2024-08-09

ლატვიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის მიერ საზედამხედველო ორგანოს მოთხოვნის შეუსრულებლობის შესახებ

ლატვიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს გამოუცხადა შენიშვნა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ა“ და „გ“ ქვეპუნქტების, ასევე, მე-12 მუხლის პირველი და მე-4 პუნქტების დარღვევის გამო[1] და დაავალა საკუთარ ვებგვერდზე გამოქვეყნებული მონაცემების ცვლილება ან წაშლა. დავალების შესრულების ვადის გასვლის შემდეგ, საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელი პირის ვებგვერდის შემოწმების პროცესში აღმოაჩინა, რომ მიუხედავად უწყების მიერ განსაზღვრული მოთხოვნისა, ძირითადი რეგულაციის დარღვევით დამუშავებული პერსონალური მონაცემები ვებგვერდის მეშვეობით კვლავ ხელმისაწვდომი იყო. შესაბამისად, საზედამხედველო ორგანომ განაახლა საქმის შესწავლა.

აღნიშნულთან დაკავშირებით დამუშავებისთვის პასუხისმგებელმა პირმა განმარტა, რომ მას არ შეეძლო მონაცემების ცვლილება ან წაშლა, რადგან არ ჰქონდა წვდომა აღნიშნული ვებგვერდის არქივზე. ასევე, მან მიუთითა, რომ ვებგვერდის არქივზე წვდომა მხოლოდ წინა ადმინისტრატორს ჰქონდა.

საზედამხედველო ორგანომ მხედველობაში არ მიიღო დამუშავებისთვის პასუხისმგებელი პირის განმარტება და აღნიშნა, რომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 24-ე მუხლის პირველი პუნქტის მიხედვით, პერსონალური მონაცემის დამუშავების ხასიათის, მოცულობის, კონტექსტისა და მიზნების, ასევე, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისათვის სავარაუდო რისკების გათვალისწინებით, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, გაატაროს შესაბამისი ტექნიკური და ორგანიზაციული ზომები, რათა უზრუნველყოს ძირითადი რეგულაციის შესაბამისად მონაცემთა დამუშავება. აღნიშნული ღონისძიებები, საჭიროების შემთხვევაში, უნდა გადაიხედოს და განახლდეს. ამდენად, დამუშავებისთვის პასუხისმგებელი პირის მიერ ვალდებულების შეუსრულებლობა, მოქმედების განხორციელების ფაქტობრივი შეუძლებლობის მიზეზით, არ ათავისუფლებს მას პასუხისმგებლობისგან.

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის მე-2 პუნქტის თანახმად, დამუშავებისთვის პასუხისმგებელ პირს ევალება, რომ უზრუნველყოს პერსონალურ მონაცემთა დამუშავების პრინციპების დაცვა და შეეძლოს განხორციელებული მოქმედებების მონაცემთა დამუშავების პრინციპებთან შესაბამისობის დემონსტრირება. შესაბამისად, დამუშავებისთვის პასუხისმგებელ პირს უნდა შეემუშავებინა ისეთი ორგანიზაციულ-ტექნიკური მექანიზმი, რომლითაც უზრუნველყოფდა საკუთარ ვებგვერდზე გამოქვეყნებული ინფორმაციის შეცვლის ან წაშლის შესაძლებლობას.

ზემოაღნიშნულიდან გამომდინარე, ლატვიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნები დაარღვია არა უბრალოდ დაუდევრობით, არამედ პერსონალურ მონაცემთა უკანონო დამუშავების პროცესების კვლავ გაგრძელებით. შესაბამისად, დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ჯარიმა 1 000 ევროს ოდენობით.

[1] Decision of DPA (Latvia), <gdprhub.eu> [29.07.2024].