2025-12-03

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ენერგეტიკული კომპანიისა და მასთან დაკავშირებული სააგენტოების მიერ პერსონალური მონაცემების დამუშავების კანონიერების შესახებ

---

იტალიის მონაცემთა დაცვის მონაცემთა დაცვის საზედამხედველო ორგანომ (“Garante”) ენერგეტიკულ სფეროში პერსონალური მონაცემების დამუშავების კანონიერების თაობაზე გადაწყვეტილება მიიღო[1]. ენერგეტიკულ კომპანიას (“Acea Energia S.p.A”) დაეკისრა 3 მილიონი ევროს ოდენობით ჯარიმა, ხოლო მასთან დაკავშირებულ სხვადასხვა სააგენტოს ჯამში 850,000 ევროს ოდენობით.

საქმის ფაქტობრივი გარემოებები:

მომხმარებელთა პერსონალური მონაცემები მუშავდებოდა პირდაპირი მარკეტინგის მიზნებისთვის, მათი წინასწარი თანხმობის გარეშე.

მომხმარებლები, რომლებმაც შეცვალეს ენერგომომწოდებელი კომპანია, იღებდნენ სატელეფონო ზარებს არაუფლებამოსილი ქოლ-ცენტრებისგან. სატელეფონო კომუნიკაციის დროს ოპერატორები მომხმარებლებს აცნობდნენ არარსებული პრობლემების (მაგ. გადართვისას წარმოშობილი ტექნიკური ხარვეზები) შესახებ, რაც მიზნად ისახავდა ახალი, არასასურველი კონტრაქტების გაფორმებას.

საკითხის შესწავლის შედეგად დადგინდა, რომ ქოლ-ცენტრები იყენებდნენ პერსონალური მონაცემების სიებს, რომლებიც მოიცავდა:

• მომხმარებლის მაიდენტიფიცირებელ და საკონტაქტო მონაცემებს;
• ინფორმაციას მიმდინარე და წინა კონტრაქტების შესახებ;
• მომსახურების მისამართს, გადახდის ფორმასა და სხვა კომერციულ მონაცემებს.

აღნიშნული მონაცემები ხშირად მოპოვებული იყო ისეთი კომპანიებისგან, რომლებსაც არ ჰქონდათ მომხმარებელთა ნებართვა, რაც აშკარად არღვევდა ევროკავშირის „მონაცემთა დაცვის ძირითად რეგულაციას“ (“GDPR”).

საქმის შესწავლის დეტალები

იტალიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ საქმის შესწავლა იტალიის ფინანსური პოლიციის სპეციალური დანაყოფისა და ჟურნალისტის ერთობლივი შეტყობინების საფუძველზე დაიწყო. საკითხის შესწავლის პროცესში დადგინდა:

• ქოლ-ცენტრები არ იყვნენ რეგისტრირებულნი იტალიის კომუნიკაციების ოპერატორთა სახელმწიფო რეესტრში;
• მათ არ ჰქონდათ ოფიციალური მანდატი “Acea Energia”-სგან ან სხვა დამკვეთებისგან;
• მომხმარებლების მონაცემები გროვდებოდა სხვადასხვა სხვა კომპანიისგან, წინასწარი შეთანხმების გარეშე;
• “Acea Energia”-ს წარმომადგენლები საქმის გარკვეულ ეტაპზე ინფორმირებულნი იყვნენ აღნიშნული პრაქტიკის შესახებ, თუმცა ქმედითი ზომები მხოლოდ მოგვიანებით მიიღეს.

სამართლებრივი შეფასება

საქმის შესწავლის შედეგად, იტალიის მონაცემთა დაცვის საზედამხედველო ორგანომ ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ შემდეგი მუხლების დარღვევა დაადგინა“[2]:

• მუხლი 5 - პერსონალური მონაცემების დამუშავებასთან დაკავშირებული პრინციპები;
• მუხლი 6 - მონაცემთა დამუშავების კანონიერება;
• მუხლი 7 - თანხმობის პირობები;
• მუხლი 13 - მონაცემთა სუბიექტისთვის ინფორმაციის მიწოდება მონაცემთა უშუალოდ მისგან შეგროვების შემთხვევაში;
• მუხლი 24 - დამუშავებისთვის პასუხისმგებელი პირის პასუხისმგებლობა;
• მუხლი 25 - მონაცემთა დაცვის სტანდარტების გათვალისწინება ახალი პროდუქტის ან მომსახურების შექმნის პროცესში („Privacy by Design“) და მონაცემთა დაცვა პირველად პარამეტრად („Privacy by Default“);
• მუხლი 28 - დამუშავებაზე უფლებამოსილი პირი;
• მუხლი 32 - მონაცემთა დამუშავების უსაფრთხოება.

ასევე, დამუშავებისთვის პასუხისმგებელი პირის ქმედებები წინააღმდეგობაში იყო იტალიის ეროვნული მონაცემთა დაცვის კოდექსის 130-ე მუხლთან, რომელიც კრძალავს უნებართვო მარკეტინგულ ზარებს.

იტალიის საზედამხედველო ორგანოს მიერ  დაკისრებული სანქცია:

“Acea Energia”-ს დაეკისრა ჯარიმა 3 მილიონი ევროს ოდენობით. აგრეთვე, დამუშავებისთვის პასუხისმგებელ პირს დაევალა იმ პირებისთვის ინფორმაციის მიწოდება, რომელთა მონაცემებიც მუშავდებოდა უკანონოდ და მონაცემთა დაცვის მოთხოვნებთან ორგანიზაციაში მოქმედი ყველა ქვეკონტრაქტორის იდენტიფიცირება და შეფასების უზრუნველყოფა.

სააგენტოებს, რომლებსაც არ ჰქონდათ უფლებამოსილება და იყენებდნენ დაუდასტურებელი წყაროებიდან მიღებულ მონაცემებს, დაევალათ:

• შეწყვიტონ მსგავსი სიების გამოყენება;
• დაასაბუთონ საკონტაქტო მონაცემების მოპოვების კანონიერება.

შესწავლილი საქმე ცხადყოფს, რომ პერსონალური მონაცემების უკანონო გამოყენება და მომხმარებელთა მოტყუებით პირდაპირი მარკეტინგის განხორციელება დაუშვებელია.

კომპანიებს, რომლებიც იყენებენ სატელეფონო გაყიდვების არხებს ან აფილირებულ სააგენტოებს, ეკისრებათ სრული პასუხისმგებლობა პარტნიორი კომპანიების მოქმედებებზე და ვალდებულნი არიან დაიცვან მომხმარებელთა უფლებები, მათ შორის: მონაცემთა დამუშავების შესახებ მიეწოდოთ სრულყოფილი ინფორმაცია და, აგრეთვე, მონაცემთა დამუშავებაზე ჰქონდეთ თანხმობის გამოხატვის შესაძლებლობა. დამატებით, უნდა იქნეს უზრუნველყოფილი მონაცემთა უსაფრთხოება.