2024-08-07

სლოვენიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომპანიის დირექტორის პასუხისმგებლობის შესახებ

საქმის ფაქტობრივი გარემოებების თანახმად, მონაცემთა სუბიექტმა მიმართა სლოვენიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს, დამუშავებისთვის პასუხისმგებელი პირის წარმომადგენელი დირექტორის მიერ მონაცემთა სუბიექტის ვინაობის მაიდენტიფიცირებელი ფინანსური და ეკონომიკური მონაცემების უკანონო დამუშავების შესწავლის მიზნით.[1]

საქმის გარემოებათა შესწავლის შემდეგ დადგინდა, რომ დამუშავებისთვის პასუხისმგებელი პირი არ ასრულებდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის პირველი პუნქტის მოთხოვნებს (მონაცემთა დამუშავების კანონიერება), კერძოდ, კომპანიის დირექტორი მონაცემთა სუბიექტის პერსონალურ მონაცემებს თავის თანამშრომლებს მონაცემთა დამუშავების სამართლებრივი საფუძვლის გარეშე უზიარებდა. ხოლო მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ არ იქნა გათვალისწინებული შესაბამისი ტექნიკური და ორგანიზაციული ზომები, რის გამოც დაირღვა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 32-ე მუხლით განსაზღვრული მოთხოვნა.

აღსანიშნავია, რომ სლოვენიის „მონაცემთა დაცვის აქტი“ ერთმანეთისგან მიჯნავს მონაცემთა დამუშავების კონტექსტში დამუშავებისთვის პასუხისმგებელი პირის წარმომადგენელი დირექტორისა და უშუალოდ დამუშავებისთვის პასუხისმგებელი პირის პასუხისმგებლობას. საზედამხედველო ორგანოს მიერ შესწავლილი საქმის ფაქტობრივი გარემოებების თანახმად, დირექტორი მონაცემებს პირადი მიზნით ამუშავებდა და უზიარებდა თანამშრომლებს. თუმცა, მიუხედავად ამისა, იგი მაინც წარმოადგენდა დამუშავებისთვის პასუხისმგებელ პირს, რადგან მოქმედებდა მისი სახელით, მისგან მიღებული ინფორმაციის საფუძველზე და კომპანიის ორგანიზაციული მოწყობის ფარგლებში.

სლოვენიის „მონაცემთა დაცვის აქტის“ თანახმად, პირადი მიზნით მონაცემთა დამუშავების ფაქტის გამოკვეთის შემთხვევაში, პასუხისმგებლობა უშუალოდ კომპანიის დირექტორს, ინდივიდუალურად ეკისრება. თუმცა, მოცემული საქმის შესწავლის შედეგად, საზედამხედველო ორგანომ არა მხოლოდ დირექტორს, არამედ დამუშავებისთვის პასუხისმგებელ პირსაც მისცა შენიშვნა, რადგან დირექტორმა სამსახურებრივი უფლებამოსილების განხორციელებისას დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის პირველი პუნქტითა და 32-ე მუხლით განსაზღვრული მოთხოვნები.

[1] Decision of DPA (Slovenia), <https://gdprhub.eu/index.php?title=IP_(Slovenia)_-_0609-20/2024/6> [26.07.2024].