2024-08-08

დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ევროკავშირის „სავიზო საინფორმაციო სისტემაში“ მონაცემთა შენახვის ვადის შეზღუდვის პრინციპის დარღვევის შესახებ

---

დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ შეისწავლა საქმე, რომელიც შეეხებოდა დანიის იმიგრაციისა და ინტეგრაციის სამინისტროს მიერ ევროკავშირის „სავიზო საინფორმაციო სისტემაში“ (Visa Information System – “VIS”) მონაცემთა დამუშავების საკითხს. კერძოდ, მონაცემთა შენახვის ვადის შეზღუდვის პრინციპის დარღვევის შესაძლო ფაქტებს.[1]

საზედამხედველო ორგანოს შესწავლის საგანს წარმოადგენდა დამუშავებისთვის პასუხისმგებელი პირის მიერ „სავიზო საინფორმაციო სისტემაში“ (Visa Information System – “VIS”) მონაცემთა შენახვისა და წაშლის პრაქტიკა, რადგან სავიზო ურთიერთობებთან დაკავშირებული მონაცემები (მოთხოვნის დაკმაყოფილების ან უარის თქმის, აგრეთვე, სავიზო ნებართვის ვადის გასვლისა და სხვა შემთხვევების შესახებ) ავტომატურად უნდა წაშლილიყო, გადაწყვეტილების მიღებიდან 5 წლის განმავლობაში.

საქმის ფაქტობრივი გარემოებების შესწავლისა და წინასწარი მოკვლევის შემდეგ, საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელი პირი არ ითვალისწინებდა მონაცემთა წაშლის საკანონმდებლო მოთხოვნებს, ასევე, არ ახორციელებდა აღნიშნული მოთხოვნის შესრულების მონიტორინგს. ამასთანავე, აღსანიშნავია, რომ ცალკეულ შემთხვევებში სავიზო საინფორმაციო სისტემის მომწესრიგებელი რეგულაცია[2] ითვალისწინებდა მონაცემთა დაუყოვნებლივი წაშლის ვალდებულებას, ავტომატურად, მონაცემთა 5 წლამდე ვადით შენახვის გარეშე.

დანიის საზედამხედველო ორგანოს გადაწყვეტილება დაეფუძნა შემდეგ გარემოებეს:

სავიზო საინფორმაციო სისტემის მომწესრიგებელი რეგულაციის მე-17 მუხლი ადგენს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოქმედებას „სავიზო საინფორმაციო სისტემაში“ (Visa Information System – “VIS”) მონაცემთა დამუშავებისას. ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ე“ ქვეპუნქტის თანახმად, პერსონალური მონაცემები უნდა იყოს შენახული ისეთი ფორმით, რომელიც იძლევა მონაცემთა სუბიექტების იდენტიფიცირების შესაძლებლობას, არაუმეტეს იმ ვადისა, რაც აუცილებელია მონაცემთა დამუშავების მიზნებისათვის. საზედამხედველო ორგანოს მიერ განხილულ შემთხვევაში, მონაცემთა შენახვის ხანგრძლივობა დადგენილი იყო სავიზო საინფორმაციო სისტემის მომწესრიგებელი რეგულაციის 30-ე მუხლის პირველი პუნქტით (სავიზო გადაწყვეტილების მიღებიდან 5 წელი).

დამუშავებისთვის პასუხისმგებელი პირი არ ითვალისწინებდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის მე-2 პუნქტის მოთხოვნას, რომელიც მას ავალდებულებდა პერსონალურ მონაცემთა დამუშავების პრინციპების დაცვას და განხორციელებული მოქმედებების ამავე მუხლის პირველი პუნქტის პრინციპებთან შესაბამისობას (დამუშავებისთვის პასუხისმგებელი პირის ანგარიშვალდებულება). გასათვალისწინებელია, რომ მონაცემთა შენახვის ვადის შეზღუდვის პრინციპს ასევე განსაზღვრავს სავიზო საინფორმაციო სისტემის მომწესრიგებელი რეგულაციის 30-ე მუხლის პირველი პუნქტი. შედეგად, დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია მონაცემთა შენახვის ვადის შეზღუდვის პრინციპი, რადგან ვერ განახორციელა მონაცემთა წაშლაზე ეფექტიანი კონტროლი.

ასევე, დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია არა მხოლოდ, 5 წლიანი ვადის გასვლის შემდეგ მონაცემთა ავტომატური წაშლის მოთხოვნა, არამედ მათი დაუყოვნებლივ წაშლის ვალდებულებაც, რომელსაც ითვალისწინებს სავიზო საინფორმაციო სისტემის მომწესრიგებელი რეგულაციის 25-ე მუხლის პირველი პუნქტი. დამუშავებისთვის პასუხისმგებელი პირი, მოცემულ შემთხვევაში არათუ ავტომატურად, არამედ მხოლოდ და მხოლოდ მონაცემთა სუბიექტის მიმართვის საფუძველზე შლიდა პერსონალურ მონაცემებს, რაც საზედამხედველო ორგანოს მიერ აგრეთვე, მიჩნეული იქნა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ე“ ქვეპუნქტის დარღვევად.

შედეგად, დანიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს (დანიის იმიგრაციისა და ინტეგრაციის სამინისტროს) მისცა შენიშვნა მონაცემთა შენახვის ვადის შეზღუდვის პრინციპის დარღვევის გამო, რაც გამოწვეული იყო დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა წაშლის საკანონმდებლო მოთხოვნათა შეუსრულებლობით (მათ შორის, მონიტორინგის განუხორციელებლობით).