2025-09-11

გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მონაცემთა დაშიფვრის შესახებ ახალი სახელმძღვანელო რეკომენდაცია გამოაქვეყნა

---

2025 წლის 2 სექტემბერს გაერთიანებული სამეფოს პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ მონაცემთა დაშიფვრის (“ENCRYPTION”) შესახებ სახელმძღვანელო რეკომენდაციის განახლებული ვერსია გამოაქვეყნა.[1]

საზედამხედველო ორგანო მონაცემთა დაშიფვრას განმარტავს პროცესად, რომელიც საიდუმლო გასაღების (“KEY”) საშუალებით წაკითხვად ტექსტს არაიდენტიფიცირებადს ხდის (რაც მხოლოდ შესაბამისი გასაღების მფლობელი და ავტორიზებული პირებისათვის არის გარჩევადი). აღნიშნულის საპირისპირო პროცესია გაშიფვრა (“DECRYPTION”) - ამ შემთხვევაში საიდუმლო გასაღები გამოიყენება ინფორმაციის წაკითხვად ფორმატში გადასაყვანად.[2] გასაღების გარეშე ინფორმაციის დაშიფვრა თეორიულად შესაძლებელია ყოველი სავარაუდო კომბინაციის მცდელობის გზით (“BRUTE FORCE ATTACK”), თუმცა აღნიშნული ფაქტობრივად შეუძლებელია გასაღების ტიპისა (“KEY TYPE”) და კომპიუტერული გამოთვლითი ფუნქციონალიდან (“COMPUTING POWER”) გამომდინარე. გასაღების ფლობის გარეშე, მონაცემთა დაშიფვრის პროცესის სირთულე მიანიშნებს დაშიფვრის, როგორც მონაცემთა დაცვის თვალსაზრისით გამოსაყენებელი ზომის, ეფექტურობაზე.

საჯარო და კერძო სექტორისათვის პერსონალურ მონაცემთა უსაფრთხოდ დამუშავება განსაკუთრებით მნიშვნელოვანია მონაცემთა სუბიექტების ნდობის მოპოვებისა და შენარჩუნების თვალსაზრისით. მონაცემთა დაშიფვრა აღნიშნული მიზნის მისაღწევად ეფექტური ტექნიკური საშუალებაა. მონაცემთა დაცვის მიზნებისათვის დაშიფვრის სხვადასხვა ფორმა ხშირად გამოიყენება, მაგალითად:

• სხვადასხვა ტექნოლოგიის კოდით დაცვა (“PASSWORD PROTECTION”);
• ვებგვერდის გამოყენება, რომელიც დაცულია დაშიფვრის პროტოკოლით (“HTTPS”). ამ შემთხვევაში მონაცემთა სუბიექტის პერსონალური მონაცემები (მაგალითად: პაროლი, პირადი ნომრები და სხვა) მონაცემთა გადაცემის პროცესში (ვებგვერდსა და მომხმარებლის მოწყობილობას შორის) დაშიფრული (“ENCRYPTED”) და დაცულია.  

აღნიშნული დაცვის მექანიზმების გამოყენება საჭიროა იმისათვის, რომ მონაცემებზე წვდომა შეუძლებელი გახდეს არაავტორიზებული პირებისთვის, დადასტურდეს ვებგვერდის ავთენტურობა და მონაცემთა გადაცემის პროცესში დაცული იყოს მათი უსაფრთხოება უკანონო ზემოქმედებისგან, მაგალითად — არაავტორიზებული პირების მიერ ცვლილებებისაგან.[3]

გაერთიანებული სამეფოს მონაცემთა დაცვის რეგულაცია არ ითვალისწინებს ორგანიზაციის ხელთ არსებული ყველა მონაცემის დაშიფვრის ვალდებულებას. დაშიფვრის საჭიროება დამოკიდებულია რისკზე, რომელიც განისაზღვრება მონაცემთა კატეგორიის, უსაფრთხოების დარღვევის ალბათობის, ტექნოლოგიისა და სხვა სათანადო ინფორმაციის შეფასების საფუძველზე. საზედამხედველო ორგანოს რეკომენდაციით, მონაცემთა დაშიფვრა საჭიროა მონაცემების ელექტრონულად გადაცემის პროცესში, მონაცემების სხვადასხვა მოწყობილობაში შენახვის დროს (მაგალითად, კომპიუტერში, მობილურ ტელეფონში და სხვა) და მონაცემთა მეხსიერების ბარათზე (“USB FLASH DRIVE”) შენახვისას.

სახელმძღვანელო რეკომენდაციის წინა რედაქციაში განხილულ იქნა დაშიფვრის სხვადასხვა პროტოკოლის, მაგალითად: “TLS”, “SSL” - შესახებ ინფორმაცია, თუმცა განსხვავებით განახლებული რედაქციისაგან, იგი დაშიფვრის პროტოკოლის (“HTTPS”) ვებგვერდის ყველა ნაწილში გამოყენების შესახებ რეკომენდაციას არ ითვალისწინებდა. სახელმძღვანელო რეკომენდაცია შეიცავს ორ ძირითად სიახლეს:

• განახლებულია სახელმძღვანელო რეკომენდაციის ნაწილი, რომელიც მონაცემთა გადაცემის პროცესში დაშიფვრის პროტოკოლის (“HTTPS”) გამოყენებას ითვალისწინებს. საზედამხედველო ორგანოს განმარტებით, რეკომენდებულია, დაწესებულების ან ორგანიზაციის მიერ ვებგვერდის ფლობის შემთხვევაში, ვებგვერდი სრულად იქნეს დაცული დაშიფვრის პროტოკოლით (“HTTPS”). აღნიშნული სიახლე განსაკუთრებით მნიშვნელოვანია პერსონალური მონაცემების, მაგალითად, ავტორიზაციისთვის საჭირო მონაცემების, საბანკო (გადახდის შესახებ) ინფორმაციის და სხვა განსაკუთრებული კატეგორიის მონაცემების დაცვის თვალსაზრისით, რომლებსაც მომხმარებლები ვებგვერდზე უთითებენ;

 

• სახელმძღვანელო რეკომენდაციის პირველ ვერსიაში ნათლად არ იყო გამიჯნული მონაცემთა დამუშავებისთვის პასუხისმგებელი პირების მიერ სავალდებულოდ შესასრულებელი და სარეკომენდაციო ხასიათის საკითხები. შესაბამისად, მონაცემთა დაშიფვრასთან დაკავშირებული ვალდებულებებისა და საუკეთესო პრაქტიკის მეტი სიცხადით გასამიჯნად, სახელმძღვანელო რეკომენდაციის ახალ ვერსიაში ყურადღება გამახვილდა მონაცემთა დამუშავებისთვის პასუხისმგებელი პირის ვალდებულებებსა და სარეკომენდაციო ხასიათის საკითხებზე.

 

გაერთიანებული სამეფოს მონაცემთა დაცვის ძირითადი რეგულაციის მონაცემთა უსაფრთხოების შესახებ დებულებების თანახმად, საჭიროა მონაცემთა დაშიფვრის თვალსაზრისით დანერგილი ტექნიკური და ორგანიზაციული ზომების ეფექტურობა და კანონმდებლობასთან შესაბამისობის საკითხი პერიოდულად შემოწმდეს, შესაბამისად, რეკომენდებულია განისაზღვროს, თუ რა პერიოდულობით გადაიხედება დაშიფვრის გამოყენების წესის შესახებ კომპანიის ან დაწესებულების მიერ განსაზღვრული ტექნიკური და ორგანიზაციული ზომების დანერგვის საკითხი.