2025-02-14

ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება აგდერის უნივერსიტეტის დაჯარიმების შესახებ

ნორვეგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ აგდერის უნივერსიტეტი დააჯარიმა თანამშრომელთა მიერ ინფორმაციაზე წვდომის შეზღუდვის ვალდებულებისა და მონაცემთა უსაფრთხოების წესების დაუცველობისათვის.

დაჯარიმების საფუძველი:

2024 წლის თებერვალში, აგდერის უნივერსიტეტის თანამშრომელმა აღმოაჩინა, რომ სისტემატურად ირღვეოდა პერსონალურ მონაცემთა შემცველი დოკუმენტების შენახვის წესი. პერსონალურ მონაცემთა შემცველი დოკუმენტები “Microsoft Teams”-ის პლატფორმაზე (საქაღალდეებში) ინახებოდა და მასზე წვდომა განურჩევლად საჭიროებისა. ყველა თანამშრომელს ჰქონდა.[1] მონაცემთა უსაფრთხოების დარღვევა იყო დენადი ხასიათის, 2018 წლის აგვისტოდან მოყოლებული (როდესაც უნივერსიტეტის თანამშრომლებმა პროგრამა Microsoft Teams-ის გამოყენება დაიწყეს) 2024 წლის თებერვლამდე პერიოდს მოიცავდა.

საზედამხედველო ორგანოს მთავარი მიგნებები:

2018 წლის აგვისტოდან 2024 წლის თებერვლამდე, თანამშრომელთათვის “Microsoft Teams”-ის სისტემაში, კერძოდ, საქაღალდეებში, თანამშრომლების, სტუდენტების და გარეშე პირების პერსონალური მონაცემების შემცველი ინფორმაცია ღიად იყო ხელმისაწვდომი, და თანამშრომლებს მასზე წვდომა მარტივად, პროგრამა “Microsoft Teams”-ის საქაღალდეებში საძიებო ფუნქციის გამოყენებით ჰქონდათ.

ინფორმაციული უსაფრთხოების აღნიშნული დარღვევა შეეხო 16 000 მონაცემთა სუბიექტის პერსონალურ მონაცემებს, კერძოდ: სახელებს, საიდენტიფიკაციო ნომრებს, სხვადასხვა სტუდენტის საჭიროებაზე მორგებული (ადაპტირებული) გამოცდების შესახებ ინფორმაციას; ინფორმაციას დამატებით გამოცდაზე სტუდენტის გასვლის შესახებ და რა სპეციალური ღონისძიებები ან/და მოწყობილობები იქნა გამოყენებული გამოცდის პროცესში ზოგიერთი სტუდენტის განსაკუთრებული საჭიროებების დაკმაყოფილებისათვის.

მონაცემთა უსაფრთხოების დარღვევა შეეხოთ ასევე უნივერსიტეტთან ასოცირებული, ლტოლვილის სტატუსის მქონე პირების შესახებ ინფორმაციასაც, რაც მოიცავდა მათ საკონტაქტო ინფორმაციას, ასევე, მონაცემებს მათი განათლების და ნორვეგიაში ცხოვრების უფლების შესახებ.

მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება:

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ დარღვევის გამო, კერძოდ, პერსონალურ მონაცემთა უსაფრთხოების ზომების დაუცველობისათვის, ნორვეგიის მონაცემთა დაცვის საზედამხედველო ორგანომ მიიღო გადაწყვეტილება აგდერის უნივერსიტეტის 12 700 ევროს ოდენობით დაჯარიმების შესახებ.

საზედამხედველო ორგანოს შეფასების თანახმად, უნივერსიტეტს ჰქონდა ვალდებულება დაეცვა პერსონალურ მონაცემთა შემცველი ინფორმაციის უსაფრთხოება, კერძოდ, უზრუნველეყო მისი დაცვა არაავტორიზებული წვდომისაგან. აღნიშნულ ინფორმაციაზე წვდომის განხორციელება შესაძლებელი უნდა ყოფილიყო მხოლოდ იმ თანამშრომლებისათვის, რომელთაც ეს აუცილებლად სჭირდებოდათ მათზე დაკისრეული სამუშაოს შესასრულებლად. თანამშრომლებს უნდა ჰქონოდათ წვდომა ინფორმაციაზე მხოლოდ იმ მოცულობით, რაც აუცილებელი იყო მათზე დაკისრებული კონკრეტული სამუშაოს შესრულებისთვის, მონაცემთა მინიმიზაციის პრინციპის გათვალისწინებით.

[1]Norwegian SA issues administrative fine to the University of Agder https://www.edpb.europa.eu/news/national-news/2024/norwegian-sa-issues-administrative-fine-university-agder_en [ 22.11.2024]