2025-02-03

გადაწყვეტილება ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მონაცემთა უსაფრთხოების დარღვევასთან დაკავშირებით

---

2024 წლის 6 დეკემბერს, ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ გამოაქვეყნა გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ. საზედამხედველო ორგანომ აღნიშნული საქმის შესწავლა 2019 წლის ივლისში, საკუთარი ინიციატივის საფუძველზე დაიწყო, რასაც წინ უსწრებდა 2018 წლის ნოემბერში ერთ-ერთი უნივერსიტეტის  (“Maynooth University”) მიმართვა საზედამხედველო ორგანოსადმი  პერსონალურ მონაცემთა უსაფრთხოების დარღვევასთან, კერძოდ, კიბერთაღლითობის გავრცელებულ ფორმასთან, „ფიშინგთან“[1] დაკავშირებით. [2]

საქმის ფაქტობრივი გარემოებები:

მონაცემთა უსაფრთხოების დარღვევა გავრცელდა უნივერსიტეტის ექვსი თანამშრომლის სამსახურებრივ ელექტრონული ფოსტის ანგარიშებზე. არაავტორიზებულმა პირებმა ანგარიშები გამოიყენეს უკანონოდ და არამართლზომიერად, თაღლითობის ჩადენის მიზნით. დანაშაულებრივი ქმედების შედეგად მატერიალური ზიანი განიცადა მონაცემთა ერთმა  სუბიექტმა.

 

 

საზედამხედველო ორგანოს გადაწყვეტილება:

საზედამხედველო ორგანომ შეაფასა უნივერსიტეტის მიერ პერსონალურ მონაცემთა დამუშავებისას მონაცემთა უსაფრთხოების უზრუნველსაყოფად გატარებული ტექნიკური და ორგანიზაციული ზომები. შესწავლილ იქნა მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის მიერ მონაცემთა უსაფრთხოების დარღვევის შესახებ დროული შეტყობინების ვალდებულების საკითხიც.

საზედამხედველო ორგანოს გადაწყვეტილების თანახმად, დადგინდა შემდეგი დარღვევები:

• ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 32-ე და 5(1)(ფ) მუხლების დარღვევა, პერსონალურ მონაცემთა დამუშავებისას სათანადო ტექნიკური და ორგანიზაციული ზომების გაუტარებლობის შესახებ მონაცემთა უსაფრთხოების უზრუნველსაყოფად;
• ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 33(1) მუხლის დარღვევა, საზედამხედველო ორგანოსათვის მონაცემთა უსაფრთხოების ხელყოფის შესახებ 72 საათის განმავლობაში შეუტყობინებლობა.

საზედამხედველო ორგანომ აღნიშნულ დარღვევებთან დაკავშირებით უნივერსიტეტს შენიშვნა გამოუცხადა,  აგრეთვე, დააკისრა ადმინისტრაციული ჯარიმა 40 000  ევროს ოდენობით  და  დაავალა მონაცემთა დამუშავების მოქმედებების „მონაცემთა დაცვის ძირითად რეგულაციასთან“ შესაბამისობაში მოყვანა. საზედამხედველო ორგანომ ხაზგასმით აღნიშნა ინფორმაციის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მოთხოვნებთან შესაბამისად დამუშავების საჭიროება და მონაცემთა შესაბამისი უსაფრთხოების წესების გათვალისწინებისა და სათანადო ტექნიკური და ორგანიზაციული ღონისძიებების გატარების ვალდებულება. ამავდროულად აღინიშნა, რომ ინციდენტის შესახებ მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირმა საზედამხედველო ორგანოს უნდა შეატყობინოს დაუყოვნებლივ, მონაცემთა უსაფრთხოების დარღვევის შესახებ შესაბამისი ინფორმაციის მიღების შემდგომ.