2024-10-07

შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ბანკის კლიენტების პერსონალურ მონაცემთა „მეტასთვის“ გადაცემის შესახებ

2021 წლის 8 ივნისს, შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანომ, შვედური ბანკისგან მიიღო შეტყობინება მონაცემთა უსაფრთხოების ინციდენტისთაობაზე.[1] ბანკმა საზედამხედველო ორგანოს მიაწოდა ინფორმაცია მის ვებგვერდზე და აპლიკაციაში ინტეგრირებული „Facebook“-ის პიქსელის (ამჟამად კომპანია „მეტას“ პიქსელის) შესახებ, რომელიც გამოიყენებოდა მარკეტინგის მიზნებისათვის. მისი მეშვეობით კომპანია „მეტასთან“ უნებლიედ, მონაცემთა უსაფრთხოების არასაკმარისი ზომების გატარების მიზეზით, ხორციელდებოდა ბანკის კლიენტების პერსონალური მონაცემების გადაცემა. ბანკის მიერ საზედამხედველო ორგანოსთვის მიწოდებული ინფორმაციით, 2019 წლის 15 ნოემბრიდან 2021 წლის 2 ივნისამდე, პიქსელის საშუალებით კომპანია „მეტას“ უნებლიედ გადაეცა დაახლოებით მილიონი მომხმარებლის პერსონალური მონაცემები.

საზედამხედველო ორგანოს ძირითადი მიგნებები

საზედამხედველო ორგანოს მიერ საქმის ფაქტობრივ გარემოებათა შესწავლის საფუძველზე დადგინდა, რომ უსაფრთხოების ინციდენტის, კერძოდ, პერსონალურ მონაცემთა შემთხვევით გადაცემის საფუძველი გახდა ბანკის მიერ კომპანია „მეტას“ პიქსელში ახალი ფუნქციების შეცდომით გააქტიურება. შესაბამისად, პიქსელის არასწორ პარამეტრებზე დაყენებამ გამოიწვია ბანკის კლიენტების ინფორმაციის კომპანია „მეტასთვის“ გადაცემა, მათ შორის: სასესხო ვალდებულების, საბანკო ანგარიშების ნომრებისა და სოციალური მომსახურების მისაღებად საჭირო და პიროვნების მაიდენტიფიცირებელი მონაცემების შესახებ.

აღსანიშნავია, რომ უსაფრთხოების ინციდენტის შესახებ ინფორმაციის მიღების შემდგომ, ბანკმა გააუქმა პიქსელი და შეწყვიტა მისი გამოყენება. შვედური ბანკის განცხადებით, კომპანია „მეტამ“ წაშალა პიქსელის მეშვეობით შეგროვებული პერსონალური მონაცემები, აგრეთვე, დაადასტურა, რომ მან არ გამოიყენა შეცდომით მიღებული ინფორმაცია უსაფრთხოების ინციდენტის აღმოჩენის შემდგომ. ამასთან, ბანკმა დაუყოვნებლივ გადახედა პერსონალურ მონაცემთა დამუშავების შიდა პროცედურას.[2]

საზედამხედველო ორგანოს გადაწყვეტილება

შვედეთის პერსონალურ მონაცემთა დაცვის საზედამხედველო ორგანოს შეფასებით, ბანკმა დაარღვია ევროკავშირის „მონაცემთა დაცვის ძირითადი რეგულაციით“ გათვალისწინებული მოთხოვნები. კერძოდ, ბანკმა ვერ უზრუნველყო მის ვებგვერდსა და აპლიკაციაში უსაფრთხოების სათანადო ტექნიკური და ორგანიზაციული ღონისძიების მიღება. შესაბამისად, სამართალდარღვევისათვის დამუშავებისთვის პასუხისმგებელ პირს დაეკისრა ადმინისტრაციული ჯარიმა 1 300 000 ევროს ოდენობით. [3]

[1] შვედეთის საზედამხედველო ორგანოს მიერ ბანკის დაჯარიმების შესახებ https://www.edpb.europa.eu/news/national-news/2024/swedish-sa-administrative-fine-against-bank-transferring-customer-data-meta_en [25.09.2024]

[2] ავანზა ბანკის დაჯარიმების შესახებ გადაწყვეტილება გამოქვეყნდა https://investors.avanza.se/media/press/2024/avanza-bank-ab-har-i-arendet-fran-2021-meddelats-sanktion-fran-imy/#:~:text=Avanza%20Bank%20AB%20har%20i%20%C3%A4rendet%20fr%C3%A5n%202021%20meddelats%20sanktion%20fr%C3%A5n%20IMY,-25%20jun%2C%202024&text=I%20juni%202021%20anm%C3%A4lde%20sig,%C3%A4rendet%20p%C3%A5%2015%20miljoner%20kronor. [25.09.2024]

[3] მეტას პიქსელის გამო შვედური ბანკის დაჯარიმების შესახებ https://www.dataguidance.com/news/sweden-imy-fines-avanza-bank-sek-15m-unlawful-transfer [25.09.2024]