2025-04-14

ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება, კომერციული საიდუმლოების არსებობის მიუხედავად, მონაცემთა წვდომის უფლების უზრუნველყოფის შესახებ

---

ევროკავშირის მართლმსაჯულების სასამართლომ, საქმეში “Dun & Bradstreet Austria GmbH” დაადგინა, რომ ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღების შემთხვევაში, მონაცემთა სუბიექტს, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის თანახმად, უნდა მიეწოდოს განმარტებითი ინფორმაცია გამოყენებული პროცედურისა და პრინციპების შესახებ. კომერციული საიდუმლოება, რომელიც ხელს შეუშლის მონაცემთა სუბიექტის ინფორმირებას, შესაბამისი სასამართლოს ან პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს წინაშე უნდა გამჟღავნდეს, რათა შესაძლებელი გახდეს მონაცემთა სუბიექტის წვდომის უფლების ფარგლების განსაზღვრა.[1]

 

საქმის ფაქტობრივი გარემოებები:

მობილური ტელეფონის ოპერატორმა უარი განუცხადა მონაცემთა სუბიექტს მასთან ხელშეკრულების გაფორმებაზე. უარის მიზეზი იყო მონაცემთა სუბიექტის, როგორც ხელშეკრულების მხარის სავარაუდო გადახდისუუნარობა, რომელიც სატელეფონო ოპერატორმა “Dun & Bradstreet Austria GmbH”-ის მონაცემთა ბაზის სერვისების გამოყენებით გადაამოწმა.

მონაცემთა სუბიექტმა სთხოვა ავსტრიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს, შეესწავლა და მისთვის მიეწოდებინა ინფორმაცია “Dun & Bradstreet”-ის მონაცემთა ბაზაში ავტომატიზებული ინდივიდუალური გადაწყვეტილების მისაღებად გამოყენებული ალგორითმის შესახებ. საზედამხედველო ორგანომ დაავალა “Dun & Bradstreet”-ს მონაცემთა სუბიექტის მიერ მოთხოვნილი ინფორმაციის გამჟღავნება. საზედამხედველო ორგანოს აღნიშნული გადაწყვეტილება გასაჩივრდა ავსტრიის ფედერალურ ადმინისტრაციულ სასამართლოში.

სასამართლომ ნაწილობრივ ძალაში დატოვა საზედამხედველო ორგანოს გადაწყვეტილება და დაადგინა, რომ “Dun & Bradstreet”-მა დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტი, რადგან მან არ გაამჟღავნა მონაცემთა სუბიექტის მიერ მოთხოვნილი ინფორმაცია და არც შესაბამისი მიზეზები წარადგინა, რომელთა საშუალებითაც ის გაამართლებდა მონაცემთა სუბიექტის მოთხოვნის უარყოფას. სასამართლოს მიერ მიღებული გადაწყვეტილების სააღსრულებო წარმოების ფარგლებში ვენის საქალაქო საბჭომ, რომელსაც მინიჭებული აქვს სააღსრულებო უფლებამოსილება, უარყო გადაწყვეტილების აღსრულება იმ დასაბუთებით, რომ  “Dun & Bradstreet”-ს უკვე მიწოდებული ჰქონდა სადავო ინფორმაცია მონაცემთა სუბიექტისთვის.

მონაცემთა სუბიექტმა გაასაჩივრა საკრებულოს გადაწყვეტილება ვენის ადმინისტრაციულ სასამართლოში. იგი აღნიშნავდა, რომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტი განიმარტა ძირითად რეგულაციასთან შეუსაბამოდ. ვენის ადმინისტრაციულმა სასამართლომ შეაჩერა საქმის წარმოება და მიმართა ევროკავშირის მართლმსაჯულების სასამართლოს კონკრეტული კითხვებით.

 

ევროკავშირის მართლმსაჯულების სასამართლოს მიერ  შესაფასებელი საკითხები:

1. რა მოთხოვნებს უნდა აკმაყოფილებდეს მონაცემთა სუბიექტისთვის გასაზიარებელი ინფორმაციის შინაარსი, რათა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის თანახმად ჩაითვალოს საკმარისად?  
2. უკავშირდება თუ არა წვდომის უფლება „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის ფარგლებში ამავე რეგულაციის 22-ე მუხლის მე-3 პუნქტით გარანტირებულ უფლებებს? შესაძლო კავშირის შემთხვევაში, როგორ შეიძლება მათი ურთიერთმიმართება მონაცემთა სუბიექტის მიერ წარდგენილი მოთხოვნის საპასუხოდ?
3. უნდა განიმარტოს თუ არა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის საფუძველზე მოთხოვნილი ინფორმაცია „მნიშვნელოვან ინფორმაციად“, თუ დამუშავებისთვის პასუხისმგებელ პირს ენიჭება უფლებამოსილება, განსაზღვროს არის თუ არა ეს ინფორმაცია ზუსტი, იყო თუ არა მიღებული ავტომატიზებული ინდივიდუალური გადაწყვეტილება მოთხოვნილ ინფორმაციაზე დაყრდნობით?
4. რა პროცედურა უნდა იქნეს გამოყენებული, თუ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის შესაბამისად მიწოდებული ინფორმაცია აკმაყოფილებს კომერციული საიდუმლოების შესახებ 2016/943 დირექტივის მე-2 მუხლის პირველი პუნქტის მოთხოვნებს?
5. ზღუდავს თუ არა ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის მე-4 პუნქტი ძირითადი რეგულაციის მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის შესაბამისად მისაწოდებელი ინფორმაციის ფარგლებს? არის თუ არა მხოლოდ აღნიშნული დებულება შემზღუდველი და როგორ განისაზღვრება შეზღუდვის ზომა თითოეულ შემთხვევაში?
6. შეესაბამება თუ არა ავსტრიის პერსონალურ მონაცემთა დაცვის კანონის მე-4 მუხლის მე-6 პუნქტი (რომლის მიხედვითაც მონაცემთა წვდომის უფლება ექვემდებარება შეზღუდვას, თუ ასეთი ინფორმაციის მიწოდება არღვევს დამუშავებისთვის პასუხისმგებელი პირის ან მესამე მხარის კომერციულ საიდუმლოს) ძირითადი რეგულაციის მე-15 მუხლის პირველი პუნქტისა და 22-ე მუხლის მე-3 პუნქტის მოთხოვნებს? რა განაპირობებს აღნიშნულ დებულებათა ურთიერთთავსებადობას?

 

შესაფასებელი მუხლები:

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტი:  

• მონაცემთა სუბიექტს მონაცემთა დამუშავების პროცესში გადაწყვეტილების ავტომატიზებულად მიღების, მათ შორის, 22-ე მუხლის პირველი და მე-4 პუნქტებით გათვალისწინებული „პროფაილინგის“ შემთხვევაში უნდა მიეწოდოს ინფორმაცია გამოყენებული ლოგიკის/კრიტერიუმების, საჭიროების და მონაცემთა სუბიექტისთვის შესაძლო შედეგების შესახებ.

 

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 22-ე მუხლის პირველი პუნქტი:

• მონაცემთა სუბიექტს აქვს უფლება, არ დაექვემდებაროს/უარი განაცხადოს მხოლოდ ავტომატიზებულად დამუშავების, მათ შორის პროფაილინგის გზით მის შესახებ ისეთი გადაწყვეტილების მიღებაზე, რომელიც მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებით შედეგებს.

 

ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ 22-ე მუხლის მე-4 პუნქტი:

• გადაწყვეტილება არ უნდა დაეფუძნოს მე-9 მუხლის პირველი პუნქტით გათვალისწინებული განსაკუთრებული კატეგორიის პერსონალურ მონაცემებს, გარდა იმ შემთხვევისა, როდესაც სახეზეა მე-9 მუხლის მე-2 პუნქტის „ა“ ან „ზ“ ქვეპუნქტებით განსაზღვრული გარემოებები და არსებობს მონაცემთა სუბიექტის უფლებების, თავისუფლებებისა და კანონიერი ინტერესების დაცვის სათანადო გარანტიები.

 

ევროკავშირის მართლმსაჯულების სასამართლოს გადაწყვეტილება:

ევროკავშირის მართლმსაჯულების სასამართლომ ყურადღება გაამახვილა „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის ფორმულირებაზე. სასამართლომ აღნიშნა, რომ „მნიშვნელოვანი ინფორმაციის“ ცნება განსხვავებულად ითარგმნება ევროკავშირის მასშტაბით ძირითადი რეგულაციის სხვადასხვა ენობრივ ვერსიებში, თუმცა, ისინი ავსებენ ერთმანეთს ფართო ინტერპრეტაციის შემთხვევაში. სასამართლოს განმარტებით, მსგავსი მეთოდი უკვე გამოყენებული იქნა “Schufa”-ს საქმეში, რომელიც ძირითადი რეგულაციის მე-13 მუხლის მე-2 პუნქტის „ვ“ ქვეპუნქტისა და მე-14 მუხლის მე-2 პუნქტის „ზ“ ქვეპუნქტის შინაარსობრივ თავსებადობას ეხებოდა. ასევე, სასამართლომ მიუთითა, რომ ძირითადი რეგულაციის მე-12 მუხლის პირველი პუნქტის შესაბამისად მიწოდებული ინფორმაცია უნდა იყოს ლაკონური, გამჭვირვალე, გასაგები და ადვილად ხელმისაწვდომი.

ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღებისას „მნიშვნელოვანი ინფორმაციის“ მიღების უფლება უნდა იქნას გაგებული, როგორც მასში გამოყენებული ლოგიკური ალგორითმებისა და პრინციპების ახსნის უფლება. სასამართლოს განცხადებით, ეს მიზნად ისახავს მონაცემთა სუბიექტისთვის ძირითადი რეგულაციის 22-ე მუხლის მე-3 პუნქტით მინიჭებული უფლებების მხარდაჭერასა და ეფექტიანობის გაზრდას.

ძირითადი რეგულაციის შესაბამისად, დამუშავებისთვის პასუხისმგებელი პირისთვის განსაზღვრული მოთხოვნები არ შეიძლება დაკმაყოფილდეს მხოლოდ ზეპირი კომუნიკაციით ან პროგრამული აღწერით, რადგან არცერთი მათგანი არ იქნება საკმარისად ლაკონიური და გასაგები მონაცემთა სუბიექტისთვის. სასამართლომ დაადგინა, რომ დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მოძებნოს მარტივი გზა, რათა დროულად შეატყობინოს მონაცემთა სუბიექტს ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღების შესახებ და აღუწეროს პროცედურა და პრინციპები ისე, რომ მონაცემთა სუბიექტს შეეძლოს მისი აღქმა და დაკავშირება პერსონალური მონაცემების დამუშავებასთან. მოთხოვნის დაკმაყოფილების ერთ-ერთი გზა, შესაძლოა ყოფილიყო მონაცემთა სუბიექტის ინფორმირება იმის შესახებ, თუ რა პირობები (სხვა დამატებითი მონაცემები) გამოიწვევდა განსხვავებულ  შედეგს.

ამგვარად, სასამართლომ დაასკვნა, რომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტი უნდა განიმარტოს ძირითადი რეგულაციის 22-ე მუხლის პირველი პუნქტის შესაბამისად, რა შემთხვევაშიც, მონაცემთა სუბიექტს შეუძლია მოსთხოვოს დამუშავებისთვის პასუხისმგებელ პირს ახსნა-განმარტება, შესაბამისი ინფორმაციის ლაკონიური, გამჭვირვალე, გასაგები და ადვილად ხელმისაწვდომი ფორმით მისაღებად, ასევე, ინფორმაცია გამოყენებული ალგორითმისა და პრინციპების, რომლებიც ეხება მონაცემთა სუბიექტის მონაცემების მიერ ავტომატიზებულ ინდივიდუალურ დამუშავებას კონკრეტული შედეგის მისაღებად, როგორიცაა მონაცემთა სუბიექტის პირადი საკრედიტო პროფილი.

ბალანსი ეფექტიანად უნდა იყოს დაცული პერსონალურ მონაცემებზე სრული წვდომის უფლებისა და სხვათა უფლებებსა თუ თავისუფლებებს შორის, რომლის ფარგლებში ეროვნულმა სასამართლომ შეიძლება მოითხოვოს მხარეთა ან მესამე მხარის პერსონალური მონაცემების გამჟღავნება, რათა ეფექტურად დააბალანსოს საქმეში არსებული ინტერესები და უზრუნველყოფილი იყოს სასამართლო დაცვის უფლება. სასამართლომ დაადგინა, რომ მსგავსი მოთხოვნა იმოქმედებს იმ შემთხვევებში, როდესაც ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტის მიხედვით მონაცემთა სუბიექტისთვის მიწოდებული ინფორმაცია, სავარაუდოდ, გამოიწვევს სხვათა უფლებებისა და თავისუფლებების დარღვევას.

შესაბამისად, სასამართლომ დაადგინა, რომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-15 მუხლის პირველი პუნქტის „თ“ ქვეპუნქტი უნდა განიმარტოს შემთხვევად, როდესაც დამუშავებისთვის პასუხისმგებელი პირი მიიჩნევს, რომ ინფორმაცია, რომელიც უნდა მიეწოდოს მონაცემთა სუბიექტს, შეიცავს კომერციულ საიდუმლოებას. იგი ასევე, ვალდებულია უზრუნველყოს შესაბამისი ინფორმაციის მიწოდება საზედამხედველო ორგანოსთვის ან სასამართლოსთვის, რაც დააბალანსებს ლეგიტიმურ ინტერესებს ერთი მხრივ, კომერციული საიდუმლოების, ხოლო მეორე მხრივ, ძირითადი რეგულაციის მე-15 მუხლით გათვალისწინებული მონაცემთა წვდომის უფლების ფარგლების განსაზღვრას შორის, შემდგომში მონაცემთა სუბიექტს მიანიჭებს უფლებას მიიღოს აღნიშნული ინფორმაცია საზედამხედველო ორგანოს ან სასამართლოს მეშვეობით.