"მონაცემთა დაცვის შესაბამისობის სტანდარტს ვერ დაიცავ, თუ წესები მხოლოდ ფურცელზეა და პროცესის ნაწილად არ აქციე" – ნინო ქურასბედიანი ოფიცრის რეალური როლის შესახებ
Opinions expressed by Entrepreneur contributors are their own.
You're reading Entrepreneur Georgia, an international franchise of Entrepreneur Media.
ტერმინი "პერსონალური მონაცემი" მოიცავს მონაცემთა საკმაოდ ფართო სპექტრს. მაგალითად, სახელი და გვარი, პირადი ნომერი, მისამართი, ელექტრონული ფოსტის მისამართი, ასევე ნებისმიერი სხვა სახის ინფორმაცია, რომელიც ამა თუ იმ საჯარო თუ კერძო დაწესებულებაში მუშავდება და რომლითაც შესაძლებელია პირის იდენტიფიცირება. მაგალითად, ორგანიზაციის თანამშრომელთა პირადი საქმე, საფინანსო დაწესებულებებში არსებული საკრედიტო ისტორია და ა.შ.
სწორედ იმიტომ, რომ საქმე დიდ და სენსიტიურ ინფორმაციას ეხება, გაჩნდა პერსონალური მონაცემების დაცვის საჭიროება. შესაბამისად, გაჩნდა პროფესიაც. პერსონალურ მონაცემთა დაცვის ოფიცერი (Data Protection Officer) არის პირი, რომელიც ორგანიზაციებს უწევს კონსულტაციას, აძლევს ექსპერტულ რჩევებს და ეხმარება პერსონალურ მონაცემთა დაცვის წესებთან შესაბამისობის უზრუნველსაყოფად, ჩარჩო-პოლიტიკის დოკუმენტებისა და ინსტრუქციების შემუშავებაში.
ნინო ქურასბედიანი რამდენიმე წელიწადია, პერსონალური მონაცემების დაცვის მიმართულებით მუშაობს. იურისტი და საჯარო მმართველობის დოქტორი ამ სფეროთი 2016 წელს დაინტერესდა და მას შემდეგ მუდმივად თავისი კვალიფიკაციის ამაღლებასა და საერთაშორისო სტანდარტების საქართველოში დანერგვაზე მუშაობს.
როგორ ფიქრობთ, რა არის პერსონალურ მონაცემთა დაცვის ოფიცრის (DPO) რეალური როლი ორგანიზაციაში?
პირდაპირ ვთქვათ – პერსონალურ მონაცემთა დაცვის ოფიცერი არ არის ფორმალური დოკუმენტაციის მწარმოებელი. მისი მთავარი მისიაა წესები დანერგოს და მისი დაცვით სერვისის გაცემა ორგანიზაციის უპირატესობად აქციოს. ხშირად ვხვდები შემტხვევებს, როცა კომპანიას აქვს წესები, თანხმობის ფორმები, პროცედურები… მაგრამ ისინი მხოლოდ "საქაღალდეში" არსებობენ. ასე ვერ შევქმნით შესაბამისობას სტანდარტთან – მით უმეტეს, რეალურ დაცვას.
ანუ ფორმალურად გაწერილი წესები საკმარისი არ არის?
სწორად მიხვდი – შესრულება არის მთავარი, და არა მხოლოდ დოკუმენტაცია. შეიძლება საუკეთესო პოლიტიკა გქონდეს, მაგრამ თუ ორგანიზაციამ არ იცის ეს როგორ მოარგოს მის პროცესებს, როგორ წარმართოს საქმის წარმოების პროცესი რეგულატორთან, ორგანიზაციაში მყოფმა თანამშრომელმა არაფერი იცის, როგორ უნდა მოარგოს ეს პროცედურები კონკრეტულ სიტუაციას – ეს უკვე უშედეგო საქმეა. ორგანიზაცია მხოლოდ მაშინ შეიძლება ჩაითვალოს დაცულად, როცა მონაცემთა დაცვის პროცესი ყოველდღიური საქმიანობის ნაწილია და არა არქივში შემონახული ფაილი.
რა ნაბიჯებით უნდა გადააქციოს პერსონალურ მონაცემთა დაცვის ოფიცერმა წესები რეალურ პროცესებად?
სამი ძირითადი ამოცანა არსებობს:
- წესების ჩაშვება ქცევაში – საოპერაციო პროცესების შემქმნელებს და მონაწილეებს, თანამშრომლებს, უნდა ესმოდეთ არა თუ რას ითხოვენ რეგულაციები, არამედ რატომ და როგორ უნდა იმოქმედონ აღნიშნული რეგულაციების ფარგლებში, იმისთვის რომ ეს ყველაფერი აქციონ ორგანიზაციის უპირატესობად ყოველდღიურად.
- პროცესების პრაქტიკული დანერგვა – პერსონალურ მონაცემთა დაცვის ოფიცერი უნდა მონაწილეობდეს ყველა ეტაპზე: მონაცემის მიღებიდან მის წაშლამდე. დოკუმენტის დაწერა საკმარისი არ არის – მთავარი მისი პრაქტიკაში დანერგვის და მუდმივი მონიტორინგის უზრუნველყოფაა.
- მუდმივი შეფასება და გაუმჯობესება – ორგანიზაცია ცოცხალი სისტემაა. წესები უნდა ემთხვეოდეს რეალურ ვითარებას, რაც რეგულარულ გადახედვას და ოპტიმიზაციას მოითხოვს.
როგორ შეიძლება პერსონალურ მონაცემთა დაცვის ოფიცრის როლი ორგანიზაციული კულტურის ნაწილად იქცეს?
სწორედ ამაშია წარმატება – ოფიცერი იქცევა ცვლილებების ლიდერად, რომელიც არა მხოლოდ წესებს აწერს ხელს, არამედ ორგანიზაციას ეხმარება, თავად გახდეს უფრო პასუხისმგებლიანი. ის ქმნის გარემოს, სადაც მონაცემთა დაცვა ყველა თანამშრომლის ყოველდღიური ქმედების ნაწილია – არადამატებითი ფუნქცია, არამედ კულტურის საფუძველი.
როგორ შეაჯამებთ პერსონალურ მონაცემთა დაცვის ოფიცრის რეალურ როლს?
სტანდარტთან შესაბამისობა ფურცელზე ვერ იქმნება. ის იქმნება ქმედებით – როცა წესები ინერგება, როცა თითოეული პროცესი რეალურად ითვალისწინებს მონაცემთა დაცვას. ოფიცერის როლი მხოლოდ მაშინ რეალიზდება, როცა ის წესებს აცოცხლებს ორგანიზაციის ყველა შრეში. თუ ამას ვერ ახერხებს – ვერც რეალური დაცვა იქნება და ვერც შესაბამისობა.
