2024-09-05
ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება კანონიერი წარმომადგენლის მიერ პერსონალური მონაცემების დამუშავების საკითხებთან დაკავშირებით
ევროკავშირის მართლმსაჯულების სასამართლომ (“CJEU”) ფიზიკური პირის კანონიერი წარმომადგენლის მიერ პერსონალური მონაცემების დამუშავების საკითხებზე იმსჯელა.[1]
საქმის ფაქტობრივი გარემოებების თანახმად, მონაცემთა სუბიექტს დაენიშნა ადვოკატი, რომელსაც სამსახურებრივი უფლებამოსილების ფარგლებში მონაცემთა სუბიექტის პირად ინფორმაციასთან ჰქონდა შეხება.
მონაცემთა სუბიექტმა, კანონიერი წარმომადგენლის მიერ სამსახურებრივი უფლებამოსილების განხორციელებისას მოპოვებულ ინფორმაციაზე წვდომის მიზნით, ჰანოვერის ადგილობრივ სასამართლოს (“Amtsgericht Hannover – AG Hannover”) მიმართა. სასამართლომ არ დააკმაყოფილა განცხადება იმ საფუძვლით, რომ კანონიერი წარმომადგენელი, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-4 მუხლის მე-7 პუნქტის შესაბამისად, არ წარმოადგენდა დამუშავებისთვის პასუხისმგებელ პირს, რამდენადაც ასრულებდა სამსახურებრივ უფლებამოსილებას. აღნიშნულიდან გამომდინარე, GDPR”-ის მე-15 მუხლის თანახმად, არ ჰქონდა ინფორმაციაზე წვდომის უზრუნველყოფის ვალდებულება.
მონაცემთა სუბიექტმა ადგილობრივი სასამართლოს მიერ მიღებული გადაწყვეტილება გაასაჩივრა ჰანოვერის რაიონულ სასამართლოში (“Landgericht Hannover - LG Hannover”). სასამართლომ საკითხთან დაკავშირებით განმარტებების მისაღებად მიმართა ევროკავშირის მართლმსაჯულების სასამართლოს კითხვებით:
- რამდენად არის კანონიერი წარმომადგენელი დამუშავებისთვის პასუხისმგებელი პირი “GDPR”-ის მე-4 მუხლის მე-7 პუნქტის შესაბამისად;
- მოეთხოვება თუ არა კანონიერ წარმომადგენელს მონაცემთა სუბიექტისთვის ინფორმაციის წარდგენა “GDPR”-ის მე-15 მუხლის გათვალისწინებით.
ევროკავშირის მართლმსაჯულების სასამართლომ, “GDPR”-ის მე-4 მუხლის მე-7 პუნქტზე დაყრდნობით, დაადგინა,[2] რომ კანონიერი წარმომადგენელი, ამავდროულად, არის დამუშავებისთვის პასუხისმგებელი პირი.
პირველ რიგში, ყურადღება გამახვილდა “GDPR”-ის მე-2 მუხლის მე-2 პუნქტის „გ“ ქვეპუნქტზე, რომელიც პირადი ან ოჯახური საქმიანობის ფარგლებში პერსონალური მონაცემების დამუშავებისას რეგულაციის მოქმედებას გამორიცხავს. კანონიერი წარმომადგენელი პერსონალურ მონაცემებს სამსახურებრივი უფლებამოსილების განხორციელების ფარგლებში ამუშავებდა. კანონიერ წარმომადგენელს ეკისრებოდა ვალდებულება, მისი დაცვის ქვეშ მყოფი პირის სახელით განეხორციელებინა სხვადასხვა აქტივობა. აღნიშნულიდან გამომდინარე, კანონიერი წარმომადგენელი, ასევე, განსაზღვრავდა მონაცემთა დამუშავების მიზნებსა და საშუალებებს.
შესაბამისად, “CJEU”-ს გადაწყვეტილებით, კანონიერი წარმომადგენელი იყო დამუშავებისთვის პასუხისმგებელი პირი და მასზე გავრცელდებოდა “GDPR”-ით დადგენილი ვალდებულებები, მათ შორის, მონაცემთა სუბიექტის მიერ მონაცემებზე წვდომის უფლების უზრუნველყოფა (რეგულაციის მე-15 მუხლი).