2025-09-15

ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება მონაცემთა უსაფრთხოების დარღვევის შესახებ

ფინეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მსხვილი ფინური ონლაინ აფთიაქის (“YLIOPISTON APTEEKKI”) მიერ მონაცემთა დამუშავების კანონიერების შესწავლა მონაცემთა სუბიექტის (დოქტორანტურის სტუდენტ-მკვლევარი) მიმართვის საფუძველზე დაიწყო.

სტუდენტი სამეცნიერო საქმიანობის ფარგლებში ქსელურ კომუნიკაციას იკვლევდა (“NETWORK TRAFFIC ANALYSIS”). კერძოდ, მომხმარებლის მიერ გამოყენებულ ტექნიკურ საშუალებასა (მობილური ტელეფონი, კომპიუტერი და სხვა) და კონკრეტულ ონლაინ მომსახურებას (ამ შემთხვევაში, ონლაინ აფთიაქს) შორის მონაცემთა მიმოცვლის პროცესს სწავლობდა. აღნიშნულ პროცესში მან მონაცემთა დაცვის კანონმდებლობასთან შესაბამისობის (კერძოდ, კანონით გათვალისწინებული მონაცემთა უსაფრთხოების ზომების დაცვის) თვალსაზრისით ხარვეზები აღმოაჩინა.[1]

აფთიაქის მომხმარებლებს გაცემული ჰქონდათ თანხმობა პერსონალურ მონაცემთა დამუშავების შესახებ, თუმცა, „მზა ჩანაწერები“ (“COOKIES”) ონლაინ აფთიაქის მიზნებისათვის იმგვარი ფორმით გამოიყენებოდა, რომ მომხმარებელთა საიტზე განხორციელებული აქტივობის შესახებ ინფორმაცია (მაგალითად: კონკრეტული პროდუქტის დათვალიერება, ყიდვის პროცესის წამოწყება და ასე შემდეგ) მესამე პირებს, კერძოდ, მომსახურების მიმწოდებლებს (“Google”,“Meta" და სხვები) გადაეცემოდათ.

მომხმარებლის აქტივობის შესახებ ინფორმაციასთან ერთად, ასევე, „მომხმარებელთა ინტერნეტ პროტოკოლის მისამართების“ (“IP ADDRESS”) შესახებ მონაცემი გადაიცემოდა, რომელთა გამოყენებით ინდივიდუალურ მომხმარებელთა იდენტიფიცირება იყო შესაძლებელი.[2] აღნიშნულ კომპანიებს (“GOOGLE” და “META”) მომხმარებელთა იდენტიფიკაცია შეეძლოთ იმ შემთხვევაში, თუ ონლაინ აფთიაქის გამოყენების დროს მომხმარებელს ავტორიზაცია “Google”-ის ან “Facebook”-ის ანგარიშის საშუალებით (“LOGGED IN”) ჰქონდა გავლილი.

ზემოაღნიშნული მომსახურების მიმწოდებლებთან გადაცემული ინფორმაცია:

არ იყო სათანადოდ (ფსევდონიმიზაციის ან ანონიმიზაციის გამოყენებით) დაფარული (“MASKED”).
ცალკეულ შემთხვევებში ინფორმაცია არ იყო დაშიფრული (“ENCRYPTED”), რაც მომსახურეობის მიმწოდებლების ან სხვა მესამე პირების მიერ მომხმარებელთა იდენტიფიკაციის, ასევე მომსახურების მიმწოდებლების მიერ მონაცემების შემდგომი (სხვა პირებისათვის) გადაცემის რისკს წარმოშობდა.

საზედამხედველო ორგანოს გადაწყვეტილებით „მზა ჩანაწერების“ ტექნოლოგიის გამოყენება შესაძლოა ადმინისტრაციული ჯარიმის დაკისრების საფუძველი გახდეს იმ შემთხვევაში, თუ:

კომპანიის ვებგვერდზე არსებული „მზა ჩანაწერები“ იმგვარად გამოიყენება, რომ მონაცემთა სუბიექტების პერსონალური მონაცემები შესაძლოა ხელმისაწვდომი გახდეს მესამე პირთათვის ან/და;
„მზა ჩანაწერები“ ტექნოლოგიის შესაბამისი დაცვის მექანიზმების (როგორიცაა მაგალითად, მონაცემთა მინიმიზაციის პრინციპი) დანერგვის გარეშე გამოყენება.[3]

აქედან გამომდინარე, საჭიროა კომპანიას წინასწარ ჰქონდეს განსაზღვრული, თუ რა პერსონალური მონაცემები შესაძლოა გახდეს ხელმისაწვდომი მესამე პირთათვის და რა დაცვის მექანიზმები უნდა დაინერგოს, რათა მონაცემები მესამე პირებთან (მაგალითად, მომსახურების მიმწოდებლებთან), მონაცემთა დაცვის კანონმდებლობის მოთხოვნათა გათვალისწინებით გაზიარდეს.

აღნიშნულ შემთხვევასთან დაკავშირებით დადგინდა „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) შემდეგი მუხლების დარღვევა:

მუხლი 32 (მონაცემთა უსაფრთხოება);
მუხლი 5.1.ვ. (მონაცემთა დამუშავების პრინციპები - მონაცემთა უსაფრთხოდ, შესაბამისი ტექნიკური და ორგანიზაციული ზომების შესაბამისად დამუშავება);

ზემოაღნიშნული დარღვევების გათვალისწინებით, კომპანიას დაეკისრა ადმინისტრაციული ჯარიმა 1.1 მილიონი ევროს ოდენობით[4], ამასთან, მიიღო გაფრთხილება ონლაინ აფთიაქის ფუნქციონირების შედეგად შეგროვებული და დამუშავებული პერსონალური მონაცემების უსაფრთხოების ზომების უზრუნველყოფასთან დაკავშირებით.

საზედამხედველო ორგანომ აფთიაქის მიერ მონაცემთა დამუშავების კანონიერების საკითხი 2018 წლის მაისიდან 2022 წლის სექტემბრამდე შეისწავლა. აფთიაქის განცხადებით, მათ კომპანიებთან („GOOGLE“ და „META“) მზა ჩანაწერების საშუალებით ინფორმაციის გადაცემის პრაქტიკა 2022 წლის სექტემბერში შეწყვიტეს.

[1] Finnish SA: pharmacy company Yliopiston Apteekki issued administrative fine for online shop data protection shortcomings https://www.edpb.europa.eu/news/national-news/2025/finnish-sa-pharmacy-company-yliopiston-apteekki-issued-administrative-fine_en [02.09.2025].

[2] Finland DPA Fines Pharmacy Over Use Of Online Tracking Services https://sourcepoint.com/blog/privacy-enforcement-wave-e1-1m-pharmacy-fine-spotify-court-loss-and-new-us-childrens-data-protection-laws-signal-tightening-regulations/[02.09.2025].

[3] Yliopiston Apteekki fined EUR 1.1 million for cookies and tracking tools on online pharmacy website https://www.hhpartners.fi/en/eur-11-million-fine-issued-to-yliopiston-apteekki-for-the-use-of-cookies-and-other-tracking-technologies-on-online-pharmacy/ [02.09.2025].

[4] Yliopiston Apteekki fined EUR 1.1 million for cookies and tracking tools on online pharmacy website https://www.hhpartners.fi/en/eur-11-million-fine-issued-to-yliopiston-apteekki-for-the-use-of-cookies-and-other-tracking-technologies-on-online-pharmacy/ [02.09.2025].