2024-08-13

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება დამუშავებისთვის პასუხისმგებელი პირის მიერ საჯარო მოსამსახურეთა კონკურსის შედეგების გამოქვეყნების შესახებ

---

დამუშავებისთვის პასუხისმგებელმა პირმა (იტალიის ერთ-ერთმა მუნიციპალიტეტმა) საჯარო მოსამსახურეთა შერჩევის მიზნით გამოაცხადა კონკურსი, რომლის შედეგები საჯაროდ გამოაქვეყნა საკუთარ ვებგვერდზე. ვებგვერდზე განთავსდა კანდიდატთა სია, რომლებმაც წარმატებით გაიარეს კონკურსი და პირთა სია, ვინც ვერ დააკმაყოფილა საკონკურსო მოთხოვნები.

განმცხადებელმა წარმატებით ვერ გაიარა კონკურსი და მოითხოვა ვებგვერდიდან მისი სახელისა და გვარის წაშლა. დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა სუბიექტს განუმარტა, რომ მუნიციპალიტეტის ვებგვერდი იმართებოდა სხვა კომპანიის მიერ და მუნიციპალიტეტი დამოუკიდებლად ვერ შეძლებდა მონაცემების წაშლას. მონაცემთა სუბიექტს ასევე, განემარტა რომ კანდიდატთა სიის საჯარო გამოქვეყნების წესი განსაზღვრული იყო კანონით და კონკურსის შედეგებთან დაკავშირებული პერსონალური მონაცემები საჯაროდ უნდა ყოფილიყო გამოქვეყნებული 5 წლის განმავლობაში (კონკურსზე საბოლოო შედეგების მიღებიდან), მხოლოდ ამ დროის გასვლის შემდეგ იქნებოდა შესაძლებელი მონაცემთა წაშლა.

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ საქმის ფაქტობრივი გარემოებების შესწავლის შემდეგ, დადგინდა რომ მართალია, კონკურსის შედეგების საჯარო გამოქვეყნება კანონით იყო განსაზღვრული, თუმცა ეს არ გულისხმობდა, რომ კონკურსის ორგანიზატორს უნდა გამოექვეყნებინა იმ კანდიდატთა სია, რომლებიც არ შერჩეულან აღნიშნულ პოზიციებზე. ამ შემთხვევაში, საბოლოო შედეგების გამოქვეყნებაში იგულისხმებოდა კონკურსში გამარჯვებულ კანდიდატთა სია.

კონკურსში მონაწილე ყველა კანდიდატის სახელისა და გვარის გამოქვეყნება არ იყო შესაბამისობაში ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტის მოთხოვნასთან. აღსანიშნავია, რომ დამუშავებისთვის პასუხისმგებელი პირის სახელით, დამუშავებაზე უფლებამოსილი პირი (კომპანია, რომელიც მართავდა ვებგვერდს) ამ მონაცემებს შესაბამისი საფუძვლის გარეშე ამუშავებდა, რა დროსაც არღვევდა ძირითადი რეგულაციის მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტს და მე-6 მუხლის პირველ პუნქტს.

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის თანახმად, პერსონალური მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად და გამჭვირვალედ მონაცემთა სუბიექტთან მიმართებით. მე-6 მუხლის პირველ პუნქტის მიხედვით, მონაცემთა დამუშავება კანონიერია მხოლოდ იმ შემთხვევაში და იმ მოცულობით, თუ არსებობს ძირითადი რეგულაციით პირდაპირ განსაზღვრული მონაცემთა დამუშავების სულ მცირე ერთი საფუძველი მაინც. განსახილველ შემთხვევაში დაირღვა „გ“ ქვეპუნქტის მოთხოვნა, რომლითაც დადგენილია, რომ მონაცემთა დამუშავება კანონიერია თუ ეს აუცილებელია მონაცემთა დამმუშავებელზე დაკისრებული სამართლებრივი ვალდებულების შესასრულებლად.

საზედამხედველო ორგანომ განმარტა, რომ დამუშავებისთვის პასუხისმგებელი პირი ვერ მართავდა საკუთარ ვებგვერდს და მას ამისთვის სჭირდებოდა გარეშე კომპანიის დახმარება, რომელიც უნდა ჩათვლილიყო დამუშავებაზე უფლებამოსილ პირად, თუმცა მათ შორის არ იყო გაფორმებული ხელშეკრულება, რის გამოც დამუშავებაზე უფლებამოსილი პირი სამართლებრივი საფუძვლის გარეშე ამუშავებდა მონაცემებს.

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 28-ე მუხლის მე-3 პუნქტის თანახმად, დამუშავებაზე უფლებამოსილი პირის მიერ მონაცემების დამუშავების პროცესი რეგულირდება ხელშეკრულებით ან ევროკავშირის ან წევრი სახელმწიფოების კანონმდებლობით დადგენილი სამართლებრივი დოკუმენტით, რომელიც დამუშავებაზე უფლებამოსილ პირს დააკისრებს ვალდებულებებს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის წინაშე და განსაზღვრავს მონაცემთა დამუშავების საგანს და ხანგრძლივობას, დამუშავების ხასიათსა და მიზანს, მონაცემთა ტიპებსა და მონაცემთა სუბიექტების კატეგორიებს, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებებსა და უფლებებს.

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 28-ე მუხლის მე-3 პუნქტის დარღვევისთვის დააკისრა ჯარიმა 20 000 ევროს ოდენობით, ხოლო დამუშავებაზე უფლებამოსილი პირი ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5 მუხლის პირველი პუნქტის „ა“ ქვეპუნქტის და მე-6 მუხლის პირველი პუნქტის დარღვევის გამო 12 000 ევროს ოდენობით დააჯარიმა.  

 

Decision of DPA (Italy), <https://gdprhub.eu/index.phptitle=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10039471> [13.08.2024].