2024-07-18

ფინანსურ სექტორში მონაცემების დამუშავება - სადაზღვევო კომპანიები

---

სამსახურმა გეგმურად შეამოწმა 2 (ორი) სადაზღვევო კომპანიის მიერ მათი ვებგვერდების მეშვეობით ჯანმრთელობის დაზღვევის პოლისის მქონე ფიზიკური პირების მონაცემთა მოპოვებისა და შენახვის კანონიერება. შემოწმებების ფარგლებში გამოიკვეთა, რომ სადაზღვევო კომპანიები საქმიანობის განხორციელების პროცესში, მომხმარებლისთვის სადაზღვევო მომსახურების მიწოდების დროს, ხელშეკრულებით ნაკისრი ვალდებულებების შესრულების (მაგალითად, მომხმარებლისთვის გაწეული სამედიცინო მომსახურების საფასურის ანაზღაურების) მიზნით, ვებგვერდის მეშვეობით ამუშავებდნენ ჯანმრთელობის დაზღვევის პოლისის მქონე ფიზიკური პირების პერსონალურ მონაცემებს (მაგალითად: პირის სახელს, გვარს, დაბადების თარიღს, პირადი ნომერს, სქესს, მოქალაქეობას, სატელეფონო ნომერს, ჯანმრთელობის შესახებ ინფორმაციას და სხვა).

ერთ-ერთ შემთხვევაში გამოიკვეთა, რომ სადაზღვევო კომპანია გარკვეულ მონაცემებს ვებგვერდის მეშვეობით ამუშავებდა სათანადო საჭიროების გარეშე. კერძოდ, სამედიცინო ანაზღაურების, ასევე საგარანტიო წერილის მიღებასთან დაკავშირებით განაცხადის გაკეთებისას სავალდებულო დოკუმენტაციასთან ერთად მომხმარებელს შესაძლებლობა ჰქონდა ვებგვერდზე განეთავსებინა დამატებითი დოკუმენტაციაც (მაგალითად, განსახილველ სადაზღვევო შემთხვევასთან დაკავშირებული სამედიცინო ანალიზებისა და გამოკვლევის პასუხები), თუმცა, კომპანიის განმარტებით, აღნიშნული დოკუმენტაციის არსებობა გავლენას არ ახდენდა სადაზღვევო შემთხვევის განხილვაზე. აღნიშნული შემთხვევა სამსახურის მიერ მონაცემთა არაპროპორციული მოცულობით დამუშავებად შეფასდა, რაც წარმოადგენს კანონის მე-4 მუხლის პირველი პუნქტის „გ“ ქვეპუნქტის მოთხოვნათა დარღვევას. ასევე აღსანიშნავია, რომ კომპანიას შემოწმების ეტაპზე არ ჰქონდა განსაზღვრული პერსონალური მონაცემების შენახვის ვადა და ამ ვადის გასვლის შემდგომ მონაცემთა მიმართ გასატარებელი ღონისძიებები.

განხორციელებული შემოწმებების ფარგლებში ასევე დადგინდა, რომ დაზღვეული პირების ინფორმირება ვებგვერდის საშუალების მონაცემთა უშუალოდ მათგან შეგროვების პროცესში ერთ-ერთი კომპანიის მიერ ხდებოდა ვებგვერდზე რეგისტრაციის (ანგარიშის შექმნის) და ვებგვერდის მეშვეობით ჯანმრთელობის დაზღვევის პროდუქტის შეძენის დროს, ხოლო მეორე კომპანიის შემთხვევაში ― მხოლოდ ჯანმრთელობის დაზღვევის პროდუქტის შეძენის დროს. აღსანიშნავია, რომ მომხმარებლის მიერ ინფორმირების დოკუმენტებზე თანხმობის ღილაკის მონიშვნა ისე ხდებოდა, რომ ეკრანზე ავტომატურად (სავალდებულო წესით) არ აისახებოდა აღნიშნული დოკუმენტების ტექსტი/შინაარსი და მომხმარებელს მისი გაცნობის გარეშე შეეძლო პროცესის გაგრძელება. ამასთან, ერთ-ერთი კომპანიის შემთხვევაში გამოიკვეთა, რომ, მართალია, ვებგვერდზე რეგისტრაციისას ხდებოდა მომხმარებლებისგან მათი მონაცემების მოპოვება, თუმცა კომპანია არ ახდენდა მათ ინფორმირებას კანონის 24-ე მუხლით გათვალისწინებულ საკითხებთან დაკავშირებით. ამ შემთხვევაში ვებგვერდზე რეგისტრირდებოდნენ მხოლოდ ის მომხმარებლები, რომლებსაც უკვე შეძენილი ჰქონდათ სადაზღვევო პროდუქტი (მაგალითად, კომპანიის გაყიდვების მენეჯერის დახმარებით (შეთავაზებით) ან კომპანიაში ადგილზე ვიზიტის გზით), თუმცა კომპანიასთან ურთიერთობის წინა ეტაპებზე (მაგალითად, პოლისის შეძენის ეტაპი) მათთვის არ იყო უზრუნველყოფილი ინფორმაციის მიწოდება კანონის მოთხოვნათა დაცვით.

ნიშანდობლივია, რომ ზემოხსენებული დოკუმენტები, რომელთა მეშვეობითაც კომპანიები ახდენდნენ მომხმარებლების ინფორმირებას მონაცემთა დამუშავებასთან დაკავშირებულ საკითხებზე, არ შეიცავდა კანონის 24-ე მუხლის პირველი პუნქტით განსაზღვრულ ინფორმაციას (პერსონალურ მონაცემთა დაცვის ოფიცრის, ასევე – დამუშავებაზე უფლებამოსილი პირის (მათი არსებობის შემთხვევაში) ვინაობას/სახელწოდებას და საკონტაქტო ინფორმაციას, მონაცემთა შენახვის კონკრეტული ვადის შესახებ ინფორმაციას, ხოლო, თუ კონკრეტული ვადის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე).

დის განსაზღვრა შეუძლებელია, ვადის განსაზღვრის კრიტერიუმების თაობაზე). აღნიშნული შემოწმებების ფარგლებში სამსახურმა ყურადღება გაამახვილა იმ გარემოებაზეც, რომ კომპანიების მიერ კანონის 24-ე მუხლით გათვალისწინებულ საკითხებზე ინფორმაციის მონაცემები სუბიექტს არ მიეწოდებოდა ერთიანი დოკუმენტით; მონაცემთა სუბიექტის მიერ საკუთარი უფლებების ეფექტური რეალიზებისთვის კი მნიშვნელოვანია, მან ინფორმაცია მიიღოს მისთვის მარტივი და აღქმადი ფორმით (მაგალითად, ერთიანი დოკუმენტით, რომელშიც სრულყოფილად იქნება მითითებული კანონის 24-ე მუხლის პირველი პუნქტით გათვალისწინებული ინფორმაცია), რადგან სწორედ მიწოდებული ინფორმაცია აძლევს მონაცემთა სუბიექტს შესაძლებლობას, შეაფასოს თავისი მონაცემების მიწოდების/გაცემის საჭიროება და მოიპოვოს ინფორმაცია მომავალში საკუთარი უფლებების დაცვის შესახებ.

ებების დაცვის შესახებ. შემოწმების ფარგლებში ასევე შესწავლილ იქნა სადაზღვევო კომპანიების მიერ მონაცემთა უსაფრთხოებისთვის კანონით დადგენილი მოთხოვნების შესრულების საკითხიც. დადგინდა, რომ მათი ე. წ. „პროვაიდერი სამედიცინო დაწესებულებების“ თანამშრომლები მონაცემებზე წვდომას არ ახორციელებდნენ მათზე განპიროვნებული ანგარიშების გამოყენებით. ამასთან, არ აღირიცხებოდა პერსონალური მონაცემების შემცველი დოკუმენტის მიმართ განხორციელებული გარკვეული მოქმედებები, აღნიშნული კი კანონის 27-ე მუხლის მოთხოვნების საწინააღმდეგოდ ქმნიდა მონაცემთა უკანონოდ დამუშავების რისკებს.

სამსახურის გადაწყვეტილებით, ორივე სადაზღვევო კომპანიას პერსონალურ მონაცემთა მიმართ უსაფრთხოების დაცვის წესების დარღვევისთვის დაეკისრა კანონის 76-ე მუხლით გათვალისწინებული ადმინისტრაციული პასუხისმგებლობა. ამასთან, სადაზღვევო კომპანია, რომელიც არაპროპორციული მოცულობით ამუშავებდა მონაცემებს, სამსახურის მიერ ცნობილ იქნა სამართალდამრღვევად კანონის 66-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში. იმავდროულად, სადაზღვევო კომპანიებს დაევალა ზემოხსენებული დარღვევების აღმოფხვრა.