2024-10-03
ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მომხმარებელთა პაროლების შენახვის წესების დარღვევის გამო კომპანია „მეტას“ დაჯარიმების შესახებ
საზედამხედველო ორგანომ კომპანია „მეტა“ 91 მილიონი ევროს ოდენობით დააჯარიმა. [1]
საქმის ფაქტობრივი გარემოებები:
ინსპექტირების დაწყების საფუძველი თავად კომპანია „მეტას“ მიერ საზედამხედველო ორგანოსადმი მიმართვა გახდა. კომპანიამ საზედამხედველო ორგანოს შიდა სისტემებში უნებლიედ, წინასწარი შეცნობის გარეშე, სოციალური მედია პლატფორმის მომხმარებელთა პაროლების პერსონალურ მონაცემთა დაცვის ზომების გატარების გარეშე,[2] ჩვეულებრივი ტექსტის გამოყენებით (კრიპტოგრაფიული დაცვის ან დაშიფვრის გარეშე) შენახვის შესახებ აცნობა.
საზედამხედველო ორგანომ ინსპექტირების პროცესში შეაფასა კომპანია „მეტას“ მიერ გატარებული მონაცემთა უსაფრთხოების ზომების შესაბამისობა „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან, აგრეთვე, იმ რისკებთან, რომელთანაც ასოცირდება კონკრეტული ტიპის მონაცემის (ამ შემთხვევაში, პლატფორმის მომხმარებელთა პაროლების) დამუშავება.
„მონაცემთა დაცვის ძირითადი რეგულაციის“ დარღვევა:
ძირითადი რეგულაცია მონაცემთა დამუშავებისთვის პასუხისმგებელ პირებს ავალდებულებს, რომ მონაცემთა დამუშავების კონტექსტიდან გამომდინარე, დანერგონ მომხმარებელთა კონფიდენციალურობის დარღვევის რისკების შესაბამისი დაცვის ღონისძიებები. აღნიშნული უზრუნველყოფს მონაცემთა უსაფრთხოების რისკების შემცირებას.
საქმის ფაქტობრივი გარემოებების შესწავლის შედეგად, საზედამხედველო ორგანომ გამოავლინა ძირითადი რეგულაციის შემდეგი დარღვევები:
- ძირითადი რეგულაციის 33-ე მუხლის პირველი პუნქტის დარღვევა, ვინაიდან კომპანიამ არ აცნობა მონაცემთა დაცვის საზედამცედველო ორგანოს მონაცემთა უსაფრთხოების ინციდენტის შესახებ. უსაფრთხოების ინციდენტი ეხებოდა მომხმარებელთა პატოლების დაცვას, სათანადო ღონისძიებების გარეშე და მარტივი ტექსტის ფორმით (“plain text format”) შენახვას;
- 33-ე მუხლის მეხუთე პუნქტის დარღვევა, ვინაიდან კომპანიამ ვერ უზრუნველყო მონაცემთა უსაფრთხოების ინციდენტის დოკუმენტირება;
- მე-5 მუხლის პირველი (f) პუნქტის დარღვევა[3], რადგან კომპანიამ არ გამოიყენა შესაბამისი ტექნიკური და ორგანიზაციული ზომები არაავტორიზებული დამუშავებისგან მომხმარებელთა პაროლების დასაცავად;
- 32-ე მუხლის პირველი პუნქტის დარღვევა, ვინაიდან კომპანიამ არ გამოიყენა რისკთან შესაბამისი ტექნიკური და ორგანიზაციული ზომები, მაგალითად, მომხმარებელთა პაროლების უსაფრთხოებისთვის პაროლების კონფიდენციალურობის მუდმივად განახლებადი დაცვის ღონისძიებების დანერგვა (“ongoing confidentiality of user passwords”.)
გადაწყვეტილების გამოქვეყნებამდე, 2024 წლის ივნისში ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მის მიერ მიღებული პირველადი გადაწყვეტილება სამუშაო ვერსიის სახით (”draft decision”), „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-60 მუხლით გათვალისწინებული წესებისა და პროცედურების დაცვით, გაუზიარა ევროკავშირის წევრი ქვეყნების კოლეგა საზედამხედველო ორგანოებს, რომელთაც გადაწყვეტილებასთან დაკავშირებით საწინააღმდეგო პოზიცია არ გამოუთქვამთ.
საზედამხედველო ორგანოს ძირითადი მიგნებები:
საზედამხედველო ორგანოს გადაწყვეტილების თანახმად, მომხმარებელთა პაროლები არ უნდა იქნეს შენახული მარტივი ტექსტური ფორმით „plaintext”[4], ვინაიდან წინამდებარე მონაცემებზე წვდომის და მისი არამართლზომიერი გამოყენების შედეგად, მონაცემთა სუბიექტების უფლებების შელახვის რისკები მაღალია.
საყურადღებოა, რომ ამგვარი სახის მონაცემი (მომხმარებლის პაროლები) განსაკუთრებული სიფრთხილით უნდა დამუშავდეს, ვინაიდან მათი არამართლზომიერი გამოყენება უკავშირდება მონაცემთა სუბიექტების პირადი სოციალური მედიის ანგარიშებზე არაავტორიზებული წვდომის რისკს.
ყოველივე ზემოაღნიშნულიდან გამომდინარე, ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებით, კომპანია „მეტას“ სამართალდარღვევებისათვის დაეკისრა ჯარიმა 91 მილიონი ევროს ოდენობით.
[3] მონაცემთა დაცვის ძირითადი რეგულაციის მუხლი 5(1)(f).