2024-08-06

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა შემდგომი დამუშავების მიზნისა და უსაფრთხოების დარღვევის შესახებ

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“APD”) გადაწყვეტილება[1] შეეხება მესამე მხარესთან ელექტრონული ფოსტის შეცდომით გაგზავნას, რომლის ფარგლებშიც საზედამხედველო ორგანომ მონაცემთა შემდგომ დამუშავებასა და მონაცემთა უსაფრთხოების დარღვევასთან დაკავშირებულ საკითხებზე იმსჯელა.

საქმის ფაქტობრივი გარემოებების გათვალისწინებით, დამუშავებისთვის პასუხისმგებელმა პირმა ― სანოტარო ბიურომ მონაცემთა სუბიექტის პერსონალური მონაცემები: სახელი, მისამართი, დაბადების თარიღი და მათი მემკვიდრეების ეროვნული სარეგისტრაციო ნომერი, შემთხვევით არასწორ ადრესატთან გაგზავნა. მონაცემთა მიმღებმა აღნიშნული შეცდომის თაობაზე ყველა შესაბამის ადრესატს აცნობა, რის საფუძველზეც მონაცემთა სუბიექტმა ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს საჩივრით მიმართა.

საზედამხედველო ორგანომ, უპირველეს ყოვლისა, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-5 მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტზე დაყრდნობით აღნიშნა, რომ მონაცემები უნდა შეგროვდეს კონკრეტული, მკაფიოდ განსაზღვრული, კანონიერი მიზნისათვის და არ უნდა დამუშავდეს სხვა, ამ მიზანთან შეუთავსებელი მიზნით. მოცემულ საქმეში საზედამხედველო ორგანოს უნდა შეეფასებინა მესამე მხარესთან ელექტრონული ფოსტის გაგზავნის შესაბამისობა მონაცემთა თავდაპირველი დამუშავების მიზანთან.

მონაცემთა შემდგომი დამუშავება კანონიერია მხოლოდ სამართლებრივი საფუძვლის არსებობის შემთხვევაში. საქმის ფაქტობრივი გარემოებებიდან გამოიკვეთა, მესამე მხარე და ასევე, დამუშავებისთვის პასუხისმგებელი პირი აღნიშნავდნენ, რომ შეცდომით მოხდა პერსონალური მონაცემების გაგზავნა. შესაბამისად, მესამე მხარისათვის მონაცემების გადაცემა არ წარმოადგენდა დამუშავებისთვის პასუხისმგებელი პირის მიზანს.

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს შეფასების თანახმად, მოცემულ შემთხვევაში პერსონალურ მონაცემთა დამუშავება „შეცდომად“ უნდა შეფასდეს და არა იმგვარ დამუშავებად, როდესაც დამუშავებისთვის პასუხისმგებელი პირი წინასწარ განსაზღვრავს სამართლებრივ საფუძველს. მონაცემთა „მთლიანობისა და კონფიდენციალობის“ დაცვის მიზნით, დამუშავებისთვის პასუხისმგებელ პირი ვალდებულია, მონაცემთა უსაფრთხოების უზრუნველსაყოფად დანერგოს შესაბამისი ორგანიზაციული და ტექნიკური ზომები. წინამდებარე საქმის ფაქტობრივი გარემოებების თანახმად, პერსონალურ მონაცემთა უკანონო გამჟღავნებამ გამოიწვია მონაცემთა კონფიდენციალობის დარღვევა. დამუშავებისთვის პასუხისმგებელმა პირმა ვერ მიიღო სათანადო ზომები მონაცემთა უსაფრთხოების დარღვევის თავიდან ასარიდებლად, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 (1)(f) და 32(1)(b)-ე მუხლების შესაბამისად.

აღსანიშნავია, რომ რეგულაციის 33-ე მუხლის პირველი პუნქტის მიხედვით, დამუშავებისთვის პასუხისმგებელი პირი, პერსონალურ მონაცემთა უსაფრთხოების დარღვევის შემთხვევაში, ვალდებულია დაუყოვნებლივ და თუ შესაძლებელია დარღვევის შესახებ შეტყობიდან არაუგვიანეს 72 საათისა, აცნობოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს, გარდა იმგვარი შემთხვევისა, როდესაც ნაკლებსავარაუდოა, რომ დარღვევა საფრთხეს შეუქმნის ფიზიკურ პირთა უფლებებსა და თავისუფლებებს. ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ აღნიშნა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა მიიღო იმის დამადასტურებელი მტკიცებულება, რომ მესამე მხარემ გაზიარებული დოკუმენტაცია არ გახსნა და დაუყოვნებლივ წაშალა. ამდენად, მიჩნეულ იქნა, რომ მონაცემთა უსაფრთხოების დარღვევა საფრთხეს ვერ შეუქმნიდა მონაცემთა სუბიექტის უფლებებსა და თავისუფლებებს. აღნიშნულის გათვალისწინებით, დამუშავებისთვის პასუხისმგებელ პირს საზედამხედველო ორგანოსთვის მონაცემთა უსაფრთხოების დარღვევის თაობაზე შეტყობინების ვალდებულება არ ჰქონდა.

საქმის ფაქტობრივი გარემოების შეფასების საფუძველზე, ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5(1)(a)(b)(f), მე-6 და 32-ე მუხლების დარღვევა და დამუშავებისთვის პასუხისმგებელი პირის მიმართ სანქციის სახით გაფრთხილება გამოიყენა.

[1] GDPR hub, Decision of the Belgian DPA, <https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_52/2024>, [26.07.2024].