2024-12-14

მონაცემთა უსაფრთხოება

---

მონაცემთა მიმართ მიღებული უსაფრთხოების ზომების მნიშვნელობის გათვალისწინებითა და პერსონალურ მონაცემთა დაცვის სფეროში არსებული კანონმდებლობის ევროპულ სტანდარტებთან დაახლოების მიზნით, კანონის 2024 წლის პირველი მარტიდან მოქმედი რედაციით, მონაცემთა უსაფრთხოება მონაცემთა დამუშავების ერთ-ერთ პრინციპად იქნა აღიარებული, მსგავსად ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციისა“ (“GDPR”).

სამართალდამცავი ორგანოების ხელთ არსებულ მონაცემთა უკანონო დამუშავების შემთხვევაში შესაძლოა რა მონაცემთა სუბიექტს გამოუსწორებელი ზიანი მიადგეს, მათი მხრიდან მონაცემთა უსაფრთხოების ზომების მიღება კიდევ უფრო მეტ მნიშვნელობას იძენს.

მნიშვნელოვანია, უწყებებმა მუდმივად უზრუნველყონ მიღებული უსაფრთხოების ზომების მონიტორინგი და საჭიროების შემთხვევაში შეცვალონ დაცვის უფრო ეფექტიანი მექანიზმებით.

მონაცემთა უსაფრთხოება გულისხმობს ორგანიზაციული და ტექნიკური ზომების კუმულატიურად მიღების აუცილებლობას. ამდენად, თითოეული შემოწმების ფარგლებში მოწმდება მონაცემთა როგორც ფიზიკური, ასევე –ინფორმაციული (ელექტრონული სისტემების) უსაფრთხოება. მონაცემთა დამუშავების პროცესში მისაღები ზომების ნაწილი განსაზღვრულია „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლით, რომლის ჩამონათვალიც „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის ახალი რედაქციით გაფართოვდა.

მონაცემთა უსაფრთხოების მნიშვნელობის გათვალისწინებით, საანგარიშო პერიოდში სამსახურმა როგორც მოქალაქეთა მომართვების, ასევე გეგმური შემოწმებების ფარგლებში შეისწავლა არაერთი სამართალდამცავი ორგანოს (მათ შორის: საქართველოს გენერალური პროკურატურის, საქართველოს თავდაცვის სამინისტროს, დანაშაულის პრევენციის, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის ეროვნული სააგენტოს, სპეციალური პენიტენციური სამსახურის) მიერ მონაცემთა მიმართ მიღებული ზომების „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონით დადგენილ მოთხოვნებთან შესაბამისობის საკითხები, რომელთა საფუძველზეც გამოიკვეთა არაერთი ნაკლოვანი პროცესი.

მონაცემთა უსაფრთხოების თვალსაზრისით, ყველაზე დიდ გამოწვევად რჩება მონაცემთა დამუშავებისთვის გამოყენებული ელექტრონულ სისტემებში მონაცემთა მიმართ შესრულებული მოქმედებების აღრიცხვის, ელექტრონული ჟურნალისა (ე. წ. „ლოგირება“) და მონაცემებზე წვდომის უფლების მქონე პირებისთვის განპიროვნებული მომხმარებლისა და პაროლის არარსებობა. სამსახურის დადგენილი პრაქტიკითა და კანონმდებლობით იმპერატიულად განსაზღვრული რეგულირებით, ელექტრონული ფორმით დაცული მონაცემების უსაფრთხოების უზრუნველსაყოფად, მათი ადვილად ხელმისაწვდომობისა და მონაცემთა სავარაუდო უკანონო დამუშავებაზე პასუხისმგებელი პირის იდენტიფიცირების მიზნით, მნიშვნელოვანია, ელექტრონული ფორმით არსებული მონაცემების დამუშავების საშუალებას ჰქონდეს მონაცემთა მიმართ შესრულებული ნებისმიერი მოქმედების აღრიცხვის, მათ შორის – მონაცემების დამატების, დათვალიერების, რედაქტირების, წაშლის აღრიცხვის შესაძლებლობა. ამასთან, მონაცემებზე წვდომის უფლების მქონე პირები სარგებლობდნენ ინდივიდუალური მომხმარებლითა და პაროლით, რათა არ მოხდეს მონაცემების უკანონო მოპოვება, გამჟღავნება, გამოყენება, განადგურება და ა. შ.

საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის სამსახურს სამართალდამცავმა უწყებამ მომართა სავარაუდო ინციდენტის ფაქტთან დაკავშირებით, თუმცა სამსახურის მიერ ეს ფაქტი ინციდენტად არ იქნა მიჩნეული.

საანგარიშო პერიოდში პერსონალურ მონაცემთა დაცვის სამსახურმა სხვადასხვა სამართალდამცავ ორგანოში მონაცემთა უსაფრთხოების საკითხები 10 (ათი) გეგმური, 1 (ერთი) არაგეგმური და 1 (ერთი) განცხადების განხილვის საფუძველზე დაწყებული წარმოების ფარგლებში შეისწავლა. უმეტეს შემთხვევაში უსაფრთხოების ზომებთან მიმართებით გამოვლინდა ზემოხსენებული ნაკლოვანებები, თუმცა თავისი შინაარსით განსაკუთრებით საყურადღებო იყო 3 (სამი) გეგმური შემოწმებისა და 1 (ერთი) განცხადების განხილვის ფარგლებში გამოვლენილი მონაცემთა უსაფრთხოების ზომების დარღვევებთან დაკავშირებული პერსონალურ მონაცემთა დაცვის სამსახურის შეფასებები. კერძოდ:

-  დანაშაულის პრევენციის, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის ეროვნული სააგენტო

საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი საჯარო სამართლის იურიდიული პირის — დანაშაულის პრევენციის, არასაპატიმრო სასჯელთა აღსრულებისა და პრობაციის ეროვნული სააგენტოს (შემდგომში — სააგენტო) გეგმური შემოწმების ფარგლები მოიცავდა სააგენტოს მიერ შინაპატიმრობის მონიტორინგის ელექტრონული ზედამხედველობის სისტემის მეშვეობით მონაცემების დამუშავების კანონიერების საკითხის შესწავლას.

დადგინდა, რომ შინაპატიმრობის აღსრულების მიზნით გამოყენებული შინაპატიმრობის მონიტორინგის ელექტრონული ზედამხედველობის სისტემა სააგენტოს შესყიდული ჰქონდა ერთ-ერთი კერძო კომპანიისგან, რომელიც, როგორც დამუშავებაზე უფლებამოსილი პირი, შესაბამისი მომსახურების ხელშეკრულების საფუძველზე ახორციელებდა სისტემის ტექნიკურ მხარდაჭერას (ადმინისტრირებას).

მოპოვებული მტკიცებულებების ანალიზის საფუძველზე გაირკვა, რომ სააგენტოს თანამშრომლები შინაპატიმრობის მონიტორინგის ელექტრონული ზედამხედველობის სისტემაში დაცულ მონაცემებზე წვდომას ახორციელებდნენ განპიროვნებული მომხმარებლითა და პაროლით, თუმცა ისინი, საჭიროების ან/და სურვილის შემთხვევაში, მოკლებულნი იყვნენ პაროლის თავისი მხრიდან შეცვლის შესაძლებლობას. აღნიშნულს ახორციელებდა კონტრაქტორი კერძო კომპანია. ამდენად, მისთვის ცნობილი იყო სააგენტოს თითოეული თანამშრომლის მომხმარებლის პაროლი. გარდა ამისა, შინაპატიმრობის მონიტორინგის ელექტრონული ზედამხედველობის სისტემაში დაცული მონაცემების მიმართ შესრულებული მოქმედებები სრულად არ აღირიცხებოდა, ხოლო მონაცემთა ბაზასა და სერვერზე წვდომის უფლების მქონე პირები არ სარგებლობდნენ ინდივიდუალური მომხმარებლითა და პაროლით. ცხადია, ზემოხსენებული ხარვეზები მონაცემთა უსაფრთხოების ზომების დარღვევას წარმოადგენდა, პასუხისმგებლობის დაკისრების მიზნით, შეფასდა სააგენტოსა და კონტრაქტორ კომპანიას შორის დადებული ხელშეკრულებების პირობებისა და მხარეთა მიერ პასუხისმგებლობების გადანაწილების საკითხი.

შემოწმების ფარგლებში დამუშავებისთვის პასუხისმგებელ პირსა და დამუშავებაზე უფლებამოსილ პირს შორის დადებული ხელშეკრულების ანალიზის საფუძველზე გაირკვა, რომ ის, მართალია, შეიცავდა მონაცემთა უსაფრთხოების საკითხების შესახებ ზოგად დათქმებს, თუმცა დეტალურად არ იყო გაწერილი უსაფრთხოების ყველა ის ზომა, რომლებიც კონტრაქტორ კომპანიას უნდა მიეღო. შემოწმების ფარგლებში გამოიკვეთა, რომ სააგენტოს მხრიდან კონტრაქტორ კომპანიას მონაცემთა მიმართ შესრულებული მოქმედებების აღრიცხვის ფუნქციონალის შექმნისა და მონაცემთა ბაზასა და სერვერზე ინდივიდუალური მომხმარებლითა და პაროლით წვდომის თაობაზე დავალება არ მისცემია. სააგენტოს არც მოგვიანებით მოუთხოვია გამოვლენილი ნაკლოვანებების გამოსწორება. შესაბამისად, სამსახურმა დაადგინა სააგენტოს მხრიდან „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 27-ე მუხლით გათვალისწინებული მოთხოვნების დარღვევის ფაქტი. იგი სამართალდამრღვევად იქნა ცნობილი ამავე კანონის 76-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში, რისთვისაც სახდელის სახით შეეფარდა ჯარიმა. ასევე, მიეცა დავალებები შემოწმების ფარგლებში გამოვლენილი დარღვევებისა და ნაკლოვანებების აღმოფხვრის მიზნით.

 

- საქართველოს პროკურატურა
პერსონალურ მონაცემთა დაცვის სამსახურმა, არასრულწლოვანთა ვიდეო-აუდიო ფიქსაციის პროცესში, საქართველოს პროკურატურის მიერ არასრულწლოვანთა სპეციალურ სივრცეებში გამოკითხვის მონაცემთა დამუშავების კანონიერების გეგმურად შემოწმების ფარგლებში დაადგინა:

საქართველოს პროკურატურას არასრულწლოვანთა გამოკითხვის მიზნით 8 (რვა) რაიონულ პროკურატურაში მოწყობილ არასრუწლოვანთა გამოკითხვის სპეციალიზებული ოთახში დამონტაჟებული იყო როგორც ვიდეოკამერები, ასევე – ხმოვანი სიგნალის ჩამწერი (აუდიოჩამწერი) მოწყობილობები, რომელთა მეშვეობითაც, შესაბამისი საჭიროებისას, ხდებოდა გამოკითხვის პროცესის ვიდეო-აუდიომონიტორინგი. ადგილზე შემოწმების ფარგლებში დადგინდა, რომ რამდენიმე რაიონული პროკურატურის შემთხვევაში ვიდეო-აუდიოჩაწერისთვის გამოყენებული ელექტრონული სისტემები სრულად არ აღრიცხავდა მონაცემთა მიმართ შესრულებულ მოქმედებებს ან აღრიცხავდა, თუმცა ვიდეო-აუდიოჩანაწერის წაშლის შედეგად (ე. წ. „ლოგ“ ჩანაწერებიც იშლებოდა). ამასთან, სისტემაში ავტორიზაციისა და მონიტორინგის განხორციელებისთვის, შექმნილი იყო მხოლოდ 1 (ერთი) მომხმარებელი, რომლითაც სარგებლობდნენ წვდომის უფლების მქონე პირები (თითოეული რაიონული პროკურატურის შემთხვევაში ასეთი რამდენიმე პირი). გარკვეულ შემთხვევებში მომხმარებლისა და პაროლის გაზიარება ხდებოდა დისტანციურ ფორმატში — სატელეფონო კომუნიკაციის გზით.

ასეთ პირობებში იზრდებოდა რა მონაცემთა უკანონო დამუშავების რისკები, პერსონალურ მონაცემთა დაცვის სამსახურმა აღნიშნული გარემოებები შეაფასა მონაცემთა უსაფრთხოებისთვის დადგენილი მოთხოვნების დარღვევად და საქართველოს პროკურატურა სამართალდამრღვევად ცნო „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 76-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში. შემოწმების ფარგლებში გამოვლენილი დარღვევებისა და ნაკლოვანებების აღმოფხვრის მიზნით საქართველოს პროკურატურას მიეცა შესაბამისი დავალებები (სამსახურის უფროსის აღნიშნული გადაწყვეტილება გასაჩივრებულია).

 

- სპეციალური პენიტენციური სამსახური
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე შეისწავლა საქართველოს იუსტიციის სამინისტროს მმართველობის სფეროში მოქმედი სახელმწიფო საქვეუწყებო დაწესებულების — სპეციალური პენიტენციური სამსახურის მიერ განმცხადებლის პერსონალური მონაცემების შემცველი ინფორმაციის, „Gmail“-ის პლატფორმაზე შექმნილი ელექტრონული ფოსტის მეშვეობით, დამუშავების პროცესში მონაცემთა უსაფრთხოების საკითხი.

განცხადების განხილვის ფარგლებში გამოიკვეთა, რომ თბილისის სააპელაციო სასამართლოში მიმდინარეობდა ადმინისტრაციული დავა, რომელშიც მხარეებად ჩართულნი იყვნენ განმცხადებელი და პენიტენციური სამსახური. პენიტენციური სამსახურის თანამშრომელმა, უშუალო ხელმძღვანელებთან შეთანხმების საფუძველზე, დროის სიმცირისა და რესურსის დაზოგვის მიზნით, სააპელაციო შესაგებელი გააგზავნა „Gmail“-ის პლატფორმაზე სამსახურებრივი მიზნებისთვის შექმნილი ელექტრონული ფოსტის საშუალებით. პენიტენციურმა სამსახურმა განმარტა, რომ მსგავსი ფორმით დოკუმენტაციის სასამართლოში წარდგენა დადგენილ პრაქტიკას წარმოადგენს, თუმცა აქვე მიუთითა, რომ აღნიშნული ელექტრონული ფოსტის მისამართები გამოიყენება მხოლოდ სამსახურებრივი მიზნებისთვის.

პერსონალურ მონაცემთა დაცვის სამსახურმა განმარტა, რომ „Gmail“ პლატფორმაზე შექმნილი ელექტრონული ფოსტის საშუალებით უწყების თანამშრომლების მიერ ერთმანეთსა თუ გარე უწყებებთან პროფესიულ საქმიანობასთან დაკავშირებული ინფორმაციის მიმოცვლა პრობლემური და რისკების შემცველია, ვინაიდან აღნიშნული ელექტრონული სისტემა დასაქმებულებს მონაცემებზე წვდომის შესაძლებლობას სხვა ელექტრონული მოწყობილობებიდანაც აძლევს და უწყება მოკლებულია შესაძლებლობას, აკონტროლოს და დაიცვას მასში დაცული ინფორმაცია. ამასთან, იმის გამო, რომ მონაცემებზე წვდომის შესაძლებლობა დასაქმებულ პირებს უნარჩუნდებათ დამუშავებისთვის პასუხისმგებელ პირთან სამსახურებრივი (შრომითი) კავშირის შეწყვეტის შემდეგაც, არსებობს მონაცემთა მიმართ უსაფრთხოების ზომების დარღვევის საშიშროება.
აღნიშნული გარემოებების საფუძველზე, პენიტენციური სამსახური სამართალდამრღვევად იქნა ცნობილი „პერსონალურ მონაცემთა დაცვის შესახებ“ საქართველოს კანონის 76-ე მუხლის პირველი პუნქტით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში და სახდელის სახით შეეფარდა გაფრთხილება. მასვე დაევალა, მიეღო შესაძლო და თანამდევი საფრთხეების შესაბამისი ის ორგანიზაციული და ტექნიკური ზომები, რომლებიც, ელექტრონული ფორმით მონაცემების დამუშავების პროცესში უზრუნველყოფდა მონაცემთა დაცვას მონაცემთა დაკარგვისგან, უკანონო დამუშავებისგან, მათ შორის – განადგურებისგან, წაშლისგან, შეცვლისგან, გამჟღავნებისგან ან გამოყენებისგან.

 

- საქართველოს თავდაცვის სამინისტრო
სხვა არაერთი შემოწმების მსგავსად, მონაცემთა მიმართ შესრულებული მოქმედებების აღრიცხვის ელექტრონული ჟურნალის (ე. წ. „ლოგირება“) არარსებობის პრობლემა გამოიკვეთა საქართველოს თავდაცვის სამინისტროს (შემდგომში — სამინისტრო) გეგმური შემოწმების პროცესშიც, სამინისტროს მიერ კანდიდატებთან გასაუბრების პროცესში განხორციელებული აუდიომონიტორინგის ფარგლებში მონაცემთა დამუშავების კანონიერების საკითხის შესწავლისას.

გადაწყვეტილება ყურადსაღებია კონკრეტული უსაფრთხოების ზომების დარღვევის ინციდენტად კვალიფიცირების თვალსაზრისით. შემოწმების ფარგლებში დადგინდა, რომ კანდიდატის წინასწარი წერილობითი თანხმობის შემთხვევაში სამინისტრო ახდენდა გასაუბრების პროცესის ვიდეო-აუდიოჩაწერას. პროცესი აგებული იყო შემდეგნაირად — კანდიდატი გასაუბრებაზე შესვლამდე წერილობითი ფორმით აცხადებდა თანხმობას/უარს მისი გასაუბრების პროცესის ვიდეო-აუდიოჩაწერასთან დაკავშირებით, რის შემდგომაც სამინისტროს თანამშრომელი (რომელიც უშუალოდ უზრუნველყოფდა კანდიდატისგან თანხმობის მიღებას) საკონკურსო კომისიას აწვდიდა ინფორმაციას სუბიექტის მიერ გაცხადებული თანხმობის/უარის თაობაზე. სამინისტროში არსებულ ვაკანტურ პოზიციაზე გამოცხადებული ერთ-ერთი გასაუბრების ფარგლებში კანდიდატმა წერილობითი ფორმით უარი განაცხადა თავისი გასაუბრების პროცესის ვიდეო-აუდიოჩაწერაზე. სამინისტროს თანამშრომელმა შემთხვევით (ადამიანური შეცდომა), საკონკურსო კომისიის წევრებს მიაწოდა მცდარი ინფორმაცია — თითქოს კანდიდატს თანხმობა ჰქონდა გაცხადებული. ამდენად, განხორციელდა კანდიდატის გასაუბრების ვიდეო-აუდიო ჩაწერა. სამინისტრომ აღნიშნული ფაქტი აღმოაჩინეს მოგვიანებით და ვინაიდან ხსენებული ვიდეო-ჩანაწერი კვლავ ინახებოდა, სამინისტრომ ინციდენტად მიიჩნია ის და გეგმური შემოწმების ფარგლებში წარმოადგინა ინფორმაცია.

პერსონალურ მონაცემთა დაცვის სამსახურმა, სამსახურის უფროსის 2024 წლის 28 თებერვლის №19 ბრძანებით დამტკიცებული „ადამიანის ძირითადი უფლებებისა და თავისუფლებებისთვის მნიშვნელოვანი საფრთხის შემცველი ინციდენტის განსაზღვრის კრიტერიუმები და პერსონალურ მონაცემთა დაცვის სამსახურისთვის ინციდენტის შეტყობინების წესზე“ დაყრდნობით, დაადგინა, რომ სამინისტროს მიერ წარმოდგენილი ფაქტი არ შეიცავდა ინციდენტის განმსაზღვრელ კრიტერიუმებს(მონაცემთა კონფიდენციალურობის, მთლიანობის ან/და ხელმისაწვდომობის დარღვევა). იგი შეფასდა მონაცემთა უსაფრთხოების ორგანიზაციული ზომების (თანხმობის მიღებაზე პასუხისმგებელი პირისა და საკონკურსო კომისიის მდივანს შორის ინფორმაციის გაცვლის წესი) დარღვევად, რადგან საკონკურსო კომისიის წევრებისთვის ინფორმაციის მიწოდების სამინისტროს მიერ შემუშავებული კომუნიკაციის ორგანიზაციული ფორმა საკმარისი არ აღმოჩნდა ადამიანური შეცდომის გამოსარიცხად.

შემოწმების ფარგლებში სამინისტრო სამართალდამრღვევად იქნა ცნობილი 76-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში, სახდელის სახით განესაზღვრა გაფრთხილება და მიეცა შესაბამისი დავალებები.