2024-07-25

ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის მიერ სამართლიანობისა და გამჭვირვალობის პრინციპების დარღვევის შესახებ

---

2024 წლის 2 ივლისს, ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“VDAI”) გამოაქვეყნა გადაწყვეტილება[1] დამუშავებისთვის პასუხისმგებელი პირის მიერ სამართლიანობისა და გამჭვირვალობის პრინციპების დარღვევის შესახებ.  

საქმის ფაქტობრივი გარემოებების თანახმად, 2021 და 2022 წლებში მონაცემთა სუბიექტებმა დამუშავებისთვის პასუხისმგებელი პირის ― ონლაინ მაღაზიის წინააღმდეგ საჩივრით მიმართეს საფრანგეთისა და პოლონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოებს. იქიდან გამომდინარე, რომ დამუშავებისთვის პასუხისმგებელი პირის მთავარი ადგილსამყოფელი ლიეტუვა იყო, საჩივრები განსახილველად ლიეტუვის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაეგზავნა.

მონაცემთა სუბიექტები აცხადებდნენ, რომ დამუშავებისთვის პასუხისმგებელმა პირმა არ გაითვალისწინა მათი მოთხოვნა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-17 და მე-15 მუხლებით დაცული უფლებების, კერძოდ, მონაცემთა წაშლისა და მონაცემებზე წვდომის უფლებების უზრუნველყოფის მიზნით. დამუშავებისთვის პასუხისმგებელი პირის მიერ წარმოდგენილი არგუმენტების თანახმად, მონაცემთა წაშლის შესახებ მონაცემთა სუბიექტების მოთხოვნა არ იქნა დაკმაყოფილებული, რადგან მათ არ მიუთითეს მოთხოვნის „კონკრეტული საფუძველი“, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-17 მუხლის პირველი პუნქტის შესაბამისად.

ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ, უპირველეს ყოვლისა, აღნიშნა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა არ შეასრულა მონაცემთა წაშლასთან დაკავშირებული მოთხოვნა. საზედამხედველო ორგანომ არ გაიზიარა დამუშავებისთვის პასუხისმგებელი პირის არგუმენტი და დაადგინა, რომ მხოლოდ წაშლის საფუძვლის მითითების არარსებობის გამო მონაცემთა წაშლაზე უარი, არ იყო გამართლებული. იმ შემთხვევაშიც კი, თუ დამუშავებისთვის პასუხისმგებელ პირს ექნებოდა უარის თქმის საფუძველი, აღნიშნული მიზეზის შესახებ ინფორმაცია უნდა მიეწოდებინა მონაცემთა სუბიექტებისთვის. ასევე, მას უნდა განემარტა, რომ მონაცემთა დამუშავება კვლავ გაგრძელდებოდა. 

დამატებით, საზედამხედველო ორგანომ აღნიშნა, რომ დამუშავებისთვის პასუხისმგებელი პირი იყენებდა „ფარული დაბლოკვის“ (“Shadow Blocking”) პრაქტიკას. აღნიშნული გულისხმობს პლატფორმაში მომხმარებლის დაბლოკვას მისი ინფორმირების გარეშე. საზედამხედველო ორგანოს შეფასებით, ამგვარი პრაქტიკა არღვევდა სამართლიანობისა და გამჭვირვალობის პრინციპებს. შესაბამისად, საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა არ მიიღო სათანადო ტექნიკური და ორგანიზაციული ზომები ანგარიშვალდებულების პრინციპის უზრუნველსაყოფად. ასევე, მან ვერ დაასაბუთა, რომ მონაცემთა სუბიექტებისათვის უზრუნველყოფილი იყო საკუთარ პერსონალურ მონაცემებზე წვდომის უფლება.

საქმის ფაქტობრივი გარემოების გათვალისწინებით, ლიეტუვის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი („ა“ ქვეპუნქტი) და მე-2 პუნქტების, მე-12 მუხლის პირველი და მე-4 პუნქტების დარღვევა, რისთვისაც დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ჯარიმა 2 385 276 ევროს ოდენობით.