2024-08-23
ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომპანიის მიერ მომხმარებელთა მონაცემების შენახვის ვადის შესახებ
მონაცემთა სუბიექტის მიმართვის საფუძველზე ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მომხმარებელთა მონაცემების 3 წელზე მეტი ვადით დამუშავების შესახებ გადაწყვეტილება მიიღო[1]. ფინურმა სატელეკომუნიკაციო კომპანიამ არ დააკმაყოფილა მომხმარებლის პერსონალური მონაცემების წაშლის შესახებ მოთხოვნა, რადგან დამუშავებისთვის პასუხისმგებელი პირის განმარტებით, მონაცემები მუშავდებოდა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 17 (3) (ე) მუხლის შესაბამისად. ხანდაზმული სესხის შესახებ ფინეთის კანონის მე-4 ნაწილის[2] თანახმად, სასესხო ვალდებულების შესრულების ხანდაზმულობის ვადა სამ წელს შეადგენს, აქედან გამომდინარე, მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს არ შეეძლო პერსონალური მონაცემების წაშლა, რადგან მონაცემთა სუბიექტთან სახელშეკრულებო ურთიერთობის დასრულებიდან სამი წელი ჯერ კიდევ არ იყო გასული.
დამუშავებისთვის პასუხისმგებელი პირის განცხადებით, როგორც წესი, კომპანიაში მომხმარებელთა მონაცემები სამ წელზე მეტი დროით არ ინახებოდა და ავტომატურად იშლებოდა ვადის გასვლის შემდეგ, რაც აღნიშნულ შემთხვევაში არ განხორციელებულა ტექნიკური ხარვეზის გამო. თუმცა, ორგანიზაციამ მოგვიანებით მონაცემთა სუბიექტის პერსონალური მონაცემები მექანიკურად წაშალა.
ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელ პირს მონაცემთა სუბიექტის პერსონალური მონაცემების შენახვის უფლება ჰქონდა სახელშეკრულებო ურთიერთობის დასრულებიდან სამი წლის განმავლობაში. თუ იგი მონაცემთა სუბიექტის პერსონალურ მონაცემებს წაშლიდა, ვერ შეძლებდა თავის დაცვას მომხმარებელთა ან სხვა კრედიტორების მხრიდან დავის ან პრეტენზიების შესაძლო შემთხვევებში.
ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ სატელეკომუნიკაციო კომპანიის მხრიდან “GDPR”-ის მე-17 მუხლის მე-3 პუნქტის “ე” ქვეპუნქტის დარღვევა დაადგინა, რადგან მონაცემთა სუბიექტის მოთხოვნის მიუხედავად, არ წაშალა ის პერსონალური მონაცემები, რომლებიც მოთხოვნამდეც კი ავტომატურად უნდა წაშლილიყო სისტემებიდან. შედეგად, ფინეთის პერსონალურ მონაცემთა დაცვის ორგანომ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს გამოუცხადა შენიშვნა GDPR-ის 58(2)(ბ) მუხლის შესაბამისად.