2025-03-26
ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს (“AEPD”) გადაწვეტილება საფოსტო კომპანიის 200 000 ევროს ოდენობით დაჯარიმების შესახებ
ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“AEPD”) საფოსტო კომპანია მონაცემთა უსაფრთხოების დარღვევასთან (ინციდენტი) დაკავშირებული პრევენციული ზომების განუხორციელებლობისთვის 200 000 ევროს ოდენობით დააჯარიმა.[1]
საქმის ფაქტობრივი გარემოებები:
2022 წლის 22 სექტემბერს ქალაქ ლა პალმას ადგილობრივმა პოლიციამ ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს საჩივრით მიმართა. საჩივარი შეეხებოდა მიტოვებულ მიწის ნაკვეთზე 1 404 საფოსტო წერილის აღმოჩენის საკითხს. წერილები გაგზავნილი იყო 2022 წლის თებერვალსა და მარტში. აღსანიშნავია, რომ მათზე გამოსახული ლოგო მიწოდების ვალდებულების მქონე საფოსტო კომპანიის იდენტიფიცირებას ხდიდა შესაძლებელს.
2022 წლის 17 ნოემბერს ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მიიღო კიდევ ერთი შეტყობინება ბალეარის კუნძულების პოლიციისგან, რომელიც იუწყებოდა, რომ ლა პალმას ორ ლოკაციაზე დამატებით 5 354 წერილი იქნა აღმოჩენილი. პოლიციის მიერ მიწოდებული დოკუმენტაციის მიხედვით, წერილების უმრავლესობა დალუქული, თუმცა მათი ნაწილის მთლიანობა დარღვეული იყო.
2022 წლის 28 დეკემბერს ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ საკითხის შესწავლა დაიწყო და მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს — საფოსტო კომპანიას საჩივრების შესახებ აცნობა, რომელმაც შემდგომში მის მიერ განხორციელებული პრევენციული ზომების შესახებ ინფორმაცია წარადგინა. კერძოდ, საფოსტო კომპანიის განმარტებით, დადგენილ იქნა ინციდენტზე პასუხისმგებელი თანამშრომლების ვინაობა და მათ მიმართ დისციპლინური დევნა დაიწყო. ამასთან, კომპანიამ აღნიშნა, რომ აღმოჩენილი წერილები არ იყო გახსნილი, შესაბამისად, არ არსებობდა მონაცემთა სუბიექტების უფლებებისა და თავისუფლებების დარღვევის რისკი.
პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილების დასაბუთების თანახმად, მიუხედავად იმისა, რომ მონაცემთა დამუშავებისათვის პასუხისმგებელმა პირმა დასაქმებულთა მიერ ხელმოწერილი კონფიდენციალობის დაცვის შესახებ შეთანხმება წარადგინა, თუმცა ინციდენტის პრევენციის ორგანიზაციული ზომების განხორციელებასთან დაკავშირებით შესაბამისი მტკიცებულებები არ წარუდგენია.
ესპანეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა, რომ დამსაქმებლები არ უზრუნველყოფდნენ დასაქმებულთათვის სამუშაოს სპეციფიკის შესახებ სათანადო ცნობების მიწოდებას, ისინი თანამშრომლებს მხოლოდ შრომითი ურთიერთობის საწყის ეტაპზე - ერთსაათიან ტრენინგს უტარებდნენ.
საზედამხედველო ორგანომ მიიჩნია, რომ საფოსტო კომპანიაში არ არსებობდა შესაბამისი სისტემა, რომლის მეშვეობითაც დადგინდებოდა მიაღწია თუ არა წერილებმა განსაზღვრულ მისამართზე. აღნიშნული სისტემა, საფოსტო სერვისის განმახორციელებელი კომპანიის საქმიანობიდან გამომდინარე, არსებითად საჭიროდ იქნა მიჩნეული.
ესპანეთის პერსონალურ მონაცემთა საზედამხედველო ორგანომ კომპანიის მიერ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) 5(1)(f) და 32-ე მუხლების დარღვევა დაადგინა, რის საფუძველზეც 200 000 ევროს ოდენობით ჯარიმის გადახდა დააკისრა .
დამატებით, საზედამხედველო ორგანომ მონაცემთა დამუშავებისათვის პასუხისმგებელ პირს წერილების ადგილმდებარეობის კონტროლის (“tracking system”) შესაბამისი სისტემის დანერგვა, ასევე დასაქმებულთათვის თავიანთი საქმიანობის პროცესის ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მოთხოვნებთან შესაბამისობის მიზნით ტრენინგების გამართვა დაავალა.