+995 32 242 1000
office@pdps.ge
. მონაცემთა დამუშავების პროცესები კერძო და საჯარო სკოლებში
სამსახურმა გეგმურად შეისწავლა: 3 (სამი) კერძო სკოლის მიერ ელექტრონული ჟურნალების მეშვეობით მოსწავლეთა პერსონალური მონაცემების დამუშავების კანონიერება;...
2024-11-14
ფინანსურ სექტორში მონაცემების დამუშავება - კომერციული ბანკების მიერ მონაცემთა საერთაშორისო გადაცემა
სამსახურმა გეგმურად შეისწავლა 2 (ორი) კომერციული ბანკის მიერ პერსონალურ მონაცემთა საერთაშორისო გადაცემის კანონიერება. ერთ-ერთი ბანკის შემოწმების ფარგლებში დადგინდა, რომ აღნიშნული ბანკი, დასაქმებული პირებისთვის სამსახურებრივი ელექტრონული ფოსტისა და „Skype for Business“-ის ანგარიშების შექმნის მიზნით, ამ პირების პერსონალურ მონაცემებს გადასცემდა დამფუძნებელ ბანკს თურქეთის რესპუბლიკაში. ნიშანდობლივია, რომ თურქეთი არ არის შეყვანილი სამსახურის უფროსის 2024 წლის 29 თებერვლის №23 ბრძანებით დამტკიცებულ პერსონალურ მონაცემთა დაცვის სათანადო გარანტიების მქონე ქვეყნების ნუსხაში. ამასთან, ბანკს მონაცემთა საზღვარგარეთ გადაცემის თაობაზე არ ჰქონდა მოპოვებული სამსახურის ნებართვა. ბანკმა გადაცემის საფუძვლად მიუთითა კანონის 37-ე მუხლის მე-2 პუნქტის „დ“ ქვეპუნქტით გათვალისწინებულ საფუძველზე („შესაბამის სახელმწიფოში მონაცემთა დაცვის სათანადო გარანტიების არარსებობისა და შესაძლო საფრთხეების შესახებ ინფორმაციის მიღების შემდეგ მონაცემთა სუბიექტი განაცხადებს წერილობით თანხმობას“). სამსახურმა ყურადღება გაამახვილა, რომ დამფუძნებელი ბანკი არ უზრუნველყოფდა ბანკის თანამშრომლების მონაცემთა მიმართ განხორციელებული მოქმედებების სრულყოფილად აღრიცხვას (არ აღირიცხებოდა წვდომის უფლების მქონე პირთა მიერ მათი დათვალიერების ფაქტი), რაც მონაცემთა უსაფრთხოების დაცვის არასათანადო ზომას წარმოადგენს; თუმცა, აღნიშნულის საპირისპიროდ, მონაცემთა თანხმობის ტექსტით ბანკის თანამშრომლებს მიეწოდათ ინფორმაცია, რომ დამფუძნებელი ბანკი ატარებდა შესაბამის ორგანიზაციულ-ტექნიკურ ზომებს თურქეთის რესპუბლიკაში მათი მონაცემების უსაფრთხოების უზრუნველსაყოფად. შესაბამისად, თანხმობა არ აკმაყოფილებდა კანონის მე-3 მუხლის „მ“ და „ნ“ ქვეპუნქტებით გათვალისწინებულ თანხმობის კრიტერიუმებს.
ამასთან, კანონის 37-ე მუხლის მე-2 პუნქტის „დ“ ქვეპუნქტით გათვალისწინებული დანაწესი სამსახურმა განმარტა ხსენებული ნორმის მიზნების ანალიზისა და საერთაშორისო გადაცემისას მონაცემთა სუბიექტის ფუნდამენტური უფლებების დაცვის ინტერესებიდან გამომდინარე. სამსახურმა ასევე განმარტა, რომ მონაცემთა სუბიექტის ფუნდამენტური უფლებების დაცვის უზრუნველყოფის მიზნებისთვის, იმ შემთხვევაში, თუ სახელმწიფო, რომელსაც გადაეცემა მონაცემები, ვერ უზრუნველყოფს მონაცემთა დაცვის სათანადო გარანტიებს, უპირველესად, მნიშვნელოვანია, დამუშავებისთვის პასუხისმგებელმა პირმა აღნიშნული გარანტიები შექმნას მონაცემთა მიმღებთან დადებული ხელშეკრულებით. მხოლოდ აღნიშნული გარანტიების შექმნის შეუძლებლობის შემთხვევაშია დასაშვები მონაცემთა საერთაშორისო გადაცემა მონაცემთა სუბიექტის წერილობითი თანხმობის საფუძველზე. შესაბამისად, განსახილველ შემთხვევაში, ბანკს თანამშრომელთა მონაცემების დამფუძნებელი ბანკისთვის გადაცემამდე, სათანადო ხელშეკრულებისა და სამსახურის წინასწარი ნებართვის საფუძველზე (კანონის 37-ე მუხლის გათვალისწინებით), უნდა უზრუნველეყო მონაცემთა დაცვის სათანადო გარანტიები. ამდენად, ბანკის მიერ დასაქმებული პირების პერსონალური მონაცემების თურქეთის რესპუბლიკაში გადაცემის პროცესში არ გამოიკვეთა კანონის 37-ე მუხლით დადგენილი საფუძვლების არსებობა.
მეორე ბანკის შემოწმების ფარგლებში დადგინდა, რომ ბანკი, მომხმარებლისთვის საბანკო ბარათის დამზადების, აგრეთვე, საბარათე ოპერაციების განხორციელებისა და დამუშავების მიზნით, მომხმარებლების პერსონალურ მონაცემებს გადასცემდა აზერბაიჯანის რესპუბლიკაში დაფუძნებულ კომპანიას; საბარათე ოპერაციების შესრულებისა და დამუშავების მიზნით პერსონალური მონაცემების მონაცემთა მიმღებისთვის გადაცემის თაობაზე კი ბანკს სამსახურისგან მოპოვებული ჰქონდა კანონის 37-ე მუხლის მე-3 პუნქტით გათვალისწინებული ნებართვა. შემოწმების ფარგლებში დადგინდა, რომ ბანკის მიერ მომხმარებლების პერსონალური მონაცემების გადაცემა შეესაბამებოდა საერთაშორისო გადაცემის თაობაზე ხსენებულ ნებართვას და კანონის 37-ე მუხლით გათვალისწინებულ წესებს და პირობებს. აღსანიშნავია, რომ მომხმარებლისთვის საბანკო ანგარიშის გახსნის/ბარათის დამზადების განაცხადით მონაცემთა გადაცემის მიზნები ამომწურავად არ იყო განსაზღვრული, აღნიშნული კი მონაცემთა დამუშავების პროცესში გამჭვირვალობის პრინციპის რეალიზებასა და მონაცემთა სუბიექტების მონაცემთა დამუშავების კონკრეტული მიზნების შესახებ ინფორმირებას ვერ უზრუნველყოფდა. სამსახურმა განმარტა, რომ გამჭვირვალობის ვალდებულება მჭიდროდ არის დაკავშირებული მონაცემთა სუბიექტის ინფორმირების უფლებასთან და ითვალისწინებს მონაცემთა სუბიექტის მონაცემთა დამუშავების, მათ შორის – დამუშავების მიზნების თაობაზე სრულყოფილ ინფორმირებას. შესაბამისად, მონაცემების დამუშავების პროცესში გამჭვირვალობის პრინციპის დაცვის უზრუნველსაყოფად მნიშვნელოვანია, რომ მონაცემთა სუბიექტს ამომწურავად მიეწოდოს დამუშავების კონკრეტული მიზნის/მიზნების თაობაზე ინფორმაცია.
სამსახურის გადაწყვეტილებით ბანკი, რომელიც კანონის 37-ე მუხლით დადგენილი საფუძვლებით ახორციელებდა მონაცემთა საერთაშორისო გადაცემას თურქეთის რესპუბლიკაში, სამსახურის მიერ ცნობილ იქნა სამართალდამრღვევად კანონის 85-ე მუხლით გათვალისწინებული ადმინისტრაციული სამართალდარღვევის ჩადენაში. ბანკებს დაევალათ ზემოხსენებული დარღვევების აღმოფხვრა.
მსგავსი გადაწყვეტილებები
საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღების პერსონალური მონაცემების გამჟღავნების კანონიერება
პერსონალურ მონაცემთა დაცვის სამსახურმა მოქალაქის განცხადების საფუძველზე ერთერთი საჯარო დაწესებულების თანამშრომლის მიერ ამ დაწესებულების სერვისის მიმღე...
ვიდეომონიტორინგი სკოლებში და კოლეჯებში
სამსახურმა გეგმურად შეამოწმა 2 (ორი) სახელმწიფო პროფესიული საგანმანათლებლო დაწესებულება/კოლეჯის (შემდგომში ― კოლეჯი), ასევე 3 (სამი) საჯარო და 3 (სამი...
ვიდეო-აუდიომონიტორინგი
ვიდეოკამერების სისტემები სხვადასხვა სახის, დიდი მოცულობით პერსონალური მონაცემების დამუშავების (მოპოვების, ჩაწერის, შენახვის) შესაძლებლობას იძლევა. ამა...