2024-08-01

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ჯანმრთელობასთან დაკავშირებული მონაცემების დამუშავებისას მონაცემთა უსაფრთხოების დარღვევის შესახებ

საქმის ფაქტობრივი გარემოებების თანახმად, 2022 წელს, დამუშავებისთვის პასუხისმგებელი პირის ― ადამიანის იმუნოდეფიციტის ვირუსების ტესტირებასთან დაკავშირებული ასოციაციის თანამშრომელმა, ასოციაციის მომსახურებით მოსარგებლე, 270 აქტიური სტატუსის მქონე მომხმარებელს ელექტრონული ფოსტის მეშვეობით შეტყობინება გაუგზავნა. აღსანიშნავია, რომ გაგზავნილ კორესპონდენციაში ელექტრონული ფოსტის მისამართების ჩამონათვალი საჯაროდ იყო ხელმისაწვდომი, რაც ქმნიდა ასოციაციის მომხმარებელთა სრული ან ნაწილობრივი იდენტიფიცირების რისკს.

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ საქმის ფაქტობრივი გარემოებების შესწავლის შედეგად დაადგინა, რომ დამუშავებისთვის პასუხისმგებელი პირი ჯანმრთელობასთან დაკავშირებული მონაცემების დამუშავების პროცესში არ იყენებდა მონაცემთა უსაფრთხოების დაცვისთვის აუცილებელ ტექნიკურ და ორგანიზაციულ საშუალებებს, რამაც მონაცემთა უსაფრთხოების დარღვევა გამოიწვია.[1]

საზედამხედველო ორგანოს განმარტების თანახმად, აღნიშნული პრობლემა დამუშავებისთვის პასუხისმგებელი პირის თანამშრომელთა დაბალი ცნობიერებით იყო გამოწვეული, რადგან თანამშრომელთა გარკვეული ნაწილი მონაცემთა უსაფრთხოების აღნიშნულ დარღვევას არ მიიჩნევდა პრობლემად და აღნიშნავდნენ, რომ მომხმარებლებისთვის გაგზავნილი ინფორმაცია არ შეიცავდა პერსონალურ მონაცემებს.

საზედამხედველო ორგანოს განმარტების თანახმად, მხოლოდ ის ფაქტი, რომ შეტყობინების ადრესატებს ერთმანეთის იდენტიფიცირება შეეძლოთ, უკვე საკმარის საფუძველს წარმოადგენდა სათანადო რეაგირებისთვის, რაც გამოიხატება მონაცემთა უსაფრთხოების დარღვევის შესახებ საზედამხედველო ორგანოსთვის შეტყობინებასა და სათანადო ღონისძიებების განხორციელებაში. აღსანიშნავია, რომ ასოციაციას არ ჰქონდა შესაბამის ტექნიკურ-ორგანიზაციულ ღონისძიებათა პოლიტიკა, რომელიც დააზღვევდა ამ სფეროში არსებულ შესაძლო რისკებს. ამასთანავე, ასოციაცია არ უზრუნველყოფდა პერსონალურ მონაცემთა დამუშავებისა და დაცვის საკითხზე მონაცემთა დამუშავებისთვის პასუხისმგებელი თანამშრომლების კვალიფიკაციის პერიოდულ ამაღლებას, ხოლო თანამშრომელთა გარკვეულ ნაწილს არ ჰქონდა გავლილი აღნიშნული მიმართულებით შესაბამისი სასწავლო ტრენინგები.

საზედამხედველო ორგანომ, შემთხვევის სერიოზულობიდან გამომდინარე, ჯარიმის ოდენობა თავდაპირველად 349 000 ევროს ოდენობით განსაზღვრა, თუმცა ჯარიმის დაკისრების ახალი სახელმძღვანელო პოლიტიკის გათვალისწინებით, შეამცირა 8 730 ევრომდე. აღნიშნული სახელმძღვანელო პოლიტიკა პერსონალური მონაცემების დამუშავებასთან დაკავშირებული ადმინისტრაციული სამართალდარღვევისთვის ჯარიმის დაკისრებისა და შესაბამისი ოდენობების განსაზღვრის ინსტრუქციას წარმოადგენს. ხოლო ჯარიმის ოდენობის განსაზღვრისთვის მხედველობაში მიიღება:

დარღვევის სიმძიმე;
ორგანიზაციის ფინანსური ბრუნვა;
დარღვევის ჩადენის საწყისი ეტაპის დადგენა და განგრძობადი ხასიათი;
პასუხისმგებლობის დამამძიმებელი და შემამსუბუქებელი გარემოებები;
ჯარიმის უკვე განსაზღვრული ოდენობის ცვლილების საგამონაკლისო შემთხვევები.[2]

შესაბამისად, ჯარიმის ოდენობის გამოთვლისას, საზედამხედველო ორგანომ მხედველობაში მიიღო დამუშავებისთვის პასუხისმგებელი პირის ოთხდღიანი დაგვიანება მონაცემთა უსაფრთხოების დარღვევის შეტყობინების შესახებ, აგრეთვე, დარღვევის გამომწვევი მიზეზები და რეაგირების მიზნით განხორციელებული ღონისძიებები. იმის გათვალისწინებით, რომ ელექტრონული ფოსტით გაგზავნილი შეტყობინება აშკარად მიემართებოდა იმ პირებს, რომელთაც ასოციაციისგან უკვე მიღებული ჰქონდათ ან სურდათ ჯანმრთელობასთან დაკავშირებული მომსახურების მიღება, საზედამხედველო ორგანომ დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ვ“ ქვეპუნქტის დარღვევა, რომლის თანახმად, პერსონალური მონაცემები უნდა დამუშავდეს იმგვარად, რომ სათანადო ტექნიკური ან ორგანიზაციული ზომების მეშვეობით უზრუნველყოფილი იყოს მათი უსაფრთხოება, მათ შორის, დაცული იყოს უკანონო და არაუფლებამოსილი პირების მიერ დამუშავების, შემთხვევით დაკარგვის, განადგურების ან დაზიანებისაგან.

[1] Decision of ICO (UK), <https://gdprhub.eu/index.php?title=ICO_(UK)_-_The_Central_Young_Men%E2%80%99s_Christian_Association> [24.07.2024].

[2] Information Commissioner’s Office (“ICO”), Data Protection Fining Guidance, <https://ico.org.uk/about-the-ico/ourinformation/policies-and-procedures/dataprotection-fining-guidance/> [24.07.2024].