2024-07-12

დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის დასაქმებულის შეცდომის შედეგად გამოწვეული მონაცემთა უსაფრთხოების დარღვევის შესახებ

---

დანიის მონაცემთა დაცვის საზედამხედველო ორგანომ შეისწავლა საქმე, რომელიც ეხებოდა დამუშავებისთვის პასუხისმგებელი პირის - კოპენჰაგენის მუნიციპალური ადმინისტრაციის თანამშრომლის შეცდომის შედეგად გამოწვეულ მონაცემთა უსაფრთხოების დარღვევის ფაქტს.[1]

აღსანიშნავია, რომ მონაცემთა უსაფრთხოების დარღვევის ფაქტი დამუშავებისთვის პასუხისმგებელმა პირმა ელექტრონული ფაილების გეგმური შემოწმების დროს გამოავლინა, როდესაც აღმოაჩინა, რომ ნაცვლად რამდენიმე თანამშრომლისა, რომლებსაც სამსახურებრივად ევალებოდათ ფაილური სისტემის ტექნიკური და ორგანიზაციული კონტროლი, მასზე წვდომა მუნიციპალიტეტის 37 500 თანამშრომელს ჰქონდა. ფაილები მოიცავდა 3 700 000 მონაცემთა სუბიექტის პერსონალურ ინფორმაციას: სოციალური კეთილდღეობის, ენობრივი საჭიროების, არასრულწლოვანთა სტომატოლოგიური და სამედიცინო მომსახურების შესახებ. მუნიციპალიტეტის შიდა მოკვლევით დადგინდა, რომ დამუშავებისთვის პასუხისმგებელი პირის თანამშრომელმა ელექტრონულ ფაილებზე შეცდომით ყველა თანამშრომელს მიანიჭა წვდომა. შესაბამისად, ორი თვის განმავლობაში, იქამდე, ვიდრე შეცდომას აღმოაჩენდნენ, პერსონალური ინფორმაცია ხელმისაწვდომი იყო ყველა თანამშრომლისთვის. დამუშავებისთვის პასუხისმგებელმა პირმა განმარტა, რომ დარღვევის აღმოჩენიდან მალევე შეისწავლა ელექტრონულ ფაილებზე აღნიშნული ორი თვის განმავლობაში განხორციელებული აქტივობის ისტორია და მიუთითა, რომ წვდომაზე არაუფლებამოსილი პირები, მართალია, არ გაეცნენ ინფორმაციას, თუმცა პოტენციური რისკი მაინც არსებობდა.

დამუშავებისთვის პასუხისმგებელმა პირმა აღნიშნა, ელექტრონულ ფაილებზე განთავსებული ინფორმაციის წასაკითხად საჭირო იყო სპეციალური პროგრამა, რომელიც თანამშრომლების უმეტესობას არ ჰქონდა. ასევე, მიუთითა, რომ გააძლიერებდნენ ინციდენტზე რეაგირების წესებს.

დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებით, განსახილველ საქმეში პერსონალურ მონაცემებზე არაავტორიზებული წვდომა და მონაცემთა უსაფრთხოების დარღვევის საკითხი ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-4 მუხლის მე-12 პუნქტის ფარგლებში უნდა განხილულიყო. საზედამხედველო ორგანოს განმარტებით, ძირითადი რეგულაციის 32-ე მუხლის პირველი პუნქტი ადგენს, რომ უახლესი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მოცულობის, კონტექსტისა და მიზნების, ასევე, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისათვის სავარაუდო რისკების გათვალისწინებით, მონაცემთა დამუშავებისთვის პასუხისმგებელმა და დამუშავებაზე უფლებამოსილმა პირებმა უნდა მიიღონ სავარაუდო რისკების შესაბამისი ტექნიკური და ორგანიზაციული ზომები უსაფრთხოების უზრუნველსაყოფად.

მიუხედავად იმისა, რომ დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა უსაფრთხოების დარღვევის ფაქტზე რეაგირების საკმაოდ ეფექტიანი წესები ჰქონდა შემუშავებული, მაინც ვერ იქნა უზრუნველყოფილი თანამშრომლის შეცდომის შედეგად 3 700 000 ფიზიკური პირის პერსონალურ მონაცემთა ხელმისაწვდომობა არაავტორიზებული პირებისთვის. ასევე, დამუშავებისთვის პასუხისმგებელი პირის მიერ გეგმური შემოწმების ვადები იმდენად ფართო იყო, რომ ინციდენტის დროულად აღმოჩენას ხელს უშლიდა.

საზედამხედველო ორგანოს განმარტებით, ინციდენტზე რეაგირების წესების არსებობა არ ნიშნავს, რომ დამუშავებისთვის პასუხისმგებელმა პირმა შეასრულა ძირითადი რეგულაციის 32-ე მუხლით განსაზღვრული მოთხოვნები. მნიშვნელოვანია, რომ ავტორიზებული პირებისთვის ელექტრონულ ფაილებზე წვდომის ინსტრუქცია წინასწარ განისაზღვროს და თანამშრომლის მოქმედება დააზღვიოს სხვა თანამშრომელმა ან სისტემური უზრუნველყოფის მეშვეობით, უშუალოდ სისტემამ, რომელიც დააგენერირებს განხორციელებული აქტივობების შედეგებს. ამისთვის კი დამუშავებისთვის პასუხისმგებელმა პირმა უნდა შექმნას პერსონალურ მონაცემთა ფაილური სისტემის ერთმანეთთან დაკავშირებული მექანიზმები, რომელიც თითოეულ ეტაპზე დარღვევათა ალბათობას შეამცირებს ან დააზღვევს რისკებს.

დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებით, დამუშავებისთვის პასუხისმგებელ პირს გამოეცხადა საყვედური ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 32-ე მუხლის პირველი პუნქტის დარღვევისთვის.