რატომ არის ახლა მნიშვნელოვანი, რომ ქართულმა კომპანიებმა GDPR გაითვალისწინონ
თუ თქვენ მუშაობთ ევროკავშირის კლიენტებთან (ან ონლაინ ყიდით მათთვის სერვისებს თბილისიდან/ბათუმიდან), პირადი მონაცემები ისეთივე ღირებული აქტივი ხდება, როგორც კასაში არსებული ნაღდი ფული: თქვენ იქნებით პასუხისმგებელი მის უსაფრთხოებაზე. GDPR-ის მოთხოვნები ვრცელდება არა მხოლოდ ევროკავშირში რეგისტრირებულ კომპანიებზე — ევროკავშირის მოქალაქეების მონაცემების დამუშავება საკმარისია იმისთვის, რომ მიიღოთ შეკითხვები პარტნიორების, ბანკების, სავაჭრო პლატფორმებისა და აუდიტორებისგან.
გარდა ამისა, საქართველოში განახლებული რეგულაციები მოქმედებს: პირადი მონაცემების შესახებ ახალი კანონი ძალაში 2024 წლის 1 მარტიდან შევიდა, ზოგიერთი დებულების ეტაპობრივი შემოღებით.
ISO 27701 და GDPR: რა კავშირია მათ შორის?
ISO 27701 არის საერთაშორისო სტანდარტი კონფიდენციალურობის ინფორმაციის მართვის სისტემის (PIMS) შესაქმნელად. ის ეხმარება ორგანიზაციებს, რომლებიც მოქმედებენ როგორც პირადი მონაცემების "მართველები" და "მამუშავებლები", დაამყარონ მართვადი პროცესები და უზრუნველყონ დემონსტრირებადი ანგარიშვალდებულება. სტანდარტის ახალი რედაქცია 2025 წელს გამოვიდა და ის კვლავ კარგად ერგება ISO/IEC 27001-ს (ინფორმაციის უსაფრთხოება).
მნიშვნელოვანი ნიუანსი: ISO 27701 არ ცვლის GDPR-ს. ის ეხმარება GDPR-თან შესაბამისობის გარდაქმნას ერთმანეთისგან დამოუკიდებელი დოკუმენტების ნაკრებიდან მუშა სისტემად: ვინ არის პასუხისმგებელი რაზე, რა რისკებია მიღებული, რომელთა კონტროლი ხდება და სად არის ამის მტკიცებულება.
GDPR-ის რომელი მოთხოვნები უქმნის ბიზნესს ყველაზე დიდ პრობლემებს
GDPR მხოლოდ ვებსაიტზე განთავსებული პოლიტიკა არ არის. როგორც წესი, ევროკავშირის პარტნიორები ამოწმებენ, გაქვთ თუ არა რეალური კონტროლის მექანიზმები. და აქ ISO 27701 ითვალისწინებს ტიპურ მოლოდინებს:
როგორ ავაშენოთ მონაცემთა კონფიდენციალურობის მართვის სისტემა საქართველოში: პრაქტიკული გეგმა
წარმოიდგინეთ, რომ კონფიდენციალურობა აეროპორტის მართვის კოშკის მსგავსია: ყველაფერი ხილული, განაწილებული და კონტროლირებადი უნდა იყოს. ქვემოთ მოცემულია სამუშაო თანმიმდევრობა, რომლითაც კავკასიის რეგიონის კომპანიები, როგორც წესი, იწყებენ.
ამის შემდეგ, სისტემა ერთიან მექანიზმად მუშაობს: ნაკლები ქაოსი, მეტი მართვადიობა და ნაკლები სიურპრიზი აუდიტსა და ტენდერებში.
ISO 27701-ის სერტიფიცირება: რა სარგებელს იღებს ბიზნესი
ISO 27701-ის სერტიფიცირება, როგორც წესი, საჭიროა ევროპელი კლიენტების წინაშე კვალიფიკაციის დასადასტურებლად და მონაცემთა მართვის სიმწიფის დემონსტრირებისთვის. წესისამებრ, ეს გზა ასე გამოიყურება: დიაგნოსტიკა (ნაკლოვანებების ანალიზი) → პროცესების დანერგვა და მტკიცებულებები → შიდა აუდიტი → სერტიფიცირების აუდიტი.
და რაც ყველაზე მთავარია, სერტიფიკატი გეხმარებათ, თქვენს პარტნიორებს ისაუბროთ მათთვის გასაგებ ენაზე: "ჩვენ გვაქვს PIMS, განსაზღვრულია როლები, რისკები მართულია და კონტროლის მექანიზმები დანერგილია."
ხშირი შეცდომები (და როგორ თავიდან ავიცილოთ ისინი)
ყველაზე გავრცელებული შეცდომაა პირადი მონაცემების დაცვის მცდელობა მხოლოდ დოკუმენტების შაბლონების გამოყენებით. მეორეა კონტრაქტორების უგულებელყოფა (CRM, ჰოსტინგი, სატელეფონო ცენტრები, მარკეტინგული სერვისები): ევროპელი მომხმარებლების კითხვები დამმუშავებლების ჯაჭვით იწყება. მესამეა მტკიცებულებების ნაკლებობა (ლოგები, ტრენინგის ჩანაწერები, აუდიტორული ანგარიშები): "ჩვენ ასე ვაკეთებთ" დადასტურების გარეშე ჟღერს როგორც: "ზუსტად გვახსოვს, სად არის გასაღები... ალბათ".
რა შეგიძლიათ გააკეთოთ ამ კვირაში
დაიწყეთ თქვენი მონაცემების ინვენტარიზაციით და კონფიდენციალურობის პროცესის მფლობელის დანიშვნით (სულაც არ არის აუცილებელი, რომ ეს ცალკეული პოზიცია იყოს). შემდეგ შექმენით მონაცემთა რუკა, დამუშავების რეესტრი და წესები სუბიექტის მოთხოვნებისთვის. ეს დააგებს საფუძველს ISO 27701-ისა და ევროკავშირის პარტნიორების მოთხოვნებისთვის.
თუ გსურთ, ამ გზას უფრო სწრაფად და ზედმეტი ბიუროკრატიის გარეშე გაუყვეთ, Baltum Bureau დაგეხმარებათ PIMS-ის შექმნაში ISO 27701-ის შესაბამისად, აუდიტებისთვის მზადებაში და თქვენი პროცესების საგულდაგულოდ შესაბამისობაში მოყვანაში GDPR-თან და ადგილობრივ ქართულ მოთხოვნებთან. Baltum Bureau მუშაობს თბილისისა და ბათუმის კომპანიებთან, ასევე ბიზნესებთან, რომლებიც ევროკავშირის ბაზარზე სკალირდებიან.
გარდა ამისა, საქართველოში განახლებული რეგულაციები მოქმედებს: პირადი მონაცემების შესახებ ახალი კანონი ძალაში 2024 წლის 1 მარტიდან შევიდა, ზოგიერთი დებულების ეტაპობრივი შემოღებით.
ISO 27701 და GDPR: რა კავშირია მათ შორის?
ISO 27701 არის საერთაშორისო სტანდარტი კონფიდენციალურობის ინფორმაციის მართვის სისტემის (PIMS) შესაქმნელად. ის ეხმარება ორგანიზაციებს, რომლებიც მოქმედებენ როგორც პირადი მონაცემების "მართველები" და "მამუშავებლები", დაამყარონ მართვადი პროცესები და უზრუნველყონ დემონსტრირებადი ანგარიშვალდებულება. სტანდარტის ახალი რედაქცია 2025 წელს გამოვიდა და ის კვლავ კარგად ერგება ISO/IEC 27001-ს (ინფორმაციის უსაფრთხოება).
მნიშვნელოვანი ნიუანსი: ISO 27701 არ ცვლის GDPR-ს. ის ეხმარება GDPR-თან შესაბამისობის გარდაქმნას ერთმანეთისგან დამოუკიდებელი დოკუმენტების ნაკრებიდან მუშა სისტემად: ვინ არის პასუხისმგებელი რაზე, რა რისკებია მიღებული, რომელთა კონტროლი ხდება და სად არის ამის მტკიცებულება.
GDPR-ის რომელი მოთხოვნები უქმნის ბიზნესს ყველაზე დიდ პრობლემებს
GDPR მხოლოდ ვებსაიტზე განთავსებული პოლიტიკა არ არის. როგორც წესი, ევროკავშირის პარტნიორები ამოწმებენ, გაქვთ თუ არა რეალური კონტროლის მექანიზმები. და აქ ISO 27701 ითვალისწინებს ტიპურ მოლოდინებს:
- გამჭვირვალობა (შეტყობინებები, თანხმობები, სამართლებრივი საფუძვლები);
- მონაცემთა სუბიექტების უფლებები (მოთხოვნები წვდომის/შლა/შესწორების შესახებ);
- რისკების მართვა და DPIA (პერსონალური მონაცემების დამუშავების გავლენის შეფასება, საჭიროების შემთხვევაში);
- კონტრაქტორების მართვა (კონტრაქტები, დამმუშავებელთა ჯაჭვი);
- ინციდენტებსა და დარღვევებზე რეაგირება;
- დადასტურებადობა: ჩანაწერები, ჟურნალები, შიდა აუდიტი.
როგორ ავაშენოთ მონაცემთა კონფიდენციალურობის მართვის სისტემა საქართველოში: პრაქტიკული გეგმა
წარმოიდგინეთ, რომ კონფიდენციალურობა აეროპორტის მართვის კოშკის მსგავსია: ყველაფერი ხილული, განაწილებული და კონტროლირებადი უნდა იყოს. ქვემოთ მოცემულია სამუშაო თანმიმდევრობა, რომლითაც კავკასიის რეგიონის კომპანიები, როგორც წესი, იწყებენ.
- განსაზღვრეთ როლები: ხართ თუ არა კონტროლიორი, დამმუშავებელი, ან ორივე (სხვადასხვა პროცესისთვის)?
- დააკავშირეთ თქვენი მონაცემები: რა მონაცემებს აგროვებთ, სად ინახავთ და ვის გადასცემთ მათ (მათ შორის, ევროკავშირს)?
- შექმენით დამუშავების რეესტრი და სამართლებრივი საფუძვლები (კონტრაქტები, თანხმობები, კანონიერი ინტერესი).
- ჩაატარეთ კონფიდენციალურობის რისკების შეფასება და, საჭიროების შემთხვევაში, მონაცემთა დაცვის ზემოქმედების შეფასება (DPIA).
- ჩამოწერეთ პოლიტიკა და პროცედურები (სუბიექტის მოთხოვნები, შენახვის პერიოდები, წაშლა, წვდომა).
- გაძლიერეთ ტექნიკური ზომები (წვდომის კონტროლი, დაშიფვრა, სარეზერვო ასლების შექმნა, ლოგირება).
- მოაწესრიგეთ კონტრაქტორების მართვა (კონტრაქტები, ქვეკონტრაქტორებისადმი წაყენებული მოთხოვნები, შემოწმებები).
- მოამზადეთ ინციდენტებზე რეაგირების გეგმა და ჩაატარეთ "სავარჯიშოები".
ამის შემდეგ, სისტემა ერთიან მექანიზმად მუშაობს: ნაკლები ქაოსი, მეტი მართვადიობა და ნაკლები სიურპრიზი აუდიტსა და ტენდერებში.
ISO 27701-ის სერტიფიცირება: რა სარგებელს იღებს ბიზნესი
ISO 27701-ის სერტიფიცირება, როგორც წესი, საჭიროა ევროპელი კლიენტების წინაშე კვალიფიკაციის დასადასტურებლად და მონაცემთა მართვის სიმწიფის დემონსტრირებისთვის. წესისამებრ, ეს გზა ასე გამოიყურება: დიაგნოსტიკა (ნაკლოვანებების ანალიზი) → პროცესების დანერგვა და მტკიცებულებები → შიდა აუდიტი → სერტიფიცირების აუდიტი.
და რაც ყველაზე მთავარია, სერტიფიკატი გეხმარებათ, თქვენს პარტნიორებს ისაუბროთ მათთვის გასაგებ ენაზე: "ჩვენ გვაქვს PIMS, განსაზღვრულია როლები, რისკები მართულია და კონტროლის მექანიზმები დანერგილია."
ხშირი შეცდომები (და როგორ თავიდან ავიცილოთ ისინი)
ყველაზე გავრცელებული შეცდომაა პირადი მონაცემების დაცვის მცდელობა მხოლოდ დოკუმენტების შაბლონების გამოყენებით. მეორეა კონტრაქტორების უგულებელყოფა (CRM, ჰოსტინგი, სატელეფონო ცენტრები, მარკეტინგული სერვისები): ევროპელი მომხმარებლების კითხვები დამმუშავებლების ჯაჭვით იწყება. მესამეა მტკიცებულებების ნაკლებობა (ლოგები, ტრენინგის ჩანაწერები, აუდიტორული ანგარიშები): "ჩვენ ასე ვაკეთებთ" დადასტურების გარეშე ჟღერს როგორც: "ზუსტად გვახსოვს, სად არის გასაღები... ალბათ".
რა შეგიძლიათ გააკეთოთ ამ კვირაში
დაიწყეთ თქვენი მონაცემების ინვენტარიზაციით და კონფიდენციალურობის პროცესის მფლობელის დანიშვნით (სულაც არ არის აუცილებელი, რომ ეს ცალკეული პოზიცია იყოს). შემდეგ შექმენით მონაცემთა რუკა, დამუშავების რეესტრი და წესები სუბიექტის მოთხოვნებისთვის. ეს დააგებს საფუძველს ISO 27701-ისა და ევროკავშირის პარტნიორების მოთხოვნებისთვის.
თუ გსურთ, ამ გზას უფრო სწრაფად და ზედმეტი ბიუროკრატიის გარეშე გაუყვეთ, Baltum Bureau დაგეხმარებათ PIMS-ის შექმნაში ISO 27701-ის შესაბამისად, აუდიტებისთვის მზადებაში და თქვენი პროცესების საგულდაგულოდ შესაბამისობაში მოყვანაში GDPR-თან და ადგილობრივ ქართულ მოთხოვნებთან. Baltum Bureau მუშაობს თბილისისა და ბათუმის კომპანიებთან, ასევე ბიზნესებთან, რომლებიც ევროკავშირის ბაზარზე სკალირდებიან.
