2024-10-17

ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ

---

ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ერთ-ერთ საგანმანათლებლო დაწესებულებაში მონაცემთა უსაფრთხოების დარღვევის შესახებ გადაწყვეტილება მიიღო.[1]

 

ფაქტობრივი გარემოებები:

2018 წლიდან აგდერის უნივერსიტეტი სასწავლო პროცესში აქტიურად იყენებდა საკომუნიკაციო პლატფორმებს: “MS Teams”-სა და “Sharepoint”-ს. მოგვიანებით, უნივერსიტეტის თანამშრომელმა შეიტყო, რომ “MS Teams”-ის საქაღალდე ყველა თანამშრომელსა და სტუდენტს ანიჭებდა პერსონალურ მონაცემების შემცველ დოკუმენტებზე წვდომას. მაგალითისთვის, 4 დოკუმენტი მიემართებოდა 4 851 თანამშრომლისა და 10 419 გარეშე პირის (2014 წლამდე) მონაცემებს, ხელმისაწვდომი იყო მათ შორის იმგვარი მონაცემები, როგორიცაა: სახელები, პირადი ნომრები, თანამშრომლის ნომრები, თანამდებობიდან გათავისუფლების თარიღები და ორგანიზაციული ერთეულები. უფრო მეტიც, დოკუმენტი შეიცავდა 568 სტუდენტის საგამოცდო ნაშრომსა და 64 უკრაინელი ლტოლვილის პირად მონაცემებს.

თანამშრომლის მიერ აღნიშნულის თაობაზე უნივერსიტეტის ინფორმირების შემდეგ, მონაცემთა დამუშავებისთვის პასუხისმგებელ პირმა დაუყოვნებლივ შეცვალა “MS Teams”-ის საქაღალდეების წვდომის პარამეტრები. განახლებული პარამეტრების მიხედვით, საქაღალდეზე წვდომა შესაძლებელი გახდა მხოლოდ საქაღალდის მფლობელის დადასტურების შემთხვევაში.

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 33-ე მუხლის შესაბამისად, დამუშავებისთვის პასუხისმგებელმა პირმა მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) შესახებ შეატყობინა ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“Datilsynet”). ძირითადი რეგულაციის 34-ე მუხლის შესაბამისად, მან აღნიშნული, ასევე, შეატყობინა შესაბამის მონაცემთა სუბიექტებს. გარდა ამისა, უნივერსიტეტმა თავის ვებგვერდზე გამოაქვეყნა მონაცემთა უსაფრთხოების დარღვევის შესახებ დეტალური ინფორმაცია. იქიდან გამომდინარე, რომ „ლოგირების“ შესახებ ჩანაწერები მხოლოდ გასულ 6 თვეს მოიცავდა, მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა ვერ დაადასტურა ჩამოტვირთეს თუ არა გაზიარებული მონაცემები თანამშრომლებმა ან სტუდენტებმა.

 

გადაწყვეტილების დასაბუთება:

• ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ  დაადგინა, რომ საკითხთან მიმართებით დაირღვა კონფიდენციალობის უფლება, ვინაიდან პერსონალური მონაცემები ხელმისაწვდომი გახდა უნივერსიტეტის დაახლოებით 1 200 თანამშრომლისთვის და 12 000 სტუდენტისთვის.
• გარდა ამისა, დამუშავებისთვის პასუხისმგებელ პირს არ ჰქონდა კანონთან შესაბამისი „ლოგირების“ მექანიზმი, რამაც შეუძლებელი გახადა იმის შეფასება, თუ რამდენ ადამიანს ჰქონდა წვდომა მონაცემებზე.
• ამავდროულად, უნივერსიტეტმა ვერ განახორციელა, მათ შორის, თანამშრომლების ტრენინგი პროგრამის (“MS Teams”) გამოყენებასთან დაკავშირებით შესაბამისი შიდა პროცედურები.
• ასევე, არასწორად განისაზღვრა პროგრამის თავდაპირველი პარამეტრი. შესაბამისად, არ მოწმდებოდნენ ის თანამშრომლები, რომელთაც წვდომა ჰქონდათ “MS Teams”-ის საქაღალდეებზე.
• მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა ვერ უზრუნველყო უსაფრთხოების შესაბამისი ზომები ძირითადი რეგულაციის 24-ე და 32-ე მუხლის მიხედვით, რამაც გამოიწვია მონაცემთა უსაფრთხოების დარღვევა.

 

 

მიღებული გადაწყვეტილება:

ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ აღნიშნა, რომ მართალია, მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა განაახლა “MS Teams”-ის პარამეტრები, თუმცა დარღვევის სიმძიმიდან  (კერძოდ, იმ პირების რაოდენობა, ვისაც პოტენციურად მიუწვდებოდა ხელი მონაცემებზე) გამომდინარე, აუცილებლად მიიჩნია საზედამხედველო ორგანოს რეაგირება.

პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 24-ე და 32-ე მუხლის დარღვევა, შედეგად, აგდერის უნივერსიტეტს დაეკისრა ჯარიმა 12 700 ევროს ოდენობით.