2025-02-07

ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომპანია “Meta”-ს მიერ მონაცემთა უსაფრთხოების დარღვევის შესახებ

---

ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილებით კომპანია “Meta” მონაცემთა უსაფრთხოების (ინციდენტის) დარღვევისთვის 251 მილიონი ევროს ოდენობით დაჯარიმდა.[1]

საქმის ფაქტობრივი გარემოებები:

2018  წელს გამოვლენილი ინციდენტი, მსოფლიოს მასშტაბით, სოციალური მედია “Facebook”-ის  29 მილიონ მომხმარებელს შეეხო.  საზედამხედველო ორგანოს “Meta Platforms Ireland Limited”-მა (“MPIL”) მონაცემთა უსაფრთხოების დარღვევის შესახებ მისი აღმოჩენისთანავე აცნობა, რის შედეგადაც საქმის შესწავლა დაიწყო.

2017 წელს “Facebook“-ს დაემატა ვიდეოს ატვირთვის ახალი ფუნქცია, რაც მოგვიანებით მონაცემთა უსაფრთხოების დარღვევის ერთ-ერთი მიზეზი გახდა. ასევე, პლატფორმაზე ხელმისაწვდომი იყო ხელსაწყო სახელწოდებით “View As”, რომელიც საშუალებას აძლევდა მომხმარებლებს საკუთარი პროფილი იმგვარი ფორმატით დაენახათ, როგორც მესამე პირები ― სხვა ანგარიშიდან ნახვის შემთხვევაში.

“Facebook”-ის ვებგვერდზე ამავე პერიოდში გამოვლინდა ტექნიკური ხარვეზი (“Bug”). კერძოდ, თუ მომხმარებელი ვიდეოს “View As“-ის რეჟიმში ატვირთავდა, “Facebook”-ის სხვა ფუნქციის (მაგალითად, ე.წ. “Happy Birthday Composer”) მეშვეობით,  სისტემა გამოიმუშავებდა სპეციალურ კოდს (ე.წ. „მომხმარებლის ჟეტონი“), რომელიც სხვის ანგარიშზე სრული წვდომის შესაძლებლობას მისცემდა მომხმარებელს.

აღნიშნული ტექნიკური ხარვეზი ჰაკერების ყურადღების მიღმა არ დარჩენილა. შედეგად, 2018 წლის 14-დან 28 სექტემბრამდე მათ შეძლეს “Facebook”-ის დაახლოებით 29 მილიონი მომხმარებლის ანგარიშზე წვდომა მსოფლიოს მასშტაბით და შესაბამისად, მონაცემთა სუბიექტების პერსონალური მონაცემების უკანონო დამუშავება. ინციდენტიდან მალევე, “Facebook”-მა, ვიდეოების ატვირთვის გაზრდილი რაოდენობიდან გამომდინარე, მონაცემთა უსაფრთხოების დარღვევის გამომწვევი ზემოაღნიშნული ფუნქციები გამორთო.

მონაცემთა უსაფრთხოების დარღვევა შეეხო სოციალური ქსელის მომხმარებელთა შემდეგ პერსონალურ მონაცემებს: მომხმარებელთა ვინაობა (სახელი და გვარი), ელექტრონული ფოსტის მისამართი, ტელეფონის ნომერი, ადგილსამყოფელი, სამუშაო ადგილი, დაბადების თარიღი, რელიგია, სქესი, მომხმარებელთა მიერ სოციალურ ქსელში განთავსებული პოსტები, ჯგუფები, რომელთა წევრებსა წარმოადგენდნენ ისინი, აგრეთვე, არასრულწლოვანთა პერსონალური მონაცემები.

ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება:

ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 33-ე მუხლის მე-3 და მე-5 პუნქტის დარღვევა დაადგინა, რომელიც საზედამხედველო ორგანოსათვის მონაცემთა უსაფრთხოების დარღვევის შეტყობინების ვალდებულებას ითვალისწინებს, ვინაიდან დამუშავებისთვის პასუხისმგებელმა პირმა ინციდენტის შეტყობინებისას არასრულყოფილი ინფორმაცია მიაწოდა საზედამხედველო ორგანოს. დარღვევიდან გამომდინარე, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი 11 მილიონი ევროს ოდენობით დაჯარიმდა.

საზედამხედველო ორგანომ, ასევე, დაადგინა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 25-ე მუხლის პირველი და მეორე პუნქტის დარღვევა, რომელთა მიხედვით, უახლესი ტექნოლოგიების, განხორციელების ხარჯების, დამუშავების ხასიათის, მასშტაბის, კონტექსტისა და მიზნების, ასევე, მონაცემთა სუბიექტის უფლებებისა და თავისუფლებებისათვის სავარაუდო რისკების გათვალისწინებით, მონაცემთა დამუშავებისთვის პასუხისმგებელმა პირი ვალდებულია, გაატაროს სათანადო ტექნიკური და ორგანიზაციული ზომები. ამასთანავე, მონაცემთა დამუშავებისთვის პასუხისმგებელი პირი ვალდებულია, უზრუნველყოს ისეთი ტექნიკური და ორგანიზაციული ზომების გატარება, რომ ავტომატურად დამუშავდეს მხოლოდ ის მონაცემები, რომლებიც აუცილებელია დამუშავების კონკრეტული მიზნისთვის. აღნიშნული ვალდებულება ვრცელდება შეგროვებული მონაცემების რაოდენობაზე, მონაცემთა დამუშავების მასშტაბებზე, შენახვის ვადებსა და წვდომაზე. ძირითადი რეგულაციის 25-ე მუხლის პირველი და მეორე პუნქტის დარღვევის გამო დამუშავებისთვის პასუხისმგებელი პირი ჯამში 250 მილიონი ევროს ოდენობით დაჯარიმდა.