GDPR + საქართველოს პერსონალურ მონაცემთა კანონი AI ხმოვანი

AI ხმოვანი აგენტები ლეგალურია საქართველოში და EU-ში სწორი dეპლოით. ეს გზამკვლევი ფარავს ზუსტ მოთხოვნებს. Disclaimer: ტექნიკური guidance, არა იურიდიული რჩევა.

სამი ფენა Compliance

ყოველი AI ხმოვანი აგენტი რომელიც ემსახურება ქართველ ან EU კლიენტს უნდა შეესაბამებოდეს:

1. საქართველოს პერსონალურ მონაცემთა დაცვის კანონი (2011, შესწორებული 2024)
2. EU GDPR + EU AI Act (2024)
3. სექტორ-სპეციფიური წესები — ტელკო, ფინანსური, სამედიცინო

AI გამხელის მოთხოვნა

ქართული და EU კანონი ორივე მოითხოვს AI გამხელას ყოველი ხმოვანი ინტერაქციის დასაწყისში. სკრიპტი:

• მკაფიოდ აცხადებს რომ ზარს ამუშავებს AI
• იდენტიფიცირებს კომპანიას
• ზარის დასაწყისში, არა შუაში
• კლიენტის ენაზე

მაგალითი:

„გამარჯობა, ეს არის [AI Name] [Company]-ის სახელით. ამ ზარს ამუშავებს AI. გაქვთ წუთი?"

გამხელის გარეშე = ჯარიმა + რეპუტაციის დაზიანება.

თანხმობის შეგროვება

ყოველი ზარისთვის საჭიროა legal basis:

• Consent — explicit opt-in (საუკეთესო marketing/sales-ისთვის)
• Legitimate interest — არსებული customer service-ისთვის
• Contract performance — ხელშეკრულების შესრულებისთვის
• Legal obligation — ვალის შეგროვებას აქვს თავისი წესები

Outbound sales: წინასწარი consent საჭირო. Cold-calling — რისკიანი EU-ში. Inbound: consent implicit-ია როცა კლიენტი იწყებს.

ჩაწერის გამხელა

თუ ჩაწერ ზარებს:

• გამხელა გახსნაში: „ეს ზარი შეიძლება ჩაიწეროს ხარისხისთვის"
• კლიენტს უფლება ჰქონდეს ჩაწერისგან გამოსვლა
• დაშიფრული შენახვა
• Retention policy (ჩვეულებრივ 90 დღე ავტო-წაშლა)

ქართული კლიენტისთვის: explicit opt-in უსაფრთხოა. EU: legitimate interest შეიძლება ფაროს, მაგრამ გამხელა მაინც.

მონაცემთა Retention

Default წესები:

• ჩანაწერები: 90 დღე legal hold-ის გარეშე
• Transcripts: 1-2 წელი ანალიტიკისთვის
• Lead data: legitimate business purpose-ის ხანგრძლივობით (2-3 წელი inactive)
• PII (ნომერი, ემეილი, სახელი): pseudonymized ანალიტიკაში, წაშლა მოთხოვნით

კლიენტის right to erasure: უნდა წაშალო მოთხოვნაზე 30 დღეში. GDPR-ის მკაცრი მოთხოვნა.

Data Residency

ქართული კლიენტებისთვის:

• მონაცემი იდეალურად რჩება საქართველოში ან EU-ში
• US-hosted (AI პლატფორმების უმეტესობა) ლეგალურია მაგრამ სჭირდება Standard Contractual Clauses (SCCs)

EU კლიენტებისთვის:

• მონაცემი EU/EEA-ში ან SCCs-ით
• Schrems II implications

Vapi, Retell, OpenAI — ყველას აქვს EU-region hosting Enterprise plans-ზე. SMB default plan-ზე — US hosting + SCCs.

EU AI Act

EU AI Act (2025-2026) კლასიფიცირებს AI ხმოვან აგენტებს:

• Limited risk ზოგადი კლიენტური ინტერაქციისთვის — AI გამხელა საჭიროა
• High risk თუ employment screening, credit scoring, biometric ID

ხმოვანი აგენტები გაყიდვებისთვის, მხარდაჭერისთვის, ჯავშნისთვის — limited risk.

ვენდორის DPA

Vapi, Retell, OpenAI, ElevenLabs-თან:

• Data Processing Agreement (DPA) ყველასთან
• ვენდორების უმეტესობას აქვს standard DPA
• SCCs თუ მონაცემი US-ში მიდის
• HIPAA-სთვის — Business Associate Agreement (BAA)

Audit Trail

შეინახე log:

• ყოველი ზარი timestamp-ით, participants-ით, ხანგრძლივობით
• AI გამხელა გაცემული (yes/no per call)
• Consent შეგროვებული თუ applicable
• Recording status
• Data access events

Tamper-resistant log-ი მინიმუმ 1 წელი.

ხშირი რისკები

• Cold calling consent-ის გარეშე — მაღალი რისკი EU-ში
• ჩაწერა გამხელის გარეშე — არალეგალური უმეტეს ჯურისდიქციაში
• მონაცემი US-ში SCCs-ის გარეშე — GDPR ვიოლეცია
• არ არის opt-out path — ყოველთვის უნდა იყოს ადამიანზე გადართვა
• PHI უდაშიფრავი training log-ში — HIPAA ვიოლეცია

დაკავშირებული

• დანერგვის გზამკვლევი
• ვალის შეგროვება compliance
• კლინიკები + healthcare

FAQ

1. შემიძლია US-hosted AI GDPR ვიოლეციის გარეშე?

2. საჭიროა explicit consent inbound-ისთვის?

3. რა ჯარიმაა non-compliance-ისთვის?

4. საჭიროა Data Protection Officer (DPO)?