2024-08-22

საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ

---

საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“HDPA”), მონაცემთა სუბიექტის მიმართვის საფუძველზე, დამუშავებისთვის პასუხისმგებელი პირის (ალიმოსის მუნიციპალიტეტი) მიერ მონაცემთა უსაფრთხოების დარღვევის (ინციდენტი) შესახებ იმსჯელა.[1] საკითხის შესწავლის ფარგლებში შეფასდა როგორც დამუშავებისთვის პასუხისმგებელი პირის, ისე დამუშავებაზე უფლებამოსილი პირის ქმედებების მართლზომიერება.

ფაქტობრივი გარემოებების თანახმად, ვებგვერდის საშუალებით მოქალაქეთა პერსონალური ინფორმაციის შემცველ მასალებზე   ნებისმიერ ინტერნეტმომხმარებელს ჰქონდა წვდომა. დამუშავებისთვის პასუხისმგებელი პირის განმარტებით, დამუშავებაზე უფლებამოსილმა პირმა ინტერნეტაპლიკაციის არასწორი ვერსია გაააქტიურა.

საზედამხედველო ორგანომ აღნიშნა, რომ პერსონალური მონაცემების უსაფრთხოების დასაცავად არ იქნა სათანადო ზომები მიღებული, მაგალითად, არ ხორციელდებოდა სისტემატური მონიტორინგი. დამუშავებისთვის პასუხისმგებელმა და დამუშავებაზე უფლებამოსილმა პირებმა ინციდენტის შესახებ  მონაცემთა სუბიექტის მიერ საზედამხედველო ორგანოსთვის მიმართვის შემდეგ შეიტყვეს. მიუხედავად იმისა, რომ ინციდენტი სამჯერ განხორციელდა, შესაბამისი ზომები არ იქნა მიღებული. ამდენად, “HDPA”-მ დამუშავებისთვის პასუხისმგებელი და დამუშავებაზე უფლებამოსილი პირების მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 32-ე მუხლის დარღვევა დაადგინა. ასევე, დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია “GDPR”-ის მე-5(1)(f) მუხლი, რომლის შესაბამისადაც პერსონალური მონაცემები „უნდა დამუშავდეს იმგვარად, რომ სათანადო ტექნიკური ან ორგანიზაციული ზომების მეშვეობით უზრუნველყოფილი იყოს მათი უსაფრთხოება, მათ შორის, დაცული იყოს უკანონო და არაუფლებამოსილი პირების მიერ დამუშავების, შემთხვევით დაკარგვის, განადგურების ან დაზიანებისაგან.“

დამატებით, საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ და დამუშავებაზე უფლებამოსილ პირებს შორის გაფორმებული ხელშეკრულების “GDPR”-ის 28-ე მუხლთან შესაბამისობა შეაფასა და აღნიშნა, რომ დოკუმენტში დამუშავებაზე უფლებამოსილი პირის ვალდებულებების შესახებ დებულებები არ იყო ასახული. ფაქტობრივ გარემოებებზე დაყრდნობით, გამოიკვეთა, რომ ინციდენტის თაობაზე დამუშავებაზე უფლებამოსილმა პირმა დამუშავებისთვის პასუხისმგებელ პირს ინფორმაცია გვიან მიაწოდა. თავის მხრივ, დამუშავებისთვის პასუხისმგებელმა პირმა ინფორმაციის დროულად მისაღებად შესაბამისი ზომები არ მიიღო. შედეგად, დამუშავებისთვის პასუხისმგებელი და დამუშავებაზე უფლებამოსილი პირების მიერ “GDPR”-ის 28-ე მუხლის მე-3 პუნქტის დარღვევა დადგინდა.

“HDPA”-მ, ასევე, განიხილა მონაცემთა უსაფრთხოების დარღვევის თაობაზე მონაცემთა სუბიექტისთვის შეტყობინების საკითხი. აღინიშნა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა საწყის ეტაპზე საჭიროდ არ ჩათვალა მონაცემთა სუბიექტების ინფორმირება. მონაცემთა დაცვის ოფიცერმა, 2023 წლის ივლისში, დამუშავებისთვის პასუხისმგებელ პირს ურჩია მონაცემთა სუბიექტებისათვის ინფორმაციის მიწოდება, თუმცა, მიუხედავად ამისა, პირებს  2023 წლის ოქტომბერში მიეწოდათ არასრული ინფორმაცია. აღნიშნულიდან გამომდინარე, დამუშავებისთვის პასუხისმგებელმა პირმა დაარღვია “GDPR”-ის 33-ე მუხლის მე-4 პუნქტი და 34-ე მუხლის პირველი პუნქტი.

საქმის ფაქტობრივი გარემოების შეფასების საფუძველზე, საბერძნეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელ პირს დააკისრა ჯარიმა 20 000 ევროს ოდენობით.