2024-12-02

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება სამართალდამცავი ორგანოს მიერ მონაცემთა უსაფრთხოების დარღვევის შესახებ

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“ICO”) ჩრდილოეთ ირლანდიის საპოლიციო სამსახურის (“The Police Service of Northern Ireland”) მიერ მონაცემთა უსაფრთხოების დარღვევასთან დაკავშირებით გადაწყვეტილება[1] მიიღო. საქმე შეეხებოდა ვებგვერდის მეშვეობით 9 483 პოლიციელისა და თანამშრომლის პერსონალური მონაცემების საჯარო გაზიარებას.[2]

ფაქტობრივი გარემოებები:

ჩრდილოეთ ირლანდიის საპოლიციო სამსახურის (“PSNI”) მონაცემთა ბაზა აერთიანებდა პოლიციის ოფიცრებისა და სამსახურის თანამშრომელთა პერსონალურ ინფორმაციას, კერძოდ: გვარი და სახელის ინიციალი; სამსახურებრივი მოვალეობა; დაკავებული თანამდებობა; დეპარტამენტი; სამუშაო ადგილსამყოფელი; თანამშრომელთან დადებული ხელშეკრულების სახე; სქესი; სამსახურის ნომერი.

საქმის ფაქტობრივი გარემოებების თანახმად, ჩრდილოეთ ირლანდიის საპოლიციო სამსახური მუდმივად განიხილავდა განმცხადებელთა მოთხოვნებს სამსახურში დასაქმებულ პირთა შესახებ საჯარო ინფორმაციის მიწოდების თაობაზე. აღნიშნული მიზნით იგი იყენებდა ზემოხსენებულ მონაცემთა ბაზას. აღსანიშნავია, რომ ადამიანური რესურსების ანალიზის მიზნებისთვის პოლიციის თანამშრომლების პერსონალური მონაცემები მუშავდებოდა საოფისე პროგრამა - “Excel”-ში.

2024 წლის 8 აგვისტოს, საჯარო ინფორმაციის მოთხოვნაზე პასუხის მომზადების პროცესში, სამსახურის თანამშრომლებისა და პოლიციის ოფიცერთა პერსონალური მონაცემები შეცდომით გამოქვეყნდა სამსახურის ვებგვერდზე. “Excel”-ის ცხრილში წარმოდგენილი იყო მრავალი გვერდი (მათ შორის, დაფარული გვერდები), რომელშიც ასახული იყო სამსახურის თანამშრომელთა პერსონალური მონაცემები.

გადაწყვეტილების დასაბუთება:

“ICO”-მ აღნიშნა, რომ საპოლიციო სამსახური, პერსონალური მონაცემების შემთხვევით გამოქვეყნებამდეც, არღვევდა გაერთიანებული სამეფოს „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-5(1)(f) (ვადის შეზღუდვის პრინციპი) და 32(1)(2)-ე (მონაცემთა დამუშავების უსაფრთხოება) მუხლებს. საზედამხედველო ორგანოს განმარტებით, მონაცემთა უსაფრთხოების დარღვევას შეიძლებოდა, ადგილი ჰქონოდა მითითებული დროის ნებისმიერ მონაკვეთში. აღნიშნული ძირითადად განპირობებული იყო შემდეგი გარემოებებით:

საჯარო ინფორმაციის მოთხოვნის ფარგლებში სამსახურის მიერ თანამშრომელთა პერსონალური მონაცემების დამუშავების ფორმა და სიხშირე, რაც ზრდიდა პერსონალური ინფორმაციის გამჟღავნების რისკებს;
“Excel”-ის ცხრილში მონაცემების ასახვა და გაზიარება, რომლითაც იზრდებოდა ადამიანური შეცდომის დაშვების ალბათობა;
სამსახურის დაახლოებით 10 000 თანამშრომლისა და ოფიცრის პერსონალური ინფორმაციის დამუშავება, რაც წარმოშობდა რისკებს მათი უფლებებისა და თავისუფლებების დაცვის თვალსაზრისით;
საჯარო ინფორმაციის მოთხოვნაზე პასუხების საჯაროდ ხელმისაწვდომობა;
დამუშავებული პერსონალური მონაცემების სახეები, როგორიცაა მონაცემთა სუბიექტის თანამდებობა, სქესი, სამუშაო ადგილსამყოფელი, რაც იძლეოდა პირთა იდენტიფიცირების საშუალებას.

საზედამხედველო ორგანომ აგრეთვე აღნიშნა, რომ პერსონალური მონაცემების დამუშავების პროცესში არ იყო უზრუნველყოფილი სათანადო ტექნიკური და ორგანიზაციული უსაფრთხოების ზომები, მაგალითად, როგორიცაა: ადმინისტრაციული პერსონალის გადამზადება.

მიღებული გადაწყვეტილება:

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ, ჯარიმის დაკისრებისას, გაითვალისწინა მონაცემთა უსაფრთხოების დარღვევის ხანგრძლივობა და სიმძიმე, რის გამოც ჩრდილოეთ ირლანდიის საპოლიციო სამსახურს დაეკისრა ჯარიმა 89 930 ევროს ოდენობით.

[1] Decision of Information Commissioner’s Office (ICO), Penalty Notice Police Service of Northern Ireland, 26.09.2024, <https://ico.org.uk/media/action-weve-taken/mpns/4031177/psni-penalty-notice.pdf>, [5.11.2024].

[2] GDPR hub, Decision of DPA (ICO), ICO (UK) - Police Service of Northern Ireland,

<https://gdprhub.eu/index.php?title=ICO_(UK)_-_Police_Service_of_Northern_Ireland>, [5.11.2024].