Структура документа
View explanations
Связанный документы
Отметки документа
Консолидированный публикации
Вернуться назад - Оригинал
- ●
- Английский
- ●
- Русский
- ●
- Параллельно Английский
- ●
- Параллельно Русский
- ●
- Параллельно Английский - Русский
Консолидированная версия (06/02/2025 - 02/04/2025)
LAW OF GEORGIA
ON PERSONAL DATA PROTECTION
Chapter I – General Provisions
Article 1 – Purpose of the Law
The purpose of this Law is to ensure the protection of fundamental human rights and freedoms, including the right to the inviolability of private and family life, and to privacy and communication, in the processing of personal data.
Article 2 – Scope of the Law
1. This Law shall apply to the processing of data wholly or partly by automated means within the territory of Georgia, to the processing other than by automated means of data which form part of a filing system or are processed to form part of a filing system, as well as to the processing of data by a controller not established in Georgia, using technical means available in Georgia, except where the technical means are used solely for the transit of data.
2. This Law shall not apply to:
a) the processing of data by a natural person in the course of purely personal and/or household activities, which has no connection to his/her entrepreneurial and/or economic and professional activities or the performance of official duties. The processing of data in the course of purely personal and/or household activities can include correspondence and the holding of addresses, or online activity (including social networking) undertaken within the context of such activities;
b) the processing of data for the purposes of national security (including economic security), defence, intelligence and counter-intelligence activities;
c) semi-automated processing and non-automated processing of data deemed to be a state secret, for the purposes of the prevention, investigation and prosecution of crime, and the conduct of operative and investigative activities or the protection of the rule of law;
d) the processing of data for the purposes of court proceedings;
e) the processing of data by mass media for public information (except for Article 4(1)(f) and Article 27);
f) the processing of data for academic, artistic or literary purposes.
4. Article 6 of this Law shall not apply to the processing of data for the purposes of a population census as provided for by the Law of Georgia on Official Statistics.
4. This Law shall apply to the automated and semi-automated processing of data by institutions that carry out the activities under Article 2(b-d), and to the non-automated processing of data which form part of a filing system or are processed to form part of a filing system, unless the data are processed in the context of the activities under the same subparagraphs.
5. Anyone who unknowingly obtains another person’s data that is not intended for him/her shall respect the rights of the data subject and shall not attempt to carry out unlawful data processing.
Article 3 – Definition of terms
For the purposes of this Law, the terms used herein shall have the following meanings:
a) personal data (‘data’) – any information relating to an identified or identifiable natural person. An identifiable natural person is one who can be identified, directly or indirectly, including by his/her name, surname, identification number, location data and electronic communication identifiers, or by physical, physiological, mental, psychological, genetic, economic, cultural or social characteristics;
b) special categories of data – data connected to a person’s racial or ethnic origin, political views, religious, philosophical or other beliefs, membership of professional unions, health, sexual life, status of an accused, convicted or acquitted person or a victim in criminal proceedings, conviction, criminal record, diversion, recognition as a victim of trafficking in human beings or of a crime under the Law of Georgia on the Elimination of Violence against Women and/or Domestic Violence, and the Protection and Support of Victims of Such Violence, detention and enforcement of his/her sentence, or his/her biometric and genetic data that are processed to allow for the unique identification of a natural person;
c) data concerning health − data related to the physical or mental health of a data subject, including the provision of health care services, which reveal information about his/her physical or mental health;
d) biometric data − data processed using technical means and related to the physical, physiological or behavioural characteristics of a data subject (such as facial images, voice characteristics or dactyloscopic data), which allow the unique identification or confirm the identity of that data subject;
e) genetic data − data relating to the acquired or inherited genetic characteristics of a data subject which, through an analysis of a biological sample from that data subject, give unique information about his/her physiology or health;
f) processing of data − any operation performed on personal data, including collecting, obtaining, accessing, photographing, video monitoring and/or audio monitoring, organising, grouping, interconnecting, storing, altering, retrieving, requesting for access, using, blocking, erasing or destroying, and disclosing by transmission, publication, dissemination or otherwise making available;
g) automated data processing − the processing of data by means of information technologies;
h) non-automated data processing − the processing of data without using information technologies;
i) semi-automated data processing − the processing of data without using information technologies;
j) filing system − a structured set of data which are arranged and accessible according to specific criteria;
k) data subject – any natural person whose data are being processed;
l) consent of the data subject – consent freely and unambiguously expressed by a data subject after the receipt of the respective information, by an active action, in writing (including in electronic form) or verbally, to the processing of data concerning him/her for specific purposes;
m) written consent of the data subject − consent, signed or otherwise expressed by a data subject in writing (including in electronic form) after the receipt of the respective information, to the processing of data concerning him/her for specific purposes;
n) controller – a natural person, a legal person, or a public institution, who individually or in collaboration with others determines the purposes and means of the processing of data, and who directly or through a processor processes data;
o) joint controllers − two or more controllers who jointly determine the purposes and means of data processing;
p) processor − a natural person, a legal person, or a public institution, which processes data for or on behalf of the controller. A natural person who is in labour relations with the controller shall not be considered a processor;
q) recipient − a natural person, a legal person, or a public institution, to which data are disclosed, except the Personal Data Protection Service;
r) categories of recipients − the classification/grouping of recipients according to their area of activities or organisational and legal form;
s) third party − a natural person, a legal person, or a public institution, other than a data subject, the Personal Data Protection Service, a controller, a processor, a special representative and persons who, under the direct authority of the controller or processor, are authorised to process data;
t) special representative − a natural or legal person established outside Georgia, or an association of persons with no legal personality, designated/appointed by the controller or processor as a representative on the basis of this Law;
u) personal data protection officer − a person designated/appointed by a controller or a processor, who performs the functions as provided for by Article 33 of this Law;
v) blocking of data − the temporary suspension of data processing (except storing);
w) video monitoring − the processing of visual image data using the technical means located/installed in a public or private space, including video control and/or video recording (except for covert investigative actions);
x) audio monitoring − the processing of audio signal data using the technical means located/installed in a public or private space, including audio control and/or audio recording (except for covert investigative actions);
y) direct marketing − the direct and immediate delivery of information to a data subject by telephone, mail, email or other electronic means to generate and maintain interest in, sell and/or support a natural and/or legal person, product, idea, service, work and/or initiative, as well as image and social issues. The provision of information by a public institution to a natural person shall not be considered direct marketing if the provision of such information is compatible with any of the grounds for data processing as provided for by Articles 5 and 6 of this Law;
z) profiling − any form of automated processing of data involving the use of data to evaluate certain personal characteristics relating to a natural person, in particular to analyse or predict characteristics concerning the natural person’s performance of work, his/her economic situation, health, personal interests, reliability, behaviour, location or movements;
z1) data depersonalisation − the processing of data in such a manner that the data cannot be attributed to the data subject or attributing them to the data subject involves disproportionate effort, expense and/or time;
z2) data pseudonymisation − the processing of data in such a manner that the data cannot be attributed to a specific data subject without the use of additional information, and such additional information is kept separately and, by virtue of technical and organisational measures, the data are not attributed to an identified or identifiable natural person;
z3) incident − breach of security of data leading to the unlawful or accidental damage or loss of data, or the unauthorised disclosure, destruction, alteration of or access to data, or the collection/obtaining of data, or other unauthorised processing;
z4) public institution − an institution as defined in Article 27(a) of the General Administrative Code of Georgia (except for political and religious associations);
z5) continuing offence − an offence as provided for by this Law, the commission of which starts with an act and which then is committed continuously. A continuing offence shall be considered completed upon the termination of the act;
z6) covert investigative action − an investigative action as provided for by Article 1431(1) of the Criminal Procedure Code of Georgia;
z7) the Agency – the Legal Entity under Public Law called the Operative-Technical Agency of Georgia, a body with exclusive authority to conduct covert investigative actions as provided for by Article 1431(1)(a-d) of the Criminal Procedure Code of Georgia;
z8) electronic control system – the system as provided for by Article 2(i) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;
z9) special electronic control system – the system as provided for by Article 2(j) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;
z10) electronic control system of the central bank of electronic communication identification data – the system as provided for by Article 2(k) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia;
z11) special electronic control system for real-time location – the system as provided for by Article 2(n) of the Law of Georgia on the Legal Entity under Public Law called the Operative-Technical Agency of Georgia.
Chapter II – Lawfulness of Data Processing
Article 4 – Principles of data processing
1. The following principles shall be observed during data processing:
a) data shall be processed lawfully, fairly and in a transparent manner for the data subject, without interfering inviolability of human dignity of the data subject. The obligation to ensure the transparency of data processing shall not apply to the exceptional cases established by this Law;
b) data shall be collected/obtained for specified, explicit and legitimate purposes. The further processing of data for other purposes that are incompatible with the initial purposes shall be inadmissible;
c) data shall be processed only to the extent necessary to achieve the respective legitimate purpose. The data shall be proportionate to the purpose for which they are processed;
d) data shall be valid and accurate and, where necessary, kept up to date. Having regard to the purposes of data processing, inaccurate data shall be rectified, erased or destroyed without undue delay;
e) data may be stored only for a period which is necessary for achieving the legitimate purpose for which the data are processed. Once the purpose for which the data was processed has been achieved, the data shall be erased, destroyed or stored in a depersonalised form, unless the processing of data is required by law and/or a subordinate normative legal act issued in accordance with law, and the storing of data is a necessary and proportionate measure in a democratic society to safeguard overriding interests;
f) to ensure the security of data, technical and organisational measures shall be taken during the processing of data to ensure appropriate security, including protection against unauthorised or unlawful processing, accidental loss, destruction and/or damage.
2. If data are to be processed for purposes other than those for which they have been collected/obtained, and the processing is not based on the consent of the data subject or on law, the controller shall, in order to decide whether the data were processed for purposes other than those for which they have been collected/obtained, take into account:
a) any link between the initial purpose for which the data have been collected/obtained and the intended further purpose;
b) the nature of the relationship between the controller and the data subject in the context of collecting/obtaining data;
c) whether the data subject has reasonable expectations as to the further processing of data concerning him/her;
d) whether special categories of data are processed;
e) possible consequences for the data subject that may accompany further data processing;
f) the existence of technical and organisational safeguards.
4. Data collected by a law enforcement agency in the course of its activities may be processed for the purpose of general analysis of criminal activity and to establish the relationship between the various offences detected.
4. For the purposes of observing the principle of data processing under paragraph 1(d) of this article, the controller shall ensure that, depending on the context, data based on facts are distinguished from data based on personal assessments. In the case of data based on personal assessments, strict compliance with the principle of data processing under paragraph 1(d) of this article is not mandatory.
5. The further processing of data by the controller for the purposes of crime prevention (including the conduct of appropriate analytical research), investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, ensuring the placement of a person in a temporary detention cell, combating illegal migration, the implementation of international protection, responding to administrative offences, ensuring public and fire safety, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law (including the conduct of criminological research by a relevant law enforcement body or a court), shall not be considered to be incompatible with initial purposes if the processing of data is required by law, or a law and a subordinate normative act issued on the basis thereof.
6. The further processing of data for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes shall not be considered to be incompatible with initial purposes. Long-term storage of data for the purposes referred to in this paragraph shall be permitted if appropriate technical and organisational measures are in place to protect the rights of the data subject.
7. The controller shall be responsible for, and demonstrate compliance with, the principles under this article when processing data.
Article 5 – Grounds for data processing
1. Data processing shall be admissible where one of the following grounds exists:
a) the data subject has given consent to the processing of data concerning him/her for one or more specific purposes;
b) data processing is necessary for the performance of a contract entered into with the data subject or to enter into a contract at the request of the data subject;
c) data processing is provided for by law;
d) data processing is necessary for the controller to perform his/her statutory duties;
e) according to law, the data are publicly available or the data subject has made them publicly available;
f) data processing is necessary to protect the vital interests of the data subject or another person, including to monitor epidemics and/or prevent their spread, or manage humanitarian crises and natural and man-made disasters;
g) data processing is necessary to protect substantial public interests;
h) data processing is necessary to perform tasks falling within the scope of public interest as defined by the legislation of Georgia, including for the purposes of crime prevention, investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law, including information security and cyber security;
i) data processing is necessary to protect important legitimate interests pursued by the controller or a third party, unless there is an overriding interest in protecting the rights of the data subject (including a minor);
j) data processing is necessary to review an application submitted by the data subject (to provide services to him/her).
2. The controller shall have an obligation to justify the legal basis for the processing of data.
Article 6 – Processing of special categories of data
1. The processing of special categories of data shall be permitted only if the controller provides safeguards for the rights and interests of the data subject as provided for by this Law and if one of the following grounds exists:
a) the data subject has given written consent to the processing of the special category data for one or more specified purposes;
b) the processing of special categories of data is expressly and specifically regulated by law, and their processing is a necessary and proportionate measure in a democratic society;
c) the processing of special categories of data is necessary to protect the vital interests of the data subject or another person and the data subject is physically or legally incapable of giving consent to the processing of special categories of data;
d) the processing of special categories of data is necessary in the area of health care for the purposes of preventive, prophylactic, diagnostic, therapeutic, rehabilitative and palliative care, and for the management of services, medical equipment and the quality and safety of products, public health and the health care system, in accordance with the legislation of Georgia or a contract with a health professional (if these data are processed by a person who has an obligation to protect professional secrets);
e) the processing of special categories of data is necessary for the purposes of performing the statutory duties of the controller or exercising the specific rights of the data subject in the field of social security and social protection, including for the management of the social security system and services;
f) the processing of special categories of data is necessary for the purposes of crime prevention (including the conduct of appropriate analytical research), investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, ensuring the placement of a person in a temporary detention cell, combating illegal migration, the implementation of international protection, responding to administrative offences, ensuring public and fire safety, the conduct of operative and investigative activities, the safeguarding of public safety and/or the protection of the rule of law (including the conduct of criminological research by a relevant law enforcement body or a court), and the processing of such data is required by law, or a law and a subordinate normative act issued on the basis thereof;
g) special categories of data are processed to ensure information security and cyber security;
h) the processing of special categories of data is necessary because of the nature of labour obligations and relations, including for making decisions on employment and assessing the working capacity of the employee;
i) the data subject has made his/her data publicly available without an explicit prohibition of their use;
j) the processing of special categories of data is necessary to protect substantial public interests;
k) special categories of data are processed by political or professional associations, and organisations with religious or non-religious philosophical aims, for their legitimate activities. In this case, the processing of such data may relate solely to the members or former members of this association/organisation or persons who have regular contact with this association/organisation in connection with its purposes, on condition that these data are not disclosed to a third party without the consent of the data subjects;
l) the processing of special categories of data is necessary for archiving purposes in the public interest as provided for by law, for scientific or historical research purposes or statistical purposes if the law provides for the implementation of appropriate and specific measures to protect the rights and interests of the data subject. This ground for the processing of special categories data shall not apply if a special law expressly provides for the restriction of the processing of such data under additional and different conditions;
m) special categories of data are processed for the purpose of the functioning of the Unified Migration Analytical System;
n) special categories of data are processed for the purposes of exercising the right to education of persons with disabilities and persons with special educational needs;
o) special categories of data are processed for the purposes of reviewing the issue under Article 11(2) of the Law of Georgia on the Elimination of Violence against Women and/or Domestic Violence, and the Protection and Support of Victims of Such Violence;
p) special categories of data are processed for the purpose of the re-socialisation and rehabilitation of convicted persons and former prisoners, and for the coordination of the process of the referral of minors;
q) special categories of data are processed for the purposes of issuing and publishing as public information, in accordance with the Organic Law of Georgia on General Courts, a judicial act adopted as a result of open court hearings;
r) special categories of data are processed in cases expressly provided for by the Law of Georgia on Public Procurement;
s) special categories of data are processed for the functioning of the institutional inter-agency coordination mechanism – for the purposes of identifying and/or managing cases involving harm or anticipated risks to the life, health or safety of the child and/or to the best interests of the child or to his/her rights, and ensuring, within the limits of these purposes, coordination between competent bodies (agencies) as designated by the Government of Georgia in the cases provided for by Article 83(3) and Article 84(21) of the Code on the Rights of the Child.
2. In the case of the processing of data as provided for by paragraph 1(q) of this article, they may be issued and published as public information in accordance with the Organic Law of Georgia on General Courts.
3. The controller shall have an obligation to justify the legal basis for the processing of special categories of data.
Article 7 – Procedure and conditions for giving consent to the processing of data relating to a minor
1. The processing of data relating to a minor shall be permitted on the basis of his/her consent if he/she has attained the age of 16, and the processing of data relating to a minor under the age of 16 shall be permitted with the consent of his/her parent or other legal representative, except in cases expressly provided for by law, including where the consent of a minor between the ages of 16 and 18 and his/her parent or other legal representative is required for the processing of data.
2. The controller shall be obliged to take reasonable and adequate measures to confirm the existence of the consent of the parent or other legal representative of a minor under the age of 16.
3. The processing of special categories of data relating to a minor shall be permitted only on the basis of the written consent of the minor’s parent or other legal representative, except in cases expressly provided for by law.
4. When processing data relating to a minor, the controller shall be obliged to take into account and protect the best interests of the minor.
5. The consent of a minor, his/her parents or other legal representative to the processing of data shall not be considered valid if the processing of the data jeopardises or harms the best interests of the minor.
6. The provisions of this article shall not apply to relations related to the validity of a contract as defined by the Civil Code of Georgia.
Article 8 – Protection of data of a deceased person
1. After a data subject dies, the processing of data concerning him/her shall be permitted:
a) on the grounds specified in Articles 5 and 6 of this Law;
b) unless the processing of such data has been prohibited by the data subject’s parent, child, grandchild or spouse (except in cases where the data subject has prohibited in writing the processing of data concerning him/her after his/her death);
c) if 30 years have passed since the death of the data subject;
d) if this is necessary to exercise an inheritance right.
2. The processing of the name, surname, sex, date of birth and date of death of a deceased person shall be permitted irrespective of the circumstances and grounds as provided for by paragraph 1 of this article.
Article 9 – Processing of biometric data
1. Biometric data may be processed only if this is necessary for the purposes of carrying out activities, security, protection of property and prevention of the disclosure of secret information, and these purposes cannot be achieved by other means or involve disproportionate effort, as well as for the purposes of issuing an identity document in accordance with law, identifying a person crossing the state border, combating illegal migration, implementation of international protection, crime prevention, investigation, prosecution, administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, the re-socialisation and rehabilitation of convicted persons and former prisoners, the coordination of the process of the referral of minors, the conduct of operative and investigative activities, and ensuring information security and cyber security and in other cases expressly provided for by law.
2. The controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing, prior to processing, the purpose and amount of biometric data to be processed, the period of storage of these data, the procedure and conditions for their storage and destruction, and the mechanisms for the protection of the rights of the data subject.
Article 10 – Video monitoring
1. Video monitoring is permitted for the purposes of crime prevention, crime detection, public safety, the protection of personal safety and property, the protection of minors (including from harmful influence), the protection of secret information, examination/testing, and for the performance of tasks related to public and/or other legitimate interests, provided that the video monitoring is adequate and proportionate to the purpose of data processing.
2. To carry out video monitoring, the controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing the purpose and amount of video monitoring, the duration of the video monitoring and the period of storage of the video recording, the procedure and conditions for accessing, storing and destroying the video recording, and the mechanism for the protection of the rights of the data subject, except in cases where a natural person carries out video monitoring in a residential building.
3. Video monitoring of the work process/area of an employee shall only be permitted in exceptional cases where the purposes referred to in paragraph 1 of this article cannot be achieved by other means or involve disproportionate effort.
4. Video monitoring shall not be permitted in changing rooms, hygiene facilities or other places where a data subject has a reasonable expectation of privacy and/or where video monitoring is contrary to generally accepted moral standards.
5. A video monitoring system and video recordings shall be protected from unlawful encroachment and use. The controller shall ensure that any access to the video recordings is recorded, including the time of access and the user name that allow the identification of the person who accessed the video recording.
6. In a residential building, the video monitoring of a common entrance to a residential building and of a common space in a residential building shall be permitted with the written consent of more than half of the owners (if an owner cannot be identified, the consent of a possessor may be obtained), unless the controller/the processor carries out video monitoring to perform his/her statutory duties and the area of video monitoring includes the common entrance and common space of the residential building.
7. The video monitoring of an entrance to an individual property in a residential building shall be permitted only by a decision of the owner/possessor or with his/her written consent, in such a manner that the video monitoring does not harm the legitimate interests of other persons (including those lawfully using the owner’s property).
8. The controller/processor shall be obliged to place a warning sign indicating that video monitoring is being carried out in a visible place and, in the case referred to in paragraph 3 of this article, also to warn the employee in writing of the specific purpose(s) of the video monitoring. Where the requirements under this paragraph are met, the data subject shall be deemed to be informed of the processing of data concerning him/her.
9. A warning sign indicating that video monitoring is being carried out shall have an appropriate inscription, a clearly visible image of video monitoring in progress, and the name and contact details of the controller.
Article 11 – Audio monitoring
1. Audio monitoring shall be permitted:
a) with the consent of the data subject;
b) to make a record;
c) to protect important legitimate interests pursued by the controller, provided that appropriate and specific measures are in place to safeguard the rights and interests of the data subject;
d) in other cases expressly provided for by the legislation of Georgia.
2. To carry out audio monitoring, the controller shall be obliged, in accordance with the principles provided for by Article 4 of this Law, to determine in writing and in advance, the purpose and amount of audio monitoring, the duration of the audio monitoring, the procedure and conditions for accessing, storing and destroying the audio recording, and the mechanism for the protection of the rights of the data subject.
3. The controller shall warn the data subject, prior to or upon starting audio monitoring, about the carrying out of audio monitoring, and explain to him/her his/her right to object (if any). The burden of proof of informing the data subject lies with the controller/processor.
4. If the data subject is informed of audio monitoring by means of a warning sign, the warning sign shall have an appropriate inscription, a clearly visible image of audio monitoring in progress, and the name and contact details of the controller.
Article 12 – Processing of data for direct marketing purposes
1. Irrespective of the ground for collecting/obtaining data and their accessibility, data may only be processed for direct marketing purposes with the consent of the data subject.
2. In addition to the name, surname, address, telephone number and e-mail address of the data subject, other data shall be processed for direct marketing purposes with the written consent of the data subject.
3. Prior to obtaining the data subject’s consent and when carrying out direct marketing, the controller/processor shall inform the data subject, in clear, simple and understandable language, of his/her right to withdraw his/her consent at any time and of the mechanism/procedure for exercising this right.
4. The controller/processor shall be obliged to terminate the processing of data for direct marketing purposes within a reasonable period after receiving an appropriate request from the data subject, but no later than 7 working days. To ensure that this obligation is met, the controller/processor shall have an obligation to provide information on the withdrawal of consent by the data subject.
5. The controller/processor shall ensure that the data subject has the possibility to request that the processing of data for direct marketing purposes be terminated in the same form in which the direct marketing is carried out, or to determine other available and adequate means to request the termination of the processing.
6. The means referred to in paragraph 5 of this article to request the termination of data processing for direct marketing purposes shall be simple. In addition, the data subject shall be provided with a clear and easily understandable instruction on the use of the means.
7. No fee or other restriction shall be imposed on the data subject for exercising the right to withdraw consent.
8. In the case of direct marketing, the burden of proof for the existence of the data subject’s consent, the simplicity of the means of objection, and the ease of understanding, accessibility and adequacy of instructions on the use thereof shall lie with the controller and/or processor.
9. The controller/processor shall record and keep the date and fact of the data subject’s consent to the processing of data concerning him/her and the withdrawal of such consent for the duration of the direct marketing and for 1 year after the direct marketing has been discontinued.
Chapter III – Rights of Data Subjects
Article 13 – Right of data subjects to receive information on the processing of data
1. The data subject shall have the right to obtain from the controller confirmation as to whether or not data concerning him/her are being processed and, if requested by the data subject, the following information free of charge:
a) which data concerning him/her are being processed, as well as the grounds for and the purpose of the processing;
b) the source from which the data were collected/obtained;
c) the period for which the data will be stored and, if no specific period can be determined, the criteria used to determine that period;
d) the right of the data subject as provided for by this chapter;
e) the legal basis and purposes of the data transfer, as well as the appropriate data protection safeguards if the data are transferred to another state or an international organisation;
f) the identity of the recipients or the categories of recipients, including information on the ground for and purpose of the transfer, if the data are transferred to a third party;
g) the decision made as a result of automated processing, including profiling, and the logic involved in making such a decision, as well as its impact on the processing and the expected results of the processing.
2. The data subject shall have the right to receive the information referred to in paragraph 1 of this article not later than 10 working days after the request. This period may, in special cases and upon appropriate justification, be extended by no more than 10 working days, of which the data subject shall be notified immediately.
3. The controller shall have the right to provide the data subject with any information necessary to ensure transparent processing in accordance with Article 4(1)(a) of this Law, unless the disclosure of the information is contrary to the law.
4. Unless otherwise provided by the legislation of Georgia, the data subject shall have the right to choose the form of the provision of information as provided for by paragraph 1 of this article. In addition, if the data subject does not request the information in another form, the information shall be provided in the same form in which it was requested.
Article 14 – Right to access and to obtain a copy
1. The data subject shall have the right to access personal data concerning him/her and to obtain copies of such data from the controller free of charge, except in cases where in order to access and/or issue the copies of data:
a) a fee is required under the legislation of Georgia;
b) a reasonable fee is established by the controller because of the resources spent on issuing them in a form other than the data are stored, and/or frequent requests.
2. The data subject shall have the right to access the data referred to in paragraph 1 of this article and/or to obtain copies thereof not later than 10 working days after the request, unless different time limits are set by the legislation of Georgia.
3. The period referred to in paragraph 2 of this article may be extended in special cases and upon appropriate justification by no more than 10 working days, of which the data subject shall be notified immediately.
4. The data subject shall have the right to access the data referred to in paragraph 1 of this article and/or to obtain copies thereof in a form in which they are kept by the controller and/or processor. The data subject shall also have the right to obtain copies of data concerning him/her in another form in return for a reasonable fee established by the controller and where technically feasible.
5. The fee under paragraph 1(b) of this article shall not exceed the amount of resources actually spent by the controller. The burden of establishing a fee and of proving that its amount is reasonable shall lie with the controller.
Article 15 – Right to the rectification, update and completion of data
1. The data subject shall have the right to request the controller to rectify, update and/or complete erroneous, inaccurate and/or incomplete data concerning him/her.
2. Within not later than 10 working days after the data subject has made the request under paragraph 1 of this article (unless different time limits are set by the legislation of Georgia), the data shall be rectified, updated and/or completed, or the grounds on which the request was refused shall be notified, and the procedure for appealing against the refusal shall be explained, to the data subject.
3. If the controller, independently of the data subject, discovers that the data available to him/her are erroneous, inaccurate and/or incomplete, the controller shall rectify, update and/or complete the data within a reasonable period of time and inform the data subject thereof within 10 working days after the rectification of the data.
4. The controller shall not be obliged to inform the data subject in accordance with paragraph 3 of this article if the rectification, update and/or completion of the data is related to the correction/removal of a technical error.
5. If there are objective circumstances that make it impossible to fulfil the obligation to inform the data subject within the period referred to in paragraph 3 of this article, the controller shall inform the data subject of the change made at the time of the first communication to the data subject.
6. The collector shall inform all the recipients and all respective controllers and processors, to whom the controller transferred the same data, of the update and completion of the data, unless this information cannot be provided due to a large number of controllers/processors or recipients, and/or disproportionately high costs.
7. The persons referred to in paragraph 6 of this article shall rectify, update and/or complete the data within a reasonable period after receiving the respective information.
Article 16 – Right to the termination of the processing, erasure or destruction of data
1. The data subject shall have the right to request the controller to terminate the processing of (including profiling), erase or destroy data concerning him/her.
2. Within not later than 10 working days after the data subject has made the request under paragraph 1 of this article (unless otherwise provided for by the legislation of Georgia), the processing of the data shall be terminated, and/or the data shall be erased or destroyed, or the grounds on which the request was refused shall be notified and the procedure for appealing against the refusal shall be explained to the data subject.
3. The controller shall have the right to refuse the request under paragraph 1 of this article if:
a) one of the grounds provided for in Articles 5 or 6 of this Law exists;
b) data are processed for the purposes of substantiating a legal claim or a statement of defence;
c) the processing of data is necessary for the exercise of the right of freedom of expression or information;
d) data are processed for archiving purposes in the public interest as provided for by law, for scientific or historical research purposes or statistical purposes, and the exercise of the right to the termination of the processing, erasure or destruction of the data would render impossible or substantially impair the achievement of the purposes of the processing.
4. Where any of the grounds provided for by paragraph 3 of this article exists, the controller shall have an obligation to justify the respective ground.
5. The data subject shall have the right to be informed of the termination of the processing, erasure or destruction of the data once the respective action has been taken, without delay and at the latest within 10 working days.
6. The data subject shall have the right, where the data concerning him/her are processed in a publicly available form, to also request the controller to restrict access to the data and/or erase copies of or any internet links to the data.
7. The collector shall inform all the recipients and all respective controllers and processors, to whom the controller transferred the same data, of the termination of the processing, erasure and destruction of the data, unless this information cannot be provided due to a large number of controllers/processors or recipients, and/or disproportionately high costs.
8. The persons referred to in paragraphs 6 and 7 of this article shall, after the receipt of the respective information, terminate the processing of the data and erase or destroy the data.
Article 17 – Right to the blocking of data
1. The data subject shall have the right to request the controller to block data if any of the following circumstances exists:
a) the authenticity or accuracy of the data is contested by the data subject;
b) the processing of the data is unlawful, although the data subject opposes the erasure of the data and requests their blocking;
c) the data are no longer needed for the purposes of the processing, but they are required by the data subject to lodge a complaint/claim;
d) the data subject requests the termination of the processing, erasure or destruction of the data and this request is being considered;
e) there is a need to retain the data for use as evidence.
2. The controller shall be obliged to block the data upon the request of the data subject if one of the circumstances provided for by paragraph 1 of this article applies, unless blocking the data could jeopardise one of the following:
a) the fulfilment by the controller of the duties assigned to him/her by law and/or a law and a subordinate normative act issued on the basis thereof;
b) the performance of tasks falling within the scope of public interest in accordance with law and the exercise by the controller of the powers conferred on him/her under the legislation of Georgia;
c) the legitimate interests of the controller or a third party, unless there is an overriding interest in protecting the rights of a data subject, in particular a minor;
d) the protection of interests as provided for by Article 50(6) of this Law.
3. After the decision to block the data has been made, the controller may decide to unblock the data if any of the grounds provided for by paragraph 2(a)-(d) of this article exists.
4. The data shall be blocked for the period that the reason for blocking them exists, and during this period, if technically feasible, the decision to block the data shall be attached to the relevant data.
5. The data subject shall have the right to be informed of a decision to block the data or of the grounds for refusing to block the data once the decision has been made, without delay and at the latest within 3 working days after the request.
6. Where data are blocked in accordance with paragraph 1 of this article, the data may be processed otherwise than by storage in the following cases:
a) with the consent of the data subject;
b) to substantiate a legal claim or a statement of defence;
c) to protect the interests of the controller or a third party;
d) to protect public interests in accordance with law.
Article 18 – Right to the transmission of data
In the case of the automated processing of data on the grounds provided for by Article 5(1)(a) and (b) and Article 6(1)(a) of this Law, if technically feasible, the data subject shall have the right to receive from the controller data concerning him/her which he/she has provided to the controller in a structured, commonly used and machine-readable format, or to require that the data be transmitted to another controller.
Article 19 – Automated individual decision-making and related rights
1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal or other similarly significant effects concerning him/her, except where a decision based on profiling is:
a) based on the data subject’s explicit consent;
b) necessary for entering into, or performing, a contract between the data subject and a controller;
c) provided for by law or by a subordinate normative act issued within the powers delegated on the basis of the law.
2. Where there is a respective request from the data subject, the controller shall take appropriate measures to safeguard the data subject’s rights and freedoms and legitimate interests, including by involving human resources in the decision-making as provided for by paragraph 1(c) of this article, and by giving the right to the data subject to express his/her point of view and to contest the decision.
3. The use of special categories of data in the decision-making as referred to in paragraph 1 of this article shall be permitted only in the cases provided for by Article 6(1)(a), (f) and (j) of this Law, provided that appropriate measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.
Article 20 – Right to withdraw consent
1. A data subject shall have the right to withdraw his/her consent at any time and without explanation. In such case, the processing of the data shall be terminated, and/or the processed data shall be erased or destroyed, according to the request of the data subject, within not later than 10 working days after the request, provided that no other ground for the processing exists.
2. The data subject shall have the right to withdraw his/her consent in the same form in which it was given.
3. Before withdrawing consent, the data subject shall have the right to request and receive from the controller information on the possible consequences of withdrawing the consent.
Article 21 – Restriction of the rights of data subjects
1. The rights of the data subject under Articles 13-20, 24 and 25 of this Law may be restricted if this is expressly provided for by the legislation of Georgia, does not violate fundamental human rights and freedoms, and is a necessary and proportionate measure in a democratic society, and the exercise of these rights may jeopardise:
a) national security, information security and cyber security and/or defence interests;
b) public safety interests;
c) crime prevention, investigation, prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, and the conduct of operative and investigative activities;
d) interests relating to financial or economic (including monetary, budgetary and taxation), public health and social protection issues of importance to the country;
e) the detection of the data subject’s violations of professional ethical standards, including those of a regulated profession, and the imposition of liability on the data subject;
f) the exercise of the functions and powers of regulatory and/or supervisory bodies in the areas defined by paragraph 1(a), (b), (c), (d), (e), (g) or (i) of this article;
g) the protection of the rights and freedoms, including freedom of expression, of the data subject and others;
h) the protection of state, commercial, professional and other secrets provided for by law;
i) the substantiation of a legal claim or a statement of defence.
2. A measure under paragraph 1 of this article may be applied only to the extent necessary to achieve the purpose of the restriction.
3. If the grounds under paragraph 1 of this article exist, the decision of the controller to restrict, or to refuse the exercise of, the rights of the data subject shall be notified to the data subject, except where the provision of the information would jeopardise the purpose (purposes) of the restriction of the right.
4. The exercise by the data subject of the rights as provided for by Articles 13-20, 24 and 25 of this Law shall be free of charge, subject to the exceptions established by this Law. Where the data subject makes an unreasonable number of requests, the controller may refuse to comply with the request, in which case he/she shall immediately inform the data subject in writing and explain to him/her his/her right to appeal.
5. Where the rights of the data subject are restricted and his/her request is refused, the burden of proof shall lie with the controller.
Article 22 – Right to appeal
1. If the rights as provided for and the rules established by this Law are violated, the data subject shall have the right to apply to the Personal Data Protection Service, to a court and/or a superior administrative body in accordance with procedures established by law.
2. The data subject shall have the right to request the Personal Data Protection Service to make a decision to block the data until a decision is made to complete the consideration of the application.
3. The data subject shall have the right to appeal the decision of the Personal Data Protection Service to a court, in compliance with the conditions and time limits established by the legislation of Georgia.
Chapter IV – Obligations of Controllers and Processors
Article 23 – Obligation to protect the rights of the data subject
1. According to the request of the data subject, the controller shall be obliged to ensure, in accordance with established procedures, the exercise of the rights of the data subject as provided for by Chapter III of this Law, including taking all measures to comply with the requirements of this Law and, if necessary, demonstrate them.
2. The obligations under paragraph 1 of this article shall also apply to the processor in relation to the information kept with/available to him/her.
Article 24 – Informing the data subject where data are collected directly from him/her
1. Where data are collected directly from the data subject, the controller shall be obliged to provide the data subject with at least the following information before or at the beginning of the collection:
a) the identity/name and the contact details of the controller, his/her representative and/or the processor (if any);
b) the purposes and the legal basis of the processing of the data;
c) whether the provision of the data is mandatory, and where the provision of the data is mandatory, the legal consequences of refusal to provide them, as well as the information that the collection/obtaining of the data is required by the legislation of Georgia or is a necessary condition for entering into a contract (if such information exists);
d) the important legitimate interests pursued by the controller or of a third party if the data are processed in accordance with Article 5(1)(i) of this Law;
e) the identity and the contact details of the personal data protection officer (if any);
f) the identity of the recipients or categories of recipients of the data (if any);
g) the planned transfer of data and the existence of appropriate safeguards for the protection of the data, including authorisation to transfer the data (if any) if the controller plans to transfer the data to another state or an international organisation;
h) the period for which the data will be stored and, if no specific period can be determined, the criteria used to determine that period;
i) the right of the data subject as provided for by this chapter.
2. The provision of the information referred to in paragraph 1 of this article shall not be mandatory if it is reasonably foreseeable that the data subject already has such information.
3. The procedure under paragraph 1 of this article shall not apply if special legislation provides for a different procedure for informing the data subject when data are collected from the data subject and that procedure does not result in the infringement of the fundamental rights and freedoms of the data subject. In such case, where there is a written request from the data subject, the controller shall be obliged to provide the data subject with the information referred to in paragraph 1 of this article within 10 working days of the request, unless there are grounds for restricting the right as provided for by Article 21 of this Law.
4. The time limit for providing the information referred to in paragraph 3 of this article may, in special cases and upon appropriate justification, be extended by no more than 10 working days, of which the data subject shall be notified immediately.
5. The controller shall be obliged to provide the information referred to in paragraph 1 of this article to the data subject, especially if the data subject is a minor, in simple and understandable language. This information may be provided orally or in writing (including electronically), unless the data subject requests the provision of the information in writing.
Article 25 – Informing the data subject where data are not collected directly from him/her
1. Where data are not collected directly from the data subject, the collector shall be obliged to provide the data subject with the information referred to in Article 24(1)(a)-(i) of this Law, as well as information as to which data concerning him/her are being processed, and the source of the data, including whether the data have been obtained from a publicly accessible source.
2. The controller shall provide the data subject with the information referred to in paragraph 1 of this article within a reasonable period, or if the data are used to communicate with the data subject, at the time of the first communication with the data subject, or if the disclosure of the data is envisaged, before the data are disclosed, but not later than 10 working day after obtaining the data, unless there are grounds for restricting the right as provided for by Article 21 of this Law.
3. The obligation to provide the information under this article shall not apply to the controller and/or the processor if:
a) the data subject already has the information referred to in paragraph 1 of this article;
b) the collection or disclosure of the data is established by law or required for the performance of statutory duties;
c) the information cannot be provided or involves disproportionate effort, or the fulfilment of the obligation under this article would seriously impair or render impossible the achievement of the legitimate purpose(s) of the processing. In such cases, the controller shall take appropriate measures to protect the rights and legitimate interests of the data subject, including by making general information about the collection of data publicly available/publishing general information about the collection of data in an easily accessible form.
Article 26 – Data masking priority as an initial method used automatically before choosing an alternative approach when creating a new product or service
1. Taking into account the new technologies, development costs, nature, scope, context and purposes of data processing, the expected risks to the rights and freedoms of data subjects, and the principles of data processing, a controller shall take appropriate technical and organisational measures (including pseudonymisation, etc.) when determining the means of data processing and during the data processing. Taking such measures will ensure the effective implementation of data processing principles and the integration of data protection mechanisms in data processing, in order to ensure the protection of the rights of data subjects.
2. When determining the volume and scope of data processing, the periods of data storage and the authority to access such data, a controller shall ensure that technical and organisational measures are taken to process automatically only the volume of such data that is necessary for the specific purpose of the processing. Such measures shall be applied in such a manner that, before choosing an authorised alternative approach, an indefinite number of persons are automatically provided with access to the minimum volume of data.
Article 27 – Data security
1. A controller is obliged to take appropriate technical and organisational measures to ensure the processing of data in accordance with this Law and the confirmation of the compliance of data processing with this Law.
2. A controller and a processor are obliged to take organisational and technical measures that are adequate for the possible and associated risks of data processing (including data pseudonymisation, registration of the access to data, information security mechanisms (confidentiality, integrity, accessibility), etc.), which will ensure the protection of the data against loss or unlawful processing, including destruction, deletion, alteration, disclosure or use.
3. When determining the necessary organisational and technical measures for ensuring data security, a controller and a processor are obliged to take into account the data categories and volume, and the purpose, form and means of data processing and possible threats of violation of the rights of data subjects, and to periodically assess the efficiency of technical and organisational measures taken for ensuring data security, and where necessary, to take adequate measures and/or update existing measures for ensuring data security.
4. A controller and a processor are obliged to ensure that all operations performed in relation to electronic data (including information on incidents, data collection, data alteration, data access, data disclosure (transfer), data links and data deletion) are registered. When processing non-electronic data, the controller and the processor are obliged to ensure that all operations related to data disclosure and/or alteration (including information on incidents) are registered.
5. Any employee of a data controller and a data processor who is involved in data processing, or who has access to data, is obliged to act within the scope of powers granted to him/her, maintain data secrecy and confidentiality, and to comply with same after the termination of his/her term of office.
6. A controller and a processor are obliged to determine the volume of data to be accessed by employees depending on their scope of authority, and to take adequate measures to safeguard such data from incidents of unlawful data processing by employees, and to identify and prevent such incidents, and to provide information to employees on matters related data security.
Article 28 – Registration of information related to data processing and notifying the Personal Data Protection Service thereof
1. A controller and special representative (if any) thereof are obliged to ensure, in writing or electronically, the registration of the following data processing information on:
a) the identity / name and contact details of the controller, special representative, personal data protection officer, joint controller, and the processor ;
b) the objectives of the data processing ;
c) the data subjects and the data categories ;
d) the categories of data recipients (including the categories of data recipients from another state or international organisation) ;
e) the transfer of data to another state or international organisation, as well as appropriate safeguards of data protection, including a permit from the Personal Data Protection Service (if any) ;
f) the periods of data storage, and where such periods cannot be specified, the criteria for determining the periods of storage ;
g) a general description of the organisational and technical measures implemented for ensuring data security ;
h) information on incidents (if any).
2. Each data processor and any other person involved in data processing by the data processor in accordance with the procedure established by Article 36(7) of this Law are obliged to ensure, in writing or electronically, the registration of the following data processing information on:
a) the name and contact details of the processor, personal data protection officer, controller, joint controller, and special representative ;
b) the types of data processing carried out for or on behalf of the controller ;
c) the information provided for by paragraph 1(e) of this article, if they participate in the process of transferring data to another state or international organisation ;
d) a general description of the organisational and technical measures implemented for ensuring the data security ;
e) information on incidents (if any).
3. A controller, joint controller, processor and a special representative shall provide to the Personal Data Protection Service the information provided for by paragraphs 1 and 2 of this article immediately upon request, but not later than 3 working days after a request.
4. A copy of a court ruling on issuing or refusing to issue a permit to conduct covert investigative actions requested by a law enforcement body, which contains only the particulars and the resolution part, as well as a copy of a court ruling on recognising an investigative action, conducted by a law enforcement body without a court permission , as lawful/ unlawful, which contains only the particulars and the resolution part, shall be submitted to the Personal Data Protection Service in accordance with the procedures determined by the Criminal Procedure Code of Georgia.
5. An electronic communications company shall notify the Personal Data Protection Service about the transfer of electronic communication identification data to a law enforcement body in accordance with the procedure established by Article 136 of the Criminal Procedure Code of Georgia, and the notification shall be sent within 24 hours after such transfer.
6. In the case of urgent necessity, a prosecutor’s decree on the conduct of a covert investigative action, which contains only the particulars and the resolution part, shall be submitted as a tangible document to the Personal Data Protection Service by a prosecutor or an investigator, on the instruction of the prosecutor, not later than 12 hours after the time of the start of the covert investigative action as specified in the decree.
7. An electronic copy of a court ruling on the issuance of a permit for conducting a covert investigative action as provided for by Article 1431(a) of the Criminal Procedure Code of Georgia, which contains only the particulars and the resolution part, as well as an electronic copy of the prosecutor’s decree on conducting a covert investigative action, which contains only the particulars and the resolution part, shall be submitted to the Personal Data Protection Service immediately after their receipt by the Agency, via the electronic control system.
Article 29 – Obligation to notify the Personal Data Protection Service about an incident
1. A controller is obliged to register an incident, its resulting outcome, the measures taken, and to notify the Personal Data Protection Service about the incident, not later than 72 hours after the identification of the incident, in writing or electronically, except for the case where it is least expected that the incident would cause significant damage and/or pose a significant threat to fundamental human rights and freedoms.
2. A processor is obliged to notify a controller immediately about an incident.
3. A notification as referred to in paragraph 1 of this article shall contain the following information on:
a) the circumstances, type and time of the incident;
b) the possible categories and volume of data that have been disclosed, damaged, deleted, destroyed, obtained, lost, or altered in a non-authorised manner as a result of the incident, as well as the possible categories and number of data subjects that have been exposed to a threat as a result of the incident;
c) the measures taken or planned by a controller for mitigating or eliminating any possible damage caused by the incident;
d) whether or not, and within what time frame, a controller plans to notify a data subject(s) about the incident in accordance with the procedures established by Article 30 of this Law;
e) the data of a personal data protection officer or other contact persons.
4. If it is impossible to provide the information provided for by paragraph 3 of this article entirely and in full, a controller shall have the right, in agreement with the Personal Data Protection Service, to provide the information gradually, within a reasonable period.
5. If, in accordance with the notification submitted to the Personal Data Protection Service, a controller does not inform or fails to inform a data subject(s) about the incident, the Personal Data Protection Service shall be authorised to make public the available information on the incident considering the circumstances of the incident, the possible damage and/or the number of data subjects, except where one of the circumstances provided for by Article 30(3) of this Law prevails.
6. The procedure provided for by paragraph 5 of this article shall not apply if the notification provided for by paragraph 1 of this article is accompanied by an instruction of a public or private controller that the disclosure of information on the incident would pose a threat to:
a) the interests of state security, information security and cyber security, and/or defence ;
b) the interests of public security ;
c) crime prevention, investigation, a criminal prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences and probation, and operative and investigative activities ;
d) interests related to financial or economic (including monetary, budgetary, and taxation) matters, public health and social protection that are essential for the country.
7. The Personal Data Protection Service is entitled not to disclose information in the cases provided for by paragraph 6 of this article, even if the notification is not accompanied by any of the instructions provided for by paragraph 6 (a-d) of this article.
8. A controller shall notify the Personal Data Protection Service about the circumstances provided for in the relevant sub-paragraph of paragraph 6 of this article in the form of a notification of incident in accordance with the procedure established by paragraph 9 of this article.
9. The criteria for identifying an incident posing a significant threat to fundamental human rights and freedoms as provided for by paragraph 1 of this article, and the procedure for notifying the Personal Data Protection Service about the incident, shall be established by a normative act of the head of the Personal Data Protection Service.
10. A data controller who is a public authority shall specify the appropriate circumstances determined by the relevant sub-paragraph of paragraph 6 of this article in accordance with its own competence/area of activity.
11. The subject of the critical information system, taking into account its category, shall specify the basis of information security and cyber security provided for by paragraph 6(a) of this article, in agreement with the relevant agency competent in the field of information security and cyber security.
Article 30 – Obligation to inform a data subject on the incident
1. If there is a high probability that an incident will cause significant damage and/or pose a significant threat to fundamental human rights and freedoms, a controller is obliged to inform a data subject about the incident immediately, or without unreasonable delay, after the identification of the incident, and to provide, in a simple and understandable language, the following information on:
a) a general description of the incident and the related circumstances;
b) the possible/resulting damage caused by the incident, and the measures taken or planned in order to mitigate or eliminate the damage;
c) the contact details of the personal data protection officer or other persons.
2. If informing a data subject requires disproportionately great efforts, expenses and time, a controller is obliged to make public the information provided for by paragraph 1 of this article or to disseminate it in another form that ensures the possibility of the data subject receiving the information.
3. The obligation provided for by paragraphs 1 and 2 of this article shall not arise where one of the following circumstances exists; namely if:
a) informing a data subject on the incident poses a threat to the interests of the protection of state secrets, the interests of state security, information security and cyber security and/or defence, the interests of public safety, crime prevention, operative and investigative activities, a criminal investigation, a criminal prosecution, the administration of justice, the enforcement of detention and imprisonment, the execution of non-custodial sentences or probation, interests related to financial or economic (including monetary, budgetary, and taxation) matters, public health and social protection that are essential for the country;
b) if a controller has taken appropriate security measures that have resulted in the prevention of a significant risk of violation of fundamental human rights and freedoms.
4. The criteria for identifying an incident posing a significant threat to fundamental human rights and freedoms as provided for by paragraph 1 of this article, the procedures for notifying the Personal Data Protection Service about such incident shall be established by a normative act of the head of the Personal Data Protection Service.
Article 31 – Data protection impact assessment
1. If, taking into account the new technologies, categories and the volume of data, and the purposes and means of data processing, there is a high probability of threat of violation of fundamental human rights and freedoms during data processing, a controller is obliged to carry out a data protection impact assessment in advance.
2. Except for the case provided for by paragraph 1 of this article, the data protection impact assessment shall be mandatory if a controller:
a) makes decisions, in a fully automated manner, including on the basis of profiling, having legal, financial or other significant consequences for a data subject;
b) processes data of a special category of a large number of data subjects;
c) carries out systematic and large-scale monitoring of data subjects’ behaviour in places of public gathering.
3. During the data protection impact assessment, a controller is obliged to create a written document containing:
a) a description of the data category, the purposes, proportionality, process and grounds of data processing;
b) an assessment of possible threats of violation of fundamental human rights and freedoms and a description of the organisational and technical measures provided for data security.
4. In the case of a substantial change in the process of data processing, a controller is obliged to update the data protection impact assessment document, to keep the data protection impact assessment document for the entire period of the data processing, and in the case of the termination of data processing, for at least 1 year thereafter.
5. If, as a result of a data protection impact assessment, a high risk of violation of fundamental human rights and freedoms is identified, a controller is obliged to take all necessary measures to mitigate the risk substantially, and where necessary, address the Personal Data Protection Service for consultation. Where the threat of violation of fundamental human rights and freedoms cannot be mitigated by taking additional organisational and technical measures, the data processing shall not be carried out.
6. To address the Personal Data Protection Service on the basis of paragraph 5 of this article a controller shall submit:
a) information on the authority of the controller, joint controller and a processor ;
b) information on the purposes and means of the planned data processing ;
c) information on security measures for protecting the rights and freedoms of a data subject ;
d) the contact details of a personal data protection officer (if any) ;
e) the data protection impact assessment ;
f) other (additional) information in the event of a request by the Personal Data Protection Service.
7. A significant number of data subjects shall be considered to be not less than 3 percent of the population of Georgia, which is calculated in accordance with the results of the latest population census.
8. A data protection impact assessment document as specified in paragraph 3 of this article shall not be subject to disclosure, insofar as it may endanger the interests of state security, information security and cyber security and/or defence, the interests of public security, crime prevention, operative and investigation activities, a criminal investigation, a criminal prosecution, the administration of justice, the enforcement of detention or imprisonment, the execution of non-custodial sentences and probation, interests related to financial or economic (including monetary, budgetary and tax) matters, and public health and social protection, that are of significance for the country, and the prevalent legitimate interests of a controller and a processor.
9. The criteria for determining the circumstances giving rise to the obligation for a data protection impact assessment as provided for by paragraph 1 of this article and the procedure for conducting the assessment shall be established by a normative act of the head of the Personal Data Protection Service.
Article 32 – Obligations of a controller when receiving consent from a data subject and the withdrawing of consent by a data subject
1. If a controller plans to obtain written consent from a data subject with a document that also covers other matters, the controller is obliged to formulate the wording of the consent in the document in a clear, simple and understandable language and to separate it from other parts of the document.
2. If the consent of a data subject is given within the scope of a contract or service, when determining whether or not the consent was given on a voluntary basis, among other circumstances, it shall be assessed whether the consent is a required term of the contract or service, and whether it is possible to receive the relevant service/enter into the relevant contract without such consent.
3. Before obtaining consent from a data subject, a controller shall ensure that the data subject is informed of his/her right to withdraw the consent.
4. A controller is obliged to immediately terminate the data processing and delete or destroy the processed data if a data subject withdraws his/her consent, unless otherwise provided for by this Law.
5. The obligation determined by paragraph 4 of this article shall not apply to the case provided for by Article 16(3) of this Law.
6. The withdrawal of consent by a data subject shall not lead to the cancellation of legal consequences arising before the withdrawal of the consent and within the scope of the consent.
7. On the basis of a request of a data subject or in the event that this results in legal, financial or other significant consequences for the data subject, a controller is obliged to provide the data subject, prior to the withdrawal of consent by the data subject, with information on the consequences of the withdrawal of consent.
8. A controller is obliged to provide a free, simple and accessible mechanism for withdrawing consent, including the possibility of withdrawing consent in the same form in which the consent was given.
9. In the event of a dispute regarding the existence of a data subject’s consent to data processing, a controller shall bear the burden of proving the fact of the existence of the data subject’s consent.
Article 33 – Personal data protection officer
1. Public institutions, insurance organisations, commercial banks, micro-finance organisations, credit bureaus, electronic communication companies, airlines, airports, and medical institutions, as well as controllers/processors processing the data of a significant number of data subjects or carrying out systematic and large-scale monitoring of their behaviour, are obliged to appoint or designate a personal data protection officer. The personal data protection officer shall:
a) inform a controller, a processor and their employees on matters related to data protection, including on matters related to the adoption or modification of regulatory legal norms, and provide them with consultation and assistance in terms of the methodology used;
b) participate in the development of internal regulations related to data processing and the data protection impact assessment document, and also monitor whether a controller or a processor complies with the legislation of Georgia and the internal organisational documents;
c) analyse received applications and grievances regarding data processing and make appropriate recommendations;
d) receive consultations from the Personal Data Protection Service, represent a controller and a processor in the relationship with the Personal Data Protection Service, submit information and documents at its request, and coordinate and monitor the execution of its tasks and recommendations;
e) in the event of an application by a data subject, provide him/her with information on data processing and his/her rights;
f) perform other functions for ensuring the improvement of standards of data processing by a controller and a processor.
2. Except for the cases provided for by paragraph 1 of this article, other controllers shall have the right, at their own discretion, to appoint or designate a personal data protection officer.
3. The function of a personal data protection officer may be performed by an employee of a controller or a processor or by other person(s) on the basis of a service contract. The personal data protection officer shall have the right to perform other functions unless they give rise to a conflict of interest.
4. A controller or a processor may appoint or designate a common personal data protection officer provided that he/she completes his/her functions. If the controller or the processor is a public institution, it shall also be permissible to appoint or designate a common personal data protection officer for several state institutions, taking into account the organisational structure and size of the said institutions.
5. A personal data protection officer shall have appropriate knowledge in the field of data protection.
6. A personal data protection officer shall be accountable to the highest governance structure, taking into account the specific circumstances.
7. A controller and a processor shall ensure the proper involvement of a personal data protection officer in the process of taking important decisions regarding data processing, provide him/her with appropriate resources, and ensure his/her autonomy during the carrying out of activities.
8. A controller and a processor are obliged to provide to the Personal Data Protection Service information on the identity and contact details of a personal data protection officer, who is in charge of making such information public; this shall be carried out within 10 working days after the appointment or designation and/or replacement of the relevant personal data protection officer. The controller and the processor are obliged to publish the identity and contact details of the personal data protection officer on a website (if any) in a proactive manner, or through other available means.
9. A controller and a processor, in the case of the temporary absence of a personal data protection officer or the termination of his/her authority, are obliged, without unjustifiable delay, to grant the authority of the personal data protection officer to another person.
10. The number of controllers and processors with no obligation to appoint or designate a personal data protection officer shall be determined by a normative act of the head of the Personal Data Protection Service. When determining the number of controllers and processors, the head of the Personal Data Protection Service shall take into account the criteria established by paragraph 1 of this article.
Article 34 – Special representative
1. In the case of data processing by a controller/processor who is registered outside Georgia using the technical means available in Georgia, the controller/processor is obliged to appoint or designate a special representative in Georgia before data processing using the technical means available in Georgia. The special representative shall be registered in the manner established by a normative act issued by the Personal Data Protection Service.
2. In the case provided for by paragraph 1 of this article, a controller shall have the right to data processing only after the registration of a special representative.
3. A special representative is obliged to comply with a request and/or decision made by the head of the Personal Data Protection Service in the manner provided for by law.
4. A data subject shall have the right to request, through a special representative, the exercise of his/her rights in relation to a controller/processor registered outside Georgia.
5. The appointment of a special representative shall not relieve a controller/processor registered outside Georgia from the obligation to respond to the request and/or decision made in relation to the relevant controller/processor by the head of the Personal Data Protection Service in the manner provided for by law.
6. The obligation stipulated by paragraph 1 of this article shall not apply to a controller/processor, which is founded in a member state of the European Union, in which case the personal data protection rules applicable in the European Union will apply.
7. The obligation stipulated by paragraph 1 of this article shall not apply to a controller/processor, which is founded in a state with adequate data protection rules recognised by the European Union.
Article 35 – Joint controllers
1. Where joint controllers are involved in data processing, they are obliged to determine, in advance, each joint controller’s written obligations and responsibilities related to compliance with the requirements of this Law, including in relation to the protection of the rights of data subjects and the obligations stipulated by Articles 13 through 20, and Articles 24 and 25 of this Law.
2. If joint data processing is provided for by the legislation of Georgia, the obligations and responsibilities of each joint controller shall be determined by a relevant legal act and/or written agreement.
3. Information on the distribution of obligations and responsibilities between joint controllers shall be available to data subjects. Their rights to apply to joint controllers individually shall not be restricted.
Article 36 – Processor
1. A processor may carry out data processing only on the basis of a legal act or a written agreement concluded with a controller, which shall specify the grounds and purposes of the data processing, the categories of data to be processed, the term of data processing, and the rights and obligations of a controller and a processor.
2. The written agreement provided for by paragraph 1 of this article shall also include the following obligations of a processor:
a) to carry out data processing only in accordance with the written instructions or guidelines of a controller;
b) to ensure that a natural person who directly participates in data processing has an obligation to maintain confidentiality;
c) to ensure data security in accordance with this Law;
d) to delete or transfer data to a controller in the case of the cancellation or termination of the agreement provided for by paragraph 1 of this article, and to delete their copies, unless an obligation to keep them is established by the legislation of Georgia;
e) to provide appropriate information to a controller in order to ensure compliance with the obligations established by this Law and the monitoring of data processing by the controller.
3. A legal act as provided for by paragraph 1 of this article or a written agreement concluded with a controller in order to ensure data security and the protection of the data subject’s rights may provide for the obligation of a processor to provide assistance to the controller.
4. A processor shall not be allowed to carry out further data processing for purposes other than those determined by an agreement or a legal act.
5. A processor shall be allowed to carry out data processing only if the processor ensures the taking of appropriate organisational and technical measures to protect the rights of data subjects and if he/she ensures compliance with the requirements of law. An agreement on data processing may not be concluded if, due to the activities and/or purposes of the processor, there is a high risk of inappropriate data processing, or the risk of violation of the rights of data subjects.
6. A controller is obliged to request from a processor, in advance, information on statutory data processing, and to monitor data processing by the processor.
7. Unless otherwise provided for by the legislation of Georgia, a processor may not transfer his/her rights and duties, fully or partially, to another person without the prior written consent of a controller. The consent of the controller shall not relieve the processor from the relevant obligations and responsibilities.
8. Unless otherwise provided for by the legislation of Georgia, in the event of a dispute between a processor and a controller in relation to data processing, the processor is obliged to immediately terminate data processing and transfer all the data in his/her possession to the controller.
9. In the event of the cancellation or invalidity of a legal act (or a relevant provision therein), or the termination of a written agreement as provided for by paragraph 1 of this article, data processing shall be terminated and the processed data shall be immediately transferred to a controller in full.
10. A processor is obliged to take appropriate organisational and technical measures to assist a controller in the fulfilment of his/her obligations related to the exercise of the rights of a data subject.
Chapter V – International Data Transfer
Article 37 – Transfer of data to another state and international organisation
1. The transfer of data to another state and international organisation shall be allowed if the requirements for data processing provided for by this Law and appropriate safeguards in the relevant state or international organisation are in place for ensuring data protection and the protection of data subjects’ rights.
2. In addition to paragraph 1 of this article, the transfer of data to another state and international organisation shall be allowed if:
a) the transfer of data is envisaged by an international treaty and the agreements of Georgia;
b) a controller provides appropriate safeguards for data protection on the basis of an agreement concluded between the controller and the relevant state, the appropriate public institution of such state, a legal person or a natural person, or an international organisation;
c) the transfer of data is stipulated by the Criminal Procedure Code of Georgia (for the purpose of carrying out investigative action), the Law of Georgia On the Legal Status of Aliens and Stateless Persons, the Law of Georgia On International Cooperation in Criminal Matters, the Law of Georgia On International Cooperation in Law Enforcement, and a normative act adopted on the basis of the Organic Law of Georgia On the National Bank of Georgia or the Law of Georgia On Facilitating the Prevention of Money Laundering and the Financing of Terrorism;
d) a data subject gives written consent after receiving information on the lack of proper safeguards for data protection in the relevant state and on possible threats;
e) the transfer of data is necessary to protect the vital interests of a data subject and the data subject is physically or legally incapable to give consent to such data processing;
f) there is a lawful public interest (including for the purposes of crime prevention, investigation, identification and criminal prosecution, the execution of a sentence and carrying out operative and investigation actions) and the transfer of data is a necessary and proportionate measure in a democratic society.
3. On the basis of paragraph 2(b) of this article, data transfer shall be allowed only after obtaining a permit from the Personal Data Protection Service, and the procedure for issuing such permit shall be established by a normative act of the head of the Personal Data Protection Service.
4. In the case of data transfer on any of the grounds stipulated in paragraph 2 of this article, a controller/processor is obliged to take necessary organisational and technical measures to safeguard such data transfer.
5. In the case of data transfer on the basis of paragraph 2(b) of this article, an agreement on data transfer shall provide that the provisions therein are legally binding.
6. Data transferred to another state or international organisation may be further transferred to a third party only if such data transfer serves the initial purpose of data transfer and meets the basis for data transfer and guarantees adequate safeguards for data protection as provided for by this article.
Article 38 – Establishing adequate safeguards for data protection
1. The existence of adequate safeguards for data protection in another state and/or international organisation shall be assessed by the Personal Data Protection Service on the basis of international obligations and regulatory legislation relating to data protection, guarantees for the protection of the rights and freedoms of data subjects (including effective legal protection mechanisms), rules for further international data transfer, and the analysis of the existence, powers and activities of an independent data protection supervisory body.
2. A list of states and international organisations in which adequate data protection guarantees are ensured shall be determined by a normative act of the head of the Personal Data Protection Service.
3. The list determined by a normative act of the Personal Data Protection Service shall be reviewed at least once every 3 years. If a state and/or international organisation no longer meets the conditions provided for by paragraph 1 of this article, appropriate changes shall be made in the list as provided for by a normative act, which shall not have retroactive force.
Chapter VI –Principles of Activities of the Personal Data Protection Service and Guarantees for the Exercise of its Powers, the Powers of the Head of the Personal Data Protection Service, his/her Election, Inviolability, Incompatibility of Duties and Early Termination of his/her Powers
Article 39 – Status and principles of activities of the Personal Data Protection Service
1. The Personal Data Protection Service is an independent state body established and operating on the basis of law.
2. The Personal Data Protection Service shall be guided by the Constitution of Georgia, the international treaties of Georgia, generally recognised principles and norms of international law, this Law and other relevant legal acts.
3. The principles of activities the Personal Data Protection Service are:
a) legality;
b) the protection of human rights and freedoms;
c) independence and political neutrality;
d) objectivity and impartiality;
e) professionalism;
f) the ensuring of secrecy and confidentiality.
4. The procedure for submitting a report to the Parliament of Georgia by the Personal Data Protection Service shall be determined by this Law and the Rules of Procedure of the Parliament of Georgia.
Article 40 – Powers of the head of the Personal Data Protection Service
1. The head of Personal Data Protection Service shall:
a) direct the Personal Data Protection Service and take decisions on matters related to the activities of the Service;
b) determine the structure of the Personal Data Protection Service, and the powers of its structural units and employees, and establish procedures for employees serving at the Personal Data Protection Service;
c) approve a staff list of employees of the Personal Data Protection Service, and remuneration procedures and the amount of remuneration, in accordance with the legislation of Georgia;
d) determine the functions and duties of the first deputy and deputy head of the Personal Data Protection Service and delegate powers;
e) appoint and dismiss employees of the Personal Data Protection Service;
f) assign a special state rank (the special rank) to an employee of the Personal Data Protection Service (except for a person employed under an employment contract) and demote from the special state rank in accordance with the procedure established by the legislation of Georgia;
g) represent the Personal Data Protection Service in relations with state bodies, and international and other organisations;
h) ensure the protection and targeted use of state property transferred to the Personal Data Protection Service;
i) exercise other powers in accordance with law.
2. The head of the Personal Data Protection Service shall, within the scope of his/her powers, issue subordinate normative acts called orders on matters related to the activities of the Personal Data Protection Service.
3. The head of the Personal Data Protection Service shall issue individual legal acts, including decisions, orders, and instructions, on the basis of an appropriate normative act and within the scope of his/her powers.
Article 41 – Election of the head of the Personal Data Protection Service and his/her term of office
1. A citizen of Georgia with no criminal record who has higher education in law and at least 5 years of work experience in the system of justice and law enforcement bodies or in the field of human rights, as well as with a high professional and moral reputation, may be elected to the position of head of the Personal Data Protection Service.
2. A competition for the selection of the head of the Personal Data Protection Service shall be announced and a competition commission shall be established by an order of the Prime Minister of Georgia. The members of the competition commission shall be:
a) a representative of the Government of Georgia ;
b) the chairperson of the Human Rights and Civil Integration Committee of the Parliament of Georgia ;
c) the chairperson of the Legal Issues Committee of the Parliament of Georgia ;
d) the deputy chairperson of the Supreme Court of Georgia ;
e) the first deputy or the deputy General Prosecutor of Georgia ;
f) the Public Defender of Georgia or a representative of the Public Defender of Georgia ;
g) a person with appropriate experience, including experience of working in the field of the protection of human rights and/or data protection, who has been selected by the Public Defender of Georgia through an open competition or without a competition from among members of non-entrepreneurial (non-commercial) legal entities.
3. Not earlier than 14 weeks and not later than 12 weeks before the termination of the term of office of the head of the Personal Data Protection Service, and in the case of early termination of the term of office, within 2 weeks after the termination of the term of office, the agencies and institutions determined by paragraph 2 of this article shall inform the Prime Minister of Georgia of the identity of the members of a competition commission for the selection of the head of the Personal Data Protection Service. 7 days after the expiry of the deadline for the nomination of the members of the competition commission, the Prime Minister of Georgia shall convene the first meeting of the competition commission. The meeting of the competition commission shall be quorate if the majority of the full composition of the competition commission is present. The competition commission shall elect the chairperson of the competition commission from among its members at the first meeting by a majority of votes and shall approve the regulations of the competition commission for the selection of the head of the Personal Data Protection Service within 1 week, which shall include the rules of the activities of the competition commission, as well as the deadline and procedures for the nomination of candidacies for the head of the Personal Data Protection Service.
4. The competition commission for the selection of the head of the Personal Data Protection Service shall, by a majority of votes of the full composition of the commission, select minimum 2 and maximum 5 candidates for the position of the head of the Personal Data Protection Service and nominate them to the Prime Minister of Georgia. Given the number of candidates selected, equal representation of candidates of different genders shall be ensured to the maximum extent possible.
5. The Prime Minister of Georgia shall, within 10 days, nominate 2 candidates to the Parliament of Georgia for the selection to the position of the head of the Personal Data Protection Service.
6. The Parliament of Georgia shall elect the head of the Personal Data Protection Service in accordance with the rules established by the Rules of Procedure of the Parliament of Georgia not later than 14 days after the nomination of candidates. If the term fully or partially coincides with the period between the sessions of the Parliament of Georgia, the time period specified by this paragraph for the election of the head of the Personal Data Protection Service shall be equally extended. If the Parliament of Georgia fails to elect the head of the Personal Data Protection Service through the voting or if both candidates refuse to be elected to the position of the head of the Personal Data Protection Service before the voting, the Prime Minister of Georgia shall announce a repeated competition within 2 weeks.
7. If the head of the Personal Data Protection Service was elected before the expiry of the term of office of the current head of the Personal Data Protection Service, the powers of the newly elected head of the Personal Data Protection Service shall take effect on the day following the expiry of the term of office of the current head of the Personal Data Protection Service. If the head of the Personal Data Protection Service was elected after the expiry of the term of office of the head of the Personal Data Protection Service or before the termination of his/her term of office, the powers of the newly elected head of the Personal Data Protection Service shall take effect on the day following his/her election.
8. The term of office of the head of the Personal Data Protection Service shall be 6 years. A person may not be elected to the position of head of the Personal Data Protection Service twice in succession. The head of the Personal Data Protection Service may not perform his/her duties after the expiry or the termination of the term of office.
Law of Georgia No 4210 of 29 May 2024 – website, 12.6.2024
Article 42 – First deputy and deputy head of the Personal Data Protection Service
1. The head of the Personal Data Protection Service shall have a first deputy and a deputy, whom he/she shall appoint to the positions by an order. Upon the expiry or termination of the term of office of the head of the Personal Data Protection Service, the term of office of the first deputy and deputy head of the Personal Data Protection Service shall cease as soon as the newly elected head of the Personal Data Protection Service starts the exercise of powers in accordance with the procedure established by this Law.
2. In the case of the absence of the head of the Personal Data Protection Service, his/her failure to exercise powers, the suspension, expiry or termination of his/her powers, the powers of the head of the Personal Data Protection Service shall be exercised by the first deputy head of the Personal Data Protection Service, and in the absence of the first deputy, by the deputy head of the Personal Data Protection Service. During the performance of the duties of the head of the Personal Data Protection Service, the first deputy and the deputy head of the Personal Data Protection Service shall enjoy the powers and legal guarantees granted to the head of the Personal Data Protection Service.
Article 43 – Inviolability of the head of the Personal Data Protection Service
1. The head of the Personal Data Protection Service shall be inviolable. The criminal prosecution, detention or arrest of the head of the Personal Data Protection Service, the search of his/her residence, workplace or car, or a personal search, can only be carried out with the prior consent of the Parliament of Georgia. An exception is the case when he/she has been caught in flagrante delicto, which shall be immediately reported to the Parliament of Georgia. If the Parliament of Georgia does not give its consent within 48 hours, the arrested or detained head of the Personal Data Protection Service shall be released immediately.
2. In the event that the Parliament of Georgia gives its consent to the arrest or detention of the head of the Personal Data Protection Service, his/her powers shall be suspended by a resolution of the Parliament of Georgia before the resolution/judgment on the termination of a criminal prosecution is issued or a court judgment enters into legal force.
3. The personal security of the head of the Personal Data Protection Service shall be duly ensured by the relevant state bodies.
Article 44 – Incompatibility of the duties of the head of the Personal Data Protection Service
1. The position of the head of the Personal Data Protection Service shall be incompatible with membership of the representative bodies of state authorities and municipalities, any position in public and state services, and with other paid activities, except for scientific, pedagogical and artistic activities. The head of the Personal Data Protection Service may not engage in entrepreneurial activities, or directly exercise the powers of a permanent head of a business entity, or a member of a supervisory, control, audit or advisory body, or be a member of a political party or participate in political activities.
2. The head of the Personal Data Protection Service shall not be allowed to participate in gatherings and demonstrations supporting or opposing the political union of citizens.
3. The person elected to the position of the head of the Personal Data Protection Service is obliged to terminate any activities which are incompatible with the position or to resign from a position which is incompatible with his/her status within 10 days after the election. Until the person elected to the position of the head of the Personal Data Protection Service terminates activities which are incompatible with the position or resigns from a position which is incompatible with his/her status, he/she shall not be authorised to start exercising the powers of the head of the Personal Data Protection Service. If the head of the Personal Data Protection Service does not comply with the requirements established by this paragraph within the said period, his/her powers shall be terminated.
Article 45 – Termination of the powers of the head of the Personal Data Protection Service
1. The powers of the head of the Personal Data Protection Service shall be terminated if:
a) he/she has lost the citizenship of Georgia;
b) he/she has not been able to exercise his/her powers for 4 consecutive months due to his/her health condition;
c) a court’s judgement of conviction has entered into legal force;
d) he/she has been recognised by a court as a recipient of support (unless otherwise determined by the court’s judgment), as missing or has been declared dead;
e) he/she has occupied a position incompatible with his/her status or carries out activities incompatible with the position;
f) he /she has resigned voluntarily;
g) he/she has died.
2. In the case provided for by paragraph 1 of this article, the powers of the head of the Personal Data Protection Service shall be considered terminated from the moment of the occurrence of the relevant circumstances, of which the Chairperson of the Parliament of Georgia shall immediately inform the Parliament of Georgia. The Parliament of Georgia shall terminate the powers of the head of the Personal Data Protection Service after receiving the information from the Chairperson of the Parliament of Georgia.
Article 46 – Organisational and financial support of the Personal Data Protection Service
1. The structure, the rules for activities and the distribution of powers among employees of the Personal Data Protection Service shall be established by the regulations of the Personal Data Protection Service, which shall be approved by the head of the Personal Data Protection Service.
2. An employee of the Personal Data Protection Service (except for the head, first deputy head and the head of the Personal Data Protection Service) shall be a public servant. The Law of Georgia o n Public Service shall apply to employees of the Personal Data Protection Service under the procedures established by the same law, unless otherwise provided for by this Law or a normative act of the head of the Personal Data Protection Service issued on the basis of this Law.
3. The activities of the Personal Data Protection Service shall be financed from the State Budget of Georgia. The allocations necessary for the activities of the Personal Data Protection Service shall be determined under a separate code of the State Budget of Georgia. The current expenses allocated from the State Budget of Georgia for the Personal Data Protection Service, as compared to the amount budgeted for the previous year, may be reduced only with the prior approval of the head of the Personal Data Protection Service.
Article 47 – Independence of the Personal Data Protection Service
1. The Personal Data Protection Service shall be independent in exercising its powers and shall not be subject to any body or official. Any influence on the head of the Personal Data Protection Service or the employees of the Personal Data Protection Service, and any unlawful interference in their activities, shall not be allowed and shall be punishable by law.
2. In order to ensure the independence of the Personal Data Protection Service, the State is obliged to create appropriate conditions for its activities.
3. The head of the Personal Data Protection Service shall have the right not to testify in connection with the carrying out of the functions of controlling the lawfulness of data processing, conducting covert investigative actions and activities carried out in the electronic data identification central bank due to a fact that has been disclosed to him/her during his/her term of office as the head of the Personal Data Protection Service. Such right shall be preserved by him/her after the termination of his/her powers as the head of the Personal Data Protection Service.
Article 48 – Annual report of the Personal Data Protection Service
1. Once a year, not later than 31 March, the head of the Personal Data Protection Service shall submit to the Parliament of Georgia a report on the status of data protection in Georgia, the monitoring of the conduct of covert investigative actions, and the activities carried out in the electronic data identification central bank.
2. The annual report of the Personal Data Protection Service shall contain information on the activities carried out by the Personal Data Protection Service in the field of data protection during the reporting period, general assessments related to the status of data protection in Georgia, conclusions and recommendations, information on significant violations identified during the year and measures implemented, and general statistical information on the activities carried out in the field of monitoring the conduct of covert investigative actions.
3. Once a year, the head of the Personal Data Protection Service shall submit a report on the results of monitoring the investigative actions provided for by Articles 136 - 138 of the Criminal Procedure Code of Georgia, and the covert investigative actions provided for by Article 1431(1)(a-b) of the same Code, to the Parliamentary Committee and the Trust Group determined in accordance with the procedures established by the Parliamentary Bureau on the basis of the Rules of Procedure of the Parliament of Georgia.
4. Information on the activities carried out by the Personal Data Protection Service, taking into account the limitations established by this article, shall be made public through the website of the Personal Data Protection Service.
5. The Personal Data Protection Service shall be authorised to publish a special report at any time on its own initiative on issues related to its activities and which it considers important.
Law of Georgia No 4210 of 29 May 2024 – website, 12.6.2024
Chapter VII – Powers of the Personal Data Protection Service in the Fields of Data Protection and Monitoring the Conduct of Covert Investigative Actions
Article 49 – Main fields of activities of the Personal Data Protection Service in the field of data protection
The Personal Data Protection Service shall monitor the lawfulness of data processing in Georgia. The main fields of activities of the Personal Data Protection Service in the field of data protection shall be to:
a) provide consultations on matters related to data protection;
b) review applications related to data protection;
c) examine (inspect) the lawfulness of data processing;
d) inform the public on the data protection status in Georgia, and important events related thereto, and ensure the raising of awareness among the public.
Article 50 – Review of applications of data subjects by the Personal Data Protection Service
1. The Personal Data Protection Service is obliged to review the applications of data subjects regarding data processing and to take the measures provided for by the legislation of Georgia.
2. Within 10 days after receiving a data subject’s application, the Personal Data Protection Service shall take a decision on the measures to be taken, and inform the applicant thereof.
3. The Personal Data Protection Service shall be authorised to carry out an inspection in order to study and investigate the circumstances related to a data subject’s application. Any processor and/or controller is obliged to transfer the relevant material, information and/or documents to the Personal Data Protection Service upon request.
4. The period for reviewing an application of a data subject by the Personal Data Protection Service shall not exceed 2 months. On the basis of a grounded decision of the Personal Data Protection Service, the period of review of an application of a data subject may be extended for not more than 1 month.
5. The Personal Data Protection Service shall be authorised to suspend the review of a data subject’s application on the grounds of a request for additional material, information and/or documentation, of which the data subject shall be informed. The review of the data subject’s application shall continue where such grounds no longer exist. The period of suspension shall not be included in the period provided for by paragraph 4 of this article.
6. The Personal Data Protection Service shall be authorised to take a decision on data blocking before the review of the data subject’s application is completed. Despite the blocking of data, the data processing may continue if it is necessary to protect the vital interests of a data subject or a third party, or for the purposes of the security and defence of the State.
7. After reviewing the application of a data subject, the Personal Data Protection Service shall take a decision on one of the measures provided for by Article 52 of this Law, and inform the data subject and a processor and/or a controller thereof in accordance with the procedure and within the time frame specified by the legislation of Georgia.
Article 51 – Inspection by the Personal Data Protection Service
1. The Personal Data Protection Service shall be authorised to carry out, on its own initiative or based on an application of an interested person, an inspection of any controller and/or processor. A decision to carry out an inspection provided for by this article shall be taken by the Head of the Personal Data Protection Service.
2. Inspection by the Personal Data Protection Service involves:
a) determining compliance with the principles of data processing and the existence of legal grounds for data processing;
b) checking the compliance of organisational and technical measures and procedures implemented for data security with the requirements of the legislation of Georgia;
c) the checking of the lawfulness of data transfer to another state and international organisation;
d) checking compliance with the rules and requirements of this Law and other normative acts with respect to data protection.
3. During an inspection, the Personal Data Protection Service shall be authorised to request from any institution, natural and/or legal person, documents and/or information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as materials and/or documents and/or information describing operative and investigative activities and criminal investigations, which constitute state secrets and are necessary to carry out the inspection within the scope determined by paragraph 2 of this article.
4. A controller and/or a processor is obliged to provide any material, information and/or document to the Personal Data Protection Service immediately, within not later than 10 working days, if a response to the request for information requires:
a) finding and processing information in another institution or structural unit, or consulting with the said institution or unit;
b) searching for and processing a significant volume of information/documents.
5. The Personal Data Protection Service shall be authorised to extend the period referred to in paragraph 4 of this article by not more than 10 working days based on a substantiated application of a controller and/or a processor.
6. The Personal Data Protection Service shall be authorised to visit any institution and organisation for inspection and to obtain any document and information, including information containing state, tax, banking, commercial, professional secrets and/or data, as well as materials and/or documents and/or information describing operative and investigative activities and criminal investigations, which constitute state secrets, irrespective of their content and mode of storage.
7. Taking into account the results of an inspection, the Personal Data Protection Service shall be authorised to apply the measures provided for in Article 52 of this Law.
8. An employee of the Personal Data Protection Service is obliged to secure information containing any kind of secret and not to disclose the secret information that he/she has become aware of in the course of performing his/her official duties. Such obligation shall survive after the termination of the powers of an employee of the Personal Data Protection Service.
Article 52 – Application of measures by the Personal Data Protection Service
1. If the Personal Data Protection Service identifies a violation of this Law or another normative act regulating data processing, it shall be authorised to apply one, or simultaneously more than one, of the following measures:
a) require the remedy of any violations and shortcomings related to data processing in the manner and within the period specified by it;
b) require the suspension or termination of data processing, if the measures and procedures implemented by a controller or a processor for ensuring data security do not comply with the requirements of the legislation of Georgia;
c) require the termination of data processing, the blocking, erasure, destruction or depersonalisation of data, if it believes that the data are being processed in violation of the legislation of Georgia;
d) require the termination of data transfer to another state and international organisation, if the data transfer is being carried out in violation of the legislation of Georgia;
e) provide written advice and recommendations to a controller and/or a processor in the case of a minor violation of the procedures related to data processing;
f) impose administrative liability on an offender.
2. A controller and/or a processor is obliged to fulfil the requirements of the Personal Data Protection Service within the period determined by the latter, and to inform the Personal Data Protection Service thereof.
3. If a controller and/or a processor fails to comply with the requirements of the Personal Data Protection Service, the Personal Data Protection Service shall have the right to apply to a court, a law enforcement body and/or a state institution supervising (regulating) the respective area, as provided for by the legislation of Georgia.
4. If the Personal Data Protection Service identifies an administrative offence, it shall be authorised to draw up an administrative offence report and, accordingly, to impose administrative liability on a controller and/or a processor in accordance with this Law and the Administrative Offences Code of Georgia.
5. If, in the course of performing its activities, the Personal Data Protection Service believes that there are elements of a crime, it shall inform the authorised state body thereof as provided for by law.
6. Compliance with the decisions of the Personal Data Protection Service in the area of data protection shall be mandatory and may only be appealed in a court according to the procedure established by law.
Article 53 – Consultation and implementation of educational activities by the Personal Data Protection Service
1. If requested, the Personal Data Protection Service is obliged to provide consultations to state authorities, municipal bodies, other public institutions, legal entities under private law, and natural persons on any issue related to data processing and data protection.
2. The Personal Data Protection Service shall carry out educational activities on issues related to data processing and data protection.
Article 54 – Monitoring covert investigative actions and activities carried out in the central bank of electronic communication identification data
1. During the conduct of a covert investigative action, namely the secret eavesdropping and recording of telephone communication, as determined by Article 1431(1)(a) of the Criminal Procedure Code of Georgia, the Personal Data Protection Service shall monitor:
a) the lawfulness of data processing, through the electronic control system;
b) the lawfulness of data processing, through the special electronic control system;
c) the lawfulness of processing of data by a controller/processor (inspection).
2. The Personal Data Protection Service shall carry out the monitoring of the investigative activities provided for by Articles 136-138 of the Criminal Procedure Code of Georgia by comparing the information provided by courts, the Prosecutor’s Office, and the providers of electronic communication services, and by checking (inspecting) the lawfulness of the processing of data by a controller/processor.
3. The Personal Data Protection Service shall carry out the monitoring of the covert investigative actions provided for by Article 1431(1)(b), (d) and (f) of the Criminal Procedure Code of Georgia by checking (inspecting) the lawfulness of the processing of data by a controller/processor.
4. The Personal Data Protection Service shall carry out the monitoring of the covert investigative actions provided for by Article 1431(1)(e) of the Criminal Procedure Code of Georgia by checking (inspecting) the lawfulness of the processing of data by a controller/processor, as provided for by this Law. If the checking (inspection) is carried out in the case provided for by this paragraph, information about the identity of a person participating in the conduct of the covert investigative actions (except for a data subject, an investigator and a prosecutor) and his/her participation in the process of checking (inspection), as well as information on the characteristics of the operational and operational-technical equipment used during the conduct of the covert investigative actions provided for by this paragraph, may be requested only upon the approval of the head of the body conducting the covert investigative actions. The carrying out of the checking (inspection) in the case provided for by this paragraph shall not imply direct participation in the process of preparing/conducting the covert investigative action and the on-site inspection of a disguised residential or service premises or other disguised facilities and buildings.
5. The Personal Data Protection Service shall monitor the conduct of the covert investigative actions provided for by Article 1431(1)(c) of the Criminal Procedure Code of Georgia, as well as the application of the measure provided for by Article 7(3)(b) of the Law of Georgia on Operative and Investigative Activities, with a special electronic control system for real-time location and by checking (inspecting) the lawfulness of processing data by a controller/processor.
6. The Personal Data Protection Service shall monitor the activities carried out in the central bank of electronic communication identification data through the electronic control system of the central bank of electronic communication identification data and by checking (inspecting) the lawfulness of processing data by a controller/processor.
7. During the checking (inspection) of the Agency, the Personal Data Protection Service shall be authorised to:
a) enter the area of limited access of the Agency and monitor the implementation of activities by the authorised bodies in an on-going basis;
b) acquire the legal documents and technical instructions regulating the activities of the Agency (including those containing state secrets);
c) obtain information on the technical infrastructure used for the purposes of covert investigative actions and inspect the infrastructure;
d) request explanations from Agency employees with respect to individual issues identified during the checking (inspection);
e) exercise other powers provided for by this Law.
8. Employees of the Agency are obliged to cooperate with the Personal Data Protection Service, to provide the Personal Data Protection Service with requested information and documents in full, and to provide explanations regarding the individual issues identified during the checking (inspection).
Chapter VIII – Legal Protection and Social Security of Employees of the Personal Data Protection Service, and Employees of the Structural Unit Carrying out Official Inspections of the Personal Data Protection Service
Article 55 – Legal protection of employees of the Personal Data Protection Service
1. In the course of performing his/her official duties, an employee of the Personal Data Protection Service is a representative of the state authority and is protected by the State. The fulfilment of a lawful request of an employee of the Personal Data Protection Service is mandatory for everyone.
2. No one has the right to interfere with the official activities of an employee of the Personal Data Protection Service, except for the cases provided for by law.
3. Obstructing an employee of the Personal Data Protection Service in the performance of his/her duties, encroaching upon his/her honour and dignity, resisting, threatening, or using violence against him/her, or encroaching upon his/her life, health or property, shall result in the imposition of liability as provided for by the legislation of Georgia. In the case of obtaining information on the encroachment upon the life, health and property of the Head of the Personal Data Protection Service, the First Deputy or Deputy Head of the Personal Data Protection Service, an employee of the Personal Data Protection Service or his/her family members, in connection with the exercise of official powers, the state authorities are obliged to apply the measures provided for by law for their personal safety and the safety of their property.
4. An employee of the Personal Data Protection Service shall refuse to comply with an obviously unlawful order or instruction, if he/she had known or should have known about its unlawfulness, and shall act within the scope of law.
5. An employee of the Personal Data Protection Service shall inform the Head of the Personal Data Protection Service in the case of receiving an obviously unlawful order or instruction.
6. An employee of the Personal Data Protection Service who refuses to comply with an obviously unlawful order or instruction shall not be held liable.
7. A person giving an obviously unlawful order or instruction to an employee of the Personal Data Protection Service shall be held liable according to the procedure established by law.
8. An employee of the Personal Data Protection Service shall have the right to apply to a court to protect his/her rights and freedoms.
9. An employee of the Personal Data Protection Service shall be given an identity card and/or a special badge to confirm his/her official powers, the form and the procedure of issuance of which shall be determined by the Head of the Personal Data Protection Service.
Article 56 – Social security of the employees of the Personal Data Protection Service
1. The State shall ensure the social security of the employees of the Personal Data Protection Service.
2. Unless otherwise provided for by the legislation of Georgia, the social security guarantees of an official provided for by the Law of Georgia on Public Service shall apply to the employees of the Personal Data Protection Service (including the social security guarantees related to bodily injury or death while performing official duties).
3. An employee of the Personal Data Protection Service shall have:
a) an official salary determined in accordance with paragraph 5 of this article;
b) a salary increment and monetary reward as determined by paragraph 5 of this article and the Law of Georgia on Remuneration in Public Institutions;
c) if an employee has a special rank, the rank salary corresponding to such rank;
d) a salary increment according to the years of service;
e) other increments and compensations provided for by the legislation of Georgia.
4. A respective employee of the Personal Data Protection Service shall have the right to receive state compensation or a state pension as provided for by the legislation of Georgia.
5. The amount of and the procedure for the remuneration of an employee of the Personal Data Protection Service, the amounts of the rank salary and increments according to the years of service, as well as the amounts of other increments and compensations provided for by the legislation of Georgia, shall be determined by the normative acts of the Head of the Personal Data Protection Service, and other legislative and subordinate normative acts of Georgia.
6. An employee of the Personal Data Protection Service shall be subject to mandatory state insurance. The matters related to the state insurance of family members of the employees of the Personal Data Protection Service (including the category of family members) shall be determined by the Head of the Personal Data Protection Service.
7. The special ranks of the employees of the Personal Data Protection Service shall be determined by the Law of Georgia on Special State Ranks.
Article 57 – Selection, appointment, and powers of employees of the structural unit carrying out an official inspection of the Personal Data Protection Service
1. An employee of the structural unit carrying out an official inspection of the Personal Data Protection Service (except for the case provided for by paragraph 2 of this article) shall be appointed on the basis of a competition, by an order of the Head of the Personal Data Protection Service. The rules and conditions of the competition for the selection and appointment of an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service, as well as the qualification requirements of a person to be appointed (the basic requirements, which should not be less than the basic requirements established by Article 27 of the Law of Georgia on Public Service, special requirements and additional requirements) shall be determined by this Law and a respective legal act of the Head of the Personal Data Protection Service. In order to hold a competition for the selection and appointment of an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service, the Head of the Personal Data Protection Service shall establish a competition commission and determine the rules for its operation.
2. An employee of the structural unit carrying out an official inspection of the Personal Data Protection Service may be transferred, without a competition, to another institution based on the principle of mobility, or through a horizontal transfer, as provided for by the Law of Georgia on Public Service.
3. The powers and duties determined by this Law and a respective legal act of the Head of the Personal Data Protection Service shall apply to an employee of the structural unit carrying out an official inspection of the Personal Data Protection Service.
Chapter IX – Procedures for Carrying out Proceedings, Reviewing Administrative Offences and Imposing Administrative Penalties
Article 58 – General provisions for carrying out proceedings by the Personal Data Protection Service
1. Administrative offences related to processing personal data as provided for by Articles 66-87 of this Law (‘an administrative offence’) shall be identified and the respective administrative liability shall be imposed based on the checking (inspection) carried out by the Personal Data Protection Service, and/or the review of an application of a data subject (‘the proceedings’). An administrative offence report shall be drawn up and a respective administrative penalty shall be imposed on an offender by the Personal Data Protection Service according to the procedure established by the legislation of Georgia.
2. Based on a decision of the Head of the Personal Data Protection Service, it is permissible to combine more than one proceedings into one case, or to separate a case from the proceedings.
3. The powers of the Head of the Personal Data Protection Service and the procedure for carrying out the proceedings shall be determined by this Law, the Administrative Offences Code of Georgia, other legislative acts, and the normative acts of the Head of the Personal Data Protection Service.
4. In the case of any interrelation between the norms of the Administrative Offences Code of Georgia and of this Law, the norms of this Law shall prevail.
Article 59 – Evidence
1. For the purposes of proceedings, evidence is all actual data, based on which the Head and/or an authorised person of the Personal Data Protection Service shall, according to the procedure established by the legislation of Georgia, establish the existence or otherwise of an administrative offence, a person’s culpability in committing such an offence, and other circumstances that are of importance for the correct resolution of the case.
2. For the purposes of this article, the following may be considered as evidence: information and documents obtained as a result of the review of an application of a data subject and/or the checking (inspection); the explanations of a data subject, a controller, a joint controller, a processor, a special representative, and a witness; an offender’s confession; minutes of an oral session (recording); an expert opinion; fact-finding materials; an audio recording; a video recording; a photo; information and documents obtained from public sources; a document prepared/issued/certified by an authorised person or body; an administrative offence report drawn up by the Head or an authorised person of the Personal Data Protection Service, the form of and procedure of acquainting with which shall be determined by the Head of the Personal Data Protection Service; a report for checking (inspecting) the lawfulness of data processing; material evidence; any other information, document or material that is of importance in establishing the objective circumstances of a case.
Article 60 – Circumstances to be established during the proceedings and imposition of an administrative penalty
1. In the course of reviewing cases of administrative offences and imposing an administrative penalty, the Personal Data Protection Service or a court shall establish whether an administrative offence has been committed, whether a person is guilty of committing it, whether such person is subject to administrative liability, whether any circumstances mitigating or aggravating administrative liability are present, as well as other circumstances that are of importance for the correct resolution of a case.
2. If there are any circumstances mitigating administrative liability, the Personal Data Protection Service or a court shall be authorised to issue a warning to an offender in the case of a minor administrative offence.
3. An administrative penalty for committing an administrative offence shall be imposed on an offender within the scope determined by this Law, in accordance with the article that provides for administrative liability.
Article 61 – Circumstances mitigating liability for an administrative offence
1. The following circumstances shall be considered as mitigating the administrative liability for an administrative offence:
a) terminating an unlawful act and remedying the damage caused as a result of the administrative offence, and/or taking appropriate organisational and technical measures for the prevention of similar offences in the future;
b) the commission of an administrative offence by a minor;
c) the sincere repentance of an administrative offence and cooperation with the Personal Data Protection Service;
d) other circumstances, such as the nature of the administrative offence and the degree of charges against the offender, which are considered as mitigating circumstances by the Head of the Personal Data Protection Service during the resolution of the case.
2. The obligation to submit evidence of the existence of circumstances mitigating administrative liability determined by paragraph 1 of this article shall rest with a controller/processor.
3. If there are any mitigating circumstances as provided for by paragraph 1(a) and/or (b) of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 30 per cent.
4. If there are any mitigating circumstances as provided for by paragraph 1(c) and/or (d) of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 20 per cent.
5. In the case of the simultaneous existence of grounds for reducing the amount of fines under paragraphs 3 and 4 of this article, the amount of fines determined by Articles 66-87 of this Law shall be reduced by 50 per cent.
Article 62 – Circumstances aggravating liability for an administrative offence
The following circumstances shall be considered as aggravating administrative liability for the administrative offences provided for by this Law:
a) the repeated commission of the same administrative offence within 1 year, for which an administrative penalty has already been imposed on a controller/processor/third party;
b) processing large quantities of data subjects’ data in violation of the requirements of this Law, or a risk thereof;
c) processing minors’ data in violation of the requirements of this Law;
d) the commission of an administrative offence for financial or other gain;
e) the commission of an administrative offence on the grounds of discrimination.
Article 63 – Right to appeal a decision of the Head of the Personal Data Protection Service made as a result of the proceedings
1. A decision made by the Head of the Personal Data Protection Service as a result of the proceedings may be appealed before a court, according to the procedure established by the Administrative Offences Code of Georgia, by a person, against whom such decision has been made, within 1 month after the official notification of such decision.
2. If a decision made by the Head of the Personal Data Protection Service as a result of the proceedings is appealed before a court, it shall be enforced from the moment the decision of the court enters into legal force.
Article 64 – Imposition of an administrative penalty for committing several administrative offences
1. If a person commits multiple administrative offences, the total amount of fines imposed on the person shall not exceed the amounts provided for by paragraph 2 of this article, if any of the following conditions is met:
a) the administrative offences have been identified as a result of a single checking;
b) the issue of imposition of administrative liability for several administrative offences is examined within the framework of a single set of proceedings;
c) administrative liability is imposed for the administrative offence that had been committed before the imposition of an administrative penalty already applied against the same person, in which case both the amount of imposed administrative liability and the amount of the administrative liability to be imposed shall be taken into account.
2. In the case provided for by paragraph 1 of this article, the total amount of fines imposed on a person shall not exceed:
a) GEL 10 000 in the case of a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) GEL 20 000 in the case of a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. If the same action can be qualified as several administrative offences determined by the respective articles of this Law, administrative liability shall be imposed only for the administrative offence and within the scope for which the heaviest liability is provided for by this Law.
4. For the purposes of paragraph 3 of this article, a violation shall be considered as a single action even if it constitutes a combination of several actions closely and directly related to one another, which amount to essentially a single administrative offence.
5. If only one joint controller is guilty of committing an administrative offence provided for by this Law, an administrative penalty shall be imposed only on him/her/it, and if simultaneously more than one joint controllers are found guilty, an administrative penalty shall be imposed on the offending joint controllers jointly and severally.
6. In the case of the commission of an administrative offence provided for by this Law, other measures determined by Article 52 of this Law may also be applied together with an administrative penalty.
7. The Head of the Personal Data Protection Service shall be authorised, for the purposes of the imposition of administrative liability under this Law, to request and receive from the LEPL Revenue Service information on the annual turnover of a legal person, a branch of a foreign enterprise, and an individual entrepreneur, as well as to have access to the relevant electronic database of the LEPL Revenue Service.
Article 65 – Timeframe for imposing an administrative penalty
1. Liability may be imposed on a person for committing an administrative offence provided for by this Law within not later than 4 months from the date of the commission of the administrative offence, and if the offence is continuing, within not later than 4 months from the date of its identification.
2. If a criminal prosecution or an investigation has been terminated but there are elements of administrative offence in the actions of an offender, an administrative penalty may be imposed on the offender within not later than 2 months from the date the decision on the termination of the criminal prosecution or investigation was made.
3. If a decision made regarding an administrative offence is appealed before a court, the running of the timeframe for the imposition of an administrative penalty provided for by paragraph 1 of this article shall be suspended until the court delivers a final decision on the case.
Chapter X − Administrative Offence and Administrative Liability
Article 66 – Violation of the principles of data processing
1. The violation of any principle of data processing provided for by this Law –
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. The violation of two or more principles of data processing provided for by this Law –
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 1 500 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 67 – Processing data without the grounds provided for by this Law
1. Processing data without the grounds provided for by this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 68 – Processing special category data without the grounds provided for by this Law
1. Processing of special category data without the grounds provided for by this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 69 – Violation of the rules for video monitoring or audio monitoring
1. The violation of the rules of video monitoring determined by Article 10 of this Law (except for the cases provided for by paragraphs 2 and 4 of this article) or of the rules of audio monitoring determined by Article 11 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. Carrying out video monitoring in changing rooms, hygiene facilities, or other places, where a data subject has a reasonable expectation of protection of privacy and/or where the carrying out of surveillance contradicts universally recognised moral norms, −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 70 – Violation of the rules for processing the data of deceased persons
1. Processing the data of a deceased person in violation of Article 8 of this Law –
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 71 – Processing data for the purposes of direct marketing in violation of rules
1. Processing data for the purposes of direct marketing in violation of the rules established by this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 72 – Violation of the rights of a data subject as provided for by Chapter III of this Law
1. The violation of any right of a data subject provided for by Chapter III (except for Article 22) of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. The violation of two or more rights of a data subject provided for by Chapter III (except for Article 22) of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 1 500 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
4. An act provided for by paragraph 2 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 73 – Failure to comply with the obligations provided for by Article 21(2) and (4) of this Law
1. The failure to comply with the obligation provided for by Article 21(2) of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. The failure to comply with the obligation provided for by Article 21(4) of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. An act provided for by paragraph 1 or 2 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 74 – Failure to comply with the obligation to inform a data subject
1. The failure to comply with the obligation to inform a data subject as provided for by Articles 24 and 25 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 75 – Violation of the requirement of data masking priority as an initial method used automatically before choosing an alternative approach when creating a new product or service
1. The failure to comply with any of the obligations determined by Article 26 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 76 – Failure to comply with the obligation to ensure data security
1. The failure to comply with the obligation, as provided for by this Law, to ensure data security determined by Article 27 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 77 – Failure to comply with the obligation to register information related to data processing
1. The failure to comply with the obligation, as provided for by this Law, to register information related to data processing under Article 28 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 1 500 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 78 – Failure to comply with the obligation to notify the Personal Data Protection Service of an incident
1. The failure to comply with the obligation to notify the Personal Data Protection Service of an incident as provided for by Article 29 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 79 – Failure to comply with the obligation to inform a data subject of an incident
1. The failure to comply with the obligation to inform a data subject of an incident as provided for by Article 30 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 5 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 10 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 80 – Failure to comply with the obligation to carry out a data protection impact assessment
1. The failure to comply with the obligation to carry out a data protection impact assessment as provided for by Article 31 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 3 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 81 – Failure to comply with the obligations, as provided for by the law, in the course of obtaining the consent of a data subject and the withdrawing of consent by a data subject
1. The failure to comply with the obligations, as provided for by this Law, in the course of obtaining the consent of a data subject and the withdrawing of consent by a data subject under Article 32 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 82 – Failure to comply with the obligation to appoint a personal data protection officer
1. The failure to comply with the obligation to appoint a personal data protection officer as provided for by Article 33(1) of this Law −
shall result in the issuance of a warning to the offender.
2. The failure by a personal data processor/processor to comply with the obligation to appoint a personal data protection officer as provided for by Article 33(1) of this Law within 1 year after the imposition of an administrative penalty by the Head of the Personal Data Protection Service −
shall result in the imposition of a fine of GEL 3 000 on the offender.
Article 83 – Failure to comply with the obligation to designate/appoint a special representative
1. The failure by a controller to comply with the obligation to designate/appoint a special representative as provided for by Article 34(1) of this Law −
shall result in the issuance of a warning to or the imposition of a fine of GEL 3 000 on the offender.
2. The failure to comply with the obligation to designate/appoint a special representative as provided for by Article 34(1) of this Law within 1 year after the imposition of an administrative penalty by the Head of the Personal Data Protection Service −
shall result in the imposition of a fine of GEL 5 000 on the offender.
Article 84 – Failure to comply with the obligations provided for by Articles 35 and 36 of this Law
1. The failure by a controller/processor to comply with the obligations provided for by Articles 35 and 36 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 85 – Violation of the rules established by Article 37 of this Law
1. The transfer of data to another state and/or an international organisation in violation of the rules established by Article 37 of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. An act provided for by paragraph 1 of this article, committed with an aggravating circumstance (circumstances), −
shall result in:
a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 86 – Obstructing the Head or an authorised person of the Personal Data Protection Service to exercise rights provided for by this Law
1. The violation of the rules for providing information and/or documents under Article 51(3) of this Law, or the provision of false information, to the Head or an authorised person of the Personal Data Protection Service −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
2. The same act committed by a person on whom an administrative penalty has been imposed in the course of 1 year for committing an offence provided for by paragraph 1 of this article −
shall result in:
a) the imposition of a fine of GEL 3 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 5 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
3. Obstructing, in any form, the Personal Data Protection Service or an authorised person of the Personal Data Protection Service from exercising the right provided for by Article 51(6) of this Law −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 4 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
4. The same act committed by a person on whom an administrative penalty has been imposed in the course of 1 year for committing an offence provided for by paragraph 3 of this article −
shall result in:
a) the imposition of a fine of GEL 4 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the imposition of a fine of GEL 6 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Article 87 – Failure to comply with a lawful request of the Personal Data Protection Service
The failure to comply with a lawful request of the Personal Data Protection Service (in accordance with Article 51(1)(a)-(d) of this Law) −
shall result in:
a) the issuance of a warning to or the imposition of a fine of GEL 1 000 on a natural person, public institution, non-entrepreneurial (non-commercial) legal entity, as well as a legal person, a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover does not exceed GEL 500 000;
b) the issuance of a warning to or the imposition of a fine of GEL 2 000 on a legal person (except for non-entrepreneurial (non-commercial) legal entities), a branch of a foreign enterprise, and an individual entrepreneur, whose annual turnover exceeds GEL 500 000.
Chapter XI – Transitional and Final Provisions
Article 88 – Transitional provisions
1. Before 1 March 2024, administrative liability shall be imposed on an offender for committing an administrative offence related to the processing of personal data in accordance with the Law of Georgia on Personal Data Protection of 28 December 2011.
2. A controller/processor shall be exempted from the obligations provided for by Article 10(9) and Article 11(4) of this Law with respect to warning signs placed before 1 March 2024.
3. A controller shall be exempted from the obligation provided for by Article 26 of this Law with respect to software used for data processing and developed before 1 March 2024, unless the software has been significantly updated after 1 March 2024 and the compliance with the obligation provided for by the same Article does not require the controller to incur unreasonable expenses.
4. Before 1 March 2024, the Head of the Personal Data Protection Service shall issue the following normative acts:
a) the criteria for determining incidents posing a significant threat to fundamental human rights and freedoms, and the procedure for notifying the Personal Data Protection Service of an incident. This normative act shall be issued in agreement with the relevant state agencies;
b) on the criteria for determining the circumstances giving rise to the obligation for a data protection impact assessment, and the assessment procedure;
c) on determining the category of persons who are not obliged to designate/appoint a personal data protection officer;
d) the procedure for registering a special representative by the Personal Data Protection Service.
Article 89 – Invalidated normative acts
The Law of Georgia on Personal Data Protection of 28 December 2011 shall be declared invalid (Legislative Herald of Georgia (www.matsne.gov.ge), 16.1.2012, registration code: 010100000.05.001.016606).
Article 90 – Entry into force of the Law
1. This law, except for Articles 1-87, Article 88(2) and (3) and Article 89 of this Law, shall enter into force upon its promulgation.
2. Articles 1-5, Article 6(1)(a)-(q), (2) and (3), Articles 7-30, Article 32, Articles 34-79, Article 81, Articles 83-87, Article 88(2) and (3), and Article 89 of this Law shall enter into force on 1 March 2024.
3. Articles 31, 33, 80 and 82 of this Law shall become effective on 1 June 2024.
4. Article 6(1) (s) of this Law shall shall become effective on 1 January 2025.
5. Article 6(1) (r) of this Law shall shall become effective on 1 January 2027.
6. Article 6 (1) (s) of this Law shall not become effective until 1 January 2027.
Law of Georgia No 4406 of 5 September 2024 – website, 23.9.2024
Law of Georgia No 260 of 6 February 2025 – website, 6.2.2025
President of Georgia Salome Zourabiсhvili
Tbilisi
14 June 2023
No 3144-XI მს -X მპ
Контролный текст по состоянию на 6.02.2025 №260
Закон Грузии
О защите персональных данных
Глава I
Общие положения
Статья 1. Цели Закона
Целью настоящего Закона является обеспечение при обработке персональных данных защиты основных прав и свобод человека, в том числе – прав неприкосновенности личной и семейной жизни, личного пространства и коммуникации.
Статья 2. Сфера действия Закона
1. Действие настоящего Закона распространяется на обработку данных на территории Грузии при помощи автоматических средств и полуавтоматических средств, обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых для внесения в файловую систему, а также обработку данных лицом, ответственным за обработку, зарегистрированным за пределами границ Грузии, при помощи технических средств, имеющихся в Грузии, за исключением случая, когда технические средства используются только для транзита данных.
2. Действие настоящего Закона не распространяется:
а) на обработку данных физическими лицами для явно личных целей или (и) в рамках семейной деятельности, не связанную с их предпринимательской или (и) экономической, профессиональной деятельностью или исполнением служебных обязанностей. Обработка данных для личных целей или (и) в рамках семейной деятельности может включать, в том числе, переписку, обработку адресов, интернет-активность (в том числе, в социальных сетях), осуществляемую в рамках указанной деятельности;
б) на обработку данных для целей государственной безопасности (в том числе, экономической безопасности), обороны, разведывательной и контрразведывательной деятельности;
в) на обработку при помощи полуавтоматических средств и обработку при помощи неавтоматических средств данных, относящихся к государственной тайне, для целей предупреждения преступлений, расследования, уголовного преследования, оперативно-розыскных мероприятий и охраны правопорядка;
г) на обработку данных в суде для целей судопроизводства;
д) на обработку данных средствами массовой информации с целью информирования общественности (за исключением подпункта «е» пункта первого статьи 4 и статьи 27 настоящего Закона);
е) на обработку данных для целей, относящихся к академической сфере, сферам искусств и литературы.
3. Действие статьи 6 настоящего Закона не распространяется на обработку данных с целью переписи населения, предусмотренной Законом Грузии «Об официальной статистике».
4. Действие настоящего Закона распространяется на обработку данных при помощи автоматических средств и обработку при помощи полуавтоматических средств учреждениями, осуществляющими виды деятельности, определенные подпунктами «б»–«г» пункта 2 настоящей статьи, на обработку при помощи неавтоматических средств данных, являющихся частью файловой системы или обрабатываемых для внесения в файловую систему, если данные не обрабатываются непосредственно в рамках видов деятельности, определенных теми же подпунктами.
5. Любые лица, невольно получившие не предназначавшиеся для них чужие данные, должны уважать права субъекта данных и не пытаться незаконно обработать данные.
Статья 3. Разъяснение терминов
Для целей настоящего Закона использованные в нем термины имеют следующие значения:
а) персональные данные (далее − данные) − любая информация, связанная с идентифицированным или идентифицируемым физическим лицом. Физическое лицо является идентифицируемым, когда возможно его идентифицировать прямо или косвенно, в том числе, по имени, фамилии, идентификационному номеру, геолокационным данным, данным, идентифицирующим электронную коммуникацию, физическим, физиологическим, психическим, психологическим, генетическим, экономическим, культурным или социальным характеристикам;
б) данные особой категории − данные, связанные с расовой или этнической принадлежностью физических лиц, их политическими убеждениями, религиозными, философскими или иными взглядами, членством в профессиональных союзах, здоровьем, сексуальной жизнью, наличием в процессе уголовного судопроизводства статуса обвиняемого, осужденного, оправданного или потерпевшего, осуждением, судимостью, убережением, признанием жертвами торговли людьми (трефикинга) или жертвами преступления в соответствии с Законом Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия», их заключением под стражу, исполнением наказания в отношении них, а также биометрическими и генетическими данными, которые обрабатываются с целью уникальной идентификации физических лиц;
в) данные, касающиеся здоровья, – информация о физическом или психическом здоровье субъекта данных, а также оказании ему медицинских услуг, если она содержит сведения о физическом или психическом здоровье субъекта данных;
г) биометрические данные – обработанные с использованием технических средств данные, связанные с физическими, физиологическими или поведенческими характеристиками субъекта данных (как, например, изображение лица, характеристики голоса или дактилоскопические данные), которые дают возможность уникальной идентификации или подтверждения личных данных;
д) генетические данные – приобретенные или унаследованные генетические характеристики субъекта данных, представляющие уникальную информацию о его физиологии или состоянии здоровья путем анализа биологического материала;
е) обработка данных − любое действие, выполняемое в отношении данных, в том числе, их сбор, получение, доступ к ним, их фотографирование, видеомониторинг или (и) аудиомониторинг, организация, группировка, взаимосвязь, хранение, изменение, восстановление, истребование, использование, блокировка, удаление или уничтожение, а также разглашение данных путем их передачи, обнародования, распространения либо обеспечения доступа к ним иным образом;
ж) обработка данных при помощи автоматических средств − обработка данных с применением информационных технологий;
з) обработка данных при помощи неавтоматических средств − обработка данных без применения информационных технологий;
и) обработка данных при помощи полуавтоматических средств – обработка данных с одновременным применением автоматических и неавтоматических средств;
к) файловая система − структурированный набор данных, размещаемых и доступных в зависимости от конкретных критериев;
л) субъект данных − любое физическое лицо, данные о котором обрабатываются;
м) согласие субъекта данных – волеизъявление субъекта данных, касающееся обработки данных о нем для конкретной цели, выраженное свободно и четко активным действием, в письменной (в том числе, электронной) либо устной форме, после получения соответствующей информации;
н) письменное согласие субъекта данных – согласие субъекта данных на обработку данных о нем для конкретной цели, подписанное или выраженное им иным образом в письменной (в том числе, электронной) форме после получения соответствующей информации;
о) лицо, ответственное за обработку − физические лица, юридические лица или публичные учреждения, которые индивидуально или вместе с другими лицами определяют цели и средства обработки данных, осуществляют обработку данных непосредственно или при помощи лица, уполномоченного на обработку;
п) лица, ответственные за совместную обработку, – лица (два или более), ответственные за обработку, совместно определяющие цели и средства обработки данных;
р) лицо, уполномоченное на обработку − физические лица, юридические лица или публичные учреждения, обрабатывающие данные для лица, ответственного за обработку, или от его имени. Лицом, уполномоченным на обработку, не считается физическое лицо, состоящее в трудовых отношениях с лицом, ответственным за обработку;
с) получатель данных − физические лица, юридические лица или публичные учреждения, которым были переданы данные, за исключением Службы защиты персональных данных;
т) категория получателя данных – классификация/группировка получателя данных в зависимости от сферы деятельности или организационно-правовой формы;
у) третье лицо − физическое лицо, юридическое лицо или публичное учреждение, кроме субъекта данных, Службы защиты персональных данных, лица, ответственного за обработку, лица, уполномоченного на обработку, специального представителя и лица, уполномоченного на обработку по прямому поручению лица, ответственного за обработку, или лица, уполномоченного на обработку данных;
ф) специальный представитель – зарегистрированные за пределами границ Грузии физическое лицо или юридическое лицо, а также объединение лиц, не имеющее юридического статуса, на основании настоящего Закона определенное (назначенное) в качестве представителя лицом, ответственным за обработку, или лицом, уполномоченным на обработку;
х) офицер защиты персональных данных – лицо, определенное/назначенное лицом, ответственным за обработку, или лицом, уполномоченным на обработку, выполняющее функции, предусмотренные статьей 33 настоящего Закона;
ц) блокировка данных − временное приостановление обработки (за исключением хранения) данных;
ч) видеомониторинг – обработка данных визуального изображения с использованием технических средств, размещенных/установленных в публичном или частном пространстве, в частности, видеоконтроль или (и) видеозапись (за исключением тайного следственного действия);
ш) аудиомониторинг − обработка данных звукового сигнала с использованием технических средств, размещенных/установленных в публичном или частном пространстве, в частности, аудиоконтроль или (и) аудиозапись (за исключением тайного следственного действия);
щ) прямой маркетинг – прямое и непосредственное предоставление субъекту данных информации при помощи телефона, почты, электронной почты или других электронных средств в целях формирования, сохранения, реализации или (и) поддержания интереса в отношении физических лиц или (и) юридических лиц, товаров, идей, услуг, работ или (и) начинаний, а также имиджевой и социальной тематики. Прямым маркетингом не считается предоставление информации физическому лицу государственным учреждением, если предоставление указанной информации совместимо с каким-либо из оснований для обработки данных, предусмотренных статьями 5 и 6 настоящего Закона;
ы) профайлинг – любая из форм автоматической обработки данных, подразумевающих использование данных для оценки определенных личностных характеристик, связанных с физическими лицами, в частности, анализ и прогнозирование характеристик, касающихся качества выполняемой физическим лицом работы, его экономического положения, здоровья, личных интересов, надежности, поведения, местонахождения или передвижения;
э) деперсонализация данных – обработка данных, при которой увязать их с субъектом данных невозможно либо установление наличия такой связи требует непропорционально больших усилий, расходов или (и) затрат времени;
ю) псевдонимизация данных − обработка данных, при которой без использования дополнительной информации невозможно увязать данные с конкретным субъектом данных, указанная дополнительная информация хранится отдельно и связь с идентифицированным или идентифицируемым физическим лицом при помощи технических и организационных мер не устанавливается;
я) инцидент – нарушение безопасности данных, влекущее неправомерное либо случайное повреждение, утерю, а также разглашение данных без разрешения, их уничтожение, изменение, допуск к ним, их сбор/добывание или иную обработку без разрешения;
я1) публичное учреждение – учреждение, определенное подпунктом «а» статьи 27 Общего административного кодекса Грузии (за исключением политических и религиозных объединений);
я2) длящееся правонарушение – правонарушение, предусмотренное настоящим Законом, совершение которого начинается с деяния и которое затем осуществляется непрерывно. Длящееся правонарушение завершено с момента прекращения деяния;
я3) тайное следственное действие – следственное действие, предусмотренное частью первой статьи 1431 Уголовно-процессуального кодекса Грузии;
я4) Агентство – орган, наделенный эксклюзивным полномочием на проведение тайного следственного действия, предусмотренного подпунктами «а»–«г» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, – юридическое лицо публичного права – Оперативно-техническое агентство Грузии;
я5) электронная система контроля – система, предусмотренная подпунктом «и» статьи 2 Закона Грузии «О юридическом лице публичного права − Оперативно-техническом агентстве Грузии»;
я6) специальная электронная система контроля − система, предусмотренная подпунктом «к» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;
я7) электронная система контроля центрального банка данных, идентифицирующих электронную коммуникацию, − система, предусмотренная подпунктом «л» статьи 2 Закона Грузии «О юридическом лице публичного права – Оперативно-техническом агентстве Грузии»;
я8) специальная электронная система контроля определения геолокации в реальном времени – система, предусмотренная подпунктом «о» статьи 2 Закона Грузии «О юридическом лице публичного права − Оперативно-техническом агентстве Грузии».
Глава II
Законность обработки данных
Статья 4. Принципы обработки данных
1. При обработке данных должны соблюдаться следующие принципы:
а)данные должны обрабатываться законно, справедливо, прозрачно для субъекта данных и без унижения его достоинства. Обязательство, касающееся прозрачности обработки данных, не распространяется на составляющие исключение случаи, установленные настоящим Законом;
б) данные должны собираться/добываться только для конкретных, четко определенных и легитимных целей. Не допускается последующая обработка данных для других целей, не совместимых с первоначальной целью обработки данных;
в) данные должны обрабатываться только в объеме, необходимом для достижения соответствующей легитимной цели. Данные должны быть соразмерны целям, для достижения которых обрабатываются;
г) данные должны быть достоверными, точными и при необходимости обновленными. С учетом целей обработки данных неточные данные должны быть исправлены, удалены или уничтожены без неоправданного промедления;
д) данные могут храниться только в течение срока, необходимого для достижения соответствующей легитимной цели обработки данных. По достижении цели, для которой обрабатываются данные, они должны быть удалены, уничтожены или храниться в деперсонализированной форме, за исключением случая, когда обработка данных определена законом или (и) подзаконным нормативным актом, изданным в соответствии с законом, и хранение данных является необходимой и пропорциональной мерой защиты преобладающих интересов в демократическом обществе;
е) с целью соблюдения безопасности данных при обработке данных должны приниматься технические и организационные меры, надлежащим образом обеспечивающие защиту данных, в том числе, от обработки без разрешения или незаконной обработки, случайной утери, уничтожения или (и) повреждения.
2. Если данные должны быть обработаны с целью, отличающейся от цели их сбора/добывания, и обработка производится не с согласия субъекта данных, или не на основании закона, при решении вопроса об обработке данных с целью, отличающейся от цели их сбора/добывания лицо, ответственное за обработку, должно учитывать:
а) есть ли связь между первоначальной целью сбора/добывания данных и последующей целью;
б) характер отношений между лицом, ответственным за обработку, при сборе/добывании данных, и субъектом данных;
в) есть ли у субъекта данных разумное ожидание дальнейшей обработки данных о нем;
г) осуществляется ли обработка данных особой категории;
д) возможные последствия для субъекта данных, которые может иметь дальнейшая обработка данных;
е) наличие технических и организационных мер безопасности данных.
3. Данные, собранные правоохранительным органом в рамках своей деятельности, могут обрабатываться в целях общего анализа преступной деятельности и установления связи между различными выявленными преступлениями.
4. С целью соблюдения принципа обработки данных, предусмотренного подпунктом «г» пункта первого настоящей статьи, лицо, ответственное за обработку, исходя из контекста должно разграничить данные, основанные на фактах, и данные, основанные на личной оценке. Применительно к данным, основанным на личной оценке, неукоснительное соблюдение принципа обработки данных, предусмотренного подпунктом «г» пункта первого настоящей статьи, не обязательно.
5. Последующая обработка данных лицом, ответственным за обработку, в целях предупреждения преступлений (в том числе, надлежащего аналитического исследования), расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, обеспечения помещения лица в изолятор временного содержания, борьбы против незаконной миграции, осуществления международной защиты, реагирования на административные правонарушения, обеспечения гражданской и пожарной безопасности, оперативно-розыскной деятельности, охраны общественной безопасности или (и) правопорядка (в том числе, проведения криминологического исследования соответствующим правоохранительным органом или судом) не считается несовместимой с первоначальной целью обработки данных, если обработка данных предусмотрена законом или законом и подзаконным нормативным актом, изданным на его основании.
6. Последующая обработка данных в соответствии с публичными интересами для целей архивирования, научного или исторического исследования либо статистических целей не считается несовместимой с первоначальной целью обработки данных. Длительное хранение данных для целей, предусмотренных настоящим пунктом, допускается, если для защиты прав субъекта данных приняты надлежащие технические и организационные меры безопасности.
7. Лицо, ответственное за обработку, при обработке данных ответственно за соблюдение принципов, определенных настоящей статьей, и оно должно быть в состоянии обосновать соответствие указанным принципам.
Статья 5. Основания для обработки данных
1. Обработка данных допускается при наличии одного из следующих оснований:
а) субъект данных изъявил согласие на обработку данных о нем для одной или нескольких конкретных целей;
б) обработка данных необходима для исполнения обязательства, взятого по сделке, заключенной с субъектом данных, или заключения сделки по требованию субъекта данных;
в) обработка данных предусмотрена законом;
г) обработка данных необходима для исполнения лицом, ответственным за обработку, обязанностей, возложенных на него законодательством Грузии;
д) согласно закону, данные публично доступны или публичный доступ к ним предоставлен субъектом данных;
е) обработка данных необходима для защиты жизненно важных интересов субъекта данных или другого лица, в том числе, для мониторинга эпидемии или (и) пресечения ее распространения, управления гуманитарными кризисами, природными или вызванными действиями человека катастрофами;
ж) обработка данных необходима для защиты значительного публичного интереса;
з) обработка данных необходима для выполнения задач, относящихся к сфере публичного интереса, определенной законодательством Грузии, в том числе, для целей предупреждения преступлений, расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, оперативно-розыскной деятельности, охраны общественной безопасности, правопорядка, в том числе обеспечения информационной безопасности и кибербезопасности;
и) обработка данных необходима для защиты значительных легитимных интересов лица, ответственного за обработку, или третьего лица, за исключением случая наличия преобладающего интереса защиты прав субъекта данных (в том числе, несовершеннолетнего);
к) обработка данных необходима для рассмотрения заявления субъекта данных (оказания ему услуг).
2. Обязательство по обоснованию правового основания обработки данных возлагается на лицо, ответственное за обработку.
Статья 6. Обработка данных особой категории
1. Обработка данных особой категории допускается только в случае, если лицом, ответственным за обработку, обеспечены гарантии защиты прав и интересов субъекта данных, предусмотренные настоящим Законом, и существует одно из следующих оснований:
а) субъект данных изъявил письменное согласие на обработку данных особой категории для одной или нескольких конкретных целей;
б) обработка данных особой категории прямо и специально регулируется законом и их обработка является необходимой и пропорциональной мерой в демократическом обществе;
в) обработка данных особой категории необходима для защиты жизненно важных интересов субъекта данных или другого лица и субъект данных физически или (и) в правовом отношении не в состоянии изъявить согласие на обработку данных особой категории;
г) обработка данных особой категории необходима в сфере охраны здоровья для целей превенции, профилактики, диагностики, лечения, реабилитации и паллиативного ухода, управления качеством и безопасностью услуг, медицинского оборудования и медицинских продуктов, общественным здоровьем и системой охраны здоровья в соответствии с законодательством Грузии или договором, заключенным со специалистом в сфере охраны здоровья (если указанные данные обрабатывает лицо, на которое возложено обязательство по соблюдению профессиональной тайны);
д) обработка данных особой категории необходима в сфере социального обеспечения и социальной защиты, в том числе, для осуществления обязательства, возложенного законодательством Грузии на лицо, ответственное за обработку, с целью управления системой социального обеспечения и обслуживания или для осуществления конкретных прав субъекта данных;
е) обработка данных особой категории необходима для целей предотвращения преступлений (в том числе, надлежащего аналитического исследования), расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, обеспечения помещения лиц в изолятор временного содержания, борьбы против незаконной миграции, осуществления международной защиты, реагирования на административные правонарушения, обеспечения гражданской и пожарной безопасности, оперативно-розыскной деятельности, охраны общественной безопасности или (и) правопорядка (в том числе, проведения криминологического исследования соответствующим правоохранительным органом или судом) и обработка указанных данных предусмотрена соответствующим законом или законом и подзаконным нормативным актом, изданным на его основании;
ж) данные особой категории обрабатываются для обеспечения информационной безопасности и кибербезопасности;
з) обработка данных особой категории необходима исходя из характера трудовых обязательств и отношений, в том числе, для принятия решения о занятости или оценки трудовых навыков занятых лиц;
и) субъект данных предоставил публичный доступ к данным о себе без оговорки, содержащей явный запрет на использование;
к) обработка данных особой категории необходима для защиты значительного публичного интереса;
л) данные особой категории обрабатываются политическим, профессиональным объединением, религиозной или нерелигиозной организацией философского направления для целей указанной деятельности. В таком случае обработка указанных данных может быть связана только с действительными или бывшими членами указанных объединений/организаций или лицами, имеющими постоянную связь с этими объединениями/организациями исходя из их целей, при условии, что без согласия субъекта данных указанные данные не будут переданы третьим лицам;
м) обработка данных особой категории необходима для целей архивирования в соответствии с законом для публичных интересов, научного или исторического исследования или статистических целей, если закон предусматривает осуществление надлежащих и конкретных мероприятий в защиту прав и интересов субъекта данных. Указанное основание для обработки данных особой категории не применяется, если специальным законом прямо предусмотрено ограничение обработки указанных данных на дополнительных и отличающихся условиях;
н) данные особой категории обрабатываются с целью функционирования единой аналитической системы данных о миграции;
о) данные особой категории обрабатываются в целях осуществления права на образование лиц с ограниченными возможностями и лиц со специальными образовательными потребностями;
п) данные особой категории обрабатываются с целью рассмотрения вопроса, предусмотренного пунктом 2 статьи 11 Закона Грузии «О пресечении насилия в отношении женщин или (и) насилия в семье, защите и оказании помощи жертвам насилия»;
р) данные особой категории обрабатываются в целях координации процесса ресоциализации и реабилитации осужденных и бывших заключенных, а также процесса реферирования несовершеннолетних;
с) данные особой категории обрабатываются в целях предоставления или опубликования в качестве публичной информации судебного акта, принятого в результате открытого судебного заседания в соответствии с Органическим Законом Грузии «Об общих судах»;
т) данные особой категории обрабатываются в случаях, прямо предусмотренных Законом Грузии «О публичных закупках»;
у) данные особой категории обрабатываются для функционирования институционального механизма межведомственной координации – в целях выявления случаев причинения вреда или случаев, содержащих возможные риски для жизни, здоровья или безопасности или (и) наилучших интересов либо прав ребенка или (и) управления ими и обеспечения в пределах указанных целей координации между компетентными органами (ведомствами), определенными Правительством Грузии, в случаях, предусмотренных частью 3 статьи 83 и частью 21 статьи 84 Кодекса о правах ребенка.
2. В случае обработки данных, предусмотренных подпунктом «с» пункта первого настоящей статьи, их выдача и опубликование в качестве публичной информации допускаются в соответствии с Органическим законом Грузии «Об общих судах».
3. Обязательство по обоснованию правового основания обработки данных особой категории возлагается на лицо, ответственное за обработку.
Статья 7. Порядок и условия дачи согласия на обработку данных о несовершеннолетних
1. Обработка данных о несовершеннолетних на основании их согласия допускается, если они достигли 16-летнего возраста, а обработка данных о несовершеннолетних в возрасте до 16 лет – с согласия их родителя или другого законного представителя, за исключением случаев, прямо предусмотренных законом, в том числе, когда для обработки данных требуется согласие несовершеннолетнего в возрасте от 16 до 18 лет и его родителя или другого законного представителя.
2. Лицо, ответственное за обработку, обязано принять разумные и адекватные меры для подтверждения наличия согласия родителя или другого законного представителя несовершеннолетнего в возрасте до 16 лет.
3. Обработка данных особой категории, касающихся несовершеннолетнего, допускается только на основании письменного согласия его родителя или другого законного представителя, за исключением случаев, прямо предусмотренных законом.
4. При обработке данных о несовершеннолетних лицо, ответственное за обработку данных, обязано учитывать и соблюдать наилучшие интересы несовершеннолетнего.
5. Согласие несовершеннолетнего, его родителя или другого законного представителя на обработку данных не признается действительным, если обработка данных создает угрозу или причиняет вред наилучшим интересам несовершеннолетнего.
6. Положения, предусмотренные настоящей статьей, не распространяются на отношения, связанные с действительностью сделки, определенной Гражданским кодексом Грузии.
Статья 8. Защита данных об умерших лицах
1. После смерти субъекта данных обработка данных о нем допускается:
а) по основаниям, определенным статьями 5 и 6 настоящего Закона;
б) если обработка указанных данных не запрещена родителями, детьми, внуками или супругами субъектов данных (за исключением случая, когда субъект данных до своей смерти письменно запретил обработку данных о нем после его смерти);
в) если после смерти субъекта данных прошло 30 лет;
г) если это необходимо для осуществления права, связанного с наследованием.
2. Обработка имени, фамилии, пола, дат рождения и смерти умерших лиц допускается независимо от наличия обстоятельств и оснований, предусмотренных пунктом первым настоящей статьи.
Статья 9. Обработка биометрических данных
1. Обработка биометрических данных допускается только в случае, если это необходимо для целей осуществления деятельности, безопасности, охраны собственности и предотвращения разглашения секретной информации и достижение указанных целей иным способом не представляется возможным либо связано с непропорционально большими усилиями, а также в целях выдачи в порядке, установленном законом, документа, удостоверяющего личность, идентификации лиц, пересекающих государственную границу, борьбы против незаконной миграции, осуществления международной защиты, предотвращения преступлений, расследования преступлений, уголовного преследования, отправления правосудия, исполнения заключения под стражу и лишения свободы, исполнения наказаний, не связанных с заключением под стражу, и пробации, ресоциализации и реабилитации осужденных и бывших заключенных, координации процесса реферирования несовершеннолетних, оперативно-розыскной деятельности, информационной безопасности и кибербезопасности или в других случаях, прямо предусмотренных законом.
2. Лицо, ответственное за обработку, обязано до обработки данных в соответствии с принципами, предусмотренными статьей 4 настоящего Закона, письменно определить цель и объем обработки биометрических данных, срок хранения указанных данных, порядок и условия их хранения и уничтожения, а также механизмы защиты прав субъекта данных.
Статья 10. Осуществление видеомониторинга
1. Осуществление видеомониторинга допускается для целей предотвращения преступлений, их выявления, охраны общественной безопасности, безопасности и собственности лиц, защиты несовершеннолетних (в том числе, защиты от вредного влияния), охраны секретной информации, для экзамена/тестирования, а также для выполнения задач, относящихся к сфере других публичных или (и) других легитимных интересов, если осуществление видеомониторинга является средством, адекватным и пропорциональным цели обработки данных.
2. Для осуществления видеомониторинга лицо, ответственное за обработку, обязано в соответствии с принципами, установленными статьей 4 настоящего Закона, письменно определять цель и объем видеомониторинга, продолжительность видеомониторинга и срок хранения видеозаписи, порядок и условия доступа к видеозаписи, ее хранения и уничтожения, механизмы защиты прав субъекта данных, за исключением случая, когда физическое лицо осуществляет видеомониторинг в жилом помещении.
3. Видеомониторинг рабочего процесса/пространства занятого лица допускается только в исключительных случаях, если достижение целей, определенных пунктом первым настоящей статьи, другими средствами не представляется возможным или связано с непропорционально большими усилиями.
4. Не допускается осуществление видеомониторинга в комнатах для переодевания, местах, предназначенных для гигиены, или местах, в которых у субъекта есть разумное ожидание защищенности личной жизни или (и) осуществление видеомониторинга в которых противоречит общепризнанным нормам морали.
5. Система видеомониторинга и видеозаписи должны охраняться от неправомерного посягательства и использования. Лицо, ответственное за обработку, должно обеспечить учет каждого случая доступа к видеозаписи, в том числе, учет времени осуществления доступа и имени пользователя, дающего возможность идентификации лица, осуществившего доступ.
6. В жилом здании допускается осуществление видеомониторинга общих входов в указанное жилое здание и общего пространства в жилом помещении на основании письменного согласия более половины собственников (в случае невозможности установления личности собственника допускается получение согласия владельца), за исключением случая, когда лицо, ответственное за обработку/лицо, уполномоченное на обработку, осуществляет видеомониторинг для исполнения обязанности, возложенной на него законодательством Грузии, и в ареал видеомониторинга попадает общий вход в жилое здание и его общее пространство.
7. Видеомониторинг имеющегося в жилом здании входа в индивидуальную собственность допускается только по решению его собственника/владельца или на основании его письменного согласия так, чтобы осуществлением видеомониторинга не ущемлялись легитимные интересы других лиц (в том числе, собственника, законного пользователя площади).
8. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано разместить в месте, доступном для обозрения, предупреждающий знак о ведущемся видеомониторинге, а в случае, определенном пунктом 3 настоящей статьи, письменно предупредить дополнительно занятое лицо о конкретной цели (целях) видеомониторинга. В случае соблюдения требований, предусмотренных настоящим пунктом, субъект данных считается проинформированным об обработке данных о нем.
9. Предупреждающий знак о ведущемся видеомониторинге должен содержать соответствующую надпись, легко распознаваемое изображение о видеомониторинге и наименование и контактные данные лица, ответственного за обработку.
Статья 11. Осуществление аудиомониторинга
1. Осуществление аудиомониторинга допускается:
а) с согласия субъекта данных;
б) для ведения протокольной записи;
в) для защиты значительных легитимных интересов лица, ответственного за обработку, если определены надлежащие и конкретные мероприятия для защиты прав и интересов субъекта данных;
г) в других случаях, прямо предусмотренных законодательством Грузии.
2. Для осуществления аудиомониторинга лицо, ответственное за обработку, обязано в соответствии с принципами, предусмотренными статьей 4 настоящего Закона, предварительно в письменной форме определить цель и объем аудиомониторинга, продолжительность аудиомониторинга, порядок и условия доступа к аудиозаписи, ее хранения и уничтожения, механизмы защиты прав субъекта данных.
3. Лицо, ответственное за обработку, обязано предварительно или с началом аудиомониторинга предупредить субъекта данных об осуществлении аудиомониторинга и разъяснить ему его право на отказ (при наличии такового). Бремя доказывания по информированию субъекта данных возлагается на лицо, ответственное за обработку/лицо, уполномоченное на обработку.
4. В случае информирования субъекта данных об аудиомониторинге при помощи предупреждающего знака указанный предупреждающий знак должен содержать соответствующую надпись, легко воспринимаемое изображение о ведущемся аудиомониторинге и наименование и контактные данные лица, ответственного за обработку.
Статья 12. Обработка данных для целей прямого маркетинга
1. Независимо от основания сбора/получения данных и их доступности обработка данных для целей прямого маркетинга допускается только с согласия субъекта данных.
2. Для обработки других данных помимо имени, фамилии, адреса, номера телефона и адреса электронной почты субъекта данных для целей прямого маркетинга требуется письменное согласие субъекта данных.
3. До получения согласия субъекта данных и при осуществлении прямого маркетинга лицо, ответственное за обработку/лицо, уполномоченное на обработку, должно объяснить субъекту данных четко, на простом и понятном для него языке его право на отзыв согласия в любое время и механизм/порядок осуществления указанного права.
4. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано прекратить обработку данных для целей прямого маркетинга в разумный срок со дня получения соответствующего требования субъекта данных, но не позднее 7 рабочих дней. Для обеспечения указанного обязательства на лицо, ответственное за обработку/лицо, уполномоченное на обработку, возлагается ответственность по обмену информацией об отзыве согласия субъектом данных. 5. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано обеспечить, чтобы у субъекта данных была возможность требовать прекращения обработки данных для целей прямого маркетинга в той же форме, в которой осуществляется прямой маркетинг, или определить другое доступное и адекватное средство для требования о прекращении обработки данных.
6. Средство, предусмотренное пунктом 5 настоящей статьи для требования о прекращении обработки данных с целью прямого маркетинга, должно быть простым. При этом субъекту данных должно быть предоставлено четкое и легко воспринимаемое указание о применении указанного средства.
7. Не допускается устанавливать плату или другое ограничение за осуществление субъектом данных права на отзыв согласия.
8. При осуществлении прямого маркетинга бремя доказывания наличия согласия субъекта данных, простоты средства отказа, легкости для восприятия, доступности и адекватности указания о его применении возлагается на лицо, ответственное за обработку или (и) лицо, уполномоченное на обработку.
9. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязано учитывать время и факт дачи субъектом данных согласия на обработку данных о нем и отзыва согласия и хранить на срок осуществления прямого маркетинга и в течение года со дня прекращения осуществления прямого маркетинга.
Глава III
Права субъекта данных
Статья 13. Право на получение информации об обработке данных
1. Субъект данных вправе требовать от лица, ответственного за обработку,
подтверждения, обрабатываются ли данные о нем, обоснована ли обработка данных и по требованию безвозмездно получать следующую информацию:
а) о касающихся него данных, которые обрабатываются, а также об основании и цели обработки указанных данных;
б) об источнике сбора/получения данных;
в) о сроке (времени) хранения данных, а если определить конкретный срок невозможно, о критериях определения срока;
г) о правах субъекта данных, предусмотренных настоящей главой;
д) о правовых основаниях и целях передачи данных, а также надлежащих гарантиях защиты данных, если данные передаются другому государству или международной организации;
е) о личности получателя данных или категориях получателей данных, в том числе, информацию об основании и цели передачи данных, если данные передаются третьим лицам;
ж) о решении, принятом в результате автоматизированной обработки, в том числе, профайлинга, и о логике, используемой при принятии такого решения, а также его влиянии на обработку данных и ожидаемом/предполагаемом результате обработки.
2. Субъект данных вправе не позднее 10 рабочих дней со дня направления требования получать информацию, предусмотренную пунктом первым настоящей статьи. Указанный срок в особых случаях и при надлежащем обосновании может продлеваться не более чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.
3. Лицо, ответственное за обработку, правомочно по необходимости предоставлять субъекту данных любую информацию, с тем, чтобы обеспечивалась прозрачность обработки данных в соответствии с подпунктом «а» пункта первого статьи 4 настоящего Закона, за исключением случая, когда выдача информации противоречит закону.
4. Если законодательством Грузии не предусмотрено иное, субъект данных вправе сам выбирать форму предоставления информации, предусмотренной пунктом первым настоящей статьи. При этом, если субъект данных не потребует предоставления информации в другой форме, информация ему предоставляется в той же форме, в которой она была потребована.
Статья 14. Право на ознакомление с данными и получение копии
1. Субъект данных вправе ознакомиться у лица, ответственного за обработку, с имеющимися персональными данными о нем и безвозмездно получать копии указанных данных, за исключением случаев, когда за ознакомление с данными или (и) выдачу копии данных:
а) законодательством Грузии предусмотрена плата;
б) лицом, ответственным за обработку, установлена разумная плата ввиду ресурса, расходуемого при их выдаче в форме, отличающейся от формы хранения данных, или (и) частых запросов.
2. Субъект данных вправе ознакомиться с данными, предусмотренными пунктом первым настоящей статьи, или (и) получать их копии не позднее 10 рабочих дней со дня требования, за исключением случая, когда законодательством Грузии установлен иной срок.
3. Срок, предусмотренный пунктом 2 настоящей статьи, в особых случаях
и с надлежащим обоснованием может быть продлен не более, чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.
4. Субъект данных вправе ознакомиться с данными, предусмотренными пунктом первым настоящей статьи, или (и) получить их копии в форме, в которой они хранятся у лица, ответственного за обработку, или (и) у лица, уполномоченного на обработку. Субъект данных также вправе требовать предоставления ему копий данных о нем в отличающейся форме, за разумную плату, установленную лицом, ответственным за обработку, и в случае, если это технически возможно.
5. Плата, определенная согласно подпункту «б» пункта первого настоящей статьи, лицом, ответственным за обработку, не должна превышать размер фактически затраченных ресурсов. Бремя доказывания по установлению платы и разумности ее размера возлагается на лицо, ответственное за обработку.
Статья 15. Право на исправление, обновление и восполнение данных
1. Субъект данных вправе требовать от лица, ответственного за обработку, исправления, обновления или (и) восполнения недостоверных, неточных или (и) неполных данных о нем.
2. Не позднее 10 рабочих дней со дня представления субъектом данных
требования, предусмотренного пунктом первым настоящей статьи (если законодательством Грузии не установлен иной срок), данные должны быть исправлены, обновлены или (и) восполнены или субъект данных должен быть извещен об основаниях отказа в требовании и ему должен быть объяснен порядок обжалования отказа.
3. Если лицо, ответственное за обработку, независимо от субъекта данных выявит, что имеющиеся у него данные являются недостоверными, неточными или (и) неполными, оно в разумный срок должно исправить, обновить или (и) восполнить данные и в срок, составляющий 10 рабочих дней со дня исправления данных, известить об этом субъекта данных.
4. У лица, ответственного за обработку, обязательство по извещению субъекта данных, предусмотренное пунктом 3 настоящей статьи, не возникает, если исправление, обновление или (и) восполнение данных связаны с исправлением/устранением технической ошибки.
5. При наличии объективного обстоятельства, делающего невозможным
выполнение обязательства по информированию субъекта данных в срок, установленный пунктом 3 настоящей статьи, лицо, ответственное за обработку, должно при первой же коммуникации с субъектом данных предоставить ему информацию об осуществлении изменения.
6. Лицо, ответственное за обработку, обязано известить об обновлении и восполнении данных всех получателей данных, а также всех других лиц, ответственных за обработку этих же данных, и лицо, уполномоченное за обработку, которым само передало данные, за исключением случая, когда предоставление такой информации невозможно ввиду большого числа лиц, ответственных за обработку/лиц, уполномоченных на обработку, или получателей данных или (и) ввиду непропорционально больших расходов.
7. Лица, предусмотренные пунктом 6 настоящей статьи, после получения
соответствующей информации обязаны в разумный срок исправить, обновить или (и) восполнить данные.
Статья 16. Право на прекращение обработки, удаление ил уничтожение данных
1. Субъект данных вправе требовать от лица, ответственного за обработку, прекращения обработки данных о нем (в том числе, профайлинга), их удаления или уничтожения.
2. Не позднее 10 рабочих дней со дня требования, предусмотренного пунктом первым настоящей статьи (если законодательством Грузии не установлено иное), должна быть прекращена обработка данных или (и) данные должны быть удалены или уничтожены либо субъект данных должен быть извещен об основании отказа в требовании и ему должен быть объяснен порядок обжалования отказа.
3. Лицо, ответственное за обработку, вправе отказаться от удовлетворения требования, предусмотренного пунктом первым настоящей статьи, если:
а) имеется какое-либо из оснований, предусмотренных статьей 5 или 6 настоящего Закона;
б) данные обрабатываются с целью обоснования правового требования или возражения;
в) обработка данных необходима для осуществления права свободы выражения или информации;
г) данные обрабатываются с целью архивирования в публичных интересах, предусмотренных законом, для целей научных или исторических исследований или статистических целей и осуществление права на прекращение обработки данных, их удаление и уничтожение причинит значительный вред или сделает невозможным достижение целей обработки.
4. При наличии какого-либо из оснований, предусмотренных пунктом 3 настоящей статьи, на лицо, ответственное за обработку, возлагается обязательство по обоснованию соответствующего основания.
5. Субъект данных вправе получать информацию о прекращении обработки, удалении или уничтожении данных незамедлительно, по осуществлении соответствующего действия, но не позднее 10 рабочих дней.
6. Субъект данных вправе в случае обработки данных о нем в публично доступной форме требовать от лица, ответственного за дополнительную обработку, ограничения доступа к данным или (и) удаления копий данных или любых интернет-ссылок, выводящих на данные.
7. Лицо, ответственное за обработку, обязано сообщать всем получателям данных, а также всем другим лицам, ответственным за обработку этих же данных, и лицам, ответственным за обработку, которым само передало данные, о прекращении обработки, удалении или уничтожении данных, за исключением случая, когда предоставление такой информации невозможно ввиду большого числа лиц, ответственных за обработку/лиц, уполномоченных на обработку, или получателей данных или (и) ввиду непропорционально больших расходов.
8. Лица, предусмотренные пунктами 6 и 7 настоящей статьи, после получения соответствующей информации обязаны прекратить обработку данных и удалить или уничтожить данные.
Статья 17. Право на блокировку данных
1. Субъект данных вправе требовать от лица, ответственного за обработку,
блокировки данных при наличии одного из следующих обстоятельств:
а) субъект данных оспаривает достоверность или точность данных;
б) обработка данных незаконна, хотя субъект данных выступает против их удаления и требует блокировки данных;
в) данные более не нужны для достижения цели их обработки, но субъекту данных они требуются для подачи жалобы/иска;
г) субъект данных требует прекращения обработки, удаления или уничтожения данных и ведется рассмотрение указанного требования;
д) существует необходимость хранения данных с целью использования в качестве доказательств.
2. Лицо, ответственное за обработку, обязано в случае требования, исходящего от субъекта данных, заблокировать данные при наличии одного из обстоятельств, предусмотренных пунктом первым настоящей статьи, за исключением случая, когда блокировка данных может создать угрозу:
а) исполнению лицом, ответственным за обработку, обязательств, возложенных на него законом, или (и) законом и изданным на его основании подзаконным нормативным актом;
б) выполнению в соответствии с законом задач, относящихся к сфере публичного интереса, или осуществлению полномочий, предоставленных лицу, ответственному за обработку законодательством Грузии;
в) легитимным интересам лица, ответственного за обработку, или третьих лиц, за исключением случая, наличия преобладающего интереса защиты прав субъекта данных, в особенности несовершеннолетнего;
г) защите интересов, предусмотренных пунктом 6 статьи 50 настоящего Закона.
3. После принятия решения о блокировке данных лицо, ответственное за обработку, правомочно принимать решение о разблокировке данных при наличии какого-либо из оснований, предусмотренного подпунктами «а»–«г» пункта 2 настоящей статьи.
4. Данные должны быть заблокированы на срок существования причины их блокировки и в течение указанного срока, если это технически возможно, решение о блокировке данных должно прилагаться к соответствующим данным.
5. Субъект данных вправе получать информацию с принятием решения о блокировке данных или решения об основании отказа в блокировке данных, незамедлительно, но не позднее 3 рабочих дней со дня требования.
6. В случае блокировки данных в соответствии с пунктом первым настоящей статьи данные, помимо их хранения, могут обрабатываться иным образом в следующих случаях:
а) с согласия субъекта данных;
б) для обоснования правового требования или возражения;
в) для защиты интересов лица, ответственного за обработку, или третьего лица;
г) в соответствии с законом для защиты публичного интереса.
Статья 18. Право на перенос данных
В случае автоматической обработки данных по основаниям, предусмотренным подпунктами «а» и «б» пункта первого статьи 5 и подпунктом «а» пункта первого статьи 6 настоящего Закона, если это технически возможно, субъект данных вправе получать от лица, ответственного за обработку, предоставленные им данные в структурированном, общеиспользуемом и пригодном для машинного считывания формате или требовать передачу указанных данных другому лицу, ответственному за обработку.
Статья 19. Принятие автоматизированного индивидуального решения и связанные с ним права
1. Субъект данных вправе не подчиняться решению, принятому только
автоматизировано, в том числе на основании профайлинга, порождающему для него правовое или иного рода последствие, имеющее существенное значение, за исключением случая, когда принятие решения на основании профайлинга:
а) основано на четко выраженном согласии субъекта данных;
б) необходимо для заключения договора или выполнения договора между субъектом данных и лицом, ответственным за обработку;
в) предусмотрено законом или подзаконным нормативным актом, изданным в пределах полномочий, делегированных на основании закона.
2. При соответствующем требовании субъекта данных лицо, ответственное за обработку, должно принять надлежащие меры для защиты прав, свобод и легитимных интересов субъекта данных, в том числе, путем вовлечения людских ресурсов в процесс принятия решения (за исключением случая, предусмотренного подпунктом «в» пункта первого настоящей статьи), предоставления субъекту данных определенной пунктом первым настоящей статьи возможности выражения своего мнения и обжалования решения.
3. Использование данных особой категории при принятии решения, определенного пунктом первым настоящей статьи, допускается только в случаях, предусмотренных подпунктами «а», «е» и «к» пункта первого статьи 6 настоящего Закона, если имеются надлежащие гарантии защиты прав, свобод и легитимных интересов субъекта данных.
Статья 20. Право на отзыв согласия
1. Субъект данных вправе в любое время без какого-либо объяснения или
обоснования отозвать данное им согласие. В таком случае, в соответствии с требованием субъекта данных обработка данных должна быть прекращена или (и) обработанные данные должны быть удалены или уничтожены не позднее 10 рабочих дней со дня требования, если нет другого основания для обработки данных.
2. Субъект данных вправе отозвать согласие в той же форме, в какой он
изъявил согласие.
3. Субъект данных до отзыва согласия вправе требовать и получать от
лица, ответственного за обработку, информацию о возможных результатах отзыва согласия.
Статья 21. Ограничение прав субъекта данных
1. Права субъекта данных, предусмотренные статьями 13–20, 24 и 25 настоящего Закона, могут ограничиваться, если это прямо предусмотрено законодательством Грузии, тем самым не нарушаются основные права и свободы человека, это необходимая и пропорциональная мера в демократическом обществе и осуществление указанных прав может создать угрозу:
а) интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны;
б) интересам общественной безопасности;
в) предотвращению преступлений, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, оперативно-розыскной деятельности;
г) значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты;
д) выявлению нарушения субъектом данных норм профессиональной этики, в том числе, в сфере регулируемой профессии, и возложению на него ответственности;
е) осуществлению функций и полномочий органов, осуществляющих регулирование или (и) надзор в сферах, определенных подпунктами «а», «б», «в», «г», «д» «ж» или «и» пункта первого настоящей статьи;
ж) правам и свободам субъекта данных или (и) других лиц, в том числе, свободе выражения;
з) охране государственной, коммерческой, профессиональной и другой тайны, предусмотренной законом;
и) обоснованию правового требования или возражения.
2. Меры, предусмотренные пунктом первым настоящей статьи, могут применяться только в объеме, необходимом для достижения цели ограничения.
3. При наличии оснований, предусмотренных пунктом первым настоящей статьи, субъект данных должен быть извещен о решении лица, ответственного за обработку, об ограничении и отказе в осуществлении права субъекта данных, за исключением случая, когда предоставление информации создает угрозу достижению цели (целей), предусмотренной пунктом первым настоящей статьи.
4. Осуществление прав субъекта данных, предусмотренных статьями 13–20, 24 и 25 настоящего Закона, должно обеспечиваться безвозмездно, кроме составляющих исключение случаев, установленных этим же Законом. В случае представления субъектом данных требования с неразумной частотой лицо, ответственное за обработку, правомочно отказаться от его выполнения, о чем оно обязано незамедлительно письменно сообщить субъекту данных и разъяснить ему право на обжалование.
5. В случае ограничения права субъекта данных и отказа в его требовании бремя доказывания возлагается на лицо, ответственное за обработку.
Статья 22. Право на обжалование
1. Субъект данных вправе в случае нарушения предусмотренных настоящим Законом прав и установленных правил обратиться в Службу защиты персональных данных, суд или (и) вышестоящий административный орган в порядке, установленном законом.
2. Субъект данных вправе требовать от Службы защиты персональных данных принятия решения о блокировке данных до вынесения решения о завершении рассмотрения заявления.
3. Субъект данных вправе обжаловать решение Службы защиты персональных данных в суде с соблюдением условий и сроков, предусмотренных законодательством Грузии.
Глава IV
Обязательства лица, ответственного за обработку, и лица,
уполномоченного на обработку
Статья 23. Обязательство по защите прав субъекта данных
1. В соответствии с требованием субъекта данных лицо, ответственное за обработку, обязано в установленном порядке обеспечить осуществление прав субъекта данных, определенных главой III настоящего Закона, в том числе, принять все меры в целях соответствия требованиям этого же Закона и их демонстрирования в случае необходимости.
2. Обязательства, предусмотренные пунктом первым настоящей статьи, распространяются также на лицо, уполномоченное на обработку, в отношении информации, хранящейся/имеющейся у него.
Статья 24. Информирование субъекта данных в случае сбора
информации непосредственно от него
1. При сборе данных непосредственно от субъекта данных лицо, ответственное за обработку, обязано до сбора данных или с началом сбора данных предоставить субъекту данных по меньшей мере следующую информацию:
а) о личности/наименовании и контактную информацию лица,
ответственного за обработку, его представителя или (и) лица, уполномоченного на обработку (при наличии такового);
б) о целях и правовом основании обработки данных;
в) об обязательности предоставления данных, а если предоставление данных обязательно, – о правовых последствиях отказа от предоставления данных, а также информацию о том, что сбор/добывание данных предусмотрены законодательством Грузии или являются обязательным условием для заключения договора (при наличии такой информации);
г) о значительных легитимных интересах лица, ответственного за обработку, или третьего лица, если данные обрабатываются в соответствии с подпунктом «и» пункта первого статьи 5 настоящего Закона;
д) о личности офицера защиты персональных данных (при наличия такового) и контактную информацию;
е) о личности получателя данных или категориях получателей данных (при наличии таковых);
ж) о запланированной передаче данных и наличии надлежащих гарантий защиты данных, в том числе, о разрешении на передачу данных (при наличии такового), если лицо, ответственное за обработку, планирует передачу данных другому государству или международной организации;
з) о сроке хранения данных, а если определение конкретного срока невозможно, – о критериях определения срока;
и) о правах субъекта данных, предусмотренных главой III настоящего Закона.
2. Предоставление информации, предусмотренной пунктом первым настоящей статьи, не является обязательным при наличии разумного предположения о том, что субъект данных уже располагает указанной информацией.
3. Порядок, установленный пунктом первым настоящей статьи, не действует, если специальное законодательство устанавливает отличающийся порядок информирования субъекта данных при сборе данных от него и указанный порядок не вызывает нарушения основных прав и свобод субъекта данных. В таком случае при наличии письменного требования субъекта лицо, ответственное за обработку, обязано предоставить субъекту данных информацию, предусмотренную пунктом первым настоящей статьи, в течение 10 рабочих дней после требования, если нет оснований для ограничения права, предусмотренного статьей 21 настоящего Закона.
4. Срок предоставления информации, предусмотренной пунктом 3 настоящей статьи, в особых случаях и при надлежащем обосновании может быть продлен не более чем на 10 рабочих дней, о чем субъект данных должен быть извещен незамедлительно.
5. Лицо, ответственное за обработку, обязано предоставить информацию, предусмотренную пунктом первым настоящей статьи, субъекту данных, в особенности, если субъектом данных является несовершеннолетнее лицо, на простом и понятном для него языке. Предоставлять указанную информацию можно устно или письменно (в том числе, в электронной форме), за исключением случая, когда субъект данных требует получения информации в письменной форме.
Статья 25. Информирование субъекта данных, если сбор информации производится не непосредственно от него
1. Если сбор данных производится не непосредственно от субъекта данных, лицо, ответственное за обработку, обязано предоставить субъекту данных информацию, предусмотренную подпунктами «а»–«и» пункта первого статьи 24 настоящего Закона, а также сообщить, какие данные о нем обрабатываются и об источнике получения указанных данных, – в том числе, были ли данные добыты из публично доступного источника.
2. Лицо, ответственное за обработку, должно предоставить субъекту данных информацию, предусмотренную пунктом первым настоящей статьи, в разумный срок или, если указанные данные используются для установления связи с субъектом данных, при первой же с ним коммуникации, а если планируется разглашение данных, до разглашения данных, но не позднее 10 рабочих дней со дня получения данных, если нет оснований для ограничения права, предусмотренного статьей 21 настоящего Закона.
3. Обязательство по предоставлению информации, предусмотренное настоящей статьей, не распространяется на лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, если:
а) субъект данных уже располагает информацией, предусмотренной пунктом первым настоящей статьи;
б) сбор или разглашение данных установлены законом или требуются для выполнения обязанности, возложенной законодательством Грузии;
в) предоставление информации невозможно или требует непропорционально больших усилий или выполнение обязательства, предусмотренного настоящей статьей, причинит значительный вред либо сделает невозможным выполнение законной цели (целей) обработки данных. В таких случаях лицо, ответственное за обработку, должно принять надлежащие меры в защиту прав и легитимных интересов субъекта данных, в том числе, путем размещения общей информации о получении данных публично/в общедоступной форме.
Статья 26. Приоритет сокрытия данных в большей мере, как автоматически используемый исходный метод при создании нового продукта или новой услуги до выбора альтернативного подхода
1. Учитывая новые технологии, расходы на осуществление, характер, масштаб, контекст и цели обработки, а также ожидаемые риски для прав и свобод субъекта данных и принципы обработки данных, лицо, ответственное за обработку, как при определении средств обработки, так и непосредственно в процессе обработки должно принять надлежащие технические и организационные меры (в том числе, по псевдонимизации или (и) другие). Принятие указанных мер должно обеспечивать эффективную имплементацию принципов обработки данных и интегрирование в процесс обработки данных механизмов защиты с целью защиты прав субъекта данных.
2. Лицо, ответственное за обработку, при определении количества данных, масштаба обработки данных, сроков хранения данных и доступа к данным должно обеспечить принятие технических и организационных мер, при помощи которых автоматически будет обрабатываться только тот объем данных, который необходим для конкретной цели обработки. Указанные меры должны использоваться так, чтобы до выбора разрешенного альтернативного подхода для неопределенного круга лиц автоматически обеспечивался доступ только к минимальному объему данных.
Статья 27 . Безопасность данных
1. Лицо, ответственное за обработку, обязано принимать надлежащие технические и организационные меры для обеспечения обработки данных в соответствии с настоящим Законом и быть в состоянии подтвердить соответствие обработки данных настоящему Закону.
2. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны принимать организационные и технические меры, соответствующие возможным и сопутствующим угрозам при обработке данных (в том числе, в виде псевдонимизации данных, учета доступа к данным, механизмов информационной безопасности (конфиденциальность, целостность, доступность) и других), которые обеспечивают охрану данных от утери, незаконной обработки, в том числе, уничтожения, удаления, изменения, разглашения или использования.
3. При определении организационно-технических мер, необходимых для обеспечения безопасности данных, лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны учитывать категории, объем данных, цель, форму, средства обработки данных и возможные угрозы нарушения прав субъекта данных, а также периодически оценивать эффективность технических и организационных мер, принимаемых для обеспечения безопасности данных, и в случае необходимости обеспечивать принятие адекватных мер или (и) и обновление существующих мер для защиты безопасности данных.
4. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны обеспечить учет всех действий, осуществленных в отношении данных, существующих в электронной форме (в том числе, информации об инцидентах, сборе, изменении данных, доступе к ним, их разглашении (передаче), связывании и удалении). При обработке данных, существующих в неэлектронной форме, лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны обеспечить учет всех действий, связанных с разглашением или (и) изменением данных (в том числе, информации об инцидентах).
5. Любые сотрудники лица, ответственного за обработку, и лица, уполномоченного на обработку, участвующие в обработке данных или имеющие доступ к данным, обязаны не выходить за пределы предоставленных им полномочий, соблюдать секретность и конфиденциальность данных, в том числе, после прекращения служебных полномочий.
6. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны в соответствии с полномочиями сотрудников определять пределы их доступа к данным и осуществлять адекватные мероприятия для предупреждения, выявления и пресечения фактов незаконной обработки данных сотрудниками, в том числе, обеспечить информирование сотрудников по вопросам, касающимся безопасности данных.
Статья 28. Учет информации, связанной с обработкой данных, и сообщение Службе защиты персональных данных
1. Лицо, ответственное за обработку, и его специальный представитель (при наличии такового) обязаны обеспечить учет в письменной или электронной форме следующей информации, связанной с обработкой данных:
а) личность/наименование и контактная информация лица, ответственного за обработку, специального представителя, офицера защиты персональных данных, лиц, ответственных за совместную обработку, лица, уполномоченного на обработку;
б) цели обработки данных;
в) субъекты данных и категории данных;
г) категории получателей данных (в том числе, получателя данных в другом государстве или международной организации);
д) передача данных другому государству или международной организации, а также надлежащие гарантии защиты данных, в том числе, разрешение Службы защиты персональных данных (при наличии такового);
е) сроки хранения данных, а если определение конкретных сроков невозможно, критерии определения срока их хранения;
ж) общее описание организационно-технических мер, принятых для безопасности данных;
з) информация об инцидентах (при наличии таковой).
2. Каждое лицо, уполномоченное на обработку, и лицо, вовлеченное им в обработку данных в порядке, установленном пунктом 7 статьи 36 настоящего Закона, обязаны в письменной или электронной форме обеспечить учет следующей информации, связанной с обработкой данных:
а) личность/наименование и контактная информация лица, уполномоченного на обработку, офицера защиты персональных данных, лица, ответственного за обработку, лиц, ответственных за совместную обработку, специального представителя;
б) виды обработки данных, осуществляемой для лица, ответственного за обработку, или от его имени;
в) информация, предусмотренная подпунктом «д» пункта первого настоящей статьи, если оно участвует в процессе передачи данных другому государству или международной организации;
г) общее описание организационно-технических мер, принятых для обеспечения безопасности данных;
з) информация об инцидентах (при наличии таковой).
3. Лицо, ответственное за обработку, лица, ответственные за совместную обработку, лицо, уполномоченное на обработку, и специальный представитель должны по соответствующему требованию, но не позднее 3 рабочих дней предоставить Службе защиты персональных данных информацию, предусмотренную пунктами первым и 2 настоящей статьи.
4. Один экземпляр определения судьи о выдаче разрешения на проведение тайного следственного действия, требуемого правоохранительным органом, или отказа в выдаче разрешения на его проведение, содержащий только реквизиты и резолютивную часть, а также один экземпляр определения судьи о признании законным/незаконным тайного следственного действия, проведенного правоохранительным органом без разрешения суда, содержащий только реквизиты и резолютивную часть, представляются Службе защиты персональных данных в порядке, установленном Уголовно-процессуальным кодексом Грузии.
5. Компания электронной коммуникации должна известить Службу защиты персональных данных о передаче правоохранительному органу в порядке, установленном статьей 136 Уголовно-процессуального кодекса Грузии, данных, идентифицирующих электронную коммуникацию, в течение 24 часов после передачи этих данных.
6. В случае безотлагательной необходимости постановление прокурора о производстве тайного следственного действия, содержащее только реквизиты и резолютивную часть, прокурор или по поручению прокурора – следователь представляет в материальном (документальном) виде Службе защиты персональных данных не позднее 12 часов со времени начала тайного следственного действия, указанного в постановлении.
7. Электронный экземпляр определения судьи о выдаче разрешения на производство тайного следственного действия, предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, содержащий только реквизиты и резолютивную часть, а также электронный экземпляр постановления прокурора о производстве указанного тайного следственного действия, содержащий только реквизиты и резолютивную часть, Агентство незамедлительно по принятии предоставляет Службе защиты персональных данных через электронную систему контроля.
Статья 29. Обязательство по извещению Службы защиты персональных данных об инциденте
1. Лицо, ответственное за обработку, обязано вести учет инцидентов, наступивших последствий, принятых мер и не позднее 72 часов с момента обнаружения инцидента известить о нем в письменной или электронной форме Службу защиты персональных данных, за исключением случая маловероятности того, что инцидент вызовет значительный вред или (и) создаст значительную угрозу основным правам и свободам человека.
2. Лицо, уполномоченное на обработку, обязано незамедлительно известить об инциденте лицо, ответственное за обработку.
3. Извещение, предусмотренное пунктом первым настоящей статьи, должно содержать следующую информацию:
а) об обстоятельствах, виде и времени инцидента;
б) о предполагаемых категориях и количествах данных, которые в результате инцидента были разглашены, повреждены, удалены, уничтожены, добыты, утеряны, изменены без разрешения, а также предполагаемых категориях и численности субъектов данных, которым была создана угроза в результате инцидента;
в) о предполагаемом вреде, вызванном инцидентом, мероприятиях, осуществляемых или запланированных лицом, ответственным за обработку, с целью сокращения или устранения вреда;
г) о том, планирует ли лицо, ответственное за обработку, сообщить об инциденте субъекту данных (субъектам данных) в порядке, установленном статьей 30 настоящего Закона, и в какой срок;
д) данные офицера защиты персональных данных или другого контактного лица.
4. Если предоставление информации, предусмотренной пунктом 3 настоящей статьи, целиком и в полном объеме невозможно, лицо, ответственное за обработку, вправе по согласованию со Службой защиты персональных данных в разумный срок предоставлять информацию поэтапно.
5. Если согласно извещению, представленному Службе защиты персональных данных, лицо, ответственное за обработку, не обеспечит или не сможет обеспечить информирование субъекта данных (субъектов данных) об инциденте, Служба защиты персональных данных с учетом обстоятельств инцидента, предполагаемого вреда или (и) численности субъектов данных правомочна опубликовать имеющуюся у нее информацию об инциденте, за исключением случая наличия одного из обстоятельств, предусмотренных пунктом 3 статьи 30 настоящего Закона.
6. Порядок, установленный пунктом 5 настоящей статьи, не действует, если сообщение, предусмотренное пунктом первым настоящей статьи, сопровождается указанием публичного или частного учреждения, ответственного за обработку данных, о том, что опубликование информации об инциденте создает угрозу:
а) интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны;
б) интересам общественной безопасности;
в) предотвращению преступлений, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, оперативно-розыскной деятельности;
г) значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты.
7. Служба защиты персональных данных правомочна в случаях, предусмотренных пунктом 6 настоящей статьи, не предавать огласке информацию и в том случае, если сообщение не сопровождается каким-либо из указаний, предусмотренных подпунктами «а»–«г» пункта 6 настоящей статьи.
8. На обстоятельство, предусмотренное соответствующим подпунктом, определенным пунктом 6 настоящей статьи, Службе защиты персональных данных лицо, ответственное за обработку, указывает в извещении об инциденте в порядке, установленном пунктом 9 настоящей статьи.
9. Критерии определения инцидента, содержащего значительную угрозу основным правам и свободам человека, предусмотренного пунктом первым настоящей статьи, порядок извещения Службы защиты персональных данных об указанном инциденте устанавливаются нормативным актом Начальника Службы защиты персональных данных.
10. На предусмотренное пунктом 6 настоящей статьи надлежащее обстоятельство, определенное соответствующим подпунктом, публичное учреждение, ответственное за обработку данных, указывает в соответствии с собственной компетенцией/сферой действия.
11. Основание информационной безопасности и кибербезопасности, предусмотренное подпунктом «а» пункта 6 настоящей статьи, субъект критической информационной системы, с учетом его категории указывает по согласованию с соответствующим компетентным ведомством в сфере информационной безопасности и кибербезопасности.
Статья 30. Обязательство по информированию субъекта данных об инциденте
1. При наличии высокой вероятности того, что инцидент вызовет значительный вред или (и) создаст значительную угрозу основным правам и свободам человека, лицо, ответственное за обработку, обязано при первой же возможности после обнаружения инцидента без неоправданного промедления известить субъекта данных об инциденте и предоставить ему на простом и понятном для него языке следующую информацию:
а) общее описание инцидента и связанных с ним обстоятельств;
б) о предполагаемом/наступившем вреде, вызванном инцидентом, мероприятиях, осуществляемых или запланированных с целью сокращения или устранения вреда;
в) контактные данные офицера персональных данных или других лиц.
2. Если информирование субъекта данных требует непропорционально больших расходов или усилий, лицо, ответственное за обработку, обязано распространить информацию, предусмотренную пунктом первым настоящей статьи, публично или в другой форме, которая надлежащим образом обеспечивает возможность получения информации субъектом данных.
3. Обязательство, предусмотренное пунктами первым и 2 настоящей статьи, не возникает при наличии одного из следующих обстоятельств:
а) информирование об инциденте субъекта данных создает угрозу интересам охраны государственной тайны, интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны, интересам общественной безопасности, предупреждения преступлений, оперативно-розыскной деятельности, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты;
б) лицом, ответственным за обработку, приняты соответствующие меры безопасности, в результате чего была предотвращена значительная угроза нарушения основных прав и свобод человека.
4. Критерии определения инцидента, содержащего значительную угрозу для основных прав и свобод человека, предусмотренного пунктом первым настоящей статьи, порядок извещения об указанном инциденте Службы защиты персональных данных устанавливаются нормативным актом Начальника службы защиты персональных данных.
Статья 31. Оценка влияния на защиту данных
1. Если при обработке данных с учетом новых технологий, категории, объема данных, целей и средств обработки данных с высокой вероятностью создается угроза ущемления основных прав и свобод человека, лицо, ответственное за обработку, обязано предварительно осуществить оценку влияния на защиту данных.
2. За исключением случая, предусмотренного пунктом первым, осуществлять оценку влияния на защиту данных обязательно, если лицо, ответственное за обработку:
а) принимает решения, имеющие результаты правового, финансового или иного существенного значения для субъекта данных, полностью автоматизировано, в том числе на основании профайлинга;
б) обрабатывает данные особой категории большого количества субъектов данных;
в) осуществляет систематический и масштабный мониторинг поведения субъектов данных в общественных местах.
3. При оценке влияния на защиту данных лицо, ответственное за обработку, обязано создать письменный документ, содержащий:
а) описание категории данных, целей, пропорциональности, процесса и оснований их обработки;
б) оценку возможных угроз ущемления основных прав и свобод человека и описание организационно-технических мер, предусмотренных с целью защиты безопасности данных.
4. В случае существенного изменения процесса обработки данных лицо, ответственное за обработку, обязано обновить документ оценки влияния на защиту данных. Лицо, ответственное за обработку, обязано хранить документ оценки влияния на защиту данных в течение всего периода обработки данных, а в случае прекращения обработки данных – на срок не менее 1 года.
5. Если в результате оценки влияния на защиту данных будет выявлена высокая угроза ущемления основных прав и свобод человека, лицо, ответственное за обработку, обязано принимать все необходимые меры для существенного сокращения угроз и в случае необходимости обращаться в Службу защиты персональных данных для консультации. Если при помощи дополнительных организационно-технических мер невозможно существенно сократить угрозу ущемления основных прав и свобод человека, обработка данных не должна осуществляться.
6. В случае обращения в Службу защиты персональных данных на основании пункта 5 настоящей статьи лицо, ответственное за обработку, должно предоставить:
а) информацию о полномочиях лица, ответственного за обработку, лиц, ответственных за совместную обработку, и лица, уполномоченного на обработку;
б) информацию о целях и средствах запланированной обработки данных;
в) информацию о мерах безопасности, определенных для защиты прав и свобод субъекта данных;
г) контактную информацию офицера защиты персональных данных (при наличии такового);
д) оценку влияния на защиту данных;
е) другую (дополнительную) информацию при наличии требования, исходящего от Службы защиты персональных данных.
7. Большим количеством субъектов данных считается не менее 3 процентов населения Грузии, которые исчисляются по результатам последней переписи населения.
8. Документ влияния на защиту данных, определенный пунктом 3 настоящей статьи, не подлежит опубликованию, если тем самым может создаваться угроза интересам государственной безопасности, информационной безопасности и кибербезопасности или (и) обороны, интересам общественной безопасности, предотвращению преступлений, оперативно-розыскной деятельности, расследованию преступлений, уголовному преследованию, отправлению правосудия, исполнению заключения под стражу и лишения свободы, исполнению наказаний, не связанных с заключением под стражу, и пробации, значительным для страны финансовым или экономическим (в том числе, монетарным, бюджетным и налоговым) интересам, связанным с вопросами общественного здоровья и социальной защиты, преобладающим легитимным интересам лица, ответственного за обработку, или лица, уполномоченного на обработку.
9. Критерии установления обстоятельств, порождающих обязательство по оценке влияния на защиту данных, предусмотренное пунктом первым настоящей статьи, и порядок осуществления оценки устанавливаются нормативным актом Начальника Службы защиты персональных данных.
Статья 32.Обязательства лица, ответственного за обработку, в случаях получения согласия от субъекта данных и отзыва им согласия
1. Если лицо, ответственное за обработку, планирует получить письменное согласие субъекта данных при помощи документа, который касается также других вопросов, лицо, ответственное за обработку, обязано текст, касающийся согласия, изложить в указанном документе четким, простым и понятным языком и выделить его из других частей документа.
2. Если согласие субъекта данных выдано в рамках договора или услуг, при определении добровольности согласия, помимо других обстоятельств, следует оценить, является ли указанное согласие обязательным условием договора или услуги и можно ли получить соответствующую услугу/заключить договор без указанного согласия.
3. До получения согласия от субъекта данных лицо, ответственное за обработку, должно обеспечить информирование субъекта данных о праве на отзыв согласия.
4. Лицо, ответственное за обработку, в случае отзыва согласия субъектом данных обязано незамедлительно прекратить обработку данных и удалить или уничтожить обработанные данные, если настоящим Законом не установлено иное.
5. Обязательство, определенное пунктом 4 настоящей статьи, не распространяется на случай, предусмотренный пунктом 3 статьи 16 настоящего Закона.
6. Отзыв согласия субъектом данных не влечет отмены правовых последствий, возникших до отзыва согласия и в рамках согласия.
7. На основании требования субъекта данных или в случае, если указанное порождает результат, имеющий правовое, финансовое или иное существенное значение для субъекта данных, лицо, ответственное за обработку, обязано до отзыва согласия субъектом данных предоставить ему информацию о последствиях отзыва согласия.
8. Лицо, ответственное за обработку, обязано обеспечить безвозмездный, простой и доступный механизм отзыва согласия, в том числе, обеспечить возможность отзыва согласия в той же форме, в которой согласие было выдано.
9. В случае возникновения спора, касающегося наличия согласия субъекта данных на обработку данных, на лицо, ответственное за обработку, возлагается бремя доказывания наличия факта согласия субъекта данных.
Статья 33. Офицер защиты персональных данных
1. Публичное учреждение, страховая организация, коммерческий банк, микрофинансовая организация, кредитное бюро, компания электронной коммуникации, авиакомпания, аэропорт, медицинское учреждение, а также лицо, ответственное за обработку/лицо, уполномоченное на обработку, обрабатывающие данные большого количества субъектов данных или осуществляющие систематический и масштабный мониторинг их поведения, обязаны назначить или определить офицера защиты персональных данных. Офицер защиты персональных данных обеспечивает:
а) информирование по вопросам, касающимся защиты данных, в том числе, о принятии или изменении регулирующих правовых норм, лица, ответственного за обработку, лица, уполномоченного на обработку, и их сотрудников, оказание им консультации и методологической помощи;
б) участие в разработке внутренних регуляций, связанных с обработкой данных, и документа оценки влияния на защиту данных, а также мониторинг исполнения лицом, ответственным за обработку, или лицом, уполномоченным на обработку, законодательства Грузии и внутриорганизационных документов;
в) анализ поступивших заявлений и жалоб, касающихся обработки данных, и выдачу соответствующих рекомендаций;
г) получение консультаций от Службы защиты персональных данных, представительство лица, ответственного за обработку, и лица, уполномоченного на обработку, в отношениях со Службой защиты персональных данных, предоставлении по ее требованию информации и документов, координацию и мониторинг выполнения ее заданий и рекомендаций;
д) в случае обращения субъекта данных предоставление ему информации о процессах обработки данных и его правах;
е) выполнение лицом, ответственным за обработку, или лицом, уполномоченным на обработку, других функций с целью повышения стандартов обработки данных.
2. Другие лица, ответственные за обработку, за исключением случаев, предусмотренных пунктом первым настоящей статьи, вправе по собственному усмотрению назначать или определять офицера защиты персональных данных.
3. Функцию офицера защиты персональных данных может (могут) выполнять сотрудник лица, ответственного за обработку, или лица, уполномоченного на обработку, или другое лицо (лица) на основании договора об услугах. Офицер защиты персональных данных вправе выполнять и другую функцию, если это не порождает конфликта интересов.
4. Лица, ответственные за обработку, или лица, уполномоченные на обработку, могут назначать или определять общего офицера защиты персональных данных, если будет обеспечено полноценное исполнение офицером защиты персональных данных своих функций. Если лицом, ответственным за обработку, или лицом, уполномоченным на обработку, является публичное учреждение, допускается также определение или назначение общего офицера защиты персональных данных для нескольких государственных учреждений с учетом организационной структуры и величины указанных организаций.
5. Офицер защиты персональных данных должен иметь надлежащие знания в сфере защиты данных.
6. Офицер защиты персональных данных в зависимости от конкретных обстоятельств должен быть подотчетен структуре управления максимально высокого уровня.
7. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, должны обеспечивать надлежащую вовлеченность офицера защиты персональных данных в процесс принятия важных решений, связанных с обработкой данных, обеспечивать его соответствующими ресурсами, а также обеспечивать его независимость при осуществлении деятельности.
8. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны в течение 10 рабочих дней со дня назначения или определения, а также замены офицера защиты персональных данных сообщить его личные данные и контактную информацию Службе защиты персональных данных, которая публикует указанную информацию. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, обязаны проактивно публиковать личные данные и контактную информацию офицера защиты персональных данных на веб-странице (при наличии таковой) или при помощи других доступных средств.
9. Лицо, ответственное за обработку, и лицо, уполномоченное на обработку, в случае временного отсутствия офицера защиты персональных данных или прекращения его полномочий обязаны без неоправданного промедления наделить полномочиями офицера защиты персональных данных другое лицо.
10. Круг лиц, ответственных за обработку, и лиц, уполномоченных на обработку, у которых нет обязательства по назначению или определению офицера защиты персональных данных, определяется нормативным актом Начальника Службы защиты персональных данных. При определении круга указанных лиц Начальник Службы защиты персональных данных должен учитывать критерии, установленные пунктом первым настоящей статьи.
Статья 34. Специальный представитель
1. В случае обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку, зарегистрированными за пределами границ Грузии, при помощи технических средств, имеющихся в Грузии, лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязаны до обработки данных при помощи технических средств, имеющихся в Грузии, назначить или определить специального представителя в Грузии. Специальный представитель регистрируется в порядке, установленном нормативным актом, изданным Службой защиты персональных данных.
2. В случае, предусмотренном пунктом первым настоящей статьи, у лица, ответственного за обработку, право на обработку данных возникает только после регистрации специального представителя.
3. Специальный представитель обязан выполнять предъявляемые ему Начальником Службы защиты персональных данных требования, или (и) решения, принятые в порядке, установленном законом.
4. Субъект данных вправе требовать через специального представителя осуществления своего права в отношении лица, ответственного за обработку/лица, уполномоченного на обработку, зарегистрированного за пределами границ Грузии.
5. Назначение специального представителя не освобождает лицо, ответственное за обработку/лицо, уполномоченное на обработку, зарегистрированного за пределами границ Грузии, от обязательства по реагированию на предъявляемые им Начальником Службы защиты персональных данных требования или (и) решения, принятые в порядке, установленном законом.
6. Обязательство, предусмотренное пунктом первым настоящей статьи, не распространяется на лицо, ответственное за обработку/лицо, уполномоченное на обработку, учрежденное в государствах-членах Евросоюза, и на него распространяются правила защиты персональных данных, действующие в Евросоюзе.
7. Обязательство, предусмотренное пунктом первым настоящей статьи, не распространяется на лицо, ответственное за обработку/лицо, уполномоченное на обработку, учрежденное в государстве с адекватной защитой данных, признанном Евросоюзом.
Статья 35. Лица, ответственные за совместную обработку
1. Если в обработку данных вовлечены лица, ответственные за совместную обработку, они обязаны предварительно в письменной форме определить обязательства и ответственность каждого в связи с исполнением требований настоящего Закона, в том числе, в связи с обязательствами по защите прав субъекта данных и обязательствами, предусмотренными статьями 13–20, 24 и 25 настоящего Закона.
2. Если совместная обработка данных предусмотрена законодательством Грузии, обязательства и ответственность каждого лица, ответственного за совместную обработку, определяются соответствующим правовым актом или (и) письменным соглашением.
3. Информация о распределении обязательств и ответственности между лицами, ответственными за совместную обработку, должна быть доступна для субъекта данных. Субъект данных не ограничивается в праве на индивидуальное обращение к каждому лицу, ответственному за совместную обработку.
Статья 36. Лицо, уполномоченное на обработку
1. Лицо, уполномоченное на обработку, может обрабатывать данные только на основании правового акта или письменного соглашения, заключенного с лицом, ответственным за обработку, определяющего основания и цели обработки данных, категории обрабатываемых данных, срок обработки данных, права и обязанности лица, ответственного за обработку, и лица, уполномоченного на обработку.
2. Письменное соглашение, предусмотренное пунктом первым настоящей статьи, должно также содержать следующие обязательства лица, уполномоченного на обработку:
а) обрабатывать данные только в соответствии с письменным заданием или указанием лица, ответственного за обработку;
б) обеспечить, чтобы у физического лица, непосредственно участвующего в обработке данных, было обязательство по соблюдению конфиденциальности;
в) обеспечивать безопасность данных в соответствии с настоящим Законом;
г) удалить или передать лицу, ответственному за обработку, данные в случае отмены или прекращения действия соглашения, предусмотренного пунктом первым настоящей статьи, а также удалить их копии, если обязательство по их хранению не установлено законодательством Грузии;
д) для обеспечения соответствия обязательствам, установленным настоящим Законом, предоставлять лицу, ответственному за обработку, надлежащую информацию и содействовать осуществлению им мониторинга обработки данных.
3. Предусмотренные пунктом первым настоящей статьи правовой акт или письменное соглашение, заключенное с лицом, ответственным за обработку, в целях обеспечения безопасности данных и защиты прав субъекта могут предусматривать обязательство по оказанию помощи лицом, уполномоченным на обработку, лицу, ответственному за обработку.
4. Не допускается осуществление лицом, уполномоченным на обработку, последующей обработки данных с целью, отличающейся от целей, определенных соглашением или правовым актом.
5. Обработка данных при помощи лица, уполномоченного на обработку, допускается только в случае, если лицо, уполномоченное на обработку, для защиты прав субъекта данных и соблюдения требований закона обеспечивает принятие соответствующих организационных и технических мер. Не допускается заключать соглашение об обработке данных, если исходя из деятельности или (и) целей лица, уполномоченного на обработку, существует высокая угроза нецелевой обработки данных или ущемления прав субъекта данных.
6. Лицо, ответственное за обработку, обязано предварительно требовать от лица, уполномоченного на обработку, информацию об обработке данных в соответствии с законом и осуществлять мониторинг обработки данных лицом, уполномоченным на обработку.
7. Если законодательством Грузии не установлено иное, не допускается полная или частичная передача лицом, уполномоченным на обработку, своих прав и обязанностей другому лицу без предварительного письменного согласия лица, ответственного за обработку. Согласие лица, ответственного за обработку, не освобождает лицо, уполномоченное на обработку, от соответствующих обязательств и ответственности.
8. Если законодательством Грузии не установлено иное, в случае возникновения между лицом, уполномоченным на обработку, и лицом, ответственным за обработку, спора, связанного с обработкой данных, лицо, уполномоченное на обработку, обязано незамедлительно прекратить обработку данных и полностью передать имеющиеся у него данные лицу, ответственному за обработку.
9. В случае отмены или прекращения действия правового акта (или соответствующей нормы) или письменного соглашения, предусмотренных пунктом первым настоящей статьи, обработка данных должна быть прекращена, и обработанные данные должны быть незамедлительно и полностью переданы лицу, ответственному за обработку.
10. Лицо, уполномоченное на обработку, обязано принимать надлежащие организационно-технические меры, чтобы оказать помощь лицу, ответственному за обработку, в выполнении обязательств, связанных с осуществлением им прав субъекта данных.
Глава V
Международная передача данных
Статья 37. Передача данных другим государствам и международным организациям
1. Передача данных другим государствам и международным организациям допускается при наличии требований по обработке данных, предусмотренных настоящим Законом, и если в соответствующем государстве или международной организации обеспечены надлежащие гарантии защиты данных и защиты прав субъекта данных.
2. Помимо пункта первого настоящей статьи, передача данных другому государству и международной организации допускается, если:
а) передача данных предусмотрена международным договором и соглашением Грузии;
б) лицо, ответственное за обработку, обеспечивает надлежащие гарантии защиты данных договором, заключенным между лицом, ответственным за обработку, и соответствующим государством, надлежащим публичным учреждением, юридическим лицом или физическим лицом такого государства или международной организацией;
в) передача данных предусмотрена Уголовно-процессуальным кодексом Грузии (с целью осуществления следственных действий), Законом Грузии «О правовом положении иностранцев и лиц без гражданства», Законом Грузии «О международном сотрудничестве в сфере уголовного права», Законом Грузии «О международном сотрудничестве в правоохранительной сфере», нормативными актами, принятыми на основании Органического закона Грузии «О Национальном банке Грузии» или Закона Грузии «О содействии пресечению отмывания денег и финансирования терроризма»;
г) субъект данных изъявит согласие в письменной форме после получения информации об отсутствии в соответствующем государстве надлежащих гарантий защиты данных и возможных угрозах;
д) передача данных необходима для защиты жизненно важных интересов субъекта данных и субъект данных физически или в правовом отношении не в состоянии изъявить согласие на обработку данных;
е) в соответствии с законом существует значимый публичный интерес (в том числе, предупреждение, расследование, выявление преступлений и уголовное преследование, исполнение наказаний и осуществление оперативно-розыскных мероприятий) и передача данных является необходимой и пропорциональной мерой в демократическом обществе.
3. Передача данных на основании подпункта «б» пункта 2 настоящей статьи может осуществляться только после получения разрешения от Службы защиты персональных данных, порядок выдачи которого устанавливается нормативным актом Начальника Службы защиты персональных данных.
4. В случае передачи данных по какому-либо из оснований, предусмотренных пунктом 2 настоящей статьи, лицо, ответственное за обработку/лицо, уполномоченное на обработку, обязаны принимать организационные и технические меры, необходимые для безопасной передачи данных.
5. В случае передачи данных на основании подпункта «б» пункта 2 настоящей статьи соглашение о передаче данных должно предусматривать обладающие правовой силой условия, обязательные к исполнению.
6. Последующая передача третьей стороне данных, переданных другому государству и международной организации, допускается только в случае, если последующая передача данных служит первоначальным целям и удовлетворяет основаниям, предусмотренным настоящей статьей для передачи данных, и надлежащим гарантиям защиты данных.
Статья 38. Установление надлежащих гарантий защиты данных
1. Наличие в другом государстве или (и) международной организации надлежащих гарантий защиты данных оценивает Служба защиты персональных данных на основании международных обязательств, взятых в связи с защитой персональных данных, и регулирующего законодательства, гарантий защиты прав и свобод субъекта данных (в том числе, механизмов эффективной правовой защиты), правил последующей международной передачи данных, установления наличия независимого надзорного органа защиты данных, анализа полномочий и деятельности этого органа.
2. Перечень государств и международных организаций, в которых обеспечены надлежащие гарантии защиты данных, определяется нормативным актом Начальника Службы защиты персональных данных.
3. Перечень, определенный нормативным актом Начальника Службы защиты персональных данных, должен пересматриваться по меньшей мере раз в 3 года. Если государство или (и) международная организация более не удовлетворяют условиям, предусмотренным пунктом первым настоящей статьи, в перечень, определенный нормативным актом, должны быть внесены соответствующие изменения, не имеющие обратной силы.
Глава VI
Принципы деятельности и гарантии осуществления полномочий Службы защиты персональных данных, полномочия, избрание, неприкосновенность, должностная несовместимость и досрочное прекращение полномочий Начальника Службы защиты персональных данных
Статья 39. Статус и принципы деятельности Службы защиты персональных данных
1. Служба защиты персональных данных является независимым государственным органом, созданным и действующим на основании закона.
2. Служба защиты персональных данных при осуществлении деятельности руководствуется Конституцией Грузии, международными договорами Грузии, общепризнанными принципами и нормами международного права, настоящим Законом и другими надлежащими правовыми актами.
3. Принципами деятельности Службы защиты персональных данных являются:
а) законность;
б) защита прав и свобод человека;
в) независимость и политический нейтралитет;
г) объективность и беспристрастность;
д) профессионализм;
е) соблюдение секретности и конфиденциальности.
4. Порядок представления Службой защиты персональных данных отчета Парламенту Грузии определяется настоящим Законом и Регламентом Парламента Грузии.
Статья 40. Полномочия Начальника Службы защиты персональных данных
1. Начальник Службы защиты персональных данных:
а) руководит Службой защиты персональных данных и принимает решения по вопросам, связанным с деятельностью указанной Службы;
б) определяет структуру Службы защиты персональных данных, полномочия структурных единиц и сотрудников, а также устанавливает порядок прохождения службы сотрудниками Службы защиты персональных данных;
в) в соответствии с законодательством Грузии утверждает штатное расписание, порядок и размеры оплаты труда сотрудников Службы защиты персональных данных;
г) определяет функции и обязанности первого заместителя и заместителя Начальника Службы защиты персональных данных и делегирует им свои полномочия;
д) назначает на должность и освобождает от должности сотрудников Службы защиты персональных данных;
е) присваивает сотрудникам Службы защиты персональных данных (за исключением лиц, работающих по трудовому договору) государственные специальные звания (далее – специальные звания) и понижает их в специальном звании в порядке, установленном законодательством Грузии;
ж) представляет Службу защиты персональных данных в отношениях с государственными органами, международными и другими организациями;
з) обеспечивает охрану и целевое использование государственного имущества, переданного Службе защиты персональных данных;
и) осуществляет другие полномочия в соответствии с законом.
2. Начальник Службы защиты персональных данных в пределах своих полномочий издает подзаконный нормативный акт – приказ по вопросам, касающимся деятельности Службы защиты персональных данных.
3. Начальник Службы защиты персональных данных на основании и во исполнение надлежащего нормативного акта в пределах своих полномочий издает индивидуальные правовые акты, в том числе, решения, приказы, указания.
Статья 41. Избрание Начальника Службы защиты персональных данных и срок его полномочий
1. На должность Начальника Службы защиты персональных данных может быть избран не имеющий судимости гражданин Грузии с высшим юридическим образованием и не менее чем 5-летним опытом работы в системе органов правосудия или правоохранительных органов либо сфере защиты прав человека, с высокой профессиональной и моральной репутацией.
2. Конкурс по отбору Начальника Службы защиты персональных данных объявляется и конкурсная комиссия образуется приказом Премьер-министра Грузии. Членами указанной конкурсной комиссии являются:
а) представитель Правительства Грузии;
б) Председатель Комитета Парламента Грузии по защите прав человека и гражданской интеграции;
в) Председатель Комитета Парламента Грузии по юридическим вопросам;
г) заместитель Председателя Верховного Суда Грузии;
д) первый заместитель или заместитель Генерального прокурора Грузии;
е) Народный Защитник Грузии или представитель Народного Защитника Грузии;
ж) лицо с надлежащим опытом, отобранное Народным Защитником Грузии в порядке открытого конкурса или без конкурса из числа членов непредпринимательского (некоммерческого) юридического лица, имеющее опыт работы в сфере защиты прав человека или (и) сфере защиты данных. (29.05.2024 N4210)
3. Не ранее 14 недель и не позднее 12 недель до истечения срока полномочий Начальника Службы защиты персональных данных, а в случае досрочного прекращения его полномочий – в 2-недельный срок со дня прекращения полномочий ведомства и учреждения, определенные пунктом 2 настоящей статьи, сообщают Премьер-министру Грузии сведения о членах конкурсной комиссии по отбору Начальника Службы защиты персональных данных. После сообщения всеми указанными ведомствами и учреждениями Премьер-министру Грузии сведения о членах конкурсной комиссии или в течение 7 дней со дня истечения срока представления членов конкурсной комиссии Премьер-министр Грузии созывает первое заседание конкурсной комиссии. Заседание конкурсной комиссии правомочно, если на нем присутствует большинство полного состава конкурсной комиссии. Конкурсная комиссия на первом заседании большинством голосов из числа своих членов избирает председателя конкурсной комиссии и в недельный срок утверждает Положение о конкурсной комиссии по отбору Начальника Службы защиты персональных данных, которым определяются порядок деятельности конкурсной комиссии, а также срок и порядок представления ей кандидатур на должность Начальника Службы защиты персональных данных. Указанное Положение подлежит опубликованию. (29.05.2024 N4210)
4. Конкурсная комиссия по отбору Начальника Службы защиты персональных данных большинством голосов полного состава выбирает не менее 2 и не более 5 кандидатур на должность Начальника Службы защиты персональных данных и представляет их Премьер-министру Грузии. С учетом числа выбранных кандидатур должно быть максимально обеспечено равное представительство кандидатов разных полов. (29.05.2024 N4210)
5. Премьер-министр Грузии в 10-дневный срок представляет Парламенту Грузии 2 кандидатуры для избрания на должность Начальника Службы защиты персональных данных.
6. Парламент Грузии не позднее 14 дней после представления кандидатур в порядке, установленном Регламентом Парламента Грузии, избирает Начальника Службы защиты персональных данных. Если указанный срок полностью или частично совпадает с периодом между сессиями Парламента Грузии, срок, определенный настоящим пунктом для избрания Начальника Службы защиты персональных данных, продлевается на соответствующее время. Если Парламент Грузии не сможет избрать Начальника Службы защиты персональных данных путем голосования или оба кандидата до голосования откажутся от избрания на должность Начальника Службы защиты персональных данных, Премьер-министр Грузии в 2-недельный срок объявляет повторный конкурс.
7. Если Начальник Службы защиты персональных данных избран до истечения срока полномочий Начальника Службы защиты персональных данных, находящегося в должности, полномочия вновь избранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем истечения срока полномочий Начальника Службы защиты персональных данных, находящегося в должности. Если Начальник Службы защиты персональных данных избран после истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных, находящегося в должности, полномочия вновь избранного Начальника Службы защиты персональных данных начинаются со дня, следующего за днем его избрания.
8. Срок полномочий Начальника Службы защиты персональных данных – 6 лет. Лицо не может быть избрано на должность Начальника Службы защиты персональных данных дважды подряд. Начальник Службы защиты персональных данных не может исполнять свои обязанности после истечения срока его полномочий или досрочного прекращения полномочий.
Статья 42. Первый заместитель и заместитель Начальника Службы защиты персональных данных
1. У Начальника Службы защиты персональных данных имеются первый заместитель и заместитель, которых он назначает на должность приказом. В случае истечения срока полномочий или досрочного прекращения полномочий Начальника Службы защиты персональных данных полномочия первого заместителя и заместителя Начальника Службы защиты персональных данных прекращаются, как только вновь избранный Начальник Службы защиты персональных данных приступит к осуществлению полномочий в порядке, установленном настоящим Законом.
2. В случае отсутствия Начальника Службы защиты персональных данных, неосуществления им полномочий, приостановления его полномочий, истечения их срока или досрочного их прекращения полномочия Начальника Службы защиты персональных данных осуществляет первый заместитель Начальника Службы защиты персональных данных, а в случае отсутствия его первого заместителя – заместитель Начальника Службы защиты персональных данных. При исполнении полномочий Начальника Службы защиты персональных данных первый заместитель и заместитель Начальника Службы защиты персональных данных пользуются полномочиями и правовыми гарантиями, предоставленными Начальнику Службы защиты персональных данных.
Статья 43. Неприкосновенность Начальника Службы защиты персональных данных
1. Начальник Службы защиты персональных данных неприкосновенен. Привлечение Начальник Службы защиты персональных данных к уголовной ответственности, его задержание или арест, обыск его места жительства или рабочего места, машины или личный обыск допускаются только с предварительного согласия Парламента Грузии. Исключением является случай задержания при совершении преступления, о чем незамедлительно уведомляется Парламент Грузии. Если Парламент Грузии в течение 48 часов не даст согласия, задержанный или арестованный Начальник Службы защиты персональных данных должен быть освобожден незамедлительно.
2. В случае дачи согласия Парламентом Грузии на задержание или арест Начальника Службы защиты персональных данных его полномочия приостанавливаются постановлением Парламента Грузии до вынесения постановления/определения о прекращении уголовного преследования или вступления в законную силу приговора суда.
3. Личную безопасность Начальника Службы защиты персональных данных обеспечивают соответствующие государственные органы в установленном порядке.
Статья 44. Должностная несовместимость Начальника Службы защиты персональных данных
1. Должность Начальника Службы защиты персональных данных несовместима с членством в органе государственной власти и представительном органе муниципалитета, публичной службой, любой должностью на публичной службе и другой оплачиваемой деятельностью, за исключением научной, педагогической деятельности и деятельности в сфере искусств. Начальник Службы защиты персональных данных не может заниматься предпринимательской деятельностью, непосредственно осуществлять полномочия постоянно действующего руководителя субъекта предпринимательской деятельности, члена его наблюдательного, контрольного, ревизионного или консультативного органа, быть членом политической партии или участвовать в политической деятельности.
2. Начальнику Службы защиты персональных данных запрещается участвовать в собраниях и манифестациях в поддержку или против политических объединений граждан.
3. Лицо, избранное на должность Начальника Службы защиты персональных данных, обязано в 10-дневный срок со дня избрания прекратить деятельность, несовместимую с должностью, или уйти с должности, несовместимой с его статусом. Пока лицо, избранное на должность Начальника Службы защиты персональных данных, не прекратит деятельность, несовместимую с должностью, или не уйдет с должности, несовместимой с его статусом, оно неправомочно приступать к осуществлению полномочий Начальника Службы защиты персональных данных. Если Начальник Службы защиты персональных данных в указанный срок не выполнит требование, установленное настоящим пунктом, его полномочия прекращаются досрочно.
Статья 45. Досрочное прекращение полномочий Начальника Службы
защиты персональных данных
1. Полномочия Начальника Службы защиты персональных данных прекращаются досрочно в случае:
а) утраты им гражданства Грузии;
б) невозможности исполнения им своих полномочий в течение 4 месяцев подряд ввиду состояния здоровья;
в) вступления в законную силу вынесенного в отношении него обвинительного приговора суда;
г) признания его судом поддерживаемым лицом (если решением суда не определено иное), безвестно отсутствующим или объявления умершим;
д) занятия им должности, несовместимой со статусом, или осуществления деятельности, несовместимой с должностью;
е) добровольного ухода с должности;
ж) его смерти.
2. В случае, предусмотренном пунктом первым настоящей статьи, полномочия Начальника Службы защиты персональных данных считаются прекращенными досрочно с момента наступления соответствующего обстоятельства, о чем Председатель Парламента Грузии незамедлительно сообщает Парламенту Грузии. Парламент Грузии прекращает полномочия Начальника Службы защиты персональных данных на основании принятия информации Председателя Парламента Грузии к сведению.
Статья 46. Организационное и финансовое обеспечение Службы защиты персональных данных
1. Структура Службы защиты персональных данных, порядок деятельности и правила распределения полномочий между ее сотрудниками устанавливаются Положением о Службе защиты персональных данных, которое утверждает Начальник Службы защиты персональных данных.
2. Сотрудники Службы защиты персональных данных (за исключением Начальника Службы защиты персональных данных, его первого заместителя и заместителя) являются публичными служащими. На сотрудников Службы защиты персональных данных распространяется действие Закона Грузии «О публичной службе» в порядке, установленном тем же Законом, если настоящим Законом или изданным на основании настоящего Закона нормативным актом Начальника Службы защиты персональных данных не установлено иное.
3. Деятельность Начальника Службы защиты персональных данных финансируется из государственного бюджета Грузии. Ассигнования, необходимые для деятельности Службы защиты персональных данных, определяются отдельным кодом Государственного бюджета Грузии. Сокращение в государственном бюджете Грузии текущих расходов, предназначенных для Службы защиты персональных данных, по сравнению с размером бюджетных средств предыдущего года допускается только с предварительного согласия Начальника Службы защиты персональных данных.
Статья 47. Независимость Службы защиты персональных данных
1. Служба защиты персональных данных независима при осуществлении полномочий и не подчиняется ни одному органу и должностному лицу. Оказание какого-либо давления на Начальника и служащих Службы защиты персональных данных и незаконное вмешательство в их деятельность запрещаются и наказываются законом.
2. С целью обеспечения независимости Службы защиты персональных данных государство обязано создавать ей надлежащие условия для деятельности.
3. Начальник Службы защиты персональных данных вправе не давать показания по факту, доверенному ему как Начальнику Службы защиты персональных данных в связи с исполнением функций по контролю законности обработки данных, контролю проведения тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию. Указанное право сохраняется за Начальником Службы защиты персональных данных и после прекращения полномочий.
Статья 48. Годовой отчет Службы защиты персональных данных
1. Начальник Службы защиты персональных данных раз в год, не позднее 31 марта представляет Парламенту Грузии отчет о положении с защитой данных в Грузии, контроле проведения тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию.
2. Годовой отчет Службы защиты персональных данных должен содержать информацию о деятельности, осуществленной в отчетный период в сфере защиты персональных данных, общие оценки, заключения и рекомендации, касающиеся положения с защитой данных в Грузии, информацию о выявленных в течение года значительных нарушениях и осуществленных мероприятиях, общую статистическую информацию о деятельности, осуществленной в сфере контроля за проведением тайных следственных действий.
3. Отчет о результатах контроля за проведением следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, и тайных следственных действий, предусмотренных подпунктами «а» и «б» части первой статьи 1431 того же Кодекса Начальник Службы защиты персональных данных раз в год представляет комитету и группе доверия Парламента, определенным Бюро Парламента Грузии в порядке, установленном Регламентом Парламента Грузии.
4. Информация о деятельности, осуществленной Службой защиты персональных данных, с учетом ограничений, установленных настоящей статьей, предоставляется общественности при помощи веб-страницы Службы защиты персональных данных.
5. Служба защиты персональных данных правомочна по собственной инициативе в любое время публиковать специальный отчет по вопросам, которые связаны с ее деятельностью и которые она считает важными. (29.05.2024 N4210)
Глава VII
Полномочия Службы защиты персональных данных в сфере защиты данных и сфере контроля за производством тайных следственных действий
Статья 49. Основные направления деятельности Службы защиты персональных данных в сфере защиты данных
Служба защиты персональных данных осуществляет контроль законности обработки данных в Грузии. Основными направлениями деятельности Службы защиты персональных данных в указанной сфере являются:
а) проведение консультаций по вопросам, связанным с защитой данных;
б) рассмотрение заявлений, связанных с защитой данных;
в) проверка (инспектирование) законности обработки данных;
г) предоставление общественности информации и повышение ее информированности о положении с защитой данных в Грузии и связанных с ней значимых явлениях.
Статья 50. Рассмотрение Службой защиты персональных данных заявлений субъекта данных
1. Служба защиты персональных данных обязана рассмотреть заявление субъекта данных в связи с обработкой данных и применять мероприятия, предусмотренные законодательством Грузии.
2. В 10-дневный срок со дня получения заявления субъекта данных Служба защиты персональных данных принимает решение о мероприятиях, подлежащих применению, о чем извещает заявителя.
3. Служба защиты персональных данных правомочна в целях изучения и исследования обстоятельств, связанных с заявлением субъекта данных, проводить проверку. Любые лица, ответственные за обработку или (и) лица, уполномоченные на обработку, обязаны в случае требования, исходящего от Службы защиты персональных данных, передавать ей соответствующие материалы, информацию или (и) документ.
4. Срок рассмотрения заявления субъекта данных Службой защиты персональных данных не должен превышать 2 месяцев. Обоснованным решением Службы защиты персональных данных срок рассмотрения заявления субъекта данных может продлеваться не более, чем на 1 месяц.
5. Служба защиты персональных данных правомочна при рассмотрении заявления субъекта данных приостановить производство по соответствующему делу по основанию истребования дополнительных материалов, информации или (и) документации, о чем извещает субъекта данных. Рассмотрение заявления субъекта данных продолжается с отменой указанного основания. Период приостановления производства по делу не засчитывается в срок, предусмотренный пунктом 4 настоящей статьи.
6. Служба защиты персональных данных правомочна до завершения рассмотрения заявки субъекта данных принять решение о блокировке данных. Независимо от блокировки данных обработка указанных данных может продолжаться, если это необходимо для защиты жизненно важных интересов субъекта данных или третьего лица, а также для целей государственной безопасности и обороны.
7. После рассмотрения заявления субъекта данных Служба защиты персональных данных принимает решение о применении одного из мероприятий, предусмотренных статьей 52 настоящего Закона, о чем в порядке и сроки, установленные законодательством Грузии, извещает субъекта данных и лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку.
Статья 51. Осуществление проверки Службой защиты персональных данных
1. Служба защиты персональных данных правомочна по собственной инициативе или на основании заявления заинтересованного лица осуществлять проверку любых лиц, ответственных за обработку, или (и) лиц, уполномоченных на обработку. Решение об осуществлении проверки, предусмотренной настоящей статьей, принимает Начальник Службы защиты персональных данных.
2. Осуществление проверки Службой защиты персональных данных подразумевает:
а) установление соблюдения принципов обработки данных и наличия законных оснований для обработки данных;
б) проверку соответствия требованиям, установленным законодательством Грузии, организационных и технических мероприятий и процедур, осуществляемых для защиты безопасности данных;
в) проверку законности передачи данных другим государствам и международным организациям;
г) проверку правил и требований, установленных настоящим Законом и другими нормативными актами для защиты данных.
3. Служба защиты персональных данных при осуществлении проверки правомочна требовать из любых учреждений, от физических лиц или (и) юридических лиц документ или (и) информацию, в том числе, информацию, содержащую государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также материалы или (и) документацию или (и) информацию, отражающие оперативно-розыскную деятельность и расследование преступления, которые относятся к государственной тайне и необходимы для осуществления проверки в рамках, установленных пунктом 2 настоящей статьи.
4. Лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, обязаны незамедлительно, не позднее 10 рабочих дней предоставить Службе защиты персональных данных любые материалы, информацию или (и) документ, если ответ на запрос информации требует:
а) получение и обработку информации в другом учреждении или структурной единице либо консультацию с указанным учреждением или указанной единицей.
б) получение и обработку информации/документа в значительных объемах.
5. Служба защиты персональных данных правомочна на основании аргументированного обращения лица, ответственного за обработку, или (и) лица, уполномоченного на обработку, продлить срок, указанный в пункте 4 настоящей статьи, не более, чем на 10 рабочих дней.
6. Служба защиты персональных данных правомочна для осуществления проверки входить в любые учреждения и организации и знакомиться с любыми документами и информацией, в том числе, информацией, содержащей государственную, налоговую, банковскую, коммерческую, профессиональную тайну или (и) данные, а также отражающие оперативно-розыскную деятельность и расследование преступления материалы или (и) документацию или (и) информацию, относящиеся к государственной тайне, независимо от их содержания и формы хранения.
7. С учетом результатов проверки Служба защиты персональных данных правомочна применять мероприятия, предусмотренные статьей 52 настоящего Закона.
8. Сотрудник Службы защиты персональных данных обязан соблюдать безопасность информации, содержащей тайну любого вида, и не разглашать секретную информацию, ставшую известной ему во время исполнения служебных обязанностей. Указанное обязательство сохраняется за сотрудником Службы защиты персональных данных и после прекращения полномочий.
Статья 52. Применение мероприятий Службой защиты персональных данных
1. Если Службой защиты персональных данных будет выявлено нарушение настоящего Закона или другого нормативного акта, регулирующего обработку данных, она правомочна применять одно или одновременно несколько из следующих мероприятий:
а) требовать исправления в указанной ею форме и указанные сроки нарушений и связанных с обработкой данных недостатков;
б) требовать временного или окончательного прекращения обработки данных, если мероприятия и процедуры, осуществленные лицом, ответственным за обработку, или лицом, уполномоченным на обработку, для соблюдения безопасности данных, не соответствуют требованиям, установленным законодательством Грузии;
в) требовать прекращения обработки, блокировки, удаления, уничтожения или деперсонализации данных, если сочтет, что обработка данных осуществляется в нарушение законодательства Грузии;
г) требовать прекращения передачи данных другому государству и международной организации, если передача данных осуществляется в нарушение законодательства Грузии;
д) давать письменные советы и рекомендации лицу, ответственному за обработку, или (и) лицу, уполномоченному на обработку, в случае незначительного нарушения ими правил, связанных с обработкой данных;
е) возлагать на правонарушителя административную ответственность.
2. Лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, обязаны в сроки, указанные Службой защиты персональных данных, исполнять ее требования и извещать об их исполнении Службу защиты персональных данных.
3. Если лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, не исполняют требования Службы защиты персональных данных, Служба защиты персональных данных правомочна обращаться в суд, правоохранительный орган или (и) осуществляющее надзор (регулирующее) государственное учреждение, определенное законодательством Грузии в соответствующей сфере.
4. В случае выявления Службой защиты персональных данных административного правонарушения она правомочна составить протокол об административном правонарушении и возложить соответственно на лицо, ответственное за обработку, или (и) лицо, уполномоченное на обработку, административную ответственность в порядке, установленном настоящим Законом и Кодексом Грузии об административных правонарушениях.
5. Если Служба защиты персональных данных при осуществлении деятельности сочтет, что имеются признаки преступления, она обязана в порядке, установленном законом, уведомить об этом уполномоченный государственный орган.
6. Исполнение решения Службы защиты персональных данных в сфере защиты данных является обязательным, и оно может быть обжаловано только в суде в порядке, установленном законом.
Статья 53. Оказание консультаций и осуществление просветительной деятельности Службой защиты персональных данных
1. Служба защиты персональных данных обязана при наличии соответствующей просьбы консультировать органы государственной власти, органы муниципалитета, другие публичные учреждения, юридические лица частного права и физических лиц по любым вопросам, связанным с обработкой и защитой данных.
2. Служба защиты персональных данных осуществляет просветительную деятельность по вопросам, связанным с обработкой и защитой данных.
Статья 54. Контроль производства тайных следственных действий и активностей, осуществленных в центральном банке данных, идентифицирующих электронную коммуникацию
1. При производстве предусмотренного подпунктом «а» части первой статьи 1431 Уголовно-процессуального кодекса Грузии тайного следственного действия – скрытого прослушивания и записи телефонной коммуникации Служба защиты персональных данных контролирует:
а) при помощи электронной системы контроля – законность обработки данных;
б) при помощи специальной электронной системы контроля – законность обработки данных;
в) законность обработки данных лицом, ответственным за обработку/ лицом, уполномоченным на обработку (инспектирование).
2. Надзор за производством следственных действий, предусмотренных статьями 136–138 Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем сопоставления информации, предоставленной судом, прокуратурой и поставщиком электронно-коммуникационных услуг, и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.
3. Надзор за производством тайных следственных действий, предусмотренных подпунктами «б», «г» и «е» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.
4. Надзор за производством тайных следственных действий, предусмотренных подпунктом «д» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, Служба защиты персональных данных осуществляет путем проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку, в порядке, установленном настоящим Законом. При осуществлении проверки (инспектирования) в случае, предусмотренном настоящим пунктом, истребование информации о личных данных лица, участвующего в производстве тайных следственных действий (за исключением субъекта данных, следователя и прокурора) и участие в процессе осуществления его проверки (инспектирования), а также истребование информации о характеристиках оперативного и оперативно-технического оборудования, используемого при проведении тайного следственного действия, предусмотренного этим же пунктом, допускаются только с согласия руководителя органа, производящего тайное следственное действие. В случае, предусмотренном настоящим пунктом, к осуществлению проверки (инспектирования) не относятся непосредственное участие в процессе подготовки/производства тайного следственного действия и проверка на местах замаскированных жилых или служебных либо других замаскированных объектов, зданий и сооружений.
5. Производство тайных следственных действий, предусмотренных подпунктом «в» части первой статьи 1431 Уголовно-процессуального кодекса Грузии, а также осуществление мероприятия, предусмотренного подпунктом «б» пункта 3 статьи 7 Закона Грузии «Об оперативно-розыскной деятельности», Служба защиты персональных данных контролирует при помощи специальной электронной системы контроля определения геолокации в реальном времени и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.
6. Активность, осуществленную в центральном банке данных, идентифицирующих электронную коммуникацию, Служба защиты персональных данных контролирует при помощи электронной системы контроля центрального банка данных, идентифицирующих электронную коммуникацию, и проверки (инспектирования) законности обработки данных лицом, ответственным за обработку/лицом, уполномоченным на обработку.
7. При осуществлении проверки (инспектирования) Агентства Служба защиты персональных данных правомочна:
а) входить в ареал ограниченного доступа Агентства и вести наблюдение за осуществлением уполномоченными органами своей деятельности в текущем режиме;
б) знакомиться с правовыми документами, регулирующими деятельность Агентства (в том числе, содержащими государственную тайну) и техническими инструкциями;
в) получать информацию о технической инфраструктуре, используемой для целей тайных следственных действий, и проверять указанную инфраструктуру;
г) требовать от служащих Агентства объяснений в связи с отдельными вопросами, выявленными при осуществлении проверки (инспектирования);
д) осуществлять другие полномочия, предусмотренные настоящим Законом.
8. Служащий Агентства обязан сотрудничать со Службой защиты персональных данных – в полном объеме предоставлять Службе защиты персональных данных требуемую информацию и документы, а также давать объяснения в связи с отдельными вопросами, выявленными при осуществлении проверки (инспектирования).
Глава VIII
Правовая и социальная защита сотрудников Службы защиты персональных данных, сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование
Статья 55. Правовая защита сотрудников Службы защиты персональных данных
1. Сотрудники Службы защиты персональных данных при исполнении служебных обязанностей являются представителями государственной власти и охраняются государством. Исполнение законного требования сотрудников Службы защиты персональных данных является обязательным для всех.
2. Никто не вправе вмешиваться в служебную деятельность сотрудника Службы защиты персональных данных, за исключением случаев, предусмотренных законом.
3. Препятствование сотруднику Службы защиты персональных данных при исполнении им служебных обязанностей, унижение его чести и достоинства, оказание ему сопротивления, угроза в его адрес, насилие или посягательство на жизнь, здоровье или имущество влекут ответственность, установленную законодательством Грузии. В случае получения информации о посягательстве на жизнь, здоровье и имущество Начальника Службы защиты персональных данных, первого заместителя или заместителя Начальника Службы защиты персональных данных, сотрудника Службы защиты персональных данных в связи с исполнением ими служебных полномочий или членов их семей государственные органы обязаны осуществить предусмотренные законом мероприятия для защиты его/их личной или имущественной безопасности.
4. Сотрудник Службы защиты персональных данных должен отказаться от исполнения явно незаконного приказа или распоряжения, если ему было известно или должно было быть известно о его незаконности, и действовать в рамках закона.
5. Сотрудник службы защиты персональных данных в случае получения явно незаконного приказа или распоряжения должен известить об этом Начальника Службы защиты персональных данных.
6. На сотрудника Службы защиты персональных данных, отказывающегося от исполнения явно незаконного приказа или распоряжения, ответственность не возлагается.
7. На лицо, отдавшее сотруднику Службы защиты персональных данных явно незаконный приказ или распоряжение, возлагается ответственность в порядке, установленном законом.
8. Сотрудник Службы защиты персональных данных вправе обращаться в суд за защитой своих прав и свобод.
9. Сотруднику Службы защиты персональных данных для подтверждения его служебных полномочий выдается документ, удостоверяющий личность, или (и) специальный жетон, форму и порядок выдачи которого устанавливает Начальник Службы защиты персональных данных.
Статья 56. Социальная защита сотрудников Службы защиты
персональных данных
1. Социальная защита сотрудников Службы защиты персональных данных обеспечивается государством.
2. Если законодательством Грузии не установлено иное, на сотрудников Службы защиты персональных данных распространяются гарантии социальной защиты чиновника, предусмотренные Законом Грузии «О публичной службе» (в том числе, гарантии социальной защиты, связанные с телесными повреждениями или гибелью в связи с исполнением служебных обязанностей).
3. Сотрудники Службы защиты персональных данных получают:
а) должностной оклад, определенный в порядке, установленном пунктом 5 настоящей статьи;
б) надбавку к заработной плате и денежное вознаграждение, установленные в соответствии с пунктом 5 настоящей статьи и Законом Грузии «Об оплате труда в публичном учреждении»;
в) оклад за звание, соответствующий специальному званию, при наличии специального звания;
г) надбавку за выслугу лет;
д) другие надбавки и компенсации, предусмотренные законодательством Грузии.
4. Соответствующий сотрудник Службы защиты персональных данных согласно законодательству Грузии вправе получать государственную компенсацию или государственную пенсию.
5. Порядок и размер оплаты труда, размеры оклада за звание и надбавки за выслугу лет сотрудников Службы защиты персональных данных, а также размеры других надбавок и компенсаций, предусмотренных законодательством Грузии, определяются нормативными актами Начальника Службы защиты персональных данных и другими законодательными и подзаконными нормативными актами Грузии.
6. Сотрудники Службы защиты персональных данных подлежат обязательному государственному страхованию. Вопросы, связанные с государственным страхованием членов семей сотрудников Службы защиты персональных данных (в том числе, круг членов семьи) определяет Начальник Службы защиты персональных данных.
7. Специальные звания сотрудников Службы защиты персональных данных определяются Законом Грузии «О государственных специальных званиях».
Статья 57. Отбор, назначение на должность и полномочия сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование
1. Сотрудники структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование (за исключением случая, предусмотренного пунктом 2 настоящей статьи), назначаются на должность на основании конкурса, приказом Начальника Службы защиты персональных данных. Порядок и условия проведения конкурса для отбора и назначения на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, а также квалификационные требования к лицам, подлежащим назначению (основные требования, которые не должны быть меньше основных требований, установленных статьей 27 Закона Грузии «О публичной службе», специальные требования и дополнительные требования), определяются настоящим Законом и соответствующим правовым актом Начальника Службы защиты персональных данных. С целью проведения конкурса по отбору и назначению на должность сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, Начальник Службы защиты персональных данных создает конкурсную комиссию и устанавливает порядок ее деятельности.
2. Применительно к сотрудникам структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, допускается перевод без конкурса по мобильности, определенной Законом Грузии «О публичной службе», или горизонтальный перевод.
3. На сотрудников структурной единицы Службы защиты персональных данных, осуществляющей служебное инспектирование, распространяются полномочия и обязанности, предусмотренные настоящим Законом, и соответствующим правовым актом Начальника Службы защиты персональных данных.
Глава IX
Правила производства по делу, рассмотрения административного правонарушения и наложения административного взыскания
Статья 58. Общие положения производства дел Службой защиты персональных данных
1. Выявление административных правонарушений, связанных с обработкой персональных данных, предусмотренных статьями 66–87 настоящего Закона (далее – административные правонарушения), и наложение соответствующей административной ответственности осуществляются Службой защиты персональных данных на основании проверки (инспектирования) или (и) рассмотрения заявления субъекта данных (далее производство по делу). Составление протокола об административном правонарушении и наложение административного взыскания на правонарушителя Служба защиты персональных данных осуществляет в порядке, установленном законодательством Грузии.
2. По решению Начальника Службы защиты персональных данных допускается как объединение производств по нескольким делам в одно производство, так и выделение дела в отдельное производство из одного производства по делу.
3. Полномочия Начальника Службы защиты персональных данных и порядок производства по делу определяются настоящим Законом, Кодексом Грузии об административных правонарушениях, другими законодательными актами и нормативными актами Начальника Службы защиты персональных данных.
4. При одновременном действии норм Кодекса Грузии об административных правонарушениях и норм настоящего Закона предпочтение отдается нормам, определенным настоящим Законом.
Статья 59. Доказательства
1. Для целей производства по делу доказательством являются все фактические данные, на основании которых Начальник Службы защиты персональных данных или (и) уполномоченное лицо Службы в порядке, установленном законодательством Грузии, устанавливают наличие или отсутствие административного правонарушения, виновность лица в его совершении и другие обстоятельства, имеющие значение для правильного разрешения дела.
2. Для целей настоящей статьи доказательством могут быть признаны информация и документ, добытые в рамках рассмотрения заявления субъекта данных или (и) в результате проверки (инспектирования); объяснения субъекта данных, лица, ответственного за обработку, лиц, ответственных за совместную обработку, лица, уполномоченного на обработку, специального представителя и свидетеля; признание правонарушителя, протокол (запись) устного заседания; заключение эксперта; материалы констатации фактов; аудиозапись; видеозапись; фото; информация и документ, добытые из публичных источников; документ, подготовленный/изданный/заверенный уполномоченным лицом или органом; протокол об административных правонарушениях, составленный Начальником Службы защиты персональных данных или уполномоченным лицом Службы, форму которого и порядок ознакомления с которым устанавливает Начальник Службы защиты персональных данных; протокол проверки (инспектирования) законности обработки данных; вещественное доказательство; любая другая информация, документ или материал, имеющие значение для установления объективных обстоятельств по делу.
Статья 60. Обстоятельства, подлежащие выяснению при производстве
по делу, и наложение административного взыскания
1. При рассмотрении дел об административных правонарушениях и наложении административного взыскания Служба защиты персональных данных или суд устанавливают: было ли совершено административное правонарушение, виновно ли лицо в его совершении, подлежит ли оно административной ответственности, имеются ли обстоятельства, смягчающие или отягчающие административную ответственность, а также другие обстоятельства, имеющие значение для правильного разрешения дела.
2. При наличии обстоятельства, смягчающего административную ответственность, Служба защиты персональных данных или суд правомочны объявить правонарушителю замечание, если административное правонарушение является незначительным.
3. На правонарушителя за административное правонарушение налагается административное взыскание в пределах, установленных настоящим Законом, в соответствии со статьей, предусматривающей административную ответственность.
Статья 61. Обстоятельства, смягчающие ответственность за административное правонарушение
1. Обстоятельствами, смягчающими административную ответственность за административное правонарушение, считаются:
а) прекращение противоправного деяния и исправление вреда, причиненного в результате административного правонарушения, или (и) принятие соответствующих организационно-технических мер с целью предотвращения подобных правонарушений в дальнейшем;
б) совершение административного правонарушения несовершеннолетним;
в) искреннее раскаяние в совершении административного правонарушения и сотрудничество со Службой защиты персональных данных;
г) другие обстоятельства, как то: характер административного правонарушения и степень вины правонарушителя, которые при разрешении дела признаются Начальником Службы защиты персональных данных смягчающими обстоятельствами.
2. Обязательство по представлению доказательств, подтверждающих наличие обстоятельств, смягчающих административную ответственность, предусмотренных пунктом первым настоящей статьи, возлагается на лицо, ответственное за обработку/лицо, уполномоченное на обработку.
3. При наличии смягчающих обстоятельств, предусмотренных подпунктом «а» или (и) подпунктом «б» пункта первого настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 30 процентов.
4. При наличии смягчающих обстоятельств, предусмотренных подпунктом «в» или (и) подпунктом «г» пункта первого настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 20 процентов.
5. При одновременном наличии оснований для сокращения размера штрафа, предусмотренных пунктами 3 и 4 настоящей статьи, размер штрафа, предусмотренного статьями 66–87 настоящего Закона, сокращается на 50 процентов.
Статья 62. Обстоятельства, отягчающие ответственность за административное правонарушение
Обстоятельствами, отягчающими административную ответственность за административные правонарушения, предусмотренные настоящим Законом, считаются:
а) повторное совершение в течение 1 года того же административного правонарушения, за которое на лицо, ответственное за обработку/лицо, уполномоченное на обработку, уже было наложено административное взыскание;
б) обработка в данных большого количества субъектов данных в нарушение требований настоящего Закона или создание такой угрозы;
в) обработка данных несовершеннолетних лиц в нарушение требований настоящего Закона;
г) совершение административного правонарушения из корыстных побуждений;
д) совершение административного правонарушения по дискриминационному мотиву.
Статья 63. Право на обжалование решения Начальника Службы защиты персональных данных, принятого в результате
производства по делу
1. Решение Начальника Службы защиты персональных данных, принятое в результате производства по делу, может быть обжаловано в суде в порядке, установленном Кодексом Грузии об административных правонарушениях, лицом, в отношении которого вынесено указанное решение, в месячный срок со дня официального ознакомления с ним.
2. В случае обжалования в суде решения Начальника Службы защиты персональных данных, принятого в результате производства по делу, оно подлежит исполнению с момента вступления решения, принятого судом, в законную силу.
Статья 64. Наложение административного взыскания за совершение нескольких административных правонарушений
1. При множественности административных правонарушений, совершенных одним и тем же лицом, общий размер наложенных на него штрафов не должен превышать размеры, предусмотренные пунктом 2 настоящей статьи, при наличии одного из следующих условий:
а) административные правонарушения выявлены в рамках единой проверки;
б) вопрос о возложении административной ответственности за несколько административных правонарушений рассматривается в рамках единого производства;
в) административная ответственность возлагается за административные правонарушения, совершенные до наложения административного взыскания, уже примененного в отношении того же лица, когда учитывается размер как уже примененной, так и подлежащей применению административной ответственности.
2. В случае, предусмотренном пунктом первым настоящей статьи, общий размер наложенных на лицо штрафов не должен превышать:
а) 10 000 лари в случае физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов предприятий иностранных государств и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари;
б) 20 000 лари в случае юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов предприятий иностранных государств и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари.
3. Если одно и то же деяние может признаваться в качестве нескольких административных правонарушений, предусмотренных соответствующими статьями настоящего Закона, мера административной ответственности применяется в тех пределах и только за те административные правонарушения, за которые настоящим Законом предусмотрена самая строгая ответственность.
4. Для целей пункта 3 настоящей статьи нарушение считается одним действием и в случае наличия совокупности нескольких, тесно и непосредственно взаимосвязанных деяний, являющейся по своей сути единым административным правонарушением.
5. Если при совершении административного правонарушения, предусмотренного настоящим Законом, прослеживается вина только одного лица, ответственного за совместную обработку, административное взыскание налагается только на него, а в случае установления вины одновременно нескольких лиц, ответственных за совместную обработку, административное взыскание налагается на лиц, ответственных за совместную обработку, – правонарушителей, солидарно.
6. При совершении административного правонарушения, предусмотренного настоящим Законом, вместе с административным взысканием могут также применяться другие мероприятия, предусмотренные статьей 52 настоящего Закона.
7. Начальник Службы защиты персональных данных правомочен для целей возложения административной ответственности, предусмотренной настоящим Законом, истребовать и получать от юридического лица публичного права – Службы доходов информацию о годовом обороте юридического лица, филиала иностранного предприятия и индивидуального предпринимателя, а также иметь доступ к соответствующей электронный базе данных юридического лица публичного права – Службы доходов.
Статья 65. Сроки наложения административного взыскания
1. За совершение административного правонарушения, определенного настоящим Законом, на лицо может возлагаться ответственность не позднее 4 месяцев со дня совершения правонарушения, а в случае длящегося правонарушения – не позднее 4 месяцев со дня его выявления.
2. В случае прекращения уголовного преследования или расследования, но при наличии в действии правонарушителя признаков административного правонарушения, на него может быть наложено административное взыскание не позднее 2 месяцев со дня принятия решения о прекращении уголовного преследования или расследования.
3. В случае обжалования в суде решения, принятого в связи с административным правонарушением, течение срока наложения административного взыскания, предусмотренного пунктом первым настоящей статьи, приостанавливается до вынесения судом окончательного решения по указанному делу.
Глава X
Административное правонарушение и административная
ответственность
Статья 66. Нарушение принципов обработки данных
1. Нарушение какого-либо из принципов обработки данных, предусмотренных настоящим Законом, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает
500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Нарушение двух или более принципов обработки данных, предусмотренных настоящим Законом, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
3. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 1500 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 3000 лари.
4. Деяние, предусмотренное пунктом 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
Статья 67. Обработка данных без оснований, предусмотренных настоящим Законом
1. Обработка данных без оснований, предусмотренных настоящим Законом, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
Статья 68. Обработка данных особой категории без оснований, предусмотренных настоящим Законом
1. Обработка данных особой категории без оснований, предусмотренных настоящим Законом, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 69. Нарушение правил осуществления видеомониторинга или аудиомониторинга
1. Нарушение правил видеомониторинга, установленного статьей 10 настоящего Закона (кроме случаев, предусмотренных пунктами 2 и 4 настоящей статьи) или аудиомониторинга, предусмотренного статьей 11 этого же Закона, -
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Осуществление видеомониторинга в комнатах для переодевания, местах, отведенных для гигиенических целей, или в других помещениях, в которых у субъекта есть разумное ожидание защищенности частной жизни или (и) ведение наблюдения в которых противоречит общепризнанным нормам морали, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 5000 лари.
3. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
4. Деяние, предусмотренное пунктом 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 70. Нарушение правил обработки данных об умерших лицах
1. Обработка данных об умерших лицах в нарушение правил, установленных статьей 8 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
Статья 71. Обработка данных с целью прямого маркетинга в нарушение правил
1. Обработка данных с целью прямого маркетинга в нарушение правил, установленных настоящим Законом, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 6000 лари.
Статья 72. Нарушение прав субъекта данных, предусмотренного главой III настоящего Закона
1. Нарушение какого-либо из прав субъекта данных, предусмотренного главой III настоящего Закона (кроме статьи 22), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 1500 лари.
2. Нарушение двух или более прав субъекта данных, предусмотренного главой III настоящего Закона (кроме статьи 22), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
3. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 1500 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 3000 лари.
4. Деяние, предусмотренное пунктом 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 73. Неисполнение обязательств, предусмотренных пунктами 2 и 4 статьи 21 настоящего Закона
1. Неисполнение обязательства, предусмотренного пунктом 2 статьи 21 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 1500 лари.
2. Неисполнение обязательства, предусмотренного пунктом 4 статьи 21 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 1500 лари.
3. Деяние, предусмотренное пунктом первым или 2 настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 3000 лари.
Статья 74. Неисполнение обязательства по информированию субъекта данных
1. Неисполнение обязательства по информированию субъекта данных, предусмотренного статьями 24 и 25 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 1500 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 3000 лари.
Статья 75. Нарушение требования, касающегося приоритета по сокрытию данных в большей мере, как автоматически используемого исходного метода до выбора альтернативного подхода при создании нового продукта или услуги
1. Неисполнение какого-либо из обязательств, предусмотренных статьей 26 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 76. Неисполнение обязательства по защите безопасности данных
1. Неисполнение установленного настоящим Законом обязательства по защите безопасности данных, предусмотренного статьей 27 этого же Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц, (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 4000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 77. Неисполнение обязательства по учету информации, связанной с обработкой данных
1. Неисполнение установленного настоящим Законом обязательства, по учету информации, связанной с обработкой данных, предусмотренной статьей 28 этого же Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 1500 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 3000 лари.
Статья 78. Неисполнение обязательства по извещению Службы защиты персональных данных об инциденте
1. Неисполнение обязательства по извещению Службы защиты персональных данных об инциденте, предусмотренном статьей 29 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 79. Неисполнение обязательства по информированию субъекта данных об инциденте
1. Неисполнение обязательства по информированию субъекта данных об инциденте, предусмотренном статьей 30 настоящего Закона, -
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 5000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 5000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 10000 лари.
Статья 80. Неисполнение обязательства по оценке влияния на защиту данных
1. Неисполнение обязательства по оценке влияния на защиту данных, предусмотренного статьей 31 настоящего Закона, -
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 3000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
Статья 81. Неисполнение установленного законом обязательства при получении согласия от субъекта данных и отзыва им согласия
1. Неисполнение установленного настоящим Законом обязательства при получении согласия от субъекта данных, предусмотренного статьей 32 этого же Закона, и отзыва им согласия –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
Статья 82. Неисполнение обязательства по назначению офицера защиты персональных данных
1. Неисполнение обязательства по назначению офицера защиты персональных данных, предусмотренного пунктом первым статьи 33 настоящего Закона, –
влечет предупреждение правонарушителя.
2. Неисполнение предусмотренным пунктом первым статьи 33 настоящего Закона лицом, обрабатывающим персональные данные/уполномоченным лицом обязательства по назначению офицера защиты персональных данных в течение года со дня наложения административного взыскания Начальником Службы защиты персональных данных –
влечет наложение на правонарушителя штрафа в размере 3 000 лари.
Статья 83. Неисполнение обязательства по определению/назначению специального представителя
1. Неисполнение лицом, ответственным за обработку, обязательства по определению/назначению специального представителя, предусмотренного пунктом первым статьи 34 настоящего Закона, –
влечет предупреждение правонарушителя или наложение на него штрафа в размере 3000 лари.
2. Неисполнение в течение года со дня наложения административного взыскания Начальником Службы защиты персональных данных обязательства, предусмотренного пунктом первым статьи 34 настоящего Закона, по определению/назначению специального представителя –
влечет наложение на правонарушителя штрафа в размере 5 000 лари.
Статья 84. Неисполнение обязательств, предусмотренных статьями 35 и 36 настоящего Закона
1. Неисполнение лицом, ответственным за обработку/лицом, уполномоченным на обработку, обязательств, предусмотренных статьями 35 и 36 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 4000 лари.
Статья 85. Нарушение правил, установленных статьей 37 настоящего Закона
1. Передача данных другому государству или (и) международной организации в нарушение правил, установленных статьей 37 настоящего Закона,–
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 4000 лари.
2. Деяние, предусмотренное пунктом первым настоящей статьи, совершенное при наличии отягчающего обстоятельства (обстоятельств), –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 6000 лари.
Статья 86. Препятствование Начальнику Службы защиты персональных данных или уполномоченному лицу Служб в осуществлении права, определенного настоящим Законом
1. Нарушение порядка представления Начальнику Службы защиты персональных данных или уполномоченному лицу Службы информации или (и) документа, предусмотренного пунктом 3 статьи 51 настоящего Закона, или предоставление недостоверной информации –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
2. То же деяние, совершенное лицом, на которое в течение года было наложено административное взыскание за правонарушение, предусмотренное пунктом первым настоящей статьи, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 3000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 5000 лари.
3. Любое препятствование Службе защиты персональных данных или уполномоченному лицу Службы в осуществлении права, определенного пунктом 6 статьи 51 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 4000 лари.
4. То же деяние, совершенное лицом, на которое в течение года было наложено административное взыскание за административное правонарушение, предусмотренное пунктом 3 настоящей статьи, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, наложение штрафа в размере 4000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, наложение штрафа в размере 6000 лари.
Статья 87. Неисполнение законного требования Службы защиты персональных данных
1. Неисполнение законного требования Службы защиты персональных данных (в соответствии с подпунктами «а»–«г» пункта первого статьи 52 настоящего Закона, –
влечет:
а) в отношении физических лиц, публичных учреждений, непредпринимательских (некоммерческих) юридических лиц, а также юридических лиц, филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых не превышает 500 000 лари, предупреждение или наложение штрафа в размере 1000 лари;
б) в отношении юридических лиц (кроме непредпринимательских (некоммерческих) юридических лиц), филиалов иностранных предприятий и индивидуальных предпринимателей, годовой оборот которых превышает 500 000 лари, предупреждение или наложение штрафа в размере 2000 лари.
Глава XI
Переходные и заключительные положения
Статья 88. Переходные положения
1. До 1 марта 2024 года за совершение административного правонарушения, связанного с обработкой персональных данных, административная ответственность возлагается на правонарушителя в соответствии с Законом Грузии «О защите персональных данных» от 28 декабря 2011 года.
2. Лицо, ответственное за обработку/лицо, уполномоченное на обработку, освобождается от обязательства, предусмотренного пунктом 9 статьи 10 и пунктом 4 статьи 11 настоящего Закона применительно к предупреждающим знакам, размещенным им до 1 марта 2024 года.
3. Лицо, ответственное за обработку, освобождается от исполнения обязательства, предусмотренного статьей 26 настоящего Закона, применительно к программному обеспечению, используемому для обработки данных и созданному до 1 марта 2024 года, за исключением случая, когда после 1 марта 2024 года указанное программное обеспечение было обновлено существенным образом и исполнение обязательства, предусмотренного той же статьей, не требует от лица, ответственного за обработку, неоправданных расходов.
4. Начальнику Службы защиты персональных данных до 1 марта 2024 года издать следующие нормативные акты:
а) Критерии определения инцидента, содержащего значительную угрозу основным правам и свободам человека, порядок извещения Службы защиты персональных данных об инциденте. Указанный нормативный акт издается по согласованию с соответствующими государственными ведомствами;
б) О критериях установления обстоятельств, порождающих обязательство по оценке влияния на защиту данных, и порядке оценки;
в) Об определении круга лиц, не имеющих обязательства по определению/назначению офицера защиты персональных данных;
г) Порядок регистрации Службой защиты персональных данных специального представителя.
Статья 89. Нормативный акт, утративший силу
Объявить утратившим силу Закон Грузии «О защите персональных данных» от 28 декабря 2011 года (Сакартвелос саканонмдебло мацне, (www.matsne.gov.ge ), 16.01.2012, регистрационный код: 010100000.05.001.016606).
Статья 90. Введение Закона в действие
1. Настоящий Закон, за исключением статей первой–87, пунктов 2 и 3 статьи 88 и статьи 89 настоящего Закона, ввести в действие по опубликовании.
2. Статьи первую–5, подпункты «а»–«с» пункта первого, пункты 2 и 3 статьи 6, статьи 7–30, 32, 34–79, 81 и 83–87, пункты 2 и 3 статьи 88 и статью 89 настоящего Закона ввести в действие с 1 марта 2024 года.
3. Статьи 31, 33, 80 и 82 настоящего Закона ввести в действие с 1 июня 2024 года.
4. Подпункт «у» пункта первого статьи 6 настоящего Закона ввести в действие с 1 января 2025 года. (5.09.2024 N4406)
5. Подпункт «т» пункта первого статьи 6 настоящего Закона ввести в действие с 1 января 2027 года. (5.09.2024 N4406)
6. Действие подпункта «у» пункта первого статьи 6 настоящего Закона приостановить до 1 января 2027 года. (6.02.2025 N260)
Президент Грузии Саломе Зурабишвили
Тбилиси
14 июня 2023 г.
№3144-XIтс-пХс
рс
Комментарии к документу