2024-09-13

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება სკოლის მიერ პერსონალური მონაცემების არამართლზომიერი დამუშავების შესახებ

---

ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ (“GBA”) საგანმანათლებლო დაწესებულების მიერ პერსონალური მონაცემების დამუშავების მართლზომიერების შესახებ გადაწყვეტილება[1] მიიღო.

საქმის ფაქტობრივი გარემოებების თანახმად, მონაცემთა სუბიექტმა სკოლის ვაკანტურ თანამდებობაზე გამოცხადებულ კონკურსში მიიღო მონაწილეობა, თუმცა შეირჩა კონკრეტულ პოზიციაზე. აღნიშნულის თაობაზე გადაწყვეტილება სკოლის ციფრულ პლატფორმაზე (“Smartschool”) გამოქვეყნდა, რომელზეც წვდომა სკოლის 150 თანამშრომელს ჰქონდა. წარმოდგენილი ფაქტის შემდეგ, სკოლის საბჭომ განაცხადა, რომ გამოქვეყნებული ინფორმაცია იყო კონფიდენციალური და შეცდომით გახდა საჯაროდ ხელმისაწვდომი.

დამატებით, სკოლის დირექტორმა, რომელიც არ იყო ჩართული კონკურსის პროცესში, ელექტრონული ფოსტის მეშვეობით მონაცემთა სუბიექტს   მისი სამოტივაციო წერილის შესახებ გაუგზავნა ინფორმაცია. წარმოდგენილ გარემოებაზე დაყრდნობით, მონაცემთა სუბიექტმა მიიჩნია, რომ საკონკურსო კომისიამ მისი სამოტივაციო წერილი გადასცა დირექტორს, რომელიც წარმოადგენდა მესამე მხარეს. აღნიშნულის გათვალისწინებით, მონაცემთა სუბიექტმა ბელგიის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოში საჩივარი შეიტანა.

საზედამხედველო ორგანომ, პირველ რიგში, აღნიშნა, რომ სკოლის ელექტრონულ პლატფორმაზე კონკურსის მონაწილე პირის სამსახურში აყვანაზე უარის თქმის შესახებ ინფორმაციის განთავსება და მასზე თანამშრომლების წვდომა შესაძლებელს ხდიდა პერსონალური მონაცემების მესამე მხარისთვის გადაცემას და იწვევდა მონაცემთა კონფიდენციალობის დარღვევას. ამასთან, განმარტა, რომ სკოლის ელექტრონულ პლატფორმაზე პერსონალური ინფორმაციის შეცდომით გამოქვეყნება გამოწვეული იყო სათანადო ტექნიკური და ორგანიზაციული ზომების არარსებობით.

“GBA”-მ, ასევე, ყურადღება გაამახვილა, რომ პირადი ინფორმაციის შემცველი დოკუმენტაცია, როგორიცაა, რეზიუმე და სამოტივაციო წერილი, გაეგზავნა მესამე მხარეს, სკოლის დირექტორს, რომელიც არ იყო კონკურსის მონაწილე პირთა შერჩევის პროცესში ჩართული.

წარმოდგენილი გარემოების გათვალისწინებით, საზედამხედველო ორგანომ დაადგინა, რომ არაუფლებამოსილ ადრესატებთან, ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-6 მუხლის პირველ პუნქტზე დაყრდნობით, კანონიერი საფუძვლის გარეშე ინფორმაციის გამჟღავნებით დაირღვა კანონიერების პრინციპი, ხოლო პერსონალური მონაცემების ამ ფორმით გაზიარებით დაირღვა მთლიანობისა და კონფიდენციალობის პრინციპი “GDPR”-ის მე-5 მუხლის პირველი მუხლის „გ“ ქვეპუნქტის შესაბამისად. დამატებით, დამუშავებისთვის პასუხისმგებელი პირის მიერ სათანადო ტექნიკური და ორგანიზაციული ზომების მიღების არარსებობის გამო დაირღვა “GDPR”-ის 25-ე მუხლი.

ამდენად, საზედამხედველო ორგანომ დამუშავებისთვის პასუხისმგებელი პირის მიმართ სანქციის სახით გაფრთხილება გამოიყენა.