2024-07-18

შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება პერსონალურ მონაცემებზე არაავტორიზებული წვდომის შესახებ

---

შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“IMY”) დამუშავებისთვის პასუხისმგებელი პირის ― კომერციული ბანკის (“Avanza Bank”) მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 (1)(f) და 32-ე მუხლების დარღვევა დაადგინა.[1]

საქმის ფაქტობრივი გარემოებების თანახმად, კომერციული ბანკი იყენებდა პლატფორმა “Meta”-ს ანალიტიკის ინსტრუმენტს (“Meta Pixel”), რათა განესაზღვრა ბანკის მიერ სოციალურ ქსელ “Facebook”-ზე შეთავაზებული რეკლამების ეფექტიანობა კონკრეტული გვერდების ვიზიტორთა სტუმრობის შესახებ ინფორმაციის მიღებით. მოწყობილობით უნდა შეგროვებულიყო ინფორმაცია მონაცემთა სუბიექტების ვებგვერდებზე ვიზიტის, “IP” მისამართისა და ვებგვერდებზე საძიებო სისტემის ისტორიის შესახებ. დადგინდა, რომ დამუშავებისთვის პასუხისმგებელი პირის მიერ, შემთხვევით, გააქტიურდა ორი ფუნქცია: „წინასწარი ავტომატური დაკავშირება“ (“Automatic Advanced Matching”, “AAM”) და „ავტომატური ღონისძიებები“ (“Automatic Events”, „AE”).

„წინასწარი ავტომატური დაკავშირების“ შემთხვევაში, გროვდებოდა ინფორმაცია მომხმარებლების სახელის, გვარისა და ელექტრონული ფოსტის მისამართის შესახებ. თუ მონაცემთა სუბიექტი შეავსებდა დამუშავებისთვის პასუხისმგებელი პირის ვებგვერდზე ან მობილურ მოწყობილობაში ხუთი სხვადასხვა ფორმიდან რომელიმე ერთს, მისი მონაცემები გადაეცემოდა “Meta”-ს არასისტემატიზებული ფორმით. თუკი მომხმარებელი ავტორიზაციას კონკრეტულ აპლიკაციაში გაივლიდა და დაეთანხმებოდა მარკეტინგული მიზნით არსებულ „მზა ჩანაწერებს“ (“cookies”), „წინასწარი ავტომატური დაკავშირების“ (“AAM”) გზით გროვდებოდა პერსონალური ინფორმაცია. კერძოდ, საიდენტიფიკაციო ნომერი, საკონტაქტო ინფორმაცია, სესხის რაოდენობა, დასაქმებულების შესახებ ინფორმაცია, დასაქმების სახე და ანგარიშის ნომერი. აღნიშნული ინფორმაციის საშუალებით “Meta Pixel”-ი არასისტემატიზებული ფორმით მიღებულ მონაცემებს აკავშირებდა ვებგვერდზე მონაცემთა სუბიექტების ქცევასთან.

„ავტომატური ღონისძიებების“ (“AE”) მეშვეობით იდენტიფიცირებადი იყო, თუ რომელი ღილაკი გაააქტიურა მონაცემთა სუბიექტმა დამუშავებისთვის პასუხისმგებელი პირის ვებგვერდსა და მობილურ აპლიკაციაში. აღნიშნული ინფორმაცია გადაეცემოდა “Meta”-ს, სოციალურ ქსელ “Facebook”-ზე მარკეტინგული შეთავაზების მიზნით. „ავტომატური ღონისძიებების“ (“AE”) მეშვეობით, გროვდებოდა პერსონალური ინფორმაცია: სესხის რაოდენობა, ანგარიშის ნომერი, ელექტრონული ფოსტის მისამართი და სოციალური ბარათის ნომერი.

დამუშავებისთვის პასუხისმგებელმა პირმა დაადგინა, რომ 2019 წლის 15 ნოემბრიდან 2021 წლის 2 ივნისამდე პერიოდში, ზემოაღნიშნული ორი ფუნქციის შემთხვევით გააქტიურების შედეგად, დაახლოებით, მილიონამდე ფიზიკური პირის პერსონალური მონაცემები შეცდომით გადაეცა “Meta”-ს (“Facebook”).

2021 წლის 8 ივნისს, შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელი პირისგან მონაცემთა უსაფრთხოების დარღვევის თაობაზე შეტყობინება მიიღო. დამუშავებისთვის პასუხისმგებელი პირი აცხადებდა, რომ მონაცემების გადაცემით მონაცემთა სუბიექტებს რაიმე სახის ზიანი არ მიადგათ, რამდენადაც “Meta”-მ გადაცემული მონაცემები პირადი მიზნით არ დაამუშავა. ამასთანავე, დამუშავებისთვის პასუხისმგებელი პირის მოთხოვნის საფუძველზე, მონაცემები წაიშალა.

საზედამხედველო ორგანოს გადაწყვეტილების თანახმად, ანალიტიკური ინსტრუმენტის ორი ფუნქციის შემთხვევითმა გააქტიურებამ გამოიწვია “Meta”-სთან პერსონალური მონაცემების არაავტორიზებული გადაცემა. საზედამხედველო ორგანოს განმარტებით, გადაცემული მონაცემები შეიცავდა მონაცემთა სუბიექტების დიდი რაოდენობის სენსიტიურ ინფორმაციას. მონაცემთა უმეტესობა გადაცემული იყო გასაგები ტექსტით, რაც წარმოშობდა მაღალ რისკებს მათი უფლებების დაცვის თვალსაზრისით. ყურადღება გამახვილდა ფაქტზე, რომ დამუშავებისთვის პასუხისმგებელმა პირმა დროულად ვერ მიიღო ინფორმაცია ზემოაღნიშნული ფუნქციების გააქტიურების თაობაზე. მიუხედავად იმისა, რომ დამუშავებისთვის პასუხისმგებელ პირს პერსონალური მონაცემების დამუშავების შესახებ პროცედურა შემუშავებული ჰქონდა, პრაქტიკაში აღნიშნული სტანდარტი არ იქნა გათვალისწინებული. ასევე, საზედამხედველო ორგანომ ყურადღება გაამახვილა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა პერსონალური მონაცემების არაავტორიზებული გადაცემის შესახებ ინფორმაცია გარე წყაროებიდან მიიღო.

შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელ პირს, “GDPR”-ის მე-5 (1) (f) და 32-ე მუხლების თანახმად, ჰქონდა ვალდებულება, რომ შესაბამისი ტექნიკური და ორგანიზაციული ზომების მეშვეობით, უზრუნველეყო პერსონალური მონაცემები დაცვა არაავტორიზებული წვდომისა და დამუშავებისგან. ასევე, დამუშავებისთვის პასუხისმგებელ პირს უნდა ჰქონოდა უსაფრთხოების შესაბამისი პროგრამა, რომლის მეშვეობითაც, რეგულარული შემოწმების საფუძველზე, გამოვლინდებოდა პერსონალური მონაცემების არაავტორიზებული გადაცემის ფაქტები. ამდენად, საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია “GDPR”-ის მე-5 (1)(f) და 32-ე მუხლები. ყოველივე აღნიშნულის გათვალისწინებით, დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ჯარიმა 1 318 955. 55 ევროს ოდენობით.