2025-03-25

ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ სახელმძღვანელო რეკომენდაციის გამოქვეყნების შესახებ პერსონალურ მონაცემთა შემცველი ინფორმაციის არასწორ ადრესატთან გაგზავნის თაობაზე

მონაცემთა უსაფრთხოების დარღვევის (ინციდენტის) შედეგად, შესაძლოა, მონაცემთა სუბიექტის პერსონალური მონაცემები ხელმისაწვდომი გახდეს მესამე პირთათვის. ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ინდივიდების, ორგანიზაციებისა და დაწესებულებებისათვის ინფორმაციის არასწორად მიღების შემთხვევათა მართვის მიზნით, სახელმძღვანელო რეკომენდაცია შეიმუშავა. ამასთან, მისი დახმარებით პერსონალურ მონაცემთა დამუშავებისთვის პასუხისმგებელი პირები პრაქტიკულ რჩევებს მიიღებენ პერსონალურ მონაცემთა შემცველი ინფორმაციის არასწორ ადრესატთან გაგზავნის შემთხვევებზე რეაგირების თაობაზე.[1]

ფიზიკურ პირთათვის სახელმძღვანელო რეკომენდაცია სხვა პირისთვის განკუთვნილ პერსონალურ მონაცემთა შემცველი ინფორმაციის შეცდომით მიღების დროს გამოსაყენებლად.

იმ შემთხვევაში, თუ მონაცემთა დამუშავებაზე პასუხისმგებელი პირი (ფიზიკური პირი, კომპანია ან დაწესებულება) ამუშავებს მონაცემთა სუბიექტის პერსონალურ მონაცემებს და დამუშავების პროცესში შემთხვევით არასწორ ადრესატს გადასცემს მის პერსონალურ მონაცემებს, სახეზეა მონაცემთა უსაფრთხოების დარღვევა (ინციდენტი). მაგალითად, ამგვარი ინციდენტის შემთხვევებს წარმოადგენს: ბანკის მიერ ამონაწერის არასწორ მომხმარებელთან გაგზავნა ელექტრონული ფოსტის საშუალებით, დაწესებულების მიერ წერილის არასწორ მისამართზე გაგზავნა, ფოსტის მიერ ამანათის არასწორ მისამართზე მიტანა ან კლინიკის მიერ ჯანმრთელობის შესახებ ინფორმაციის შემცველი წერილის გაგზავნა სხვა პაციენტთან. [2]

საზედამხედველო ორგანოს რეკომენდაციით, სხვა ადრესატისთვის გამიზნული პერსონალური მონაცემების მიღების შემთხვევაში, მიზანშეწონილია ინდივიდმა იმოქმედოს სწრაფად, რათა შეამციროს აღნიშნული შეცდომისაგან გამომდინარე რისკები, აგრეთვე:

მოახდინოს მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის იდენტიფიცირება (მაგალითად, ელექტრონული ფოსტის მისამართის ან საკონტაქტო ინფორმაციის საშუალებით) და აცნობოს მას შეცდომის შესახებ. შეცდომით გაგზავნილი ინფორმაციის მიმღები არ უნდა დაელოდოს გამოხმაურებას აღნიშნული უზუსტობის თაობაზე, არამედ საჭიროა, რომ იგი პირადი ინიციატივით დაუკავშირდეს დამუშავებისთვის პასუხისმგებელ პირს.
მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის იდენტიფიცირების მიზნებისათვის, არ არის რეკომენდებული ინფორმაციის მესამე პირთან ან სოციალური მედიის საშუალებით გაზიარება.
არ უნდა გახსნას შეტყობინების დანართები.
იმ შემთხვევაში, თუ ეს შესაძლებელია, შეათანხმოს დამუშავებისთვის პასუხისმგებელ პირთან შეცდომაზე რეაგირების საკითხი. შესაძლოა, საკმარისი იყოს შეცდომით მიღებული ელექტრონული ფოსტის წაშლა ან დამუშავებისთვის პასუხისმგებელმა პირმა არასწორ მისამართზე გაგზავნილი წერილის ან ამანათის უკან დასაბრუნებლად გააგზავნოს კურიერი.
იმ შემთხვევაში, თუ დამუშავებისთვის პასუხისმგებელი პირის იდენტიფიცირება შეუძლებელია, ინფორმაციის მიმღები პირი აუცილებელია დაუკავშირდეს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს.
რეკომენდებული არ არის იმ მონაცემთა სუბიექტთან დაკავშირება, ვისაც შეეხება პერსონალური მონაცემები, ვინაიდან, აღნიშნული წარმოადგენს პერსონალურ მონაცემთა დამუშავებას მონაცემთა სუბიექტის შესახებ. მონაცემთა მიმღები პირი უნდა დაუკავშირდეს არა მონაცემთა სუბიექტს, არამედ მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს.

სახელმძღვანელო რეკომენდაცია დაწესებულებებისა და ორგანიზაციებისათვის:

ხშირ შემთხვევაში, დაწესებულებები ან კომპანიები შეცდომით იღებენ მონაცემთა სუბიექტების პერსონალური მონაცემების შემცველ ინფორმაციას. მაგალითად, ორგანიზაციის მიერ სხვისთვის გამიზნული წერილის ან ამანათის მიღების, მომხმარებლის მიერ ნაკლის მქონე პროდუქტის ფოტოსურათის ვებგვერდზე ატვირთვის მცდელობისას, შემთხვევით, სხვა ფოტოსურათის გაზიარების, მეილის ადრესატის მითითების შემთხვევაში დაშვებული შეცდომის, დოკუმენტების ან ელექტრონული მოწყობილობების ოფისის ან დაწესებულების ტერიტორიაზე გაუფრთხილებლობით დატოვების გზით.[3]

იმ შემთხვევაში, როდესაც ინფორმაცია გამიზნულად თუ შემთხვევით აღმოჩნდება ორგანიზაციის ან დაწესებულების ხელთ, იგი ვალდებულია იმოქმედოს იმგვარად, რომ უნებლიედ არ დაამუშაოს სხვისთვის განკუთვნილი პერსონალური მონაცემების შემცველი ინფორმაცია. საჭიროა, მხედველობაში იქნას მიღებული მონაცემთა დამუშავების ფართო განმარტება, რაც გულისხმობს, რომ მონაცემთა დამუშავება ხორციელდება არა მხოლოდ აქტიური მოქმედების გზით, არამედ მათი შენახვის გზითაც.

საზედამხედველო ორგანოს რეკომენდაციის თანახმად, სხვისთვის გამიზნული პერსონალური მონაცემების მიღების შემთხვევაში, მიზანშეწონილია:

გამომგზავნისათვის ელექტრონული ფოსტის შეტყობინებაზე დაუყოვნებლივ პასუხის გაცემა და შეცდომის შესახებ ინფორმაციის მიწოდება, ასევე, მეილის წაშლა, მისი დანართების ნახვის გარეშე;
წერილის შინაარსის გაცნობისაგან თავის შეკავება;
წერილის/ამანათის კანონიერი ადრესატისათვის გადაცემის მიზნით შენახვის დროს, საჭიროა მათი უსაფრთხო გარემოში შენახვა, სადაც მასზე შემთხვევითი წვდომა ან მისი განადგურება ვერ განხორციელდება.

თუ კანონიერი ადრესატის პოვნა შეუძლებელია, მიზანშეწონილია, რომ კომპანია ან დაწესებულება დაუკავშირდეს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს, რომელიც დამუშავებისთვის პასუხისმგებელ პირს გაუწევს რეკომენდაციას მონაცემთა დაცვასთან დაკავშირებული ვალდებულებების შესრულების თაობაზე.

[1] Guidance for Data Controllers who Lose Control of Data to a Third Party.

[2] Guidance for Individuals who Accidentally Receive Personal data;

[3] Guidance for Organisations Accidentally in Receipt of Personal Data