2024-08-12
ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის აპლიკაციაში განთავსებული მონაცემების უსაფრთხოების შესახებ
დამუშავებისთვის პასუხისმგებელი პირი ― ფინეთის გოლფის ასოციაცია, მომხმარებელთა მომსახურების გასაუმჯობესებლად იყენებდა მობილურ აპლიკაციას. აპლიკაციაში რეგისტრაციისას მომხმარებელი მიუთითებდა სხვადასხვა პერსონალურ მონაცემს: სახელს, გვარს, დაბადების თარიღს. რეგისტრაციის შემდეგ, მონაცემთა სუბიექტს ენიჭებოდა საიდენტიფიკაციო ნომერი, რომლის საშუალებითაც შეეძლო აპლიკაციით სარგებლობა.[1]
ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ყურადღება გაამახვილა, რომ აპლიკაციაში ავთენტიფიკაციისთვის მომხმარებელს არ სჭირდებოდა პაროლი და მას მხოლოდ საიდენტიფიკაციო ნომრით შეეძლო საკუთარი ანგარიშის გააქტიურება. ხოლო საიდენტიფიკაციო ნომერი შედგებოდა იმ მონაცემებისგან, რომლებიც გენერირდებოდა მონაცემთა სუბიექტის საიდენტიფიკაციო ბარათიდან. საგულისხმოა, რომ აღნიშნული ბარათის მონაცემები ასოციაციის ვებგვერდზე საჯაროდ იყო ხელმისაწვდომი.
საზედამხედველო ორგანომ მიიჩნია, რომ დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 25-ე მუხლის პირველი პუნქტი და 32-ე მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტი, რადგან აპლიკაციის გამართულად ფუნქციონირებისთვის, მას არ ჰქონდა განხორციელებული სათანადო ორგანიზაციული და ტექნიკური ზომები.
ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 25-ე მუხლის პირველი პუნქტის მოთხოვნა მიემართება უახლესი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების, ასევე, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისათვის სავარაუდო რისკების გათვალისწინებით, დამუშავების საშუალებების განსაზღვრისა და დამუშავების პროცესში, სათანადო ტექნიკური და ორგანიზაციული ზომების მიღებას, ხოლო 32-ე მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის შინაარსი ტექნიკური და ორგანიზაციული ზომების უსაფრთხოების უზრუნველყოფასთან ერთად, დამუშავების სისტემებისა და სერვისების კონფიდენციალობის დაცვას, ხელშეუხებლობას, ხელმისაწვდომობასა და მოქნილობას გულისხმობს.
საზედამხედველო ორგანომ დაადგინა, რომ აპლიკაციაში ავთენტიფიკაციის მიზნით, სათანადო პაროლის არარსებობა ქმნის მონაცემთა სუბიექტების საიდენტიფიკაციო ნომრების მარტივად იდენტიფიცირების შესაძლებლობას, რის შედეგადაც შესაძლებელი იყო მომხმარებელთა ანგარიშებსა და პერსონალურ მონაცემებზე არაუფლებამოსილი წვდომა. შესაბამისად, საზედამხედველო ორგანომ მიიჩნია, რომ დამუშავებისთვის პასუხისმგებელი პირი ვერ უზრუნველყოფდა აპლიკაციაში განთავსებული პერსონალური მონაცემების უსაფრთხოების დაცვას.
საქმის ზემოაღნიშნული ფაქტობრივი გარემოებების შეფასების შედეგად, ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს მისცა შენიშვნა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 25-ე მუხლის პირველი პუნქტის და 32-ე მუხლის პირველი პუნქტის „ბ“ ქვეპუნქტის დარღვევის გამო და დაავალა აპლიკაციის საშუალებით მონაცემთა დამუშავებასთან დაკავშირებული მოქმედებების ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან შესაბამისობაში მოყვანა.
[1] Decision of DPA (Finland), <https://gdprhub.eu/index.php?title=Tietosuojavaltuutetun_toimisto_(Finland)_-_TSV/955/2023> [05.08.2024].