (6.11.2021);

[4] European Union, General Data Protection Regulation (GDPR), (EU) 2016/679, OJ L 119, 04.05.2016;

[5] ევროკავშირის ფუნდამენტურ უფლებათა სააგენტო და ევროპის საბჭო, მონაცემთა დაცვის ევროპული სამართლის სახელმძღვანელო, 2018;

[6] Bradford, Laura, Mateo Aboy, and Kathleen Liddell. “Standard contractual clauses for cross-border transfers of health data after Schrems II.” Journal of Law and the Biosciences 8, no. 1 (2021) https://academic.oup.com/jlb/article-pdf/doi/10.1093/jlb/lsab007/38710953/lsab007.pdf(6.11.2021);

[7] Petroli, Mallory “New Standard Contractual Clauses Under the GDPR”,  National Law Review Volume XI, Number 311 November 7, 2021, https://www.natlawreview.com/article/new-standard-contractual-clauses-under-gdpr (6.11.2021);

[8] განმარტებითი ბარათი საქართველოს კანონის პროექტზე „პერსონალურ მონაცემთა დაცვის შესახებ“,

https://info.parliament.ge/file/1/BillReviewContent/222087 (6.11.2021);

[9] EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, 18 June 2021, https://edpb.europa.eu/system/files/2021-06/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_en.pdf(8.11.2021).