2025-04-04

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა დაცვის ოფიცრის დანიშვნის ბათილობის თაობაზე

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ კომპანიის (“Studio Riabilitazione Creditizia srls”) მიერ პერსონალურ მონაცემთა დამუშავების კანონიერება შეისწავლა და ის ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მრავლობითი დარღვევისთვის დააჯარიმა. საზედამხედველო ორგანოს მიერ კომპანიის შემოწმების საფუძველი ბანკისაგან მიღებული შეტყობინება გახდა, რომლის თანახმად, კომპანიის იურიდიულმა წარმომადგენელმა ბანკისაგან სათანადო უფლებამოსილების გარეშე, არაერთხელ გამოითხოვა სხვადასხვა ფიზიკური პირის შესახებ ფინანსური მონაცემები, რაც ბანკის მოსაზრებით, მათი არამიზნობრივი გამოყენების რისკს ქმნიდა.[1]

კომპანიის საკრედიტო საქმიანობასთან დაკავშირებული ბიზნეს-მოდელი:

კომპანია მომხმარებლებს საკრედიტო „შავი სიიდან“ ამოშლის მომსახურებას სთავაზობდა. მომხმარებლები კომპანიის შესახებ ინფორმაციას ძირითადად ინტერნეტით იღებდნენ და კომუნიკაციას ტელეფონისა და ელექტრონული ფოსტის საშუალებით ამყარებდნენ. კომპანია აგროვებდა და ინახავდა მომხმარებელთა პერსონალურ მონაცემებს: სახელი, გვარი, საკონტაქტო ინფორმაცია და ფინანსური მონაცემები. აღნუშნულ მონაცემებზე დაყრდნობით კი საკრედიტო ინფორმაციის ბიუროებსა და ფინანსურ ინსტიტუტებში სხვადასხვა მოთხოვნას აგზავნიდა.

საზედამხედველო ორგანოს ძირითადი მიგნებები გამოვლენილ დარღვევებთან მიმართებით:

საზედამხედველო ორგანომ დაადგინა, რომ კომპანია მონაცემთა სუბიექტების პერსონალურ მონაცემებს მათი თანხმობის გარეშე აგროვებდა, აგრეთვე, მონაცემთა დამუშავებაში ჩართულ მესამე პირებთან დამუშავებისთვის პასუხისმგებელ პირს არ გაუფორმებია შესაბამისი ხელშეკრულებები. ამასთან, საზედამხედველო ორგანომ დაადგინა მონაცემთა უსაფრთხოების დარღვევებიც („ინციდენტი“), კერძოდ:

მონაცემთა მონაცემთა სუბიექტის მფლობელობაში სხვადასხვა პერიოდში არსებული, სხვადასხვა კომპანიის შესახებ მონაცემების ერთ სივრცეში შენახვა და მათი წაშლის ვადის დაუდგენლობა;
ფიზიკური დოკუმენტაციის შენახვა ოფისის კაბინეტებში და საწყობში, წაშლის ან განადგურების მონაცემთა დაცვის შესაბამისი პილიტიკის გარეშე;
დადგინდა, რომ კომპანიას დანიშნული ჰყავდა პერსონალურ მონაცემთა დაცვის ოფიცერი, მაგრამ მისი დანიშვნის შესახებ ინფორმაცია მონაცემთა დაცვის საზედამხედველო ორგანოს არ წარუდგინა;
გარდა ზემოაღნიშნული დარღვევებისა,კომპანიამ პასუხი დროულად არ გასცა და სათანადოდ არ ითანამშრომლა მონაცემთა დაცვის საზედამხედველო ორგანოსთან.

მონაცემთა დაცვის ოფიცრის უფლებამოსილების საკითხი ¾ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 37-ე და 38-ე მუხლების დარღვევა:

საკითხის შესწავლის პროცესში დადგინდა, რომ კომპანიამ მონაცემთა დაცვის ოფიცრად საკუთარი იურიდიული წარმომადგენელი დანიშნა. წინამდებარე პირის მონაცემთა დაცვის ოფიცრად დანიშვნის შესახებ ინფორმაცია გამოქვეყნდა კომპანიის ვებგვერდზე. ამის შესახებ ინფორმაცია ასევე მიეწოდათ კომპანიის მომხმარებლებს, თუმცა არ ეცნობა მონაცემთა დაცვის საზედამხედველო ორგანოს.

ძირითადი რეგულაციის პრეამბულის 97-ე მუხლის თანახმად, მონაცემთა დაცვის ოფიცერი მასზე დაკისრებულ ფუნქცია-მოვალეობების შესრულებისას უნდა იყოს დამოუკიდებელი, განუსაზღვრელად მისი დამსაქმებლის ვინაობისა. აღნიშნული მუხლის შინაარსიდან გამომდინარე, საზედამხედველო ორგანომ კანონდარღვევად შეაფასა კომპანიის იურიდიული წარმომადგენლის მონაცემთა დაცვის ოფიცრად დანიშვნის ფაქტი. შეუძლებელია ერთმა პირმა განსაზღვროს მონაცემთა დამუშავების მიზნები და საშუალებები, და ამავდროულად დამოუკიდებლობისა და მიუკერძოებლობის მაღალი ხარისხის დაცვით, განახორციელოს ზედამხედველობა საკანონმდებლო მოთხოვნებთან დამუშავების პროცესების შესაბამისობაზე. ამასთან, რეგულაციის 38-ე მუხლი განმარტავს დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებას, დარწმუნდეს, რომ ორგანიზაციაში მონაცემთა დაცვის ოფიცრი არ იღებს იმგვარ მითითებებს, რომლებიც ხელყოფენ მის დამოუკიდებლობასა და მიუკერძოებლობას.

იმ შემთხვევაში, თუ მონაცემთა დაცვის ოფიცრად დანიშნული პირის მიმართ არსებობს ინტერესთა კონფლიქტის ფაქტი ან სხვა მიზეზი, რაც შეუთავსებელს ხდის ამ პირის მიერ ოფიცრის მოვალეობის შესრულებას, აღნიშნული წარმოადგენს წინამდებარე პირის თანამდებობიდან გათავისუფლების საფუძველს. პირის მონაცემთა დაცვის ოფიცრის თანამდებობაზე დანიშვნამდე საჭიროა სათანადოდ შეფასდეს ინტერესთა კონფლიქტის არსებობის საკითხი.

მონაცემთა დაცვის საზედამხედველო ორგანოს მსჯელობის თანახმად, კომპანიის მიერ მისი იურიდიული წარმომადგენლის ოფიცრის პოზიციაზე დანიშვნის თაობაზე შეუტყობინებლობის მიზეზით, საზედამხედველო ორგანომ ვერ გამოავლინა ოფიცრის შეუსაბამობა დაკავებულ თანამდებობასთან.[2]

მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებით კომპანიამ დაარღვია ძირითადი რეგულაციის შემდეგი მუხლები: 37(6), 37(7) და 38. კერძოდ, კომპანიამ მონაცემთა დაცვის ოფიცრის პოზიციაზე დანიშნა თანამდებობასთან შეუთავსებელი პირი და ოფიცრის დანიშვნის შესახებ არ აცნობა მონაცემთა დაცვის საზედამხედველო ორგანოს. კომპანიის იურიდიული წარმომადგენლის მონაცემთა დაცვის ოფიცრის თანამდებობასთან შეუსაბამობიდან გამომდინარე, აღნიშნული პირის ოფიცრად დანიშვნა ბათილად იქნა ცნობილი.

საქმის შესწავლისას გამოვლენილი დარღვევებისათვის, მათ შორის, მონაცემთა დაცვის ოფიცრის დანიშვნასთან დაკავშირებული კანონდარღვევისათვის, კომპანიას მიეცა 90 დღე დარღვევების გამოსასწორებლად და დაეკისრა ადმინისტრაციული ჯარიმა 70,000 ევროს ოდენობით. კერძოდ, კომპანიას დაევალა მონაცემთა შენახვისა და წაშლის პოლიტიკის შესახებ დოკუმენტების შემუშავება, მონაცემთა დამუშავების საკითხზე კანონმდებლობით განსაზღვრული ხელშეკრულებების გაფორმება დამუშავებაზე უფლებამოსილ პირებთან და ახალი მონაცემთა დაცვის ოფიცრის დანიშვნა. [3]

[1] Provision of 19 December 2024 [10106904] https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10106904 [24.03.2025]

[2] რეგულაციის მუხლი 37(7)

[3] Italy: Garante fines Studio Riabilitazione Creditizia 70,000 Euro for GDPR Violations. https://www.dataguidance.com/news/italy-garante-fines-studio-riabilitazione-creditizia [24.03.2025]