2023-12-28

სამსახურის გადაწყვეტილება - ნასახელშეკრულებო ურთიერთობის ფარგლებში დასაქმების მსურველი პირების პერსონალური მონაცემების დამუშავება  

---

 პერსონალურ მონაცემთა დაცვის სამსახურმა გეგმური ინსპექტირების ფარგლებში  შეისწავლა ერთ-ერთი ჰიპერმარკეტების ქსელის (შემდგომში - კომპანია) მიერ წინასახელშეკრულებო ურთიერთობის ფარგლებში დასაქმების მსურველი პირების პერსონალური მონაცემების დამუშავების კანონიერება. შემოწმების ფარგლებში დადგინდა, რომ კომპანია წინასახელშეკრულებო ურთიერთობის ფარგლებში ამუშავებდა დასაქმების მსურველი პირების შესახებ დიდი მოცულობისა და განსაკუთრებული კატეგორიის ისეთ მონაცემებს, როგორიცაა ნასამართლობისა და ჯანმრთელობის მდგომარეობის შესახებ ინფორმაცია. აღნიშნულ მონაცემებს კომპანია მოიპოვებდა უშუალოდ დასაქმების მსურველი კანდიდატებისგან სხვადასხვა ელექტრონული არხების (ელექტრონული ფოსტის, ელექტრონული სააპლიკაციო ფორმების, კომპანიის ცხელის ხაზის, სოციალური ქსელების - „Facebook“ და „Instagram“ გვერდების) მეშვეობით. ამასთან, კომპანია ხსენებულ პროცესში მონაცემებს ამუშავებდა როგორც დასაქმების მსურველი პირის არსებულ/სამომავლო ვაკანსიის მოთხოვნებთან შესაბამისობის დადგენის მიზნით, ასევე, კომპანიისთვის კანონმდებლობით დაკისრებული მოვალეობის შესასრულებლად. კერძოდ, გარკვეულ პოზიციებზე (როგორიცაა, მზა კვების, ხორცისა და თევზეულის, ასევე საცხობ სექციებში გამოცხადებულ ვაკანსიებზე) დასაქმების მსურველი პირების ჯანმრთელობის მდგომარეობის შესახებ ინფორმაციის დამუშავების აუცილებლობა გამომდინარეობდა „ტექნიკური რეგლამენტების − „სურსათის ჰიგიენის ზოგადი წესისა“ და „სურსათის ჰიგიენის გამარტივებული წესის“ დამტკიცების თაობაზე“ საქართველოს მთავრობის 2010 წლის 25 ივნისის №173 დადგენილების დანართი №1-დან. კერძოდ, აღსანიშნავია, რომ ამავე დანართის თანახმად, დაუშვებელია პერსონალმა, რომელიც ინფიცირებულია ისეთი დაავადებით, რომლის გავრცელება შესაძლებელია სურსათით (მაგალითად, ინფიცირებული ჭრილობა, კანის ინფექცია და სხვა), მონაწილეობა მიიღოს სურსათის წარმოების/გადამუშავების პროცესში, თუკი არსებობს სურსათის პირდაპირი ან არაპირდაპირი დაბინძურების რისკი. შესაბამისად, ხსენებულ პოზიციებზე დასაქმების მიზნით შერჩეული კანდიდატის ჯანმრთელობის შესახებ ინფორმაციის დამუშავება ემსახურება საზოგადოებრივი ჯანმრთელობის დაცვის მიზანს. შემოწმების ფარგლებში მოპოვებული მტკიცებულებების საფუძველზე დადგინდა, რომ კომპანია დასაქმების მსურველ პირთა პერსონალურ, მათ შორის, განსაკუთრებული კატეგორიის მონაცემებს შესაბამისი სამართლებრივი საფუძვლით ამუშავებდა კონკრეტული, მკაფიოდ განსაზღვრული კანონიერი მიზნის მისაღწევად საჭირო მოცულობით . შემოწმების ფარგლებში ასევე დადგინდა, რომ წინასახელშეკრულებო ურთიერთობის ფარგლებში მოპოვებული დასაქმების მსურველი პირების პერსონალური მონაცემები კომპანიაში ინახებოდა განუსაზღვრელი ვადით, რა ვადითაც მონაცემების შენახვის საჭიროება კომპანიის მხრიდან ვერ დასაბუთდა. მით უფრო იმ პირობებში, როცა კომპანიას მის მიერ მითითებული მიზნით (სამომავლოდ კანდიდატისთვის ვაკანსიების შესათავაზებლად) მონაცემების დამუშავებისა და დასაქმების თაობაზე გადაწყვეტილების მისაღებად ესაჭიროება პირის შესახებ განახლებული ინფორმაცია. შემოწმების ფარგლებში ასევე დადგინდა, რომ დასაქმების მსურველი პირების მონაცემების დამუშავებისთვის გამოყენებულ ელექტრონულ სისტემებს, არ გააჩნდათ მონაცემთა მიმართ შესრულებული მოქმედებების აღრიცხვის ელექტრონული ჟურნალი (ე.წ. „ლოგირება“), ასევე ცალკეულ შემთხვევებში მონაცემები გაზიარებული იყო მონაცემებთან წვდომაზე არაუფლებამოსილი პირებისთვის, რაც წარმოადგენს მონაცემთა უსაფრთხოების დაცვის მოთხოვნების დარღვევას. გარდა ზემოაღნიშნულისა, შემოწმების ფარგლებში დადგინდა, რომ კომპანიის მხრიდან წინასახელშეკრულებო ურთიერთობის ფარგლებში დასაქმების მსურველი პირების პერსონალური მონაცემების შეგროვების პროცესში მათი ინფორმირება ხდებოდა კანონის მე-15 მუხლით დადგენილი მოთხოვნების დარღვევით, მათ შორის, მონაცემთა სუბიექტებს (დასაქმების მსურველ პირებს) არ მიეწოდებოდათ ინფორმაცია უფლებამოსილი პირის ვინაობისა და მისი რეგისტრირებული მისამართის, ასევე მონაცემთა სუბიექტის უფლებების თაობაზე, რაც არღვევს მონაცემთა სუბიექტის ინფორმირების წესებს. შემოწმების ფარგლებში ასევე დადგინდა, რომ დასაქმების მსურველი პირების შესახებ მოპოვებული მონაცემების დამუშავებისთვის გამოყენებულ ელექტრონულ სისტემებზე და შესაბამისად, ამავე სისტემებში დაცულ მონაცემებზე წვდომა სრული ადმინისტრირების უფლებებით გააჩნდა დამფუძნებელ კომპანიას, რომელიც რეგისტრირებულია და საქმიანობს ისეთ ქვეყანაში, რომელიც პერსონალურ მონაცემთა დაცვის სამსახურის უფროსის 2022 წლის 2 მარტი №03 ბრძანებით დამტკიცებულ პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხაში არ ექცევა. ამასთან, შემოწმების ფარგლებში დადგინდა, რომ კომპანიას სამსახურისგან არ ჰქონდა მიღებული ნებართვა მონაცემების საერთაშორისო გადაცემასთან დაკავშირებით. აღსანიშნავია, რომ მონაცემთა საერთაშორისო გადაცემასთან მიმართებით მონაცემთა დაცვის ევროპული საბჭოს (EDPB) მიერ შემუშავებული სახელმძღვანელოს თანახმად, მონაცემთა გადაცემა გულისხმობს მონაცემების რაიმე ფორმით, მათ შორის, დისტანციური წვდომის მინიჭების გზით, ხელმისაწვდომად გახდომას. აღნიშნულის გათვალისწინებით, ვინაიდან კომპანია წინასახელშეკრულებო ურთიერთობის ფარგლებში მოპოვებულ მონაცემებს წვდომის მინიჭების გზით ხელმისაწვდომს ხდიდა სხვა ქვეყანაში რეგისტრირებული და საქმიანობის განმახორციელებელი კომპანიისთვის (დამფუძნებელი კომპანია) სამსახურის ნებართვის გარეშე, კომპანიის მიერ დარღვეულ იქნა მონაცემთა სხვა სახელმწიფოსა და საერთაშორისო ორგანიზაციისათვის გადაცემის წესები. ზემოაღნიშნულის გათვალისწინებით, კომპანიას დაეკისრა პასუხისმგებლობა „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 44-ე, 46-ე, 50-ე და 52¹-ე მუხლების პირველი პუნქტებით გათვალისწინებული ადმინისტრაციული სამართალდარღვევებისთვის. ამასთან, სამსახურის გადაწყვეტილებით კომპანიას დაევალა დასაქმების მსურველ პირთა პერსონალური მონაცემების შენახვის გონივრული ვადის განსაზღვრა და აღნიშნულ ვადაზე ხანგრძლივად შენახული მონაცემების წაშლა/განადგურება, დასაქმების მსურველი პირებისგან მონაცემების შეგროვებისას, მათი ინფორმირება „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის მე-15 მუხლის შესაბამისად. ასევე,  იმგვარი ორგანიზაციული და ტექნიკური ზომების მიღება, რომლებიც, ერთის მხრივ, უზრუნველყოფს დასაქმების მსურველი პირების მონაცემებზე არაუფლებამოსილი პირების წვდომის შეზღუდვას, ხოლო, მეორეს მხრივ, უზრუნველყოფს ელექტრონული ფორმით არსებული მონაცემების მიმართ შესრულებული მოქმედებების აღრიცხვას. კომპანიას დამატებით დაევალა, საერთაშორისო გადაცემის თაობაზე ნებართვის მიღების მიზნით, სამსახურისთვის დასაბუთებული განცხადებით მომართვა და შემდგომში გადაცემის პროცესის წარმართვა სამსახურის მიერ მიღებული გადაწყვეტილების შესაბამისად, ხოლო ნებართვის გაცემაზე უარის თქმის შემთხვევაში - მონაცემების საერთაშორისო გადაცემის შეწყვეტა.