2025-06-30
ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება სახის ამომცნობი ტექნოლოგიის გამოყენების შესახებ
ირლანდიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ ირლანდიის სოციალური დაცვის დეპარტამენტის მიერ მონაცემთა დამუშავების პრაქტიკის შესწავლის თაობაზე გადაწყვეტილება გამოაქვეყნა. საქმის ფარგლებში, საზედამხედველო ორგანომ საჯარო სერვისებით სარგებლობის ბარათის მისაღებად რეგისტრაციის პროცესში სახის ამომცნობი ტექნოლოგიის გამოყენების კანონიერება შეაფასა.[1]
საქმის შესწავლის საფუძველი:
საზედამხედველო ორგანოს მიერ საქმის შესწავლის საფუძველი საჯარო სერვისებით სარგებლობის ბარათებთან დაკავშირებით 2019 წელს შესწავლილი სხვა საქმე გახდა, რომლის ფარგლებშიც სოციალური დაცვის დეპარტამენტის მიერ მონაცემთა დამუშავების ზოგადი პრაქტიკა შემოწმდა.
სოციალური დაცვის დეპარტამენტმა აღნიშნულ საქმეზე მიღებული საზედამხედველო ორგანოს გადაწყვეტილება საოლქო სასამართლოში გაასაჩივრა. საბოლოოდ, საჩივარი უკან იქნა გაწვეული და საზედამხედველო ორგანოსა და სოციალური დაცვის დეპარტამენტს შორის შეთანხმება შედგა. გადაწყვეტილების შესახებ საბოლოო ანგარიში 2021 წლის დეკემბერში გამოქვეყნდა, რომელშიც აღინიშნა, რომ რეგისტრაციის პროცესთან დაკავშირებული ბიომეტრიული მონაცემების დამუშავების შემთხვევა შესწავლილი იქნებოდა დამოუკიდებლად, სხვა გადაწყვეტილების ფარგლებში. საზედამხედველო ორგანომ ბიომეტრიული მონაცემების დამუშავების შესახებ გადაწყვეტილება დამოუკიდებლად განიხილა.
საქმის ფაქტობრივი გარემოებები:
საქმის ფაქტობრივი გარემოებების თანახმად, საჯარო სერვისებით სარგებლობის ბარათის მისაღებად რეგისტრაციის პროცესი სავალდებულო იყო. რეგისტრაციის გარეშე პირი ვერ ისარგებლებდა სოციალური დაცვის დეპარტამენტის მომსახურებით, მათ შორის, სოციალური დახმარებით. რეგისტრაციის პროცესში, მუშავდებოდა დიდი რაოდენობით განსაკუთრებული კატეგორიის, მათ შორის, ბიომეტრიული პერსონალური მონაცემები. ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) თანახმად, ბიომეტრიული მონაცემები განსაკუთრებული კატეგორიის პერსონალური მონაცემებია, რომელთა დამუშავებაც საჭიროებს განსაკუთრებული უსაფრთხოების წესების დაცვას. 2021 წლისთვის დეპარტამენტი ქვეყნის სრული მოსახლეობის 70%-ის ბიომეტრიულ მონაცემებს ინახავდა.
სახის ამომცნობი ტექნოლოგიის გამოყენებისას ადამიანის უფლებების მზღუდავი ხასიათიდან გამომდინარე, აუცილებელი იყო მონაცემთა დამუშავების სამართლებრივი დასაბუთება. კერძოდ, კონკრეტული და მკაფიოდ განსაზღვრული მიზნის არსებობა. აგრეთვე, მიზნის მიუხედავად, ბიომეტრიული მონაცემების კანონით განსაზღვრული მოთხოვნების დაცვით დამუშავება.
შემოწმების ფარგლები:
საზედამხედველო ორგანომ შეისწავლა:
- სოციალური დაცვის დეპარტამენტის მიერ ბიომეტრიულ მონაცემთა დამუშავების კანონიერი საფუძველი;
- ბიომეტრიული მონაცემების შენახვის კანონიერი საფუძველი;
- მონაცემთა სუბიექტების სათანადო ინფორმირებით, მონაცემთა დამუშავების პროცესში გამჭვირვალობის პრინციპის დაცულობა;
- მონაცემთა დაცვაზე ზეგავლენის შეფასება სახის ამომცნობი ტექნოლოგიების გამოყენებისას.
პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება:
საქმის შესწავლის ფარგლებში ირლანდიის მონაცემთა დაცვის საზედამხედველო ორგანომ დაადგინა “GDPR”-ის:
- მე-5(1)(ა)[2], მე-6(1)[3] და მე-9(1)[4] მუხლების დარღვევა, რადგან საჯარო სერვისებით სარგებლობის ბარათის მისაღებად ბიომეტრიული მონაცემების დამუშავების სამართლებრივი საფუძველი არ იყო დასაბუთებული;
- მე-5(1)(ე)[5] მუხლის დარღვევა, რამდენადაც ბიომეტრიული მონაცემების შენახვა რეგულაციით გათვალისწინებულ მოთხოვნებს ეწინააღმდეგებოდა;
- მე-13 მუხლის პირველი პუნქტის „გ“[6] ქვეპუნქტის და მე-2 პუნქტის „ა“[7] ქვეპუნქტის დარღვევა, ვინაიდან, გამჭვირვალობის პრინციპის შესაბამისად, მონაცემთა სუბიექტებს მათი პერსონალური მონაცემების დამუშავების თაობაზე სათანადო ინფორმაცია არ მიეწოდათ;
- 35[8](7)(ბ)(გ)-ე მუხლის დარღვევა, რადგან რეგისტრაციის პროცესთან დაკავშირებით შემუშავებული, მონაცემთა დაცვაზე ზეგავლენის შეფასების დოკუმენტი არ იყო სრულყოფილი.
წარმოდგენილი დარღვევებისათვის, საზედამხედველო ორგანომ სოციალური დაცვის დეპარტამენტს შენიშვნა გამოუცხადა[9] და, აგრეთვე, 550,000 ევროს ოდენობით ადმინისტრაციული ჯარიმა დააკისრა. ამასთან, მოსთხოვა, 9 თვის ვადაში შეეწყვიტა რეგისტრაციის პროცესში ბიომეტრიული მონაცემების დამუშავება, გარდა აუცილებელი საჭიროებისა, რაც უნდა ყოფილიყო სათანადოდ დასაბუთებული.[10]
[2] „პერსონალური მონაცემები უნდა დამუშავდეს კანონიერად, სამართლიანად და გამჭვირვალედ მონაცემთა სუბიექტთან მიმართებით“.
[3] მონაცემთა დამუშავების კანონიერების საფუძვლები.
[4] განსაკუთრებული კატეგორიის მონაცემების დამუშავება - „აკრძალულია ისეთი მონაცემების დამუშავება, რომლებიც ამჟღავნებს პირის რასობრივ ან ეთნიკურ წარმომავლობას, პოლიტიკურ შეხედულებებს, რელიგიურ ან ფილოსოფიურ მრწამსს, პროფესიული კავშირის წევრობას, ასევე გენეტიკური და ბიომეტრიული მონაცემების დამუშავება, რომლის მიზანი ფიზიკური პირის უნიკალურად იდენტიფიცირებაა, აგრეთვე ჯანმრთელობასთან, ფიზიკური პირის სქესობრივ ცხოვრებასთან ან სექსუალურ ორიენტაციასთან დაკავშირებული მონაცემების დამუშავება“.
[5] პერსონალური მონაცემების დამუშავებასთან დაკავშირებული პრინციპები: „პერსონალური მონაცემები უნდა იყოს შენახული ისეთი ფორმით, რომელიც იძლევა მონაცემთა სუბიექტების იდენტიფიცირების შესაძლებლობას არაუმეტეს იმ დროისა, რაც აუცილებელია მონაცემთა დამუშავების მიზნებისათვის“.
[6] მონაცემთა უშუალოდ მონაცემთა სუბიექტისგან შეგროვების პროცესში, მონაცემთა სუბიექტს უნდა მიეწოდოს ინფორმაცია მათ შორის, მონაცემთა დამუშავების მიზნებისა და სამართლებრივი საფუძვლების შესახებ.
[7] დამატებით, მონაცემთა სუბიექტს მონაცემთა შენახვის ვადის თაობაზე უნდა მიეწოდოს ინფორმაცია.
[8] მონაცემთა დაცვის რისკების შეფასება.