2025-05-16

პოლონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება კომერციული ბანკის დაჯარიმების შესახებ

---

პოლონეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს მიერ კომერციული ბანკის „Toyota Bank Polska S.A.“ ინსპექტირების შედეგად დადგინდა, რომ ბანკმა ვერ უზრუნველყო მონაცემთა დაცვის ოფიცრის სრული დამოუკიდებლობა.[1] ასევე, ბანკის მიერ შედგენილი დოკუმენტაცია არ შეიცავდა ინფორმაციას საქმიანობის პროცესში განხორციელებული „პროფაილინგის“ თაობაზე. კერძოდ:

• მონაცემთა დაცვასთან დაკავშირებული ინფორმაციის აღრიცხვის დოკუმენტი “Records of Processing Activities”- “ROPA”;
• მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი, ”Data Protection Impact Assessment “ – “DPIA”.[2]

მონაცემთა დაცვის ოფიცრის არასწორი პოზიციონირება ორგანიზაციის მასშტაბით:

საზედამხედველო ორგანომ კანონმდებლობის მოთხოვნათა დარღვევად მიიჩნია ის ფაქტი, რომ ორგანიზაციის მონაცემთა დაცვის ოფიცერი უშუალოდ არ იყო ანგარიშვალდებული ბანკის მენეჯმენტის და მმართველი რგოლის წინაშე. ოფიცერი ინფორმაციული ტექნოლოგიების აუდიტორისა და უსაფრთხოების სპეციალისტის ფუნქციებს ითავსებდა მონაცემთა უსაფრთხოების დეპარტამენტში და ანგარიშვალდებული იყო ამავე დეპარტამენტის ხელმძღვანელის წინაშე.[3] საზედამხედველო ორგანომ გადაწყვეტილების მიღებისას მხედველობაში მიიღო ის გარემოება, რომ მონაცემთა უსაფრთხოების დეპარტამენტის ხელმძღვანელის ფუნქცია-მოვალეობებში მონაცემთა დამუშავების მოქმედებების მართვაც შედიოდა.

„პროფაილინგის“ შესახებ ინფორმაციის აღრიცხვის საკითხი:

ბანკი მომხმარებელთა გადახდისუნარიანობის დასადგენად მონაცემთა სუბიექტების დიდი რაოდენობით ინფორმაციას ამუშავებდა, მათ შორის, „პროფაილინგის“ გზით. ამავე მიზნით მუშავდებოდა მომხმარებელთა საკრედიტო ქულის (“Credit Score“) შესახებ მონაცემები.

მონაცემთა დაცვასთან დაკავშირებული ინფორმაციის აღრიცხვის დოკუმენტში (“ROPA”), მონაცემთა დამუშავების მოქმედების სრული ინფორმაცია არ იყო მითითებული, მათ შორის, „პროფაილინგის“ შესახებ. ასევე, ბანკს „პროფაილინგის“ პროცესში მონაცემთა დაცვაზე ზეგავლენა (“DPIA”) არ ჰქონდა შეფასებული. საზედამხედველო ორგანოს გადაწყვეტილებაში ხაზგასმულია მონაცემთა მასშტაბური დამუშავების დოკუმენტირებისა და მონაცემთა დამუშავების რისკების შეფასების მნიშვნელობაზე. მიზანშეწონილია, რომ მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტში (“DPIA”)  „პროფაილინგის“ ფარგლების შესახებ, მათ შორის მისი კონტექსტისა და მიზნების თაობაზე,  ასახული ინფორმაცია სრულყოფილად და გამჭვირვალედ იყოს აღრიცხული.[4]

საზედამხედველო ორგანოს გადაწყვეტილება

შედეგად, საზედამხედველო ორგანომ ბანკს დააკისრა ადმინისტრაციული სახდელი - ჯარიმა:

• 60,000 ევროს ოდენობით -  GDPR-ის 38(3) მუხლის დარღვევისთვის;
• 72,000 ევროს ოდენობით - GDPR-ის 30(1) და 35(1.7) მუხლების დარღვევისთვის.

აღსანიშნავია, რომ ბანკზე დაკისრებული ადმინისტრაციული ჯარიმის საერთო რაოდენობამ  132 000 ევრო შეადგინა.